Tilsyn med IKT-sikkerhet i finansnæringen. Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017

Like dokumenter
Søknadsskjema etter finansforetaksforskriften 3-2

Veiledning i etterlevelse av IKT-forskriften for eiendomsmeglingsforetak

Internkontroll og informasjonssikkerhet lover og standarder

Forslag til nytt regelverk på området for betalingstjenester og finansforetakenes bruk av informasjons- og kommunikasjonsteknologi (IKT)

Tilsynspraksis Bank og Forsikring. Hvitvaskingskonferansen, Sundvolden 8. november 2018 Irene Støback Johansen og Geir David Johannessen

Har du kontroll med din databehandler? En utro elsker. Annikken Seip Seniorrådgiver IT-tilsyn

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Lovgivningens krav til sikkerhet ved outsourcing - offshoring

Fintech muligheter og utfordringer for hvitvaskingsarbeidet

Veiledning til IKT- forskriftens 5 "Sikkerhet" August 2013

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Høring forslag til nytt regelverk på området for betalingstjenester og finansforetakenes bruk av informasjons- og kommunikasjonsteknologi (IKT)

Veiledning i etterlevelse av IKT-forskriften for mindre foretak

Sikkerhetskrav for systemer

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS

Egenevalueringsskjema

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

i lys av 20/2011 DATO: RUNDSKRIV: Banker FINANSTILSYNET Postboks 1187 Sentrum 0107 Oslo

Finanstilsynet orienterer. Pensjonskassekonferansen 18. april 2018 Seksjonssjef Hege Bunkholt Elstrand

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Policy for informasjonssikkerhet og personvern i Sbanken ASA

Regnskapsførervirksomheten skal ved forespørsel få fremlagt dokumentasjon på dette.

Seminar om betalingssystemer og IKT i finanssektoren,

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

Risikoområder og regulatoriske rammer. Finanstilsynsdirektør Morten Baltzersen Sparebankdagene, Trondheim 6. november 2018

Skytjenester regler, sårbarheter, tiltak i finanssektoren. v/ Atle Dingsør

Høring NOU 2016:19 Samhandling for sikkerhet

Utvalgte emner, Fagseminar hvitvasking - forsikring. Anders S. Worren, seksjonssjef Finanstilsynet

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Høring - forslag til forskrift om meldeplikt ved utkontraktering

Pressebriefing 11. april 2013

Evalueringsskjema. Foretakets nettbankvirksomhet. Foretakets navn : Dato: Underskrift : Dato: Versjon: 1.0

Regnskap- og oppdragssystemer

Avvikshåndtering og egenkontroll

Operasjonell risiko PSD2, og skaper ny personvernforordning nye risikoområder

Risikoledelse i hverdagen mulig eller umulig? Linda Svendsrud Teamleder Rådgivning

Foretakets navn : Dato: Underskrift :

DATO: 15. juni NUMMER: 14/8978 m.fl. markedstilsyn

DIGITALISERING I BETALINGSSYSTEMET. HVA KAN BLI BEDRE, OG HVA ER UTFORDRINGENE? KNUT SANDAL, FINANSNÆRINGENS DIGITALISERINGSKONFERANSE, 1.

Sikkerhetskrav for systemer

Utfordringer innen IKTområdet PwC 20. september 2011

Risikostyringsfunksjonen

Risiko- og sårbarhetsanalyse. (ROS) 2003 knyttet til. finansforetakenes bruk av. Informasjons- og. Kommunikasjonsteknologi (IKT)

Finanstilsynets prioriteringer. Finanstilsynsdirektør Morten Baltzersen

Styringssystem i et rettslig perspektiv

Universitetet i Bergen Internrevisjon - erfaringer Samling for økonomidirektører og økonomiledere i UH-sektoren april 2015

Endelig kontrollrapport

Tekniske standarder for gjennomføring av Solvens II

Krav til utkontraktering av drift 1 1. Oppbevaring av regnskapsmateriell og oppdragsdokumentasjon

HØRINGSNOTAT MELDEPLIKT VED UTKONTRAKTERING AV VIRKSOMHET FRA FORETAK UNDER TILSYN

Sikkerhetskrav for systemer

Kommunens Internkontroll

FINANSIELL INFRASTRUKTUR MAI ANNA GRINAKER

Norges vassdragsog energidirektorat

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

En vesentlig del av selskapenes forpliktelser er

Styresak Orienteringssak - Informasjonssikkerhet

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

Oppgaver og organisering av compliance-funksjonen Foredrag ved Norges Interne Revisorers Forening - Nettverksgruppen Finanssektoren

Solvens II oppdatering på regelverksiden og forventninger til forsikringsselskapene frem mot PwC-seminar 13. mars 2014

LOJALITET OG INTEGRITET Om forholdet mellom politikk og embetsverk. Finanstilsynsdirektør Morten Baltzersen Partnerforum 11.

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Pressebriefing 12. april Risiko- og sårbarhetsanalyse (ROS) Finansforetakenes bruk av informasjonsog kommunikasjonsteknologi

Kan du legge personopplysninger i skyen?

Tilsynsperspektiver på OMF. Finans Norges Obligasjonskonferanse 2019 Aud Ebba Lie

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE

Mobilbank kontrollspørsmål apper

Vedtatt av: Byrådet Vedtatt: Erstatter: Saksnr: Brv 1316/02

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

- IVER 1. OM TJENESTEN

Sikkerhetshendelse hos Kartverket i Oppfølging på kort og lang sikt. Pål Asmund Røste Seksjonsleder IT Applikasjonsdrift- 10/04/2019

Pressebriefing 9. april 2015

Nye rammebetingelser for bankene. Morten Baltzersen, Finanstilsynsdirektør Bransjeseminar om egenkapitalbevis, 11. september 2013

KLPs utfordringer ifm internkontroll og hvordan disse er håndtert Runar Dybvik, leder for internrevisjonen i KLP

Risiko- og sårbarhetsanalyse (ROS) Tilsynsrådgiver Stig Ulstein Tilsynsrådgiver Atle Dingsør Finanstilsynet

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Veileder til forskrift om sikring på jernbane Utvalgte tema, bransjemøte 12. juni Side 1

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Risiko- og sårbarhetsanalyse i forbindelse med bruker med begrenset tilgang for inn- og utregistrering

Har du kontroll på verdiene dine

Arkiv og lagring i skyen Rettslige skranker. Malin Tønseth og Nicolai Halbo 18. Mars

Reguleringer og rammebetingelser. Sparebankforeningens medlemsmøte Bergen 1. november 2017 Finanstilsynsdirektør Morten Baltzersen

Risikovurdering for folk og ledere Normkonferansen 2018

NTNU Retningslinje for fysisk sikring av IKTinfrastruktur

Referansegruppen for Solvens II. Møte i Finanstilsynet 10. juni 2013

IKT-Risiko i regnskapsførerselskaper

Finanstilsynets retningslinjer for forsvarlig utlånspraksis for forbrukslån

Aktuelt fra Kredittilsynet. v/anne Merethe Bellamy 18. september 2007

Årsmelding Styreleder Finn Hvistendahl Pressekonferanse 3. mars 2010

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

Tilsynssaker vedrørende kontrollfunksjonen. Halvdagsseminar for verdipapirforetakene 1. desember 2010 Tilsynsrådgiver Leif Roar Johansen

Egenevalueringsskjema

Friluftslivets farer - den nye damsikkerhetsforskriften og regelverkets særlige vinkling mot ansvaret for eier, leder og VTA

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Risikostyring & internkontroll med fokus på verdiskaping for selskapet VFF Complianceseminar 24. november 2016

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Personvern nytt landskap i #Oppdatert Tromsø 14. september 2017 Senioradvokat Simen Evensen Breen

Referansearkitektur sikkerhet

Transkript:

Tilsyn med IKT-sikkerhet i finansnæringen Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017

Gjelder alle foretak under tilsyn Stiller krav til foretakenes styring og kontroll med IKTvirksomheten, herunder blant annet krav til: Overordnede mål, strategier og sikkerhetskrav for IKT-virksomheten Risikoanalyser Prosedyrer som skal sikre beskyttelse mot skader, misbruk, uautorisert tilgang og endring og hærverk Systemvedlikehold Drift og driftsprosedyrer som skal sikre fullstendig, rettidig og korrekt behandling og oppbevaring av data At forskriften etterleves også ved utkontraktering Beredskapsløsninger og kriseplaner Avvikshåndtering og hendelsesrapportering til Finanstilsynet 2

Nytt regelverk Ny sikkerhetslov Generelle krav til forebyggende sikkerhet Nettverks- og informasjonssikkerhetsdirektivet Risikoanalyser Hendelsesrapportering Nytt betalingstjenestedirektiv Risiko- og sårbarhets analyser Hendelsesrapportering er godt tilpasset nytt regelverk 3

IKT-sikkerhet i foretaket inneholder flere bestemmelser som dekker IT-sikkerhetskrav, inklusive alle aspekter ved cybersikkerhet, blant annet 2. Planlegging og organisering Foretaket skal fastsette overordnede mål, strategier og sikkerhetskrav for IKT-virksomheten. 3. Risikoanalyse Foretaket skal fastsette kriterier for akseptabel risiko forbundet med bruk av IKT-systemene. Foretaket skal ha en dokumentert prosess for gjennomføring av risikoanalyser av IKT-virksomheten. Prosessen skal blant annet definere klare ansvarsforhold og omfatte oppfølging av tiltak som iverksettes som et resultat av den gjennomførte risikoanalysen. 5. Sikkerhet Foretaket skal utarbeide prosedyrer som skal sikre beskyttelse av utstyr, systemer og informasjon mot skader, misbruk, uautorisert adgang og endring, samt hærverk. Videre skal prosedyrene inneholde retningslinjer for tildeling, endring, sletting og kontroll med autorisasjon for tilgang til IKT-systemene 8. Drift Drift av IKT-virksomheten skal være basert på dokumenterte prosedyrer, som sikrer fullstendig, rettidig og korrekt behandling og oppbevaring av data. 10. Driftsavbrudd og kriseberedskap Foretaket skal ha en dokumentert kriseplan 4

Sikkerhetspolicy Styring og kontroll med sikkerhet innebærer å 1. integrere sikkerhet i foretakets aktiviteter 2. påse at sikkerhetsnivå og sikkerhetstiltak er basert på risikovurderinger 3. påse at foretakets investeringer innenfor sikkerhet er basert på foretakets mål og er i samsvar med sikkerhetskravene 4. sikre samsvar med interne og eksterne krav herunder regulatoriske krav 5. stimulere sikkerhetstenkning i foretaket 6. evaluere sikringstiltakene 5

Utkontraktering - Regelverk Finansforetaksloven Ikke kjerneoppgaver Forsvarlig i omfang og måte Ikke vanskeliggjøre tilsyn Utkontraktering av IKT-virksomhet skal styrebehandles Sikre foretakets rett til å kontrollere og revidere leverandørens aktiviteter knyttet til avtalen Sikre Finanstilsynets tilgang til opplysninger fra og tilsyn hos IKT-leverandøren Finanstilsynsloven Meldeplikt ved ny eller endret avtale, eller bytte av oppdragstaker Minst 60 dager før iverksettelse av avtalen Finanstilsynet kan sette vilkår, gi pålegge om ikke å iverksette eller avslutte oppdraget dersom utkontrakteringen som ikke oppfyller finansforetakslovens bestemmelser 6

Skytjenester Næringen m.fl. har foreslått at bruk av skytjenester må unntas s utkontrakteringsbestemmelser om rett til kontroll, revidering, innsyn og tilsyn både for foretaket og for tilsynet Begrunnelsen var at blant annet Bruk av skytjenester er annerledes enn tradisjonell utkontraktering Vil være umulig å få til avtaler med store skyleverandører, som bl.a. Google, Amazon, Microsoft, i tråd med s bestemmelser. Finanstilsynet har avslått dette stiller tydelige krav til foretakene Avtaler som oppfyller s krav, er kommet på plass hos flere 7

Krav til hendelsesrapportering Rapporteringsbestemmelsen fastsatt i 2009 Avvik som medfører vesentlig reduksjon i funksjonalitet som følge av brudd på konfidensialitet (beskyttelse av data), integritet (sikring mot uautoriserte endringer) eller tilgjengelighet til IKT-systemer og/eller data, skal rapporteres til Finanstilsynet. Rapporteringen skal normalt omfatte hendelser som foretaket selv kategoriserer til alvorlighetsgrad svært alvorlig eller kritisk, men kan også omfatte andre avvik dersom disse avdekker spesielle sårbarheter i applikasjon, arkitektur, infrastruktur eller forsvarsverk. Finanstilsynets oppfølging skjer mot foretakene under tilsyn selv om virksomheten er utkontraktert. Omfatter ikke tjenesteleverandører, men noen av de største / viktigste rapporterer større hendelser frivillig. Det er foretakene selv som må løse problemer ved hendelser, enten det er operasjonelle hendelser eller sikkerhetshendelser 8

Operasjonelle versus sikkerhetshendelser 9

Tilsynsmessig oppfølging Generelle IKT-tilsyn Temabaserte IKT-tilsyn Utkontraktering Drift og beredskap IT-sikkerhet, inkl cybersikkerhet Risikoanalyser Tilgangsstyring Problemhåndtering og hendelsesrapportering Utkontrakteringsmeldinger Hendelsesrapportering Vurdering av IKT-risiko for de største bankene inngår i regelmessig vurdering av bankenes risiko og individuelle kapitalkrav (pilar 2) 10

FINANSTILSYNET Revierstredet 3 Postboks 1187 Sentrum 0107 Oslo www.finanstilsynet.no

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding