Эффективная ИТ-инфраструктура современного банка - ориентир на качество бизнес сервисов
Влияние регуляторов на ИТ-инфраструктуру банка...
description
Transcript of Влияние регуляторов на ИТ-инфраструктуру банка...
Влияние регуляторов на ИТ-инфраструктуру банка
Ануфриев Александр: +7 (495) 755-8866: [email protected]
Влияние регуляторов на ИТ в западных странах
- Sarbanes-Oxley Act (SOX);
- Gramm-Leach-Bliley Act (GLBA);
- Health Insurance Portability and Accountability Act (HIPAA);
-European Union Data Protection Directive (EUDPD);
- ……
Общие тенденции достижения и поддержания соответствия требованиям
-Трудоемкие и дорогостоящие проекты по достижению соответствия;
- Необходимость выделенных ресурсов на поддержание соответствия;
- Значительная часть ИТ-составляющей в этих проектах;
- Появления специализированного сегментов рынка ИТ услуг.
Актуальные для ИТ российских банков требования регуляторов на текущий момент и в ближайшей перспективе:
- Стандарт Банка России по ИT-безопасности, СТО БР ИББС-1.0-2006 – рекомендуемый стандарт;
- ФЗ «О персональных данных» (N 152 – ФЗ ) – действующий закон;
- Соглашение Basel II - ожидается актуализация требований с 2009 г.;
- PCI DSS v1.1/1.2 – для ряда российских банков необходимо пройти аудит до 31.12.2008 г. / + использование приложений сертифицированных по PA DSS v1.1 c 2010 г./
Payment Card Industry Data Security Standardwww.pcisecuritystandards.org /Visa, MC, AmEx, Discover, JCB/
Стандарт включает – 6 логических групп, 12 общих требований, 232 процедуры оценки:
- Построение и обслуживание безопасной сети;
- Защита данных держателя карты
- Внедрение программы управления риском;
- Применение надежных мер управления доступом;
- Регулярный мониторинг и тестирование сетей;
- Применение политики информационной безопасности.
Аудит на соответствие PCI DSS
Аудиту подлежат ИТ системы и устройства осуществляющие хранение, обработку и передачу данных платежных карт и, прежде всего, номер карты (PAN)
Сканирование проводят компании, имеющие статус- Approved Scanning Vendors (ASVs) Аудит - Qualified Security Assessors (QSAs). На сегодняшний день, только 3 российских компании имеют статус QSA.
Возможность применения так называемых компенсационных мер для достижения соответствия стандарту.
Риски:
- Необходимость построения/поддержания ИТ инфраструктуры при наличии нескольких требований от разных регуляторов;
- Необходимость применения сертифицированного ПО, как следствие «вынужденные» проекты по смене приложений;
- Недостаточное кол-во российских сертифицированных фирм-аудиторов.