Федеральный совет по проверке финансовых учреждений (FFIEC)

  • Статья

Общие сведения о FFIEC

Федеральный совет по проверке финансовых институтов (FFIEC) является официальным межведомственный орган, состоящий из пяти банковских регуляторов, которые отвечают за федеральные государственные экзамены США финансовых учреждений в США. Управление по образованию экспертов FFIEC публикует руководства по ИТ-экзаменам, предназначенные для выездных экспертов из учреждений-членов FFIEC.

Руководство по аудиту ИТ-экспертизы FFIEC содержит рекомендации для этих экспертов по оценке качества и эффективности программ аудита ИТ как финансовых учреждений, так и TSP. В частности, он включает упоминание отчетов об аттестации SOC 1, SOC 2 и SOC 3 Американского института сертифицированных государственных бухгалтеров (AICPA) в качестве примеров независимых отчетов аудита. Однако FFIEC рекомендует финансовым учреждениям не полагаться исключительно на информацию, содержащуюся в этих отчетах, но также использовать процедуры проверки и мониторинга, подробно описанные в руководстве по ит-экспертизе FFIEC Outsourcing Technology Services.

Microsoft и FFIEC

Microsoft Azure, Microsoft Power BI и Microsoft Office 365 созданы в соответствии со строгими требованиями предоставления облачных служб для финансовых учреждений. Azure предоставляет финансовым учреждениям отчеты об аттестации SOC 1 типа 2, SOC 2 типа 2 и SOC 3, подготовленные независимой аудиторской фирмой, чтобы помочь клиентам выполнить свои обязательства по соответствию требованиям FFIEC. Например, аттестация SOC 1 типа 2 выполняется в следующих разделах:

  • SSAE No. 18, Стандарты аттестации: уточнение и перекодификация, которая включает в себя раздел 320 AT-C, Отчетность о проверке средств контроля в организации обслуживания, имеющих отношение к внутреннему контролю за финансовой отчетностью субъектов-пользователей (AICPA, профессиональные стандарты).
  • Представление отчетов SOC 1 об анализе средств контроля в обслуживающей организации, актуальных для внутреннего контроля финансовой отчетности организаций-пользователей (руководство AICPA).

Стандарт AICPA SSAE 18 заменил SAS 70, и он подходит для отчетности об элементах управления в организации обслуживания, относящихся к внутреннему контролю за финансовой отчетностью сущностей пользователей. Это официальный аудит, который финансовые учреждения могут использовать для сторонних проверок поставщиков технологических услуг при выполнении своих собственных обязательств FFIEC по соответствию для активов, развернутых в Azure. Он включает в себя мнение аудитора об эффективности контроля для достижения соответствующих целей контроля в течение указанного периода мониторинга.

Кроме того, Azure разработала средство диагностики облачной безопасности на основе Excel, предназначенное для ускорения оценки рисков, которую финансовое учреждение может захотеть провести относительно служб Azure. Этот инструмент основан на электронной таблице с 19 отдельными доменами, в которых определены требования, изложенные в соответствующих стандартах и правилах, связанных с финансовыми услугами, включая руководства по ИТ-экспертизе FFIEC. Средство оценки рисков предварительно заполнено объяснениями того, как Azure соответствует требованиям, применимым к поставщикам облачных служб, и может помочь клиентам в выполнении их собственных требований соответствия FFIEC.

Клиентам также доступна книга диагностики облачной безопасности Azure FFIEC, которая содержит рекомендации по использованию служб Azure и рекомендации по соответствию клиентам требованиям FFIEC.

Затрагиваемые облачные платформы и службы Майкрософт

  • Azure
  • Intune
  • Office 365, Office 365 правительство США
  • Облачная служба Power BI (в виде автономной службы или в составе плана либо набора Office 365)

Документы с рекомендациями по Azure

Чтобы помочь финансовым учреждениям, которые подлежат надзору FFIEC с внедрением облака, корпорация Майкрософт опубликовала следующие руководящие документы, которые можно скачать из раздела Ресурсы по защите данных на портале доверия служб — руководства по соответствию :

  • Azure — средство диагностики облачной безопасности
  • Azure — компаньон книги диагностики облачной безопасности FFIEC

Office 365 и FFIEC

Office 365 среды

Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.

В этом разделе рассматриваются следующие Office 365 среды:

  • Клиентское программное обеспечение (клиент). Коммерческое клиентское программное обеспечение, работающее на устройствах пользователей.
  • Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
  • Облако сообщества Office 365 для государственных организаций (GCC). Облачная служба Office 365 GCC доступна для государственных организаций США федерального уровня, уровня штатов, местного и племенного уровня, а также для подрядчиков, хранящих или обрабатывающих данные от имени правительства США.
  • Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
  • Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.

Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.

Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.

Применимость Office 365 и затрагиваемые службы

Чтобы определить применимость изменений к вашим службам и подписке Office 365, воспользуйтесь следующей таблицей.

Применимость Затрагиваемые службы
Коммерческий сектор Microsoft Entra ID, Azure Information Protection, Bookings, диспетчер соответствия требованиям, Delve, Exchange Online, Exchange Online Protection, Forms, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Defender для Office 365, Microsoft Graph, Microsoft Teams, Microsoft To-Do для Интернета, MyAnalytics, надстройка Office 365 Advanced Compliance, Office 365 Cloud App Security, группы Office 365, Office 365 Центр соответствия требованиям безопасности &, Office Online, Office Pro Plus, OneDrive для бизнеса, Планировщик, PowerApps, Power Automate, Power BI, SharePoint Online, Skype для бизнеса, StaffHub, Stream, Sway, Viva Engage
GCC Microsoft Entra ID, диспетчер соответствия требованиям, Delve, Exchange Online, Forms, Microsoft Defender для Office 365, Microsoft Teams, MyAnalytics, надстройка Office 365 Advanced Compliance, Office 365 Центр соответствия требованиям безопасности &, Office Online, Office Pro Plus, OneDrive для бизнеса, Планировщик, PowerApps, Power Automate, Power BI, SharePoint Online, Skype для бизнеса, Stream

Аудит, отчеты и сертификаты Office 365

См. Office 365 отчеты об аттестации SOC.

Вопросы и ответы

Можно ли использовать соответствие майкрософт стандартам SOC для выполнения обязательств по соответствию FFIEC для моего учреждения?

Чтобы помочь вам выполнить эти обязательства, корпорация Майкрософт предоставляет сведения о соответствии наших стандартов SOC, как описано ранее. Однако, в конечном счете, вы сами должны определить, соответствуют ли наши услуги конкретным законам и нормативным актам, применимым к вашему учреждению. FFIEC также рекомендует, чтобы "пользователи отчетов или проверок аудита не должны полагаться исключительно на информацию, содержащуюся в отчете, для проверки среды внутреннего контроля поставщика служб. Они должны использовать другие процедуры проверки и мониторинга, как описано более подробно в брошюре по технологиям аутсорсинга руководства по ИТ-экспертизе FFIEC.

Использование Microsoft Purview Compliance Manager для оценки риска

Microsoft Purview Compliance Manager — это функция в Портал соответствия требованиям Microsoft Purview, которая помогает понять состояние соответствия требованиям вашей организации и принять меры для снижения рисков. Диспетчер соответствия требованиям предоставляет премиум-шаблон для оценки этих нормативных требований. Шаблон находится на странице шаблонов оценки в диспетчере соответствия требованиям. См. Создание оценки в диспетчере соответствия требованиям.

Ресурсы

Другие ресурсы Майкрософт для финансовых услуг