امنیت اطلاعات: انتظارات برای محافظت از اطلاعات غیر عمومی OCC در مورد سازمان ها یا سایر خدمات کنفرانس ویدئویی از راه دور غیرمالکی یا مدیریت شده

OCC بولتن 2022-21| 7 سپتامبر 2022

به من

مدیران عامل تمام بانک های ملی، انجمن های پس انداز فدرال، و شعب و آژانس های فدرال؛ روسای ادارات و ادارات. کلیه کارکنان معاینه و سایر علاقمندان

خلاصه

دفتر کنترل ارز (OCC) این دفترچه را صادر می کند تا انتظارات OCC را برای محافظت از اطلاعات OCC غیرعمومی، همانطور که در 12 CFR 4.32(b)(1) تعریف شده است، که در سرویس های کنفرانس ویدئویی اجرا یا اجرا شده به اشتراک گذاشته شده است، صادر می کند. توسط یک شرکت1 یا هر حزب دیگری خدمات کنفرانس ویدیویی از راه دور (VTC) قابلیت‌های همکاری را ارائه می‌دهد که امکان برقراری ارتباط از طریق متن، صدا و ویدیو را فراهم می‌کند که از اینترنت پشتیبانی می‌کند و می‌تواند امکان اشتراک‌گذاری فایل‌ها و سایر محتواها را فراهم کند. خدمات VTC یک عامل کلیدی برای فعالیت های نظارتی OCC است. این بولتن مقررات امنیتی طراحی شده برای محافظت از اطلاعات OCC غیرعمومی در برابر افشا را شرح می دهد که باید برای کارکنان OCC برای پیوستن به جلسات میزبانی شده توسط سازمان – یا سایر سرویس های مدیریت شده یا غیر OCC VTC که انتظار می رود چنین اطلاعاتی در آنها مخابره شود، اعمال شود. .

توجه به بانک های جامعه

این دفترچه برای بانک های محلی اعمال می شود.

نکات برجسته

این جزوه توضیح می دهد

  • الزامات قانونی برای محافظت از اطلاعات غیر عمومی OCC.
  • چگونه می توان خدمات VTC را برای جلوگیری از افشای اطلاعات غیر عمومی OCC ایمن کرد.
  • انواع اطلاعات OCC غیر عمومی تحت تأثیر این بولتن.
  • الزامات OCC برای محافظت از اطلاعات غیر عمومی OCC.

الزامات قانونی برای محافظت از اطلاعات غیر عمومی OCC

OCC با قانون نوسازی امنیت اطلاعات فدرال (FISMA) در سال 2014 مطابق اصلاح شده و تمام نسخه های مربوطه دفتر مدیریت و بودجه و آژانس امنیت سایبری و امنیت زیرساخت وزارت امنیت داخلی ایالات متحده برای محافظت از محرمانه بودن، یکپارچگی و در دسترس بودن اطلاعات آن OCC کنترل‌های امنیتی و حریم خصوصی را اعمال می‌کند که مطابق با استانداردهای مؤسسه ملی استانداردها و فناوری است یا از آن فراتر می‌رود تا از اطلاعات غیر عمومی و سیستم‌های فناوری اطلاعات OCC در برابر از دست دادن یا به خطر افتادن محافظت کند.

بانک‌ها و سایر طرف‌هایی که اطلاعات OCC غیرعمومی دارند طبق مقررات از افشای چنین اطلاعاتی بدون رضایت قبلی OCC منع می‌شوند، مگر در شرایط بسیار محدود (به 12 CFR 4.36(d) و 4.37(b) مراجعه کنید). این ممنوعیت به افشای اطلاعات OCC نمایش داده شده، پردازش، ذخیره یا منتقل شده توسط شرکت – یا سایر سیستم های اطلاعاتی غیر OCC، از جمله خدمات VTC، گسترش می یابد.

انتظارات امنیتی برای خدمات VTC که توسط OCC اداره یا مدیریت نمی شوند

حفاظت از اطلاعات غیر عمومی در طول جلسات میزبانی شده در خدمات VTC شامل مجموعه ای از کنترل های مبتنی بر فناوری و رفتاری برای ارتباطات ایمن، کنترل دسترسی، امنیت داده ها و سلامت الکترونیک است. خدمات VTC OCC الزامات آژانس برای محافظت از اطلاعات غیر عمومی OCC را برآورده می کند. کارمندان OCC تنها در صورتی می توانند به جلساتی که توسط سازمان میزبانی می شود – یا سایر خدمات VTC غیر OCC ملحق شوند که مفاد امنیتی زیر برای جلوگیری از افشای اطلاعات OCC غیرعمومی ارسال شده در تنظیم جلسه وجود داشته باشد:

ارتباط امن: سرویس VTC از یک ارتباط رمزگذاری شده پشتیبانی می کند که از محرمانه بودن انتقال با استفاده از دستگاه های نقطه پایانی مورد استفاده برای دسترسی به سرویس محافظت می کند.

مجوز کنترل دسترسی: VTC. خدمات

  • امکان ایجاد جلسات تعدیل شده را فراهم می کند و از کنترل های دسترسی مانند اتاق های انتظار یا ویژگی های “قفل کردن و حذف شرکت کنندگان” استفاده می کند تا اطمینان حاصل شود که فقط شرکت کنندگان دعوت شده می توانند به جلسه بپیوندند.
  • ارتباطات بین شرکت کنندگان در یک جلسه را رمزگذاری می کند.

امنیت داده ها: هیچ ضبط یا رونوشتی برای جلسه ای که در سرویس VTC میزبانی می شود و در آن کارمندان OCC اطلاعات OCC غیر عمومی را گزارش می دهند، انجام نمی شود. عملکرد ضبط صفحه غیرفعال یا استفاده از آن در جلساتی که اطلاعات OCC غیر عمومی منتقل می شود، ممنوع است.

بهداشت الکترونیکی: سرویس VTC برای محافظت در برابر نفوذ سایبری و از دست دادن یا به خطر افتادن داده ها به طور ایمن پیکربندی شده و به طور معمول وصله شده است.

انواع اطلاعات OCC غیر عمومی

اطلاعات غیر عمومی OCC دارایی OCC است (به 12 CFR 4.32 (b) (2) مراجعه کنید) و شامل موارد زیر است:

  • گزارش های معاینه OCC، از جمله رتبه بندی هایی مانند CAMELS و سیستم رتبه بندی استاندارد برای رتبه بندی فناوری اطلاعات.2
  • مکاتبات نظارتی
  • پاسخ های موسسه به ارتباطات نظارتی
  • پرونده های تحقیق
  • برخی اطلاعات مرتبط با اجرا، از جمله مواردی که نیاز به توجه دارند.
  • اطلاعات خصوصی یا محرمانه ای که توسط OCC در ارتباط با انجام مسئولیت های آن توسط OCC، از جمله در حین انجام فعالیت های نظارتی آژانس به دست آمده است.
  • سایر سوابق OCC ایجاد یا به دست آمده در ارتباط با نظارت، صدور مجوز، مقررات یا بررسی OCC که طبق قانون آزادی اطلاعات، 5 USC 552 در دسترس قرار نگرفته اند، یا OCC هنوز منتشر نکرده یا در دسترس عموم قرار نداده است. 12 USC 1818 (u). (12 CFR 4.32 (b) (1) را ببینید).

دستورالعمل های OCC برای امنیت اطلاعات داخلی و حفاظت الکترونیکی

برای حمایت از اطلاعات و اهداف امنیت سایبری OCC، OCC راهنمایی های زیر را به کارکنان خود برای شرکت در این جلسات که در خدمات VTC که توسط OCC اداره یا مدیریت نمی شوند:

  • فقط با استفاده از تجهیزات فناوری اطلاعات (IT) صادر شده توسط OCC به سرویس دسترسی پیدا کنید و بررسی کنید که دستگاه قبل از دسترسی به سرویس، آخرین به‌روزرسانی‌های امنیتی روی آن اعمال شده است.
  • فقط به آن دسته از جلسات یا تنظیمات همکاری بپیوندید که شرکت در آنها مجاز است و اطمینان حاصل کنید که فقط پرسنل مورد تایید OCC، از جمله کارمندان یک آژانس نظارتی فدرال یا ایالتی که در فعالیت غربالگری مشترک تحت رهبری OCC شرکت می کنند، به جلسه یا محیط همکاری می پیوندند.
  • فقط اطلاعات OCC را به اشتراک بگذارید که برای اهداف OCC مورد نیاز است و شما مجاز به برقراری ارتباط در یک جلسه یا سایر تنظیمات همکاری میزبانی شده در سرویس هستید.
  • هرگونه مطالب درخواستی را از قبل از طریق کانال های رمزگذاری شده تایید شده ارسال کنید، به عنوان مثال، ایمیل رمزگذاری شده OCC یا برقراری ارتباط و تأیید امنیت لایه حمل و نقل (TLS).
  • از هیچ گونه ویژگی چت VTC یا آپلود فایل برای انتقال اطلاعات OCC غیرعمومی استفاده نکنید، هیچ فایلی را که در جلسه یا راه اندازی همکاری به اشتراک گذاشته شده است دانلود نکنید و هیچ فایلی را برای شرکت در تنظیم جلسه آپلود نکنید.
  • از دستگاهی که OCC صادر کرده و برای دسترسی به سرویس استفاده می‌شود، درخواست یا اجازه کنترل ارائه را ندهید.
  • از ضبط یا کپی به هیچ طریق دیگری، از جمله از طریق تصویربرداری از صفحه، هر بخشی از جلسه میزبانی شده در سرویس VTC خودداری کنید.

OCC ممکن است برای ایجاد شرایط خاص برای امنیت اطلاعات و حفاظت الکترونیکی، در صورت لزوم، تفاهم نامه هایی با سازمان های فردی یا سایر طرف ها منعقد کند.

اطلاعات بیشتر

سوالات مربوط به این جزوه باید به دفتر نظارت OCC شما ارسال شود.

مارگارت شری
معاون ارشد کنترل مالی سرپرست امور اداری / مدیر مالی

لینک مرتبط

  • بولتن OCC 2019-15، «رتبه‌های نظارتی و سایر اطلاعات غیر عمومی OCC: بیانیه‌ای درباره محرمانه بودن»

Olive Herman

سفر نینجا. زامبی نرد. متخصص فرهنگ پاپ معتاد آبجو ماون وب کارشناس مغرور غذا تنظیم کننده. دردسر ساز. خالق مشتاق

مطالب مرتبط:

IND در مقابل SA 2nd ODI: شریاس آییر در قرن حاضر با شکست هند آفریقای جنوبی با هفت ویکت

(ویدئو) اسکناس های افغانستان در حال فروپاشی و اقتصاد آن در حال فروپاشی است

آموزش؛ آلفا قنطورس – تلسکوپ مخصوص یافتن سیارات شبیه زمین در زومیت

تماس با ما