Согласно новомуинформационная безопасностьСогласно Правилу уведомления об инцидентах, американские банки будут обязаны уведомлять федеральные регулирующие органы о любом инциденте, связанном с кибербезопасностью, в течение 36 часов с момента его обнаружения. Правило вступает в силу с 1 апреля 2022 года, но начнет действовать только с 1 мая.
18 ноября Федеральная корпорация страхования депозитов (FDIC), Совет управляющих Федеральной резервной системы и Управление контролера валютного рынка (OCC) обнародовали окончательную версию требований к уведомлению об инцидентах компьютерной безопасности для банковских организаций и их поставщиков банковских услуг.
Финансовые организации, регулируемые FDIC, должны будут уведомить назначенное контактное лицо FDIC "как можно скорее, но не позднее чем через 36 часов" по электронной почте, телефону или другим аналогичным способом, после того как организация определит, что инцидент безопасности "достиг уровня события, подлежащего уведомлению". Поставщики банковских услуг также будут обязаны сообщать банку об инцидентах, если банковские услуги прерываются более чем на четыре часа.
Согласно правилу, "инцидент безопасности" означает любое событие, которое наносит реальный ущерб конфиденциальности, целостности или доступности информационной системы.
С другой стороны, "уведомленное событие" - это событие, которое вызывает серьезные сбои в работе, препятствует предоставлению банком своих продуктов и услуг или представляет риск для стабильности финансового сектора. В качестве примера можно привести компьютерные сбои, распределенные атаки типа "отказ в обслуживании" и атаки типа "выкуп".
Действующее руководство предписывает банкам уведомлять свой основной регулирующий орган о несанкционированном доступе к конфиденциальным данным клиентов "как можно скорее". Новое правило формализует значение термина "как можно скорее". Оно также расширяет руководство, распространяя его на инциденты, в которых данные клиентов не были раскрыты.
Правило требует, чтобы финансовые организации уведомляли регулирующий орган только о том, что что-то произошло за прошедшее время. Полная оценка или анализ не требуются в рамках уведомления регулятора и могут быть проведены по истечении 36 часов. Это важное различие, поскольку многие организации могут не иметь полного представления о том, что произошло, так быстро.
Банки по-прежнему обязаны подавать отчет о подозрительной деятельности (SAR) в течение 60 дней с момента обнаружения.
Изначально правило было предложено FDIC и OCC в декабре 2020 года.
Оригинал статьи CNCSO, при воспроизведении просьба указывать источник: https://cncso.com/ru/банк-америки-сообщает-о-кибератаках-html