Влияние регуляторов на ИТ-инфраструктуру банка

Ануфриев Александр: +7 (495) 755-8866: Anufriev.AB@rbr.ru

Влияние регуляторов на ИТ в западных странах

- Sarbanes-Oxley Act (SOX);

- Gramm-Leach-Bliley Act (GLBA);

- Health Insurance Portability and Accountability Act (HIPAA);

-European Union Data Protection Directive (EUDPD);

- ……

Общие тенденции достижения и поддержания соответствия требованиям

-Трудоемкие и дорогостоящие проекты по достижению соответствия;

- Необходимость выделенных ресурсов на поддержание соответствия;

- Значительная часть ИТ-составляющей в этих проектах;

- Появления специализированного сегментов рынка ИТ услуг.

Актуальные для ИТ российских  банков требования регуляторов на текущий момент и в  ближайшей перспективе:

- Стандарт Банка России по ИT-безопасности, СТО БР ИББС-1.0-2006 – рекомендуемый стандарт;

- ФЗ «О персональных данных» (N 152 – ФЗ ) – действующий закон;

- Соглашение Basel II - ожидается актуализация требований с 2009 г.;

- PCI DSS v1.1/1.2 – для ряда российских банков необходимо пройти аудит до 31.12.2008 г. / + использование приложений сертифицированных по PA DSS v1.1 c 2010 г./

Payment Card Industry Data Security Standardwww.pcisecuritystandards.org /Visa, MC, AmEx, Discover, JCB/

Стандарт включает – 6 логических групп, 12 общих требований, 232 процедуры оценки:

- Построение и обслуживание безопасной сети;

- Защита данных держателя карты

- Внедрение программы управления риском;

- Применение надежных мер управления доступом;

- Регулярный мониторинг и тестирование сетей;

- Применение политики информационной безопасности.

Аудит на соответствие PCI DSS

Аудиту подлежат ИТ системы и устройства осуществляющие хранение, обработку и передачу данных платежных карт и, прежде всего, номер карты (PAN)

Сканирование проводят компании, имеющие статус- Approved Scanning Vendors (ASVs) Аудит - Qualified Security Assessors (QSAs). На сегодняшний день, только 3 российских компании имеют статус QSA.

Возможность применения так называемых компенсационных мер для достижения соответствия стандарту.

Риски:

- Необходимость построения/поддержания ИТ инфраструктуры при наличии нескольких требований от разных регуляторов;

- Необходимость применения сертифицированного ПО, как следствие «вынужденные» проекты по смене приложений;

- Недостаточное кол-во российских сертифицированных фирм-аудиторов.