监管机构为银行制定新的网络安全标准

2019-05-22 12:12:12 卓么膝 26

联邦政府最强大的三个金融监管机构将为金融机构提出新的规则,以保护自己免受网络攻击。

联邦存款保险公司(FDIC),美联储和货币监理署(OCC)周三发布了一份关于提高网络安全标准的规则制定通知。

广告

这些规则将涵盖银行,金融机构和附属机构如何制定策略以防止网络攻击,最小化和衡量被黑客入侵和应对攻击的风险。

根据银行或金融机构的规模和突出程度,规则将分为两层。

较低级别,称为“增强标准”,将适用于银行,银行控股公司,贷款控股公司以及拥有超过500亿美元资产的外国银行及其子公司和服务商的美国业务。

该级别还包括任何非银行金融公司和存款机构,资产超过500亿美元,金融市场公用事业和金融市场基础设施。

根据机构官员的说法,监管机构从多德 - 弗兰克金融改革法中获得了500亿美元的门槛,该法律使用该标准来识别具有系统风险的机构。

较高的“行业关键”等级适用于发挥不可替代作用或覆盖主要金融市场重要部分的银行和金融机构。

其中包括联邦基金,外汇,商业票据,美国政府和机构证券以及公司债券和股本证券的“系统”及其子公司“支持清算或结算交易价值的5%”。摘要。 较高层还包括支持交易所交易和场外衍生品交易价值的5%的机构,以及为金融市场提供不可替代服务的机构。

监管机构还可以确定银行或机构对行业至关重要,即使它不属于该层级的规则定义。

受保护的公司不需要向联邦监管机构提交网络攻击计划 - 正如有些公司对金融危机压力测试所做的那样 - 但机构官员表示他们会监督他们的合规情况。

拟议的规则分为五类。 第一部分要求承保的公司制定书面的,董事会批准的风险管理策略,而第二部则要求这些公司“根据实体的风险偏好和容忍度来识别,测量,监控和控制网络风险”,根据摘要。

规则可能要求承保公司建立内部网络风险管理部门,向公司董事会报告。

涵盖的公司还需要衡量其内部资产(如公司硬件和技术以及外部业务关系)带来的网络风险。

最后,被覆盖的公司将被要求制定处理网络攻击的策略。 这包括他们如何继续业务或将业务转移到另一个机构,保护敏感信息并将其存储在线下以及如何测试这些措施。