Федеральный совет по проверке финансовых учреждений (FFIEC)

Общие сведения о FFIEC

Федеральный совет по проверке финансовых институтов (FFIEC) является официальным межведомственный орган, который включает в себя пять банковских регуляторов. Эти регуляторы отвечают за экзамены федерального правительства США финансовых учреждений в США. Управление по образованию экспертов FFIEC публикует руководства по ИТ-экзаменам для полевых экспертов из учреждений-членов FFIEC.

Руководство по аудиту ИТ-экспертизы FFIEC содержит рекомендации для экспертов по оценке качества и эффективности программ ИТ-аудита как в финансовых учреждениях, так и в TSP. В нем, в частности, упоминаются отчеты об аттестации SOC 1, SOC 2 и SOC 3 Из Американского института сертифицированных бухгалтеров (AICPA) в качестве примеров независимых отчетов аудита. Однако FFIEC рекомендует финансовым учреждениям не полагаться исключительно на информацию, приведенную в этих отчетах. Вместо этого они также должны использовать процедуры проверки и мониторинга, подробно описанные в руководстве по ИТ-экспертизе FFIEC Outsourcing Technology Services.

Microsoft и FFIEC

Microsoft Azure, Microsoft Power BI и Microsoft Office 365 созданы в соответствии со строгими требованиями к предоставлению облачных служб финансовым учреждениям. Azure предоставляет финансовым учреждениям отчеты об аттестации SOC 1 типа 2, SOC 2 типа 2 и SOC 3 от независимой аудиторской фирмы, чтобы помочь клиентам выполнить свои обязательства по соответствию FFIEC. Например, аттестация SOC 1 типа 2 выполняется в следующих разделах:

  • SSAE No. 18, Стандарты аттестации: уточнение и перекодификация, которая включает в себя раздел 320 AT-C, Отчетность о проверке средств контроля в организации обслуживания, имеющих отношение к внутреннему контролю за финансовой отчетностью субъектов-пользователей (AICPA, профессиональные стандарты).
  • Представление отчетов SOC 1 об анализе средств контроля в обслуживающей организации, актуальных для внутреннего контроля финансовой отчетности организаций-пользователей (руководство AICPA).

Стандарт AICPA SSAE 18 заменил SAS 70. Он подходит для отчетности об элементах управления в служебной организации, которые относятся к внутреннему контролю за финансовой отчетностью сущностей пользователей. Этот официальный аудит финансовые учреждения могут использовать для сторонних проверок поставщиков технологических услуг при выполнении своих собственных обязательств FFIEC по соответствию для активов, развернутых на Azure. Он включает в себя мнение аудитора об эффективности контроля для достижения соответствующих целей контроля в течение указанного периода мониторинга.

Кроме того, Azure имеет средство диагностики облачной безопасности на основе Excel, которое ускоряет оценку рисков, которую финансовое учреждение может захотеть провести относительно Azure служб. Этот инструмент основан на электронной таблице с 19 отдельными доменами, которые определяют требования из соответствующих стандартов и правил, связанных с финансовыми услугами, включая руководства по ИТ-экспертизе FFIEC. Средство оценки рисков предварительно заполнено объяснениями того, как Azure соответствует требованиям, применимым к поставщикам облачных служб, и может помочь клиентам в выполнении их собственных требований соответствия FFIEC.

Клиентам также доступна книга диагностики Azure FFIEC cloud security, которая содержит рекомендации по использованию служб Azure и рекомендации по соответствию клиентам требованиям FFIEC.

Microsoft in-область облачные платформы и службы

  • Azure
  • Microsoft Intune
  • Office 365, Office 365 правительство США
  • Облачная служба Power BI (в виде автономной службы или в составе плана либо набора Office 365)

Azure руководства

Чтобы помочь финансовым учреждениям, подлежащим надзору FFIEC, с внедрением облака, корпорация Майкрософт опубликовала следующие руководящие документы. Эти документы можно скачать из раздела Ресурсы защиты данных на портале управления безопасностью служб — руководства по соответствию требованиям :

Office 365 и FFIEC

Office 365 среды

Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.

В этом разделе рассматриваются следующие Office 365 среды:

  • Клиентское программное обеспечение (клиент). Коммерческое клиентское программное обеспечение, работающее на устройствах пользователей.
  • Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
  • Облако сообщества Office 365 для государственных организаций (GCC). Облачная служба Office 365 GCC доступна для государственных организаций США федерального уровня, уровня штатов, местного и племенного уровня, а также для подрядчиков, хранящих или обрабатывающих данные от имени правительства США.
  • Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
  • Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.

Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.

Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.

Применимость Office 365 и затрагиваемые службы

Чтобы определить применимость изменений к вашим службам и подписке Office 365, воспользуйтесь следующей таблицей.

Применимость Затрагиваемые службы
Коммерческий сектор Azure Information Protection, Bookings, Диспетчер соответствия требованиям, Delve, Exchange Online, Exchange Online Protection, Forms, Microsoft Analytics, Microsoft Booking, Microsoft Defender для Office 365, Microsoft Entra ID, Microsoft Graph, портал Microsoft Purview, Microsoft Teams, Microsoft To-Do для Интернета, MyAnalytics, надстройка Office 365 Advanced Compliance, Office 365 Microsoft Defender for Cloud Apps, группы Office 365, Office Online, Office Pro Plus, OneDrive для бизнеса, Планировщик, Power Apps, Power Automate, Power BI, SharePoint Online, Stream, Sway, Viva Engage
GCC Диспетчер соответствия требованиям, Delve, Exchange Online, Forms, Microsoft Defender для Office 365, Microsoft Entra ID, портал Microsoft Purview, Microsoft Teams, MyAnalytics Office 365 Advanced Compliance надстройка, Office Online, Office Pro Plus, OneDrive для бизнеса, Planner, Power Apps, Power Automate, Power BI, SharePoint Online, Stream

Аудит, отчеты и сертификаты Office 365

См. Office 365 отчеты об аттестации SOC.

Вопросы и ответы

Можно ли использовать соответствие майкрософт стандартам SOC для выполнения обязательств по соответствию FFIEC для моего учреждения?

Чтобы помочь вам выполнить эти обязательства, корпорация Майкрософт предоставляет сведения о соответствии наших стандартов SOC, как описано ранее. Однако вам нужно определить, соответствуют ли наши услуги конкретным законам и нормативным актам, применимым к вашему учреждению. FFIEC также рекомендует, чтобы "пользователи отчетов или проверок аудита не должны полагаться исключительно на информацию, содержащуюся в отчете, для проверки среды внутреннего контроля поставщика служб. Они должны использовать другие процедуры проверки и мониторинга, как описано более подробно в справочнике по технологиям аутсорсинга руководства по ИТ-экспертизе FFIEC".

Использование Диспетчер соответствия требованиям Microsoft Purview для оценки риска

Диспетчер соответствия требованиям Microsoft Purview — это функция на портале Microsoft Purview , которая поможет вам понять состояние соответствия требованиям вашей организации и принять меры для снижения рисков. Диспетчер соответствия требованиям предоставляет премиум-шаблон для оценки этих нормативных требований. Шаблон находится на странице шаблонов оценки в диспетчере соответствия требованиям. См. Создание оценки в диспетчере соответствия требованиям.

Ресурсы

Другие ресурсы Майкрософт для финансовых услуг