1 / 8

Влияние регуляторов на ИТ-инфраструктуру банка Ануфриев Александр : +7 (495) 755-8866

Влияние регуляторов на ИТ-инфраструктуру банка Ануфриев Александр : +7 (495) 755-8866 : Anufriev.AB@rbr.ru. Влияние регуляторов на ИТ в западных странах Sarbanes-Oxley Act (SOX) ; Gramm-Leach-Bliley Act (GLBA) ; Health Insurance Portability and Accountability Act (HIPAA) ;

ull
Download Presentation

Влияние регуляторов на ИТ-инфраструктуру банка Ануфриев Александр : +7 (495) 755-8866

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Влияние регуляторов на ИТ-инфраструктуру банка Ануфриев Александр : +7 (495) 755-8866 : Anufriev.AB@rbr.ru

  2. Влияние регуляторов на ИТ в западных странах • Sarbanes-Oxley Act (SOX); • Gramm-Leach-Bliley Act (GLBA); • Health Insurance Portability and Accountability Act (HIPAA); • European Union Data Protection Directive (EUDPD); • - ……

  3. Общие тенденции достижения и поддержания соответствия требованиям • Трудоемкие и дорогостоящие проекты по достижению соответствия; • Необходимость выделенных ресурсов на поддержание соответствия; • Значительная часть ИТ-составляющей в этих проектах; • Появления специализированного сегментов рынка ИТ услуг.

  4. Актуальные для ИТ российских  банков требования регуляторов на текущий момент и в  ближайшей перспективе: • Стандарт Банка России по ИT-безопасности, СТО БР ИББС-1.0-2006 – рекомендуемый стандарт; • ФЗ «О персональных данных» (N 152 – ФЗ ) – действующий закон; • Соглашение Basel II - ожидается актуализация требований с 2009 г.; • PCI DSSv1.1/1.2 – для ряда российских банков необходимо пройти аудит до 31.12.2008 г. /+ использование приложений сертифицированных по PA DSS v1.1 c 2010 г./

  5. Payment Card Industry Data Security Standardwww.pcisecuritystandards.org /Visa, MC, AmEx, Discover, JCB/ • Стандарт включает – 6 логических групп, 12 общих требований, 232 процедуры оценки: • Построение и обслуживание безопасной сети; • Защита данных держателя карты • Внедрение программы управления риском; • Применение надежных мер управления доступом; • Регулярный мониторинг и тестирование сетей; • Применение политики информационной безопасности.

  6. Аудит на соответствие PCI DSS Аудиту подлежат ИТ системы и устройства осуществляющие хранение, обработку и передачу данных платежных карт и, прежде всего, номер карты (PAN) Сканирование проводят компании, имеющие статус- Approved Scanning Vendors (ASVs) Аудит -Qualified Security Assessors (QSAs). На сегодняшний день, только 3 российских компании имеют статус QSA. Возможность применения так называемых компенсационных мер для достижения соответствия стандарту.

  7. Риски: • Необходимость построения/поддержания ИТ инфраструктуры при наличии нескольких требований от разных регуляторов; • Необходимость применения сертифицированного ПО, как следствие «вынужденные» проекты по смене приложений; • Недостаточное кол-во российских сертифицированных фирм-аудиторов.

More Related