什么是ffiec-cat?

在金融服务业的过去几年中,网络安全威胁的数量和复杂性具有显着的升高。

机构已经需要一个可以帮助识别所有不同风险类型以及如何制定为这种不断增长的威胁做好准备的计划的工具。 

最后,已经为这些直觉制定了一种工具,特别是对于信贷工会。联邦金融机构考试理事会(FFIEC)设计并开发了一个叫做的评估工具 FFIEC网络安全评估工具(CAT)

此工具包含安全控制,以确定可能的风险,评估当前计划,并评估对风险的计划。它还定义了适当的控制,以改进和减轻风险,并与机构传达改进的计划。该工具的主要目的是介绍该机构’S管理团队如何维护,也不断提高对网络威胁的整体安全。

 

“FFIEC网络安全评估是每次考试的关键组成部分。审查员期待根据ACET的文档和技术反应。灰烬与FFIEC猫对齐。自动化整个信用汇总的ACET和FFIEC CAT在维护遵守方面一直至关重要。 

在需求变得过于繁重以管理之前,有1B美元或更少需要快速自动化FFIEC的信用工会。成熟度和风险水平有助于正确尺寸,以便有效地管理风险, 自动化一直是关键。“ 拜耳遗产信用社的首席风险官员Lisa Williamson

那么,你可能会问你如何在你的组织内实施FFIEC CAT?好吧,有两个主要部分:  固有风险概况,其中包括风险概况和水平;和 网络安全成熟,这需要不同的域和成熟程度。 

什么是FFIEC:固有的风险配置文件

A.风险配置文件

一种。技术和连接类型
湾交付渠道
C。在线/移动产品和技术服务
天。组织特征
e。外部威胁

技术和连接类型:
  • 此配置文件说明了特定连接基于具有复杂性的特性和连接用于的技术的功能,如何增加比其他连接更高的风险。 
  • 这包括个人设备,无担保连接,互联网服务提供商,网络设备,生命结束系统和云服务的数量。 
  • 此外,系统是否在内部托管或外部描述此配置文件。
交货渠道:
  • 在这里,风险随着交付通道的数量和各种增加而增加。 
  • 如果通过在线和移动交付渠道提供产品/服务,甚至ATM,这就是指定的地方。
在线/移动产品和技术服务:
  • 根据该服务或产品包含的内容,不同的产品和服务具有不同的风险程度。
  • 因此,此类别中有几种支付服务需要考虑信用卡,借记卡,人员付款,批发付款和电汇。 
组织特征:
  • 这考虑了兼并和收购的项目,直接员工,网络安全承包商和具有特权访问的用户的数量。此外,它正在寻找IT人员配置的安全性以及运营/商业和数据中心的不同位置。
外部威胁:
  • 此配置文件涉及对您所在机构的卷,复杂性(复杂性)和类型的威胁攻击类型。

 

B.风险水平

一种。最不固有的风险
湾最小的固有风险
C。适度固有的风险
天。重要的固有风险
e。最固有的风险

最不固有的风险:
  • 这一级别有限使用技术。
  • 没有连接,很少的计算机,少数应用和少数系统。
  • 此外,员工很少,环境很小。 
最小的固有风险:
  • 在这里,与技术相比,复杂性有限。 
  • 危险的技术服务/产品几乎没有各种各样的种类。
  • 大多数关键系统仅供外包。
  • 客户和第三方几乎没有连接类型。
适度固有风险:
  • 这种风险水平的技术的实质和复杂性更加复杂。 
  • 一些关键的系统和应用程序是外包,并且在内部托管某些方面。
  • 通过多样化的频道提供更多样化的产品/服务。
重要的固有风险:
  • 这与范围和复杂程度有复杂的技术。 
  • 在这种风险水平上定义了许多新技术发展。
  • 有大量的个人设备和与客户/第三方的连接。 
  • 此外,还有各种支付服务与高级事务相关联。
最固有的风险:
  • 这具有极其复杂的技术。 
  • 新兴和新开发的技术遍布多个交付渠道。 
  • 大多数关键系统在这种风险级别内部托管。 
  • 此外,大量的连接类型与客户和第三方传输数据。

 什么是FFIEC:网络安全成熟

在固有风险配置文件完成后,CAT的下一部分是为每个域定义成熟度。 FFIEC网络安全成熟度模型共有5个域。

 

5个域名:

在每个域中,存在评估因子,贡献组件和支持该到期级别的每个评估因素的信息。

域名1:网络风险管理和监督

治理

 

  • 这包括监督,策略,政策和IT资产管理。
风险评估
资源
  • 这涉及人员配置,工具,预算和流程,以确保工作人员根据其风险概况具有适当的知识和经验。
培训和文化
  • 这包括员工培训和客户宣传方案,用于威胁缓解。

 

域2:威胁情报和合作

威胁情报

 

  • 这是指获取和分析信息,以评估网络能力以改善决策过程。
监测和分析
  • 这解释了机构如何监视,识别和分析各自的威胁来源的威胁。
信息共享
  • 这包括通过论坛和博客与他人建立与他人的关系,并通过论坛和博客分享知识,以了解如何传达威胁信息。

 

领域3:网络安全控制

预防控制
  • 这些是通过使用基础架构管理,访问管理,端点安全性和安全编码应用来帮助阻止和防止网络攻击的控制。
侦探控制
  • 这包括威胁和漏洞检测,事件检测和启发式行为分析来检测异常。
纠正控制
  • 这些控件用于通过使用漏洞扫描和渗透测试来解决通过补丁管理和修复解决漏洞。

 

域4:外部依赖管理

连接
  • 这将永恒流动的连接和数据的识别,监视和管理纳入第三个(3rd. ) 派对。
关系管理

 

  • 该组件包括尽职调查,合同和持续监控等概念,以确保控制权与与机构的网络安全计划有关的程序一致。

 

领域5:网络事件管理和弹性

事件恢复力规划和战略
  • 这涉及灾难恢复和 业务连续性 计划确保停机最小,服务中断和数据丢失。
检测,响应和缓解
  • 这是指采取的行动,以识别,优先考虑并回应完全缓解的使命。这包括所有外部和内部 威胁和漏洞。
升级和报告
  • 这确保了主要成员,如董事会成员和利益相关者,了解网络事件的影响。

现在已经解释了5个域的概述,让’讨论了在每个域中定义的5个成熟度水平。

5到期水平:

  • 基线
  • 不断发展
  • 中间的
  • 先进的
  • 创新的

 

基线
  • 该成熟度的特点是法律和法规所要求的符合行为驱动物品所要求的最低预期。
不断发展
  • 这包括尚未要求的记录程序和策略。
  • 此外,风险驱动的目标不仅适用于客户数据保护,还可以用于信息系统和资产。
中间的
  • 这是通过详细的,正式流程的特点是,验证控制并保持风险管理实践。
先进的
  • 在高级成熟时,风险管理过程中最常见的是自动化的,包括连续的过程改进。
创新的
  • 创新创始度涉及开发新的控件,新工具或创建新的信息共享组。
  • 此外,该级别包括实时,用于自动响应的预测分析。

 

什么是FFIEC:完成网络安全成熟

  • 每个 域和成熟度 有一套由评估因素组织的声明性陈述。
  • 协助机构遵循成熟程度遵循共同主题的能力,陈述由组件分类。
  • 组件是类似的声明性陈述的组,以使评估更易于使用。

管理团队决定哪些声明陈述最适合该机构的实践。最重要的是,每个成熟度水平和以前的级别的所有陈述陈述, 必须 实现并持续实现域名的成熟程度。管理层甚至可以确定基于经过验证的结果充分持续的声明陈述。

什么是FFIEC:解释和分析网络安全评估

管理层可以审查机构 固有风险概况 与每个域的网络安全成熟度结果相关,以了解它们是否对齐。

一般而言,随着固有的风险升高,机构的到期水平应该增加。机构固有的风险概况和到期水平将随着时间的推移而变化为威胁,漏洞和操作环境。

因此,管理层应考虑定期重新评估其固有的风险概况和网络安全程度,并且当计划的变化可能影响其固有的风险概况。

如果管理层确定机构的到期水平与固有风险概况不合适,管理层应考虑降低固有风险或制定改善成熟度水平的策略。这包括:

✓确定目标成熟度水平
✓进行差距分析
✓优先顺序和规划行动
✓政策管理
✓实施变更
✓随着时间的推移重新评估
✓传达结果

通过在每个域中使用成熟度水平,管理层可以识别将增加其网络安全计划的潜在行动。此外,在更大的规模和大幅度规划中,他们可以审查到期水平的陈述陈述,他们的机构可能达到旨在确定改进和实施更脆弱地区所需的行动。

如果您对如何如何意识和我们的疑问 FFIEC合规软件和工具 可以帮助您的组织,请随时与我们联系请求免费 FFIEC合规咨询 我们的网络安全专家。