Sikkert som banken? Hva IT-tilsyn er godt for. Annikken Seip Seniorrådgiver IT-tilsynet Abelia, 22. september 2005



Like dokumenter
Egenevalueringsskjema

Risiko- og sårbarhetsanalyse (ROS-analyse) for 2007 av finansforetakenes bruk av IKT.

Evalueringsskjema. Foretakets nettbankvirksomhet. Foretakets navn : Dato: Underskrift : Dato: Versjon: 1.0

Pressebriefing 11. april 2013

Foretakets navn : Dato: Underskrift :

Risiko- og sårbarhetsanalyse. (ROS) 2003 knyttet til. finansforetakenes bruk av. Informasjons- og. Kommunikasjonsteknologi (IKT)

Seminar om betalingssystemer og IKT i finanssektoren,

Egenevalueringsskjema

Evalueringsskjema. Foretakets virksomhet knyttet til Systemer for Betalingstjenester. Foretakets navn : Dato: Underskrift :

Pressebriefing 12. april Risiko- og sårbarhetsanalyse (ROS) Finansforetakenes bruk av informasjonsog kommunikasjonsteknologi

FINANSIELL INFRASTRUKTUR MAI ANNA GRINAKER

Risiko- og sårbarhetsanalyse (ROS) 2005

Standarder for risikostyring av informasjonssikkerhet

Seminar om bank og finans, i regi av Bergens næringsråd, First Tuesday og Deloitte

Seminar 23. mai Risiko- og sårbarhetsanalyse (ROS) 2012 Finansforetakenes bruk av informasjonsog kommunikasjonsteknologi

Fintech muligheter og utfordringer for hvitvaskingsarbeidet

Forslag til nytt regelverk på området for betalingstjenester og finansforetakenes bruk av informasjons- og kommunikasjonsteknologi (IKT)

Finanstilsynets risiko- og sårbarhetsanalyse 2010

DIGITALISERING I BETALINGSSYSTEMET. HVA KAN BLI BEDRE, OG HVA ER UTFORDRINGENE? KNUT SANDAL, FINANSNÆRINGENS DIGITALISERINGSKONFERANSE, 1.

Risiko- og sårbarhetsanalyse (ROS) Rapport om finansforetakenes bruk av informasjons- og kommunikasjonsteknologi (IKT)

Har du kontroll med din databehandler? En utro elsker. Annikken Seip Seniorrådgiver IT-tilsyn

Søknadsskjema etter finansforetaksforskriften 3-2

NORGES BANKS SYN PÅ BETALINGSSYSTEMET KNUT SANDAL, NORGES BANK BETALINGSFORMIDLINGSKONFERANSEN 17. NOVEMBER 2015

Høring forslag til nytt regelverk på området for betalingstjenester og finansforetakenes bruk av informasjons- og kommunikasjonsteknologi (IKT)

Utfordringer innen IKTområdet PwC 20. september 2011

Risiko- og sårbarhetsanalyse (ROS) 2006

Høring - forslag til forskrift om meldeplikt ved utkontraktering

Bankenes fakturaformidling i lys av nye krav

Revisjon av IKT-området i en mindre bank

Finanstilsynets årsmelding Styreleder Endre Skjørestad Pressekonferanse 10. mars 2011

RiskNet Open Workshop. Adaptive security mechanism for bank and assurance

i lys av 20/2011 DATO: RUNDSKRIV: Banker FINANSTILSYNET Postboks 1187 Sentrum 0107 Oslo

Digitale sårbarheter - internasjonale utfordringer. Olav Lysne

Pressebriefing 3. april 2014

CARL FLOCK ADVOKAT/LEDER FINANSJURIDISK ENHET

Anvefaling til God IT-skikk (nr. 0) Grunnleggende retningslinjer for god IT-skikk

Årsrapport om betalingssystem Knut Sandal, direktør i enhet for finansiell infrastruktur Seminar 23. mai 2013

Norsk betalingsformidling Hvordan komme i front i 2020?

Aktuelt fra Kredittilsynet. v/anne Merethe Bellamy 18. september 2007

Datasenterstrategi i SpareBank 1 Hvilke valg finnes mellom skyen og egen kjeller?

Personvern - sjekkliste for databehandleravtale

BSKs fokus. Modernisering, internasjonalisering og videreutvikling. Lars Erik Fjørtoft daglig leder Oslo

EU Direktivene 43 og 46 /2006 EuroSox Nye påbud fra sommeren 2008 Er du beredt?

Betalingstjenesteområdet og teknologirisiko Seminar om operasjonell risiko

Saksbehandler: Dir. tlf.: Vår referanse: Deres referanse: Arkivkode: Dato: HØR INGSUTTALELSE OM NOU 2006:6 NÅR SIKKERHETEN ER VIKTIGST

Samarbeid om den felles infrastruktur

HØRINGSNOTAT MELDEPLIKT VED UTKONTRAKTERING AV VIRKSOMHET FRA FORETAK UNDER TILSYN

Avtale mellom Finansnæringens Servicekontor og Sparebankforeningens Servicekontor om etablering av BankID Norge

Veiledning i etterlevelse av IKT-forskriften for mindre foretak

Generelle regler om behandling av personopplysninger (kundeopplysninger) i SEBs norske virksomheter 1

NKRF Årsmøte 2009 Revisors vurdering av internkontroll

Oppgaver og organisering av compliance-funksjonen Foredrag ved Norges Interne Revisorers Forening - Nettverksgruppen Finanssektoren

NiSec Network Integrator & Security AS ALT UNDER KONTROLL

EDB Business Partner. Sikkerhetskontroller / -revisjoner

Nå kan alle sende EHF-faktura

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Guri Kjørven, ISO 9001:2015 LEDELSESSYSTEMER FOR KVALITET

Hvordan lykkes med miljøkommunikasjon? -Internasjonal standard viser vei

Tilsyn med IKT-sikkerhet i finansnæringen. Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017

Regler om beregning av pris for tilgang til bankenes fellessystemer innen betalingsformidlingen

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

Personvernforordningen

blir enda viktigere en før fordi tjenestene bllir meget tilgjengelige på Internett

Finanstilsynets risiko- og sårbarhetsanalyse 2009

Revisjon av IT-sikkerhetshåndboka

Pressebriefing 9. april 2015

Årsrapport om betalingssystemer 2005

Hvilke tilpasninger gjør Fjordkraft mht. MiFID? 5. juni 2007 Trude Frydenberg

Risikostyring og internkontroll

PSD 2 hva er status? Jan Digranes, Finans Norge.

Lovgivningens krav til sikkerhet ved outsourcing - offshoring

Sertifisering. Avdelingssjef Bjarte Aksnes

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Årsrapport om betalingsformidling 2004

Forespørsel om informasjon (markedsundersøkelse) Datasenter-, infrastruktur- og driftstjenester

Norge et foregangsland på IT-sikkerhet

Hva har BankID betydd for bankene? Premisser og drivere Utfordringer og konsekvenser Muligheter og effekter

CYBERSIKKERHET PÅ STYREROMMET HVILKE LOVVERK MÅ LEDELSEN FORHOLDE SEG TIL?

Utviklingsseminar. 5. september 2018 Ekeberg Restauranten.

Årsrapport 2014 Internrevisjon Pasientreiser ANS

FÅ KONTROLL PÅ DE USTRUKTURERTE DATAENE

Digitale legekonsultasjoner sett i fra tilsynsmyndigheten forsvarlighet og tilsynsmessige konsekvenser

Sertifisering av IT-sikkerhet

Helhetlig integrasjonsplattform. Per Olav Nymo

Avtale om webløsning Sparebanken Møre Aktiv Forvaltning

NY FINANSFORETAKSLOV. Juridisk fagseminar 15. oktober 2014 Fagdirektør/advokat Carl Flock, Finans Norge

Sertifisering av IT-sikkerhet

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

VIPPS en betalingsapp som også effektiviserer din fakturastrøm

VIPPS - enkel betaling, effektiv fakturastrøm

Introduksjon til evaluering av It-systemer. Hvordan vurdere og verdsette?

HOVEDINSTRUKS TIL FINANSTILSYNET OM ØKONOMISTYRING I FINANSTILSYNET Fastsatt av Finansdepartementet 19. november 2014

05/ / /MB Erik Hansen,

Testing av intern IT-sikkerhet

Saksframlegg. Saksgang: Styret tar saken til orientering. Styret Sykehuspartner HF 3. september 2019 SAK NR

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

Tilsyn med finansmarkedet FINANSTILSYNET

Visma.net. Redefining business solutions

Rune Hagen, BSK. CORAS risikoanalyse Utført for BankID Samarbeidet

Besl. O. nr. 16. Jf. Innst. O. nr. 13 ( ) og Ot.prp. nr. 96 ( ) År 1999 den 30. november holdtes Odelsting, hvor da ble gjort slikt

Transkript:

Sikkert som banken? Hva IT-tilsyn er godt for Annikken Seip Seniorrådgiver IT-tilsynet Abelia, 22. september 2005

Det jeg skal snakke om Kredittilsynet og IT-tilsyn Hva vi fører tilsyn med, hensikt Tilsynsmetoder, Selvdeklarasjon vs. andre former for evaluering av sikkerhetstjenester Risikovurderinger Hvor er finansinstitusjoner sårbare reint IT-messig? Nye betalingstjenester, betalingsinstrumenter og betalingssystemer, Integrasjon med nye elektroniske tjenester, og Manglende standarder. 2

Finansiell infrastruktur og bruk av informasjonsteknologi i Norge Bank Bank Samarbeid og standardisering, Bank virker det fortsatt? BBS Bank Bank Bank Felles løsninger og samarbeid mellom bankene og operatørene; BBS/BankAxept, VPS og Oslo Børs Bank Bank Stor grad av standardisering mot kunder: Bank minibanker, EFT/POS, kortbruk og girotjenester Offensiv bruk av nye distribusjonskanaler; Nettbank, hva med standardisering her? BankID, kan det gi svar? Nye tjenester og bruk av mobile enheter og bredbånd RFIDbrikker. Nye samarbeids- og eierkonstellasjoner; nordiske banker Store endringer på leverandørsiden? Standardisering; internasjonalt, europeisk og nasjonalt? Bank Bank Bank 3

Regelverk Omfattende lovverk som regulerer finansforetakene. Almenaksjeloven Lov om forretningsbanker / Lov om sparebanker Lov om finansieringsvirksomhet Personopplysningsloven/-forskriften Hvitvaskingsloven/-forskriften Lov om Betalingssystemer mv Kredittilsynsloven Verdipapirhandelsloven Div forskrifter om representasjon i bankers styrende organer Internkontrollforskriften IKT-forskriften 4

Noen aktører/roller Foretakets egne styrende organer Intern revisjon Ekstern revisjon Ulike felles arenaer; FNH, Sparebankforeningen, BSK, ulike felles utvalg Finansdepartementet Kredittilsynet Norges Bank Datatilsynet BFI - Bankenes Beredskapsutvalg for den finansielle infrastruktur KIS - Koordineringsutvalget for informasjonssikkerhet Andre aktører innen informasjonssikkerhet, DSB og NSM 5

Kredittilsynet Kredittilsynsloven Tilsynet skal se til at de institusjoner det har tilsyn med, virker på hensiktsmessig og betryggende måte i samsvar med lov og bestemmelser gitt i medhold av lov samt med den hensikt som ligger til grunn for institusjonens opprettelse, dens formål og vedtekter. IT-tilsynets virkemidler 1. Regelverksutvikling/oppfølging IKT-forskriften Lov om Betalingssystemer mv, Meldeplikten vedrørende systemer for betalingstjenester 2. IT-tilsynsopplegget Basert på IT-prosesser og internasjonal metodeverk CobiT (ISACA) Utviklet egenmelding med ca 180 kontrollspørsmål Videreutvikle mot utvalgte tema; brannmur, virusbeskyttelse, katastrofe, og betalingssystemer (internett som infrastruktur) 3. Risiko- og sårbarhetsanalyse 4. Samarbeid/allianser, nasjonalt og internasjonalt 6

Planlegging og Organisering: PO1 Definere IT-strategi PO2 Definere informasjon og systemarkitektur PO3 Bestemme teknologisk retning PO4 Utforme IT-organisasjonen PO5 Forvalte IT-investeringer PO6 Formidle ledelsens mål og retning PO7 Personalledelse PO8 Sikre etterlevelse av eksterne krav PO9 Risikovurdering PO10 Prosjektstyring PO11 Kvalitetsstyring Anskaffelse og implementering: AI1 Identifisere løsninger AI2 Anskaffelse og vedlikehold av applikasjoner AI3 Anskaffelse og vedlikehold av teknologisk infrastruktur AI4 Utvikle og vedlikeholde prosedyrer AI5 Installasjon og godkjenning av systemer AI6 Endringsledelse og -håndtering Leveranse og Støtte: DS1 Definere og styre servicenivået DS2 Styre tjenester fra eksterne IT-leverandører DS3 Styring av ytelse og kapasitet DS4 Sikre kontinuerlig service-/kriseplanlegging DS5 Sikre systemsikkerhet DS6 Identifisere og fordele kostnader DS7 Brukeropplæring DS8 Assistere og informere kunder DS9 Konfigurasjonshåndtering DS10 Håndtering av problemer og hendelser DS11 Håndtering av data DS12 Styring av fasiliteter DS13 Styring av driften Overvåkning: M1 Overvåke prosessene M2 Vurdere intern kontrollen M3 Gjennomføring av uavhengig bekreftelse M4 Sørge for uavhengig revisjon 7

IT-tilsynsom virkemiddel Mottatt svar på kontrollspørsmål Introduksjonsmøte Mottatt aktuell dokumentasjon Gjennomgang Analyser IT-tilsynsmøte Unntatt offentlighet Tilsynsrapport Foretaket Offentlige Merknader Foretaket 8

Utvidelse av IT-tilsynsopplegget 34 prosesser 180 kontrollspørsmål Katastrofebackup -26 VIRUS beskyttelse - 137 Betalingssystemer - 57 Nettbank - 46 Hvitvasking - 26 A) Testing J N A 1 Er det gjennomført tilstrekkelige funksjonelle tester? A 2 Er det gjennomført fullverdig regresjonstest i produksjonslikt miljø? A 3 Er det gjennomført volum og ytelsestester? A 4 Er det gjennomført test av migrerings- rutiner fra test til produksjonstest-miljø? A 5 Er testene gjennomført på siste versjon av systemkomponenter iht.produksjonskonfigurasjonen? A 6 Er det gjennomført ende-til-ende test med alle relevante eksterne aktører? A 7 Er det gjennomført test av evt. konverteringsrutiner? A 8 Er det gjennomført test av driftsopplegg og driftsrutiner? Brannmur - 24 System for IRB modellering Meldeplikt betalingstjenester A 9 Er alle avvikssituasjoner testet mht. varsling, recovery og restart? 9

Tillit til systemer, produkter og organisasjoner 1. Stole på leverandørens forsikringer 2. Utføre egne tester 3. Få uttalelser fra en tredje part. Selvdeklarasjon kan baseres på alle tre punktene. Tredjeparten i punkt 3 kan være En bekjent, som bruker det samme systemet, eller Et uavhengig, tiltrodd, organ som er akkreditert til å utføre evalueringer og sertifiseringer 10

Selvdeklarasjon vs. sertifisering Mer subjektivt Foretaket må tenke selv Setter ned prosjekt Standard opplegg Ikke alle spørsmål passer Overordnete spørsmål Uklart formulert Misforstår Må kombineres med annen dokumentasjon og med intervju Dekker mer enn sikkerhet Merobjektivt Koster tid og penger Det meste skal likevel gjøres Bare sikkerhet Internasjonalt anerkjent Mai: 867 institusjoner i Japan er sertifisert etter IS 17799 Mange sertifisert etter CC 11

Risiko- og sårbarhetsanalyser Kildegrunnlag: 1) Gjennomførte IT-tilsyn i 2004 2) Strukturerte intervju med prioriterte foretak og personer 3) Registrerte hendelser, strukturerte og ustrukturerte 4) Informasjon fra samarbeidspartnere, nasjonalt og internasjonalt Datakilder Andre kilder IT-tilsyn Intervju Hendelser Analyse og bearbeiding Bruk av annen tilgjengelig kunnskap Internasjonale undersøkelser referanseramme Identifisering av risikoområder Gjennomføre og dokumentere ROS-analysen 12

4. Risiko- og sårbarhetsanalyse 2004 Resultater: Prosjektgjennomføring ved større IT-endringer Endringshåndtering og kontroll Virusbeskyttelse og brannmur Kontinuitets- og katastrofeløsninger Utkontraktering flytting over landegrenser Bruk av Microsoft software og tilknytning til internett Leverandørkonsentrasjon, felles infrastruktur Ulike samarbeidskonstellasjoner og bruk av felles IT-løsninger Nettbankløsninger, autentisering og autorisasjon Gjennomføring av ROS-analyser Bruk av kredittkort i internetthandel 13

Elektroniske betalingstjenester Teknologier PC WAP Telefon Kort ATM EFTPOS Kanaler RFID Telefonlinje Internett Adgangskontroll Tjenester e-bank e-penger e-faktura Avtalegiro Kontofon Bedrift Automatiske tjenester for banken Innsamling Banksystemer 14

Elektroniske betalingstjenester Elektroniske billetter i et lukket system RFID Åpne betalingstjenester Vite at du handler Personvern Standarder Det offentliges deltakelse i standardarbeidet 15

Mobilhandelsmarkedet Ferskt marked, mange konkurrenter Teknologien kan brukes, men er fortsatt på vei Teknologien er ikke helt den samme som for Internett, Restriksjoner på brukergrensesnitt, prosessorstørrelse, andre sikkerhetskonsepter, mange operatører Andre verdikjeder, et ekstra lag mellom kunde og tjenesteyter Kundenes oppførsel blir annerledes pga. andre muligheter 16

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding