Онлайн-дискусія СУІБ-2020

Враховуючи зміни, які відбуваються в операційному середовищі банку, загальну невизначеність, та питання, які турбують фахівців з безпеки, аудиту та ризиків, обговорюємо поточні питання з ризиків (ІБ vs СУР), криптографії (банк vs PKI), безперервності (64 vs SREP) та аудиту (SWIFT IAF, операційні зміни та обсяг аудиту). За результатами в процесі дискусії формуємо та узгоджуємо спільне розуміння, на що можна спиратися при прийнятті рішень. 

Нижче наведені приклади питань для обговорення, якщо у вас є інші дискусійні питання, для яких потрібний досвід колег, будь-ласка, пишіть, приклади будуть скориговані. 

Питання до обговорення:

І. Інформаційні ризики.

Вхідні дані: середовище операційних ризиків, поточні нормативні визначення, перспективи регулювання (з горизонтом та ймовірністю), практика оцінки, як узгодити з ризиками ІБ

  1. Чи варто визначати ризик-апетит для інформаційного ризику окремо в складі операційного?
  2. Чи враховувати ризики інформаційної безпеки (актив-загроза-наслідки-ймовірність) окремо від інформаційних в складі операційних?
  3. Нездатність адаптуватися до технологічних змін середовища є інформаційним або стратегічним ризиком? 

ІІ. Криптографія.

Вхідні дані: FATF, eID, PSD2 (платіжні послуги), довірчі послуги, законопроекти про критичну інфраструктуру, Мінцифри, безпека eID по суті (алгоритми, носії, рівні, поведінка як фактор аутентифікації) 

  1. Коли та ким мають визначатися рівні безпеки для транзакцій в продуктах банку?
  2. Яких даних достатньо для поведінкової аутентифікації транзакцій?
  3. За ким мають бути ризики компрометації eID? 

ІІІ. Безперервність.

Вхідні дані: наслідки карантину в операційній діяльності, плани відновлення діяльності до грудня, взаємодія з третіми сторонами в надзвичайних ситуаціях 

  1. Чи збільшилася кількість операційних подій при переході на дистанційну роботу?
  2. Яким чином переконатися у пріоритеті ваших інцидентів в постачальника в надзвичайних ситуаціях?
  3. Яким чином пов’язані ВСP та план відновлення діяльності?

 ІV. Аудит.

Вхідні дані: SWIFT CSP v 2019, v 2020, v2021 – де, що, коли. 20.11.2021: ISO 20022, СЕП 4. Принципові зміни регулювання – нема безумовних прямих вимог. Обґрунтована позиція 

  1. Чи включати до факторів для визначення ефективності ІТ вплив технологій на стратегію?
  2. Хто має відслідковувати зміни технологічних вимог МПС, з якими працює банк?
  3. Чим аудитор може допомогти тим, з ким співпрацює під час аудитів?

Резюме обговорення

Модератор:

Анастасія Конопльова - CISA, директор ТОВ «ЮЕЙДЖИ» (безперервна діяльність з 1999), Президент Київського відділення ISACA 2018-2020, магістр економіки (економічна кібернетика), досвід аудиту та консалтингу з 2005: впровадження та контроль систем управління інформаційною безпекою, планів безперервної діяльності, аудит інформаційних систем, консультаційні проекти з автоматизації процесів, електронного документообігу та архівації, впровадження систем управління операційними ризиками, аудит фінансової звітності, капіталу, кредитних ризиків.

 

Тривалість дискусії з 14:00 до 18:00.

Проводиться на платформі Zoom (За два дні до початку буде проведено обов'язкове тестування під’єднання до платформи Zoom, а також аудіо і відео зв’язку)

Попередня реєстрація обов’язкова 

Дізнавайтеся вартість участі та реєструйтесь за телефонами: (093) 256-16-05, (097) 411-64-40, (097) 174-87-02, (067) 235-09-23

e-mail:   center@nctbpu.org.ua