「EU コンプライアンス義務の理解」シリーズ:金融サービス
で パート 1 このブログシリーズでは、コンプライアンスの状況と、サイバーセキュリティに関するさまざまな業界がそれぞれ独自の統治義務やガイダンスを持っていることについて説明しました。これに続いて、 ポスト クリティカルシステムおよびオペレーショナルテクノロジー分野の規制とセキュリティ管理についてです。これは私が直接経験した分野であり、サイバーセキュリティが発展するにつれて興味をそそられる分野です。
ここでは、(ある意味で)正反対の業種に移りますが、ここでは、金融機関や銀行に適用されるEUおよびヨーロッパ固有の義務について詳しく説明します。私たちにはグローバルな義務がありますが スイフトキャップ そして PCI-DSS このシリーズのテーマに沿って、特にEUに適用される規制とガイダンスに焦点を当てて、他の箇所で詳しく説明します。多くの人にとって、これらの義務の影響がヨーロッパ最大のITセキュリティプロジェクトのいくつかを形作っています。
前と同じように、まず頭字語をいくつか定義しましょう。
- FMI —金融市場インフラ。これらは銀行業務そのものを支えるシステムです。
- CMI —支払いと市場インフラに関する委員会。CPMIは、決済、清算、決済システムの安全性を促進し、監督を行うための勧告を行う国際機関です。
- オスコ — 国際証券委員会機構。これは世界の証券および先物市場を規制する機関です。
- ECB — 欧州中央銀行。ユーロを共通通貨として採用している19のEU諸国の中央銀行。
- 一口飲む —システム上重要な支払いシステム。これについては以下で詳しく説明しますが、これにはほとんどの銀行が使用している国際的なバックボーン決済システムのいくつかが含まれていれば十分でしょう。
先に進む前に、SIPS について少し調べてみましょう。SIPS は主要な決済システムであり、万一障害が発生した場合に国全体に影響を及ぼすのが普通です。ここで定義したシステムの場合、個々の国とは対照的に少なくともヨーロッパ全体を対象としており、多くの場合、その適用範囲と使用範囲はグローバルです。
関連するガイダンスの対象となる主なシステムは、TARGET2、EURO1、およびSTEP2-Tです。SIPS 規則では、ECB がこれらの 3 つのシステムを監督する責任があります。さらに、欧州中央銀行(ECB)とベルギー国立銀行/ベルギー国立銀行(Banque Nationale de Belgique)が監督する責任があります。 マスターカード決済管理システム SIPS、およびフランス銀行が監督を担当しています コア (フランス)。
世界的な例として、米国連邦準備制度は、CLS制度に対する主要な監督責任を受け入れ、G10諸国の中央銀行とともに、ECBが参加する協力的な監視の枠組みを主導しています。ユーロシステム内では、他のユーロシステム中央銀行と緊密に連携しながら、CLSによるユーロ建て支払いの決済をECBが主な責任を負っています。
システム上重要な決済システムの基本原則
SIPS として分類されるには、システムが以下のガイドラインに従う必要があります。これらは銀行業界では「十戒」と呼ばれることもあります。
- 根拠のある法的根拠。
- 参加者がシステムへの参加を通じて被る各金融リスクに対するシステムの影響を明確に理解できるようにする規則と手続き
- 信用リスクと流動性リスクの管理手順を明確に定義し、システム運営者と参加者のそれぞれの責任を明記し、それらのリスクを管理および抑制するための適切なインセンティブを提供する。
- 購入日に、できれば日中に、最低でもその日の終わりに迅速に最終決済を行います。
- 多国間ネッティングが行われる場合には、最低でも、最大の単一決済債務を負っている参加者が決済できなくなった場合に、日々の決済をタイムリーに完了させることができるようにすべきである。
- 決済に使用される資産は、中央銀行への債権であることが望ましく、他の資産が使用される場合、信用リスクはほとんどまたはまったくなく、流動性リスクもほとんどまたはまったくないはずです。
- 高度なセキュリティと運用の信頼性、および日常的な処理をタイムリーに完了するための緊急時の取り決め。
- ユーザーにとって実用的であり、経済にとっても効率的です。
- 公正でオープンなアクセスを可能にする客観的かつ公に開示された参加基準。
- 効果的で説明責任があり、透明なガバナンスの取り決め
リストの7番目のエントリを強調しました。これは、私たちが焦点を当てるサイバーセキュリティに関する周囲のガイダンスに流れ込む部分だからです。
これらのSIPSを保護する方法についての指導を支援するために、CPMIは2016年にIOSCOと共同で次のことをまとめました。 金融市場インフラのサイバーレジリエンスに関するガイダンス(ガイダンス)。 この文書には、この規模と影響の大きいシステムを保護するための詳細なガイダンスが含まれ、測定戦略とともに、いくつかの重要な重点分野が定義されています。
たとえば、高レベルのセキュリティセクションには次のものが含まれます。
身分証明書: これは、そもそもどのシステムを保護する必要があるかを判断する組織の能力に関係します。これには、ビジネス機能、プロセス、資産、情報が含まれます。正しく識別できれば、次の取り組みの優先順位付けが可能になります。
この分野の改善の鍵は、価値の高いシステムと、それが確立した依存関係を迅速に特定することです。ほとんどの場合、これらのシステムはすでに複雑なブラウンフィールド環境として存在しており、重要な依存関係や経路をすべて特定するには多大な作業が必要です。
保護: 重要なシステムをサイバー攻撃や侵害から保護することを目的として、効果的な統制を実施する方法が明らかになったら、その方法を説明します。
私にとって、 ゼロトラスト ここで重要な役割を果たします。できる限りデフォルト拒否アーキテクチャに近いアーキテクチャを採用することで、保護が本質的に行われ、攻撃の範囲が縮小されます。さらに、侵害が成功した場合の被害範囲は本質的に小さくなります。
検知: 実用的であるため、対象システムに対する攻撃が成功した場合に使用すべき検出方法、封じ込め、および緩和策の概要を説明しています。
識別部分と保護部分に直接接続すると、通常の動作がすでに確立され、ネットワーク、アプリケーション、およびユーザーアクセスによるデフォルト拒否構成が導入されていれば、攻撃の検出がはるかに簡単になります。
テスト: 補遺として、テストセクションには、前の 3 つのセクションで扱ったシステムを準備およびテストし、攻撃に耐えられるように検証を繰り返すことで回復力のある方法でシステムを構成する最善の方法が記載されています。
私は 以前に書かれた これらのセクション間のマッピングでは イルミオ 重要なアプリケーションとフローの特定、ゼロトラストポリシーアーキテクチャによる攻撃からの保護、アプリケーションの動作の変化の検出を支援します。最後に、ガイダンスの対象となる組織が安全な構成を証明するのを支援します。
元の研究に加えて非常に役立つ進展として、2018年にECB自体が「というタイトルの追加資料」を発表しました。 金融市場インフラに対するサイバー・レジリエンス監督への期待 (コア), これにより、推奨事項を実装するための手順に関する追加のガイダンスが提供され、より抽象的な概念を明確で現実世界の技術例にマッピングし、最後に、FMIの成功の測定方法に関する明確な期待値が示されます。
CROEは、すべての機関のセキュリティ強化に役立つFMI間のコミュニケーションを奨励していますが、2016年の元の論文で概説されている次の3つの測定レベルを引き続き参照しています。
進化: FMI全体にわたって、特定、管理、軽減のための必要不可欠な機能が確立され、進化し、維持されている サイバーリスク、理事会によって承認されたサイバー・レジリエンス戦略と枠組みに沿ったものです。プラクティスのパフォーマンスは監視および管理されます。
前進: このレベルの業務には、進化するレベルの要件を満たすことに加えて、より高度なツール(高度なテクノロジーやリスク管理ツールなど)の導入も含まれます。これらのツールは、FMIの事業部門全体に統合され、FMIにもたらされるサイバーリスクを積極的に管理するために時間をかけて改善されてきました。
イノベーション: FMIのサイバー・レジリエンスとそのエコシステムを強化し、外部の利害関係者と積極的に協力することで、進化しつつあるレベルの要件を満たすことに加えて、急速に進化するサイバー脅威環境の中で、必要に応じてFMI全体の能力を強化します。このレベルでは、FMIとより広範なエコシステムがサイバーリスクを管理し、サイバーレジリエンスを強化するために、人、プロセス、技術の革新を推進することが含まれます。そのためには、新しい統制やツールを開発したり、新しい情報共有グループを作ったりする必要があるかもしれません。
まとめると
これらのシステムが日常生活に及ぼす影響(つまり、システムが危険にさらされた場合に壊滅的な国や世界的影響が及ぶ可能性)に関する理解が大幅に高まっていることは、文書と担当チームと話した経験の両方からわかります。これらの進展はまだごく最近のことであり、ガイダンスの実施はまだ始まったばかりである可能性があることを物語っています。とはいえ、この記事の最初の部分で述べたように、これらのガイドラインが10年にわたる高レベルのITおよびITセキュリティプロジェクトをどのように形成しているかを直接見てきました。実装されているシステムのタイプを決定し、それらを文書内の主要な測定可能な領域にマッピングし、システム自体をどのように設計および構築するかなどです。
イルミオでは、両方の文書に直接関係する3つの重要な領域、つまり、Illumioによる識別に焦点を当てています。 アプリケーション依存関係マッピング。これにより、組織は重要なシステムやアプリケーションのリアルタイムマップを操作し、それらの間の通常の依存関係やアプリケーションフローを確立することができます。また、次のセクション「保護」に必要な境界を正確に絞り込むこともできます。
イルミオのプラットフォームは、本質的にゼロトラストです。必要なアプリケーションフローのみを許可し、潜在的な妥協経路やラテラルムーブメントを大幅に制限するポリシーを定義できます。マッピングとポリシー構成を組み合わせることで、第3の重要な柱である脅威を、新たに試みられた通信経路である変化を浮き彫りにすることで、脅威を簡単に検出できます。 アプリケーションワークロード 動作、および侵害されたワークロードを迅速かつ安全に隔離する機能。
アイミオとサッカースカカサン、 ソリューションページ。次は、GDPRとかTSRなど、EU_U_SPR取っついてるだろ。