Онлайн-дискуссия СУИБ – 2020

Учитывая изменения, которые происходят в операционной среде банка, общую неопределенность и вопросы, которые беспокоят специалистов по безопасности, аудита и рисков, обсуждаем текущие вопросы по рискам (ИБ vs СУР), криптографии (банк vs PKI), непрерывности (64 vs SREP) и аудита (SWIFT IAF, операционные изменения и объем аудита). По результатам в процессе дискуссии формируем и согласовываем общее понимание, на что можно опираться при принятии решений.

Ниже приведены примеры вопросов для обсуждения, если у вас есть другие дискуссионные вопросы, для которых требуется опыт коллег, пожалуйста, пишите, примеры будут скорректированы.

Вопросы к обсуждению:

I. Информационные риски.

Входные данные: среда операционных рисков, текущие нормативные определения, перспективы регулирования (с горизонтом и вероятностью), практика оценки, как согласовать с рисками ИБ

  1. Следует ли определять риск-аппетит для информационного риска отдельно в составе операционного?
  2. Учитывать ли риски информационной безопасности (актив-угроза-последствия-вероятность) отдельно от информационных в составе операционных?
  3. Неспособность адаптироваться к технологическим изменениям среды является информационным или стратегическим риском?

II. Криптография.

Входные данные: FATF, eID, PSD2 (платежные услуги), доверительные услуги, законопроекты о критической инфраструктуре, Минцифры, безопасность eID по существу (алгоритмы, носители, уровне, поведение как фактор аутентификации)

  1. Когда и кем должны определяться уровни безопасности для транзакций в продуктах банка?
  2. Каких данных достаточно для поведенческой аутентификации транзакций?
  3. За кем должны быть риски компрометации eID?

III. Непрерывность.

Входные данные: последствия карантина в операционной деятельности, планы восстановления деятельности до декабря, взаимодействие с третьими сторонами в чрезвычайных ситуациях

  1. Увеличилось ли количество операционных событий при переходе на дистанционную работу?
  2. Каким образом убедиться в приоритете ваших инцидентов у поставщика в чрезвычайных ситуациях?
  3. Каким образом связаны ВСP и план восстановления деятельности?

IV. Аудит.

Входные данные: SWIFT CSP v 2019, v 2020, v2021 - где, что, когда. 20.11.2021: ISO 20022, СЭП 4. Принципиальные изменения регулирования - нет безусловных прямых требований. Обоснованная позиция

  1. Включать ли к факторам для определения эффективности ИТ влияние технологий на стратегию?
  2. Кто имеет отслеживать изменения технологических требований МПС, с которыми работает банк?
  3. Чем аудитор может помочь тем, с кем сотрудничает во время аудитов?

Резюме обсуждения

Модератор:

Анастасия Коноплева - CISA, директор ООО «ЮЕЙДЖИ» (непрерывная деятельность с 1999), президент Киевского отделения ISACA 2018-2020, магистр экономики (экономическая кибернетика), опыт аудита и консалтинга с 2005: внедрение и контроль систем управления информационной безопасностью, планов непрерывной деятельности, аудит информационных систем, консультационные проекты по автоматизации процессов, электронного документооборота и архивирования, внедрение систем управления операционными рисками, аудит финансовой отчетности, капитала, кредитных рисков.

 

Вебинар проводится на платформе Zoom (За два дня до начала будет проведено обязательное тестирование подключения к платформе Zoom, а также аудио и видео связи)

Продолжительность дискуссии с 14:00 до 18:00.

Предварительная регистрация обязательна

Узнавайте стоимость и регистрируйтесь для участия по телефонам: (093) 256-16-05, (097) 411-64-40, (097) 174-87-02, (067) 235-09-23

e-mail:   center@nctbpu.org.ua