Download to read offline
![Банки, треті сторони, безпека, Україна - резюме
Проблеми замовника [в безпеці]
третьою стороною не
вирішуються,
третя сторона працює виключно в
рамках [оплаченого] завдання
Замовники мають у третіх сторін
репутацію
Третя сторона виставляє
пріоритети замовникам. Ви
впевнені, що у вас перший?
Треті сторони спілкуються між
собою
Треті сторони включають досвід в
портфоліо і мають його
підтверджувати для інших
замовників
Треті сторони публічні, і досвідом
діляться зі спільнотою
SIEM
IDM
Сканер вразливостей
IPS
PaaS
Mobile app
IT-підтримка
Пентест
Аудити
…
Wordpress
CloudFlare
Zoom
Google
Oracle
Huawei
Cisco
…
Профікс
MEDOC
Liga
Youcontrol
Вчасно
…
Юристи
Аудитори
SMM
call-centers
BI
…
Конфіденційності нема
Цілісність поза контролем замовника
Доступність=ціна
НБУ
НКЦПФР
ФГВФО
БКІ
ДПСУ
…
МПС
Банки-кореспонденти
ФК
Страхові
…
Треті сторони в банках:З боку третьої сторони:
Треба будувати довіру. Щоденно.
В кожній взаємодії. І все буде добре.
08.10.2020 For community, non-commercial use](https://image.slidesharecdn.com/thirdpartiesak081020-201008174905/75/Third-parties-of-open-banking-2-2048.jpg)
Third parties of open banking
- 1. Треті сторони відкритогобанкінга: досвід, кращі практики, безпека Анастасія Конопльова, CISA, директор ТОВ «ЮЕЙДЖИ» (1999, 30+ банків як 3 та 4 сторона, х·103 сторін бачено), Президент ISACA Київ (2018-2020) The too-perfect security of the Upper-worlders had led them to a slow movement of degeneration, to a general dwindling in size, strength, and intelligence. The Time Machine (Heinemann text) (1895) by H. G. Wells, Chapter IV
- 2. Банки, треті сторони,безпека, Україна - резюме Проблеми замовника [в безпеці] третьою стороною не вирішуються, третя сторона працює виключно в рамках [оплаченого] завдання Замовники мають у третіх сторін репутацію Третя сторона виставляє пріоритети замовникам. Ви впевнені, що у вас перший? Треті сторони спілкуються між собою Треті сторони включають досвід в портфоліо і мають його підтверджувати для інших замовників Треті сторони публічні, і досвідом діляться зі спільнотою SIEM IDM Сканер вразливостей IPS PaaS Mobile app IT-підтримка Пентест Аудити … Wordpress CloudFlare Zoom Google Oracle Huawei Cisco … Профікс MEDOC Liga Youcontrol Вчасно … Юристи Аудитори SMM call-centers BI … Конфіденційності нема Цілісність поза контролем замовника Доступність=ціна НБУ НКЦПФР ФГВФО БКІ ДПСУ … МПС Банки-кореспонденти ФК Страхові … Треті сторони в банках:З боку третьої сторони: Треба будувати довіру. Щоденно. В кожній взаємодії. І все буде добре. 08.10.2020 For community, non-commercial use
- 3. Учасники рішень: сторони1, 2, 3, 4, +++ Клієнти Банк-замовник Власники/група Регулятор Співробітники Договір Підрядник Партнери Субпідрядники Платформи Співробітники Власники Сторона 2 Сторона 1 Сторона 3 Сторона 4 Сторона 5 Сторона 4 ЦКУ, та/або право іншої юрисдикції Держава Партнери 08.10.2020 For community, non-commercial use
- 4. Управлінське: суб’єктність сторіндоговору Спроможність замовника-банка • Проєктна команда, яка забезпечує узгодженість з операційною діяльністю, і має знання та навички для цього • Вміння визначити завдання • Резерви під помилки в рішеннях • Фінансовий стан • Інформоване прийняття рішень тими, хто платить Спроможність підрядника (сторони договору) • Виконавці (не ті, хто продає, а ті, хто робити буде) • Відповідальна особа, власники та зв’язки – до кого претензії • Статутний капітал • Залежність від зовнішніх сторін та її юридичне оформлення (за високого ризику) • Джерела існування підрядника (власники, інші клієнти, треті особи) (в горизонті договору, включаючи підтримку) Договір виконується, якщо З ОБОХ СТОРІН є: • Спроможність – наявність навичок, досвіду та ресурсів; репутація • Відповідальність – чи буде зроблено, про що домовились так, як домовились, і що буде, якщо не буде зроблено • Впевненість – чим і ким компенсується невизначеність в договорі monobank, koto, izibank, Універсал, ТАС…етика 08.10.2020 For community, non-commercial use
- 5. Організаційне: сортувати сторониза ризиками https://www.isaca.org/resources/isaca-journal/issues/2019/volume-5/ensuring-vendor-compliance-and-thirdparty-risk-mitigation Наприклад: 08.10.2020 For community, non-commercial use Перелік третіх сторін (з умовами використання) Перелік послуг третіх сторін, від яких залежить операційна діяльність банку в цілому Порогові значення для поетапного впровадження заходів контролю, визначені з урахуванням нормативних вимог та ресурсів на компенсацію помилок в рішеннях Для застосування підходу потрібні:
- 6. Технічне: безпека підключеннятретіх сторін • персоніфіковані облікові записи, з налаштуваннями відповідно до строків надання послуг. Не забувати блокувати/видаляти. Якщо підключаємо до систем • деперсоналізація, де можливо Якщо передаємо дані • сервісні облікові під персональний контроль, • цілісність даних при передачі, • аутентифікація з’єднань Якщо інтегруємося Рекомендації вендора з безпеки Сценарії моніторинга облікових записів, з’єднань з серверами, мережевого трафіку 08.10.2020 For community, non-commercial use
- 7. Кращі практики щодотретіх сторін, вибране Три рівні впевненості в продуктах і сервісах, законодавство ЄС • Cybersecurity act Практики забезпечення кіберзрілості, закупівлі ЗС США • CMMC https://www.acq.osd.mil/cmmc/draft.html Про що себе спитати стосовно підрядників • https://www.isaca.org/-/media/files/isacadp/project/isaca/conferences/2020-na- cacs/nacacs-2020-key-takeaways_0720.pdf Про критерії ризиків третіх сторін, наприклад • https://www.isaca.org/bookstore/bookstore-wht_papers-digital/whpmcr Про безперервність третіх сторін, 2020 • https://www.isaca.org/bookstore/bookstore-wht_papers-digital/whpbsc Процес управління третіми стронами, метрики та залежності • COBIT® 2019 Загальні принципи: Цілі корпоративного та операційного управління, АРО09, АРО 10 https://www.isaca.org/…/bookstore-cobit_19-digital/wcb19fgmu 08.10.2020 For community, non-commercial use