SlideShare a Scribd company logo

Third parties of open banking

A
Anastasiia Konoplova

Experience and best practices regarding security of third parties - arrchitecture, management, and technical aspects

Economy & Finance
1 of 7
Download to read offline
Треті сторони відкритого банкінга: досвід, кращі практики, безпека Анастасія Конопльова, CISA, директор ТОВ «ЮЕЙДЖИ» (1999, 30+ банків як 3 та 4 сторона, х·103 сторін бачено), Президент ISACA Київ (2018-2020) The too-perfect security of the Upper-worlders had led them to a slow movement of degeneration, to a general dwindling in size, strength, and intelligence. The Time Machine (Heinemann text) (1895) by H. G. Wells, Chapter IV
Банки, треті сторони, безпека, Україна - резюме Проблеми замовника [в безпеці] третьою стороною не вирішуються, третя сторона працює виключно в рамках [оплаченого] завдання Замовники мають у третіх сторін репутацію Третя сторона виставляє пріоритети замовникам. Ви впевнені, що у вас перший? Треті сторони спілкуються між собою Треті сторони включають досвід в портфоліо і мають його підтверджувати для інших замовників Треті сторони публічні, і досвідом діляться зі спільнотою SIEM IDM Сканер вразливостей IPS PaaS Mobile app IT-підтримка Пентест Аудити … Wordpress CloudFlare Zoom Google Oracle Huawei Cisco … Профікс MEDOC Liga Youcontrol Вчасно … Юристи Аудитори SMM call-centers BI … Конфіденційності нема Цілісність поза контролем замовника Доступність=ціна НБУ НКЦПФР ФГВФО БКІ ДПСУ … МПС Банки-кореспонденти ФК Страхові … Треті сторони в банках:З боку третьої сторони: Треба будувати довіру. Щоденно. В кожній взаємодії. І все буде добре. 08.10.2020 For community, non-commercial use
Учасники рішень: сторони 1, 2, 3, 4, +++ Клієнти Банк-замовник Власники/група Регулятор Співробітники Договір Підрядник Партнери Субпідрядники Платформи Співробітники Власники Сторона 2 Сторона 1 Сторона 3 Сторона 4 Сторона 5 Сторона 4 ЦКУ, та/або право іншої юрисдикції Держава Партнери 08.10.2020 For community, non-commercial use
Управлінське: суб’єктність сторін договору Спроможність замовника-банка • Проєктна команда, яка забезпечує узгодженість з операційною діяльністю, і має знання та навички для цього • Вміння визначити завдання • Резерви під помилки в рішеннях • Фінансовий стан • Інформоване прийняття рішень тими, хто платить Спроможність підрядника (сторони договору) • Виконавці (не ті, хто продає, а ті, хто робити буде) • Відповідальна особа, власники та зв’язки – до кого претензії • Статутний капітал • Залежність від зовнішніх сторін та її юридичне оформлення (за високого ризику) • Джерела існування підрядника (власники, інші клієнти, треті особи) (в горизонті договору, включаючи підтримку) Договір виконується, якщо З ОБОХ СТОРІН є: • Спроможність – наявність навичок, досвіду та ресурсів; репутація • Відповідальність – чи буде зроблено, про що домовились так, як домовились, і що буде, якщо не буде зроблено • Впевненість – чим і ким компенсується невизначеність в договорі monobank, koto, izibank, Універсал, ТАС…етика 08.10.2020 For community, non-commercial use
Організаційне: сортувати сторони за ризиками https://www.isaca.org/resources/isaca-journal/issues/2019/volume-5/ensuring-vendor-compliance-and-thirdparty-risk-mitigation Наприклад: 08.10.2020 For community, non-commercial use Перелік третіх сторін (з умовами використання) Перелік послуг третіх сторін, від яких залежить операційна діяльність банку в цілому Порогові значення для поетапного впровадження заходів контролю, визначені з урахуванням нормативних вимог та ресурсів на компенсацію помилок в рішеннях Для застосування підходу потрібні:
Технічне: безпека підключення третіх сторін • персоніфіковані облікові записи, з налаштуваннями відповідно до строків надання послуг. Не забувати блокувати/видаляти. Якщо підключаємо до систем • деперсоналізація, де можливо Якщо передаємо дані • сервісні облікові під персональний контроль, • цілісність даних при передачі, • аутентифікація з’єднань Якщо інтегруємося Рекомендації вендора з безпеки Сценарії моніторинга облікових записів, з’єднань з серверами, мережевого трафіку 08.10.2020 For community, non-commercial use
Кращі практики щодо третіх сторін, вибране Три рівні впевненості в продуктах і сервісах, законодавство ЄС • Cybersecurity act Практики забезпечення кіберзрілості, закупівлі ЗС США • CMMC https://www.acq.osd.mil/cmmc/draft.html Про що себе спитати стосовно підрядників • https://www.isaca.org/-/media/files/isacadp/project/isaca/conferences/2020-na- cacs/nacacs-2020-key-takeaways_0720.pdf Про критерії ризиків третіх сторін, наприклад • https://www.isaca.org/bookstore/bookstore-wht_papers-digital/whpmcr Про безперервність третіх сторін, 2020 • https://www.isaca.org/bookstore/bookstore-wht_papers-digital/whpbsc Процес управління третіми стронами, метрики та залежності • COBIT® 2019 Загальні принципи: Цілі корпоративного та операційного управління, АРО09, АРО 10 https://www.isaca.org/…/bookstore-cobit_19-digital/wcb19fgmu 08.10.2020 For community, non-commercial use

Recommended

Resilience_Q12022.pdf
Resilience_Q12022.pdfResilience_Q12022.pdf
Resilience_Q12022.pdfAnastasiia Konoplova
 
Shaping future of internal audit with IT
Shaping future of internal audit with ITShaping future of internal audit with IT
Shaping future of internal audit with ITAnastasiia Konoplova
 
Критерії аудиту плана відновлення банка
Критерії аудиту плана відновлення банкаКритерії аудиту плана відновлення банка
Критерії аудиту плана відновлення банкаAnastasiia Konoplova
 
IoT security Q3 2020 overview
IoT security Q3 2020 overview IoT security Q3 2020 overview
IoT security Q3 2020 overview Anastasiia Konoplova
 
WEF resilience framework for complex organisations
WEF resilience framework for complex organisationsWEF resilience framework for complex organisations
WEF resilience framework for complex organisationsAnastasiia Konoplova
 
Risk management associations review
Risk management associations reviewRisk management associations review
Risk management associations reviewAnastasiia Konoplova
 
IS Risk Governance&Management
IS Risk Governance&ManagementIS Risk Governance&Management
IS Risk Governance&ManagementAnastasiia Konoplova
 
Cloud taxonomy and best practices - ISACA Kyiv event, 05.11.2019
Cloud taxonomy and best practices - ISACA Kyiv event, 05.11.2019 Cloud taxonomy and best practices - ISACA Kyiv event, 05.11.2019
Cloud taxonomy and best practices - ISACA Kyiv event, 05.11.2019 Anastasiia Konoplova
 

Recommended

Resilience_Q12022.pdf
Resilience_Q12022.pdfResilience_Q12022.pdf
Resilience_Q12022.pdfAnastasiia Konoplova
 
Shaping future of internal audit with IT
Shaping future of internal audit with ITShaping future of internal audit with IT
Shaping future of internal audit with ITAnastasiia Konoplova
 
Критерії аудиту плана відновлення банка
Критерії аудиту плана відновлення банкаКритерії аудиту плана відновлення банка
Критерії аудиту плана відновлення банкаAnastasiia Konoplova
 
IoT security Q3 2020 overview
IoT security Q3 2020 overview IoT security Q3 2020 overview
IoT security Q3 2020 overview Anastasiia Konoplova
 
WEF resilience framework for complex organisations
WEF resilience framework for complex organisationsWEF resilience framework for complex organisations
WEF resilience framework for complex organisationsAnastasiia Konoplova
 
Risk management associations review
Risk management associations reviewRisk management associations review
Risk management associations reviewAnastasiia Konoplova
 
IS Risk Governance&Management
IS Risk Governance&ManagementIS Risk Governance&Management
IS Risk Governance&ManagementAnastasiia Konoplova
 
Cloud taxonomy and best practices - ISACA Kyiv event, 05.11.2019
Cloud taxonomy and best practices - ISACA Kyiv event, 05.11.2019 Cloud taxonomy and best practices - ISACA Kyiv event, 05.11.2019
Cloud taxonomy and best practices - ISACA Kyiv event, 05.11.2019 Anastasiia Konoplova
 
GDPR enforcement 10.10.2019
GDPR enforcement 10.10.2019GDPR enforcement 10.10.2019
GDPR enforcement 10.10.2019Anastasiia Konoplova
 
An argument for budget acceptance:ROSI and how to calculate it
An argument for budget acceptance:ROSI and how to calculate itAn argument for budget acceptance:ROSI and how to calculate it
An argument for budget acceptance:ROSI and how to calculate itAnastasiia Konoplova
 
Cybersec requirements implementation by OKI (KMU 518)
Cybersec requirements implementation by OKI (KMU 518)Cybersec requirements implementation by OKI (KMU 518)
Cybersec requirements implementation by OKI (KMU 518)Anastasiia Konoplova
 
NIST Cloud computing taxonomy - UA translation by ISACA KYIV
NIST Cloud computing taxonomy - UA translation by ISACA KYIVNIST Cloud computing taxonomy - UA translation by ISACA KYIV
NIST Cloud computing taxonomy - UA translation by ISACA KYIVAnastasiia Konoplova
 
ISMS compliance in Ukrainian banks in 2018 - links
ISMS compliance in Ukrainian banks in 2018 - linksISMS compliance in Ukrainian banks in 2018 - links
ISMS compliance in Ukrainian banks in 2018 - linksAnastasiia Konoplova
 
Обговорення GDPR
Обговорення GDPRОбговорення GDPR
Обговорення GDPRAnastasiia Konoplova
 
GDPR - переклад українською від ISACA Kyiv Chapter
GDPR - переклад українською від ISACA Kyiv ChapterGDPR - переклад українською від ISACA Kyiv Chapter
GDPR - переклад українською від ISACA Kyiv ChapterAnastasiia Konoplova
 
18.05.2017 ISMS - Iryna Ivchenko
18.05.2017 ISMS - Iryna Ivchenko18.05.2017 ISMS - Iryna Ivchenko
18.05.2017 ISMS - Iryna IvchenkoAnastasiia Konoplova
 

More Related Content

More from Anastasiia Konoplova

An argument for budget acceptance:ROSI and how to calculate it
An argument for budget acceptance:ROSI and how to calculate itAn argument for budget acceptance:ROSI and how to calculate it
An argument for budget acceptance:ROSI and how to calculate itAnastasiia Konoplova
 
Cybersec requirements implementation by OKI (KMU 518)
Cybersec requirements implementation by OKI (KMU 518)Cybersec requirements implementation by OKI (KMU 518)
Cybersec requirements implementation by OKI (KMU 518)Anastasiia Konoplova
 
NIST Cloud computing taxonomy - UA translation by ISACA KYIV
NIST Cloud computing taxonomy - UA translation by ISACA KYIVNIST Cloud computing taxonomy - UA translation by ISACA KYIV
NIST Cloud computing taxonomy - UA translation by ISACA KYIVAnastasiia Konoplova
 
ISMS compliance in Ukrainian banks in 2018 - links
ISMS compliance in Ukrainian banks in 2018 - linksISMS compliance in Ukrainian banks in 2018 - links
ISMS compliance in Ukrainian banks in 2018 - linksAnastasiia Konoplova
 
GDPR - переклад українською від ISACA Kyiv Chapter
GDPR - переклад українською від ISACA Kyiv ChapterGDPR - переклад українською від ISACA Kyiv Chapter
GDPR - переклад українською від ISACA Kyiv ChapterAnastasiia Konoplova
 

More from Anastasiia Konoplova (8)

GDPR enforcement 10.10.2019
GDPR enforcement 10.10.2019GDPR enforcement 10.10.2019
GDPR enforcement 10.10.2019
 
An argument for budget acceptance:ROSI and how to calculate it
An argument for budget acceptance:ROSI and how to calculate itAn argument for budget acceptance:ROSI and how to calculate it
An argument for budget acceptance:ROSI and how to calculate it
 
Cybersec requirements implementation by OKI (KMU 518)
Cybersec requirements implementation by OKI (KMU 518)Cybersec requirements implementation by OKI (KMU 518)
Cybersec requirements implementation by OKI (KMU 518)
 
NIST Cloud computing taxonomy - UA translation by ISACA KYIV
NIST Cloud computing taxonomy - UA translation by ISACA KYIVNIST Cloud computing taxonomy - UA translation by ISACA KYIV
NIST Cloud computing taxonomy - UA translation by ISACA KYIV
 
ISMS compliance in Ukrainian banks in 2018 - links
ISMS compliance in Ukrainian banks in 2018 - linksISMS compliance in Ukrainian banks in 2018 - links
ISMS compliance in Ukrainian banks in 2018 - links
 
Обговорення GDPR
Обговорення GDPRОбговорення GDPR
Обговорення GDPR
 
GDPR - переклад українською від ISACA Kyiv Chapter
GDPR - переклад українською від ISACA Kyiv ChapterGDPR - переклад українською від ISACA Kyiv Chapter
GDPR - переклад українською від ISACA Kyiv Chapter
 
18.05.2017 ISMS - Iryna Ivchenko
18.05.2017 ISMS - Iryna Ivchenko18.05.2017 ISMS - Iryna Ivchenko
18.05.2017 ISMS - Iryna Ivchenko
 

Third parties of open banking

  • 1. Треті сторони відкритого банкінга: досвід, кращі практики, безпека Анастасія Конопльова, CISA, директор ТОВ «ЮЕЙДЖИ» (1999, 30+ банків як 3 та 4 сторона, х·103 сторін бачено), Президент ISACA Київ (2018-2020) The too-perfect security of the Upper-worlders had led them to a slow movement of degeneration, to a general dwindling in size, strength, and intelligence. The Time Machine (Heinemann text) (1895) by H. G. Wells, Chapter IV
  • 2. Банки, треті сторони, безпека, Україна - резюме Проблеми замовника [в безпеці] третьою стороною не вирішуються, третя сторона працює виключно в рамках [оплаченого] завдання Замовники мають у третіх сторін репутацію Третя сторона виставляє пріоритети замовникам. Ви впевнені, що у вас перший? Треті сторони спілкуються між собою Треті сторони включають досвід в портфоліо і мають його підтверджувати для інших замовників Треті сторони публічні, і досвідом діляться зі спільнотою SIEM IDM Сканер вразливостей IPS PaaS Mobile app IT-підтримка Пентест Аудити … Wordpress CloudFlare Zoom Google Oracle Huawei Cisco … Профікс MEDOC Liga Youcontrol Вчасно … Юристи Аудитори SMM call-centers BI … Конфіденційності нема Цілісність поза контролем замовника Доступність=ціна НБУ НКЦПФР ФГВФО БКІ ДПСУ … МПС Банки-кореспонденти ФК Страхові … Треті сторони в банках:З боку третьої сторони: Треба будувати довіру. Щоденно. В кожній взаємодії. І все буде добре. 08.10.2020 For community, non-commercial use
  • 3. Учасники рішень: сторони 1, 2, 3, 4, +++ Клієнти Банк-замовник Власники/група Регулятор Співробітники Договір Підрядник Партнери Субпідрядники Платформи Співробітники Власники Сторона 2 Сторона 1 Сторона 3 Сторона 4 Сторона 5 Сторона 4 ЦКУ, та/або право іншої юрисдикції Держава Партнери 08.10.2020 For community, non-commercial use
  • 4. Управлінське: суб’єктність сторін договору Спроможність замовника-банка • Проєктна команда, яка забезпечує узгодженість з операційною діяльністю, і має знання та навички для цього • Вміння визначити завдання • Резерви під помилки в рішеннях • Фінансовий стан • Інформоване прийняття рішень тими, хто платить Спроможність підрядника (сторони договору) • Виконавці (не ті, хто продає, а ті, хто робити буде) • Відповідальна особа, власники та зв’язки – до кого претензії • Статутний капітал • Залежність від зовнішніх сторін та її юридичне оформлення (за високого ризику) • Джерела існування підрядника (власники, інші клієнти, треті особи) (в горизонті договору, включаючи підтримку) Договір виконується, якщо З ОБОХ СТОРІН є: • Спроможність – наявність навичок, досвіду та ресурсів; репутація • Відповідальність – чи буде зроблено, про що домовились так, як домовились, і що буде, якщо не буде зроблено • Впевненість – чим і ким компенсується невизначеність в договорі monobank, koto, izibank, Універсал, ТАС…етика 08.10.2020 For community, non-commercial use
  • 5. Організаційне: сортувати сторони за ризиками https://www.isaca.org/resources/isaca-journal/issues/2019/volume-5/ensuring-vendor-compliance-and-thirdparty-risk-mitigation Наприклад: 08.10.2020 For community, non-commercial use Перелік третіх сторін (з умовами використання) Перелік послуг третіх сторін, від яких залежить операційна діяльність банку в цілому Порогові значення для поетапного впровадження заходів контролю, визначені з урахуванням нормативних вимог та ресурсів на компенсацію помилок в рішеннях Для застосування підходу потрібні:
  • 6. Технічне: безпека підключення третіх сторін • персоніфіковані облікові записи, з налаштуваннями відповідно до строків надання послуг. Не забувати блокувати/видаляти. Якщо підключаємо до систем • деперсоналізація, де можливо Якщо передаємо дані • сервісні облікові під персональний контроль, • цілісність даних при передачі, • аутентифікація з’єднань Якщо інтегруємося Рекомендації вендора з безпеки Сценарії моніторинга облікових записів, з’єднань з серверами, мережевого трафіку 08.10.2020 For community, non-commercial use
  • 7. Кращі практики щодо третіх сторін, вибране Три рівні впевненості в продуктах і сервісах, законодавство ЄС • Cybersecurity act Практики забезпечення кіберзрілості, закупівлі ЗС США • CMMC https://www.acq.osd.mil/cmmc/draft.html Про що себе спитати стосовно підрядників • https://www.isaca.org/-/media/files/isacadp/project/isaca/conferences/2020-na- cacs/nacacs-2020-key-takeaways_0720.pdf Про критерії ризиків третіх сторін, наприклад • https://www.isaca.org/bookstore/bookstore-wht_papers-digital/whpmcr Про безперервність третіх сторін, 2020 • https://www.isaca.org/bookstore/bookstore-wht_papers-digital/whpbsc Процес управління третіми стронами, метрики та залежності • COBIT® 2019 Загальні принципи: Цілі корпоративного та операційного управління, АРО09, АРО 10 https://www.isaca.org/…/bookstore-cobit_19-digital/wcb19fgmu 08.10.2020 For community, non-commercial use