Відповідність вимогам кібербезпеки для фінансової індустрії

Відповідність вимогам кібербезпеки для фінансової індустрії

Регулятори зобов’язані реагувати на зміни та нові технології як у фінансовому, так і в ІТ-секторі, а також враховувати думки та інтереси громадян та учасників бізнесу та відповідно відображати все це в нормативних актах, законах і стандартах. Тому регулювання фінансового сектору з кожним роком стає все більш складним, об'ємним і жорстким.

І тому підприємствам стає все важче працювати в рамках законодавчого поля, дотримуватися суворих правил кібербезпеки та правил безпеки фінансових даних, щоб захистити свій бізнес і активи. У цій статті ми розглянемо кілька загальних питань, а також деякі з найважливіших законів і стандартів, які впливають на кібербезпеку та безпеку даних у фінансовому секторі. Читайте далі, щоб дізнатися більше.

Що таке стандарти дотримання вимог безпеки?

Стандарти інформаційної безпеки — це обов'язкові або рекомендовані документи, які визначають вимоги безпеки інформаційних систем. Вони служать для підвищення безпеки конфіденційної інформації та активів, а також для забезпечення конкурентоспроможності та якості продуктів і послуг, для зниження потенційних ризиків у разі кіберзагроз. Прикладами таких стандартів є ISO 27001 і PSI DSS.

Чому відповідність вимогам кібербезпеки важлива для фінансової галузі?

Фінансовий сектор є одним із найбільш вразливих до кібератак, оскільки банки та компанії, що надають фінансові послуги, є улюбленим місцем для хакерів і зловмисників. Не лише тому, що фінансові компанії оперують великими сумами грошей і цінними паперами, а й тому, що ці установи збирають і обробляють багато особистої та конфіденційної інформації клієнтів.

Стандарти та закони фінансової галузі

GDPR

GDPR (Загальний регламент захисту даних) — це міжнародний закон, прийнятий Європейським Союзом (ЄС) для захисту прав і запобігання несанкціонованій або незаконній обробці персональних даних громадян і резидентів країн ЄС. Цей закон поширюється на всі компанії, які обробляють дані фізичних осіб з ЄС.

GDPR містить різні рекомендації щодо безпеки як для обробників даних, так і для контролерів даних, очікувані результати управління даними, але не описує жодних технічних деталей щодо методів або засобів, за допомогою яких мають бути досягнуті цілі закону. Тому компаніям пропонується самостійно розібратися в цьому питанні з урахуванням специфіки їх діяльності.

Серед основних вимог і принципів GDPR:

1. Персональні дані повинні оброблятися в законний спосіб і отримані за згодою суб’єкта даних;

2. Зберігати інформацію не довше, ніж це необхідно для досягнення цілей, для яких інформація була зібрана;

3. Інформації не повинно бути більше, ніж необхідно для досягнення цілей;

4. Дані мають бути точними, повними та актуальними, а за потреби – своєчасно оновлюватись;

5. Персональні дані повинні бути захищені від несанкціонованої або незаконної обробки, знищення, пошкодження або втрати.

Дізнайтеся більше про відповідність GDPR.

PSD2

Переглянута Директива про електронні платіжні послуги (PSD2) – це директива Європейського Союзу, розроблена для регулювання платіжних послуг і постачальників платіжних послуг у Європейському Союзі (ЄС) і Європейській економічній зоні (ЄЕЗ), щоб зробити онлайн-платежі ефективнішими та безпечнішими.

Відповідно, PSD2 містить стандарти захисту онлайн-платежів, суворої автентифікації клієнтів, аналізу ризиків у транзакціях та інші правила, спрямовані на підвищення безпеки даних клієнтів фінансових установ.

Ця директива поширюється на всі фінансові установи, що працюють в ЄС. І якщо ви плануєте вести бізнес у фінансовому секторі в ЄС, ви повинні переконатися, що ваша компанія також відповідає PSD2. Невиконання директиви може призвести до багатомільйонних штрафів.

ISO 27001

ISO/IEC 27001 — це міжнародний стандарт, який встановлює вимоги до створення, впровадження, підтримки та вдосконалення системи управління інформаційною безпекою підприємства (СУІБ). Грубо кажучи, цей стандарт визначає, як покращити стан кібербезпеки компанії в будь-якій сфері бізнесу.

Тому він широко використовується для зниження ризиків безпеки та захисту інформаційних систем, а також для сертифікації підприємств. Сертифікація за стандартом ISO 27001 особливо актуальна для фінансових установ, оскільки отримання сертифікату передбачає значне підвищення рівня кібербезпеки, покращення політики безпеки та навчання співробітників.

Наявність сертифіката дозволяє залучити необхідних інвесторів і потенційних партнерів, а також продемонструвати клієнтам, що ви цінуєте і захищаєте їх персональні дані. Додатковою перевагою є те, що відповідність стандарту ISO 27001 значною мірою допомагає вашому бізнесу відповідати GDPR.

PCI DSS

PCI DSS (Payment Card Industry Data Security Standard) — стандарт безпеки даних для індустрії платіжних карток. Він використовується для зменшення шахрайства з кредитними та дебетовими картками, захисту транзакцій і захисту особистої інформації власників карток.

Цього стандарту повинні дотримуватися всі підприємства, які обробляють картки компаній, які заснували PCI SSC, обробляють транзакції та отримують або обробляють інформацію про кредитні картки клієнтів, включаючи роздрібних продавців і постачальників платіжних рішень.

Це надзвичайно актуальний фінансовий стандарт для банків, платіжних систем, бірж криптовалют та будь-яких інших фінансових організацій. Сертифікація PCI DSS дозволяє вашому бізнесу досягти найкращого захисту персональних даних клієнтів у цій сфері.

BSA

Закон про банківську таємницю (BSA) — це закон США, спрямований на те, щоб злочинці не використовували фінансові установи як інструменти для приховування чи відмивання своїх незаконно здобутих доходів.

Цей закон є одним із типових банківських нормативних актів і вимагає від банків та інших фінансових установ надавати регуляторам документацію, наприклад звіти про валютні операції (CTR). Таким чином, BSA дозволяє органам влади легко відновлювати характер транзакцій і виявляти найбільш підозрілі.

Офіс валютного контролера (OCC) регулярно перевіряє банки та інші установи на відповідність BSA. Регулятор очікує, що банки контролюватимуть законність усіх транзакцій, а також повідомлятимуть про всі великі транзакції на суму понад 10 000 доларів.

GLBA

Закон Гремма-Ліча-Блілі (GLBA) — закон США, головною метою якого було оновлення та модернізація фінансової індустрії шляхом скасування заборони на надання фінансових послуг банками відповідно до Закону Гласса-Стігалла. Проте в контексті цієї статті цей закон цікавий тим, що він зобов’язує фінансові установи захищати дані споживачів і повністю розкривати клієнтам усі методи обміну даними.

Тобто фінансові установи повинні дбати про безпеку особистої інформації клієнтів від будь-яких подій, які можуть негативно вплинути на цілісність і безпеку цих даних. Це включає суворі правила доступу до фінансової інформації. Усі компанії, які надають фінансові послуги в США, повинні дотримуватися GLBA.

Відповідно до положень закону можна виділити його основні принципи:

Фінансова конфіденційність. Очікується, що фінансові установи будуть повідомляти своїх клієнтів про те, як використовуватимуться їхні особисті дані та як вони будуть захищені.

Захисні заходи. Фінансові установи повинні мати чітко структурований план, відповідно до якого забезпечується інформаційна безпека.

SOX

Закон Сарбейнса-Окслі (SOX) — ще один закон США, який є обов’язковим для всіх компаній, чиї цінні папери зареєстровані в Комісії з цінних паперів і бірж США (SEC), включаючи резидентів і нерезидентів США, чиї акції котируються на фондових біржах США.

Суть цього закону полягає в тому, що він захищає інвесторів від фінансового шахрайства, надаючи необхідні процедури безпеки для запобігання шахрайським фінансовим операціям. Закон також містить компоненти кібербезпеки, які гарантують, що фінансові установи справляються із загрозами кібербезпеці, які потенційно можуть негативно вплинути на фінансові операції.

Найважливішим аспектом закону є вимоги до системи внутрішнього контролю компанії (розділ 404). Цей розділ вимагає від керівництва компанії оцінити систему внутрішнього контролю компанії та підготувати звіт про стан цієї системи. У звіті повинні бути докази того, що компанія має адекватні засоби внутрішнього контролю щодо фінансової звітності.

FINRA

Якщо торкатися питання торгівлі цінними паперами, то слід згадати таку американську корпорацію, як Financial Industry Regulatory Authority (FINRA). Ця організація контролює дотримання правил торгівлі на позабіржовому ринку, а також на ринку цінних паперів, які не котируються на фондових біржах США, регулює діяльність брокерів і фінансових порталів (краудфандингових платформ тощо).

FINRA встановлює набір правил для захисту особистих даних клієнтів від компрометації та сприяє контролю для виявлення та пом’якшення кіберзагроз.

Таким чином, якщо ви плануєте вести бізнес у цій сфері в Сполучених Штатах, вам також необхідно ознайомитися з вимогами FINRA та переконатися, що ваша компанія їх дотримується.

NIST 800-53

Грубо кажучи, NIST 800-53 є американським еквівалентом серії стандартів ISO 27000. Повна назва цього 250-сторінкового документа — NIST Special Publication 800-53 «Контроль безпеки та конфіденційності для федеральних інформаційних систем і організацій». Суть цього стандарту полягає в описі елементів керування безпекою, а також інструкцій щодо їх правильного використання.

NIST 800-53 містить список із 110 вимог, які стосуються ІТ-технологій, процедур і політики підприємства. Ці вимоги охоплюють такі речі, як: контроль доступу, конфігурація системи, методи автентифікації, а також протоколи кібербезпеки та плани реагування на інциденти.

Кожна вимога містить детальне пояснення, яке має допомогти підприємствам краще зрозуміти контекст, і, відповідно, краще підійти до реалізації вимоги на практиці. Відповідність NIST 800-53 є обов’язковою для всіх федеральних установ США та їхніх підрядників. Приватні підприємства можуть виконувати вимоги NIST на добровільній основі.

SWIFT CSP

Програма SWIFT Customer Security спрямована на виявлення та запобігання шахрайській діяльності за допомогою набору обов’язкових заходів безпеки, а саме 22 елементів керування, спрямованих на захист вашої системи, обмеження доступу, виявлення та реагування на кіберзагрози.

Крім того, програма містить правила кібербезпеки для банків, а також містить описовий посібник із ідентифікації послуг і компонентів у рамках відповідності, різні типи архітектури розгортання компонентів, перелік ризиків та їх відображення в контрзаходах, перелік прикладів сценаріїв загроз, таблицю зв’язків між цілями SWIFT CSP і вимогами NIST Cybersecurity Framework, ISO 27002 і PCI DSS, а також інша інформація.

CCPA

Закон про захист конфіденційності споживачів (CPPA/Bill C-11) — це низка реформ, заснованих на досвіді Європейського Союзу щодо GDPR, які фактично забезпечать більшу прозорість того, як компанії використовують персональні дані клієнтів.

Серед основних вимог CPPA:

1. Належна обробка даних — відповідно до розділу 12(2) CPPA збір, використання та розкриття персональних даних обмежується відповідними обставинами. Цей пункт багато в чому відповідає принципам GDPR, тому не будемо його деталізувати;

2. Обґрунтована згода — як і у випадку GDPR, збір персональної інформації має відбуватися після згоди суб’єкта даних.

CPPA передбачає значні штрафи (25 мільйонів канадських доларів, або 4% валового світового доходу організації за фінансовий рік). Поки цей закон не схвалено, крім того, канадський уряд розглядає можливість ухвалення законопроекту C-27, схожого документа, який, однак, все ще має значні відмінності від законопроекту C-11.

Тому поки що не можна точно сказати, які вимоги будуть надані компаніям. Але підприємства вже отримали загальну картину того, що їх чекає в майбутньому, і вже можуть починати підготовку до реформ.

Заключне слово

Оскільки нормативні акти містять так багато складних деталей, дотримання нормативних вимог для фінансових установ не так просто, як може здатися на перший погляд. Особливо, коли йдеться про кібербезпеку та комплаєнс у банківській справі.

Якщо у вас виникли питання, пов’язані з темою статті, банківським комплаєнс-регулятором або стандартизацією, спеціалісти ESKA готові допомогти вам у вирішенні ваших проблем. Зв'яжіться з нами прямо зараз, щоб записатися на консультацію або отримати більше інформації про кібербезпеку в сфері фінансів.