南非：金融部门评估计划——网络安全风险监管技术说明

南非基金组织第 22/181 号国别报告2022 年 6 月金融部门评估计划网络安全风险监管技术说明本关于网络安全风险监督和监督的技术说明由国际货币基金组织的一个工作人员团队在国际货币基金组织和世界银行联合金融部门评估计划 (FSAP) 的背景下编写。它基于 2021 年 6 月完成时可用的信息。本报告的副本可从以下网址向公众索取国际货币基金组织 出版服务邮政信箱 92780 华盛顿特区 20090 电话：(202) 623-7430 传真：(202) 623-7201电子邮件：publications@imf.org 网址：http://www.imf.org 价格：每份印刷版 18.00 美元国际货币基金组织华盛顿特区© 2022 国际货币基金组织 2022 年 6 月 2 日南非金融部门评估计划技术说明网络安全风险监管编制货币与资本市场部本技术说明是在 2021 年 6 月南非金融部门评估计划的背景下编写的，该任务由国际货币基金组织的 Jennifer Elliott 和世界银行的 Eva Gutierrez 领导，并由货币和资本市场部、国际货币基金组织和财政部监督，竞争力和创新全球实践，世界银行。它包含支持 FSAP 调查结果和建议的技术分析和详细信息。有关 FSAP 的更多信息，请访问 http://www.imf.org/external/np/fsap/fssa.aspx 南非 内容词汇表3执行摘要5 简介9网络安全风险监管10A.B.网络弹性的制度结构12C.___ _____17D.E.响应和恢复能力24数字1.南非具有系统重要性的金融市场基础设施122.审慎监管局的金融机构网络监管框架183.审慎监管局信息科技风险监管方法21桌子1. 钥匙建议_______________________________________________________________________________________________________________8附件I.网络中的常用术语（网络词典）27II.网络安全风险监督和运营弹性方法概述292国际货币基金组织 南非BCBS BCM BCP CABS CCP CERES CERT CLS CPMI CRS CSD CSP DDoS DD4BC FICFinStab FIFMI FSC FSCA FS-ISAC FSCF IOSCO ITJSEMI MISP NPS NPSD OSINT OTC PRA PASA PCH PFMI PS PSMB RAM RTGS SABRIC词汇表巴塞尔银行监管业务连续性管理委员会业务连续性计划非洲银行监管机构中央交易对手共同体中央银行和监管机构主管论坛社区应急响应小组CLS国际银行支付和市场基础设施委员会网络安全弹性小组委员会中央证券存管关键服务提供商分布式拒绝服务比特币金融情报中心的分布式拒绝服务金融稳定部金融机构金融市场基础设施金融稳定委员会金融部门行为监管局金融服务信息共享与分析中心公司金融部门应急论坛国际证券委员会信息技术组织约翰内斯堡证券交易所市场基础设施恶意软件信息共享平台 全国支付系统国家支付系统部场外开源情报审慎监管局支付协会南非支付清算所金融市场基础设施支付系统原则支付系统管理机构风险评估矩阵实时总结算南非银行风险信息中心国际货币基金3 南非4国际货币基金组织SADC-RTGS SAMOS SARBSIFI SIPI SSS SWIFT ZAR南非发展共同体实时总结算 南非多重期权结算南非储备银行系统重要性金融机构 系统重要性支付系统 证券结算系统环球银行金融电信协会南非兰特 南非执行摘要国内网络威胁格局1正在演变，对风险管理提出了挑战。网络安全风险在复杂性和严重性方面持续增长，并且是日益开放和互联的网络和金融生态系统。南非金融体系在融合技术方面有着悠久的历史，对于全球许多金融体系而言，数字化已成为战略重点。为了使风险管理跟上网络威胁和威胁代理的动态性质，系统重要性金融机构 (SIFI) 已对网络弹性计划进行了大量投资（例如，建立网络战略、框架和治理结构）。与许多司法管辖区一致，部分原因是为应对全球大流行而实施的广泛远程工作安排，对金融稳定的网络安全威胁有所增加。然而，高标准的风险管理意味着威胁不会变成重大损失和/或中断。南非当局已经建立了一个强有力的制度框架，以加强金融体系的网络弹性。网络安全和网络弹性对于南非金融部门的国家金融稳定至关重要。南非网络安全框架非常成熟，并基于以下四项原则：保护、检测、响应和恢复。一个涉及众多公共和私人利益相关者的正式委员会结构负责检测、升级、协调、响应和恢复。南非储备银行（SARB）在金融稳定方面负有直接责任，发挥着举足轻重的作用。审慎监管局 (PA) 实施监管框架和监管流程，以监控受监管实体与网络安全风险和网络弹性相关的政策、流程和实践。 SARB 和金融部门行为监管局 (FSCA) 对金融市场基础设施 (FMI) 的监督、监督和监管基于全球标准。2已经建立了合作平台，以在国家层面有效地检测和管理网络攻击，从而支持金融稳定。这些平台有利于当局、基于部门的计算机应急响应小组 (CERT) 和公共和私营企业。南非银行业风险信息中心 (SABRIC) 为公共部门和私营部门之间的信息共享提供了一个接口。金融机构——尤其是 SIFI——在人员、流程和系统方面进行了大量投资，以提高各自企业的网络安全风险管理标准和治理。示例包括网络安全风险和成熟度评估、威胁模拟练习和不断努力提高控制的成熟度。1网络安全工作中常用的术语在附件 I 中定义。2金融部门的网络安全标准通常是组织遵守以相互连接的规则集，例如支付部门，用于存储客户数据等。全球网络安全行业标准示例包括（但不限于）：美国国家标准与技术研究院 (NIST)、ISO/IEC 27001/27032 等。国际货币基金5 南非6国际货币基金组织有加强网络安全监督和监督的余地，需要额外的专用资源。现场检查应更加频繁，至少每年对 SIFI 进行一次，对网络安全风险管理能力进行更全面的验证。 SARB 和 PA 应在该领域投入更多资源，特别是通过招聘和留住更多网络安全风险专家。增加更多专业资源将帮助监管人员掌握必要的技能、时间和第一手知识，以识别漏洞、评估控制的有效性并验证风险管理的有效性。PA 为开发和实施新的监管工具（例如网络安全风险管理问卷）做了重要工作；下一步将专注于收集和在现场检查之前分析信息。这将有助于主管在现场检查期间专注于已识别的问题并更深入地探索威胁和漏洞。总而言之，这些资源和工具将为 PA 提供一个机会，为受监管实体提供与更广泛的行业经验和风险管理标准相关的基准，从而帮助受监管实体确定优先级。朝着一致和统一的网络安全监管框架（基于审慎标准）迈进应该是一个优先事项。虽然 PA 历来使用过指导说明，但向完全阐明的标准迈进将通过给予监管框架额外的权重来加强应用和可执行性并影响行为，并向行业发出该主题的重要性的信号，反映 PA 与其他支柱 1风险（信用和市场风险）。此外，巴塞尔委员会最近发布的关于操作风险管理和操作弹性的指南为 PA 提供了良好的利用向网络弹性监管框架迈进的工具。应通过持续的银行监管和 FMI 监管来加强第三方风险管理。第三方服务提供商在 SIFI 中发挥着不可或缺的作用，虽然对提供商的依赖并非南非独有，但在某些情况下，这些提供商表现出高度集中、低可替代性和脆弱性（网络事件场景之外），这可能充当发生网络事件时的放大器。 SARB 和 PA 应继续挖掘从映射中获得的连接/依赖关系/集中度信息，并使用这些信息为后续步骤（潜在的第三方监督等）提供信息。其次，SARB 将识别关键第三方作为映射工作的优先结果。第三，与 SIFI 就其对第三方服务提供商的管理进行接触，评估正在进行的风险管理标准和尽职调查，以了解其运营弹性标准，最后，让 SARB 和 PA 在私人论坛期间优先管理第三方和公共部门合作，例如 SABRIC 等。FMI 有系统发展和实现更成熟的网络弹性状态的空间。虽然 FMI 认识到网络弹性的重要性，但与国际标准之间存在差距，应予以纠正。加快国家支付系统 (NPS) 法案成为法律将正式采用 CPMI-IOSCO 金融市场基础设施原则 (PFMI) 和为 SARB 建立明确的监管、监督和监督权力，为为 PS FMI 实施 CPMI-IOSCO 网络弹性指南。正规化网络 南非所有具有系统重要性的 FMI 的弹性框架，特别是实时总结算系统、区域跨境转移系统和资本市场 FMI（Strate，JSE Clear），将是下一步。指标和成熟度模型将允许 FMI 对其进行基准测试和评估网络弹性成熟度针对一组预定义的标准，例如运营可靠性目标。基准将要求 FMI 分析和关联来自审计、管理审查、事件、恢复时间目标、未遂事件、测试和演习以及收集的外部和内部情报的结果。此外，此类指标有助于确定网络弹性框架中的差距以进行补救。最后，所有 FMI 关键服务提供商，除了消息传递提供商，都应根据适用于关键服务提供商的监督期望的 CPMI-IOSCO 评估方法进行评估。这是为了防止来自其他第三方的风险服务提供商，尤其是信息技术公司。响应和恢复能力，包括信息共享，对于持续管理网络威胁至关重要，也需要改进。目前的正式升级网络事件的处理过程似乎过于复杂，尽管有非正式的高级通信网络对其进行了补充。 SARB 可以赞助或领导一场全行业的危机管理活动，以测试并进一步深化整个行业的正式和非正式关系。部门。此外，SARB 应支持实施旨在共享网络安全威胁情报的全行业平台。此外，如上所述，SARB 是家许多具有跨境业务的银行的监管者，并且可能有更大的区域角色，SARB 可以在非洲银行监管机构共同体 (CABS) 的基础上改进信息共享) CABS 网络弹性小组委员会的安排。 SARB 还应通过与受监管实体合作来加强整个金融部门的渗透测试能力，以确保其渗透测试是稳健的。 SARB 内的各个利益相关者也可能希望确定实施监管机构主导的渗透测试的最佳方法（例如，基于 TIBER-EU 和英国 CBEST 等全球框架）。国际货币基金7 南非8国际货币基金组织表 1. 南非：主要建议建议和负责实施的权力时间1网络安全风险监管朝着实施一致的、跨部门的网络安全监管框架迈进（基于审慎标准）公吨加强网络安全监督和监督，加大对 SIFI 的监管力度和频率以及新的监管工具。英石通过持续的监督和监督，加强银行和 FMI 第三方风险管理。英石通过专门的专家加强 PA 的网络安全监督资源英石监控日内流动性管理和压力测试支付系统英石帮助加强金融部门的响应和恢复能力，包括：(i) 支持实施全行业的危机管理活动，最好由 SARB 主办和/或赞助，作为进一步深化跨部门正式和非正式关系的一种方式； (ii) 支持实施旨在共享网络安全威胁情报的全行业平台； (i) 加强整个金融部门的渗透测试能力。公吨网络安全风险监管加快通过修订后的《国家支付系统法》，为 SARB 建立明确的监管、监督和监督权力。英石为所有具有系统重要性的 FMI 制定网络弹性框架，并提供基准衡量标准。公吨监控 SAMOS 和 SADC-RTGS 参与者对 SWIFT 客户安全计划强制控制的遵守情况，并确保对自我证明进行审计。我根据适用于关键服务提供商的监督期望的 CPMI-IOSCO 评估方法评估所有 FMI 关键服务提供商。英石1/ 我立即（1 年内）； ST 短期（1-2 年内）； MT 中期（3-5 年内） 南非国际货币基金9介绍31.来自网络攻击的日益增长的威胁以及与金融稳定的联系已将网络弹性提升为金融部门的首要政策重点。操作风险——包括网络安全风险——是金融机构和金融机构考虑的首要风险类别之一监管者/监督者。虽然互联网和通信技术中断的风险一直被认为是金融机构的重要运营风险，但对技术的依赖增加、金融部门的互联性增加、技术的集中度以及至关重要的是，黑客可访问性的显着增加。过去几年的技术已经将网络安全风险推到了前台