新しいものによると、サイバーセキュリティインシデント通知規則に基づき、米国の銀行はサイバーセキュリティインシデントを発見してから36時間以内に連邦規制当局に通知することが義務付けられる。この規則は 2022 年 4 月 1 日に発効しますが、施行は 5 月 1 日まで開始されません。
連邦預金保険公社 (FDIC)、連邦準備制度理事会、通貨監督庁 (OCC) は、銀行組織および銀行サービス プロバイダーに対するコンピューター セキュリティ インシデント通知要件の最終版を 2019 年 10 月 2 日に発表しました。 11月18日。
FDICの規制を受ける金融機関は、セキュリティインシデントが「発生した」と組織が判断した後、「できるだけ早く、遅くとも36時間以内に」電子メール、電話、またはその他同様の方法でFDICの指定担当者に通知することが義務付けられる。通知イベントのレベルまで。」銀行サービスが4時間以上中断された場合、銀行サービスプロバイダーも銀行に事故を報告する必要がある。
この規則では、「セキュリティ インシデント」とは、情報システムの機密性、完全性、または可用性に実際の損害を引き起こすあらゆるイベントを指します。
一方、「通知イベント」とは、業務に重大な混乱を引き起こしたり、銀行の商品やサービスの提供を妨げたり、金融セクターの安定にリスクをもたらしたりするイベントを指します。例としては、コンピューターの障害、分散型サービス拒否攻撃やランサムウェア攻撃などが挙げられます。
既存のガイダンスでは、銀行に対し、顧客の機密データへの不正アクセスがあった場合には「できるだけ早く」主要規制当局に通知するよう指示している。この新しいルールは、「できるだけ早く」の意味を正式に定めたものです。また、顧客データが漏洩していないインシデントを対象とするガイダンスも拡張されました。
この規則では、金融機関はその期間中に何かが起こったことを規制当局に通知するだけでよいと定められている。規制当局への通知の一環として完全な評価または分析は必要なく、36 時間後に実行できます。多くの組織は何が起こっているのかをすぐには把握できない可能性があるため、これは重要な違いです。
銀行は引き続き、事件発見から60日以内に不審行為報告書(SAR)を提出することが義務付けられている。
この規則はもともと 2020 年 12 月に FDIC と OCC によって提案されました。
原文、著者:CNCSO、転載する場合は出典を明記してください:https://cncso.com/jp/bank-of-america-to-report-cyber-attachs.html
