墨西哥：金融部门评估计划：关于网络弹性和金融稳定的技术说明

墨西哥 金融部门评估规划 国际货币基金组织的报告没有。22/340 2022年11月 关于网络弹性和金融稳定性的技术说明的技术说明 这份关于墨西哥FSAP网络弹性和金融稳定性技术说明的技术说明由国际货币基金组织的一个工作人员团队编写，作为与成员国定期磋商的背景文件。它基于2022年10月完成时的可用信息。 本报告的副本可从以下网址向公众提供 国际货币基金组织(imf)92780年出版服务的邮政信箱华盛顿特区20090电话:(202)623-7430传真:(202)623-7201 电子邮件：publications@imf.org网站：http://www.imf.org价格：每份印刷本18.00美元 国际货币基金组织(imf)华盛顿特区 ©2022国际货币基金组织(imf) 墨西哥 金融部门评估规划 2022年的10月25日 技术报告 网络弹性和金融稳定 本技术说明由基金组织工作人员在墨西哥金融部门评估方案的背景下编写。该说明包含支持FSAP调查结果和建议的技术分析和详细信息。有关FSAP计划的更多信息，请访问http://www.imf.org/external/np/fsap/fssa.aspx。 准备的 IMF货币和资本市场部门 内容 术语表4 执行概要6 的介绍11 A.背景：网络风险是金融稳定问题11 B.审查范围：银行、非银行和金融市场基础设施12 战略和治理13 A.网络策略13 B.制度框架14 C.治理安排15 D.协调与合作18 E.资源19 F.建议20 金融系统和网络映射21 A.网络地图的金融体系21 B.外包和第三方风险22 C.建议24 网络监管框架和监管实践25 A.FMI网络监督25 B.网络监督29 C.建议31 监测、响应和恢复33 A.监控33 B.反应和恢复35 C.建议36 信息共享和事件报告37 A.信息共享37 B.事故报告37 C.建议40 2国际货币基金组织(imf) 网络威慑40 盒子 1.责任DG-ISS和DG-OTRCNBV17 数据 1.可能的金融部门的结构网络地图24 2.FMI景观26 表 1.关于网络弹性和金融稳定的建议9 2.Banxico网络安全局各部门的职责16 3.2020-2021年期间的网络事件34 4.网络事件报告制度38 术语表 反弹道导弹墨西哥银行协会AMIB墨西哥经纪机构协会AMSOFIPO墨西哥大众金融公司协会APT高级持续威胁BANCOMEXT公司本地外观国家银行”Banxico墨西哥银行(中央银行) BCBS巴塞尔银行监管委员会中共中央对手方cert计算机紧急反应小组 CESF全称金融系统稳定委员会CESI信息安全专业委员会 CIDGE电子政务发展部际委员会CISO首席信息安全官 CNBV国家银行和证券委员会 CNSF国家保险和担保委员会CONCAMEX墨西哥储蓄和贷款合作社联合会CONDUSEF国家金融服务用户保护和防御委员会 （国家金融服务消费者保护委员会） CONSAR国家退休储蓄委员会 CPMI支付和市场基础设施委员会CPSS支付和结算系统委员会CSD中央证券存管处 csp云服务提供商fgr一般律师办公室 fmi金融市场基础设施fsb金融稳定委员会 FS-ISAC金融服务信息共享和分析中心GRI信息安全敏感事件响应组GTL通用威胁形势 信息通信技术信息和通信技术国际货币基金组织国际货币基金组织 INAI国家透明度、信息获取和个人数据保护研究所 国际证监会组织国际证券委员会组织国际标准化组织 NIST国家标准与技术研究院 4国际货币基金组织(imf) OSSAT欧洲中央银行操作安全态势感知秘书处SHCP财政和公共信贷部SPEI银行间电子支付系统 SWIFT全球银行间金融电信TTP策略、技术和程序协会 执行概要1 墨西哥的金融体系正在迅速数字化，网络风险的风险越来越大。与其他司法管辖区一样，墨西哥的互联网和移动银行用户大幅增加，但近年来网络事件也激增。其金融体系内外紧密的相互依存关系使墨西哥容易受到不断变化的网络威胁的影响。因此，金融系统稳定委员会（CESF）已经认识到网络是一种可能影响金融稳定的风险。 墨西哥银行（Banxico）和全国银行和瓦洛雷斯国家委员会（CNBV）在增强金融部门的网络弹性方面取得了重大进展，但还需要进一步的工作和改进。每个机构在其组织内都有一个专门的部门，负责促进金融部门的网络安全和网络弹性。与国际同行相比，改善金融部门内部在网络安全领域的协调与合作的正式协议是协调与合作的一个很好的例子 。Banxico已经制定了网络安全战略。然而，这两个当局都将受益于网络战略的增强，该战略规定了如何在系统层面以综合和全面的方式有效地识别、管理和降低金融部门和金融市场基础设施的网络风险。 Banxico应加强对金融市场基础设施（FMI）的网络风险监管。尽管Banxico对连接到银行间电子支付系统（SPEI）的参与者的监管力度很大，但Banxico应利用CPMI-IOSCO指南，为其授权下的所有FMI制定明确的监管要求，从而提高 FMI的网络弹性。此外，对监督员进行密集的网络培训，加上结构化、全面的网络监督方法和适当的工具，将提高监督职能的能力和效力。 支付系统监督职能应具有足够的独立性和资源，以便对SPEI系统进行彻底的监督。Banxico采用三道防线模型（即运营 ，风险管理和内部审计）来运营SPEI系统，以及信息的安全传输和问责规则，受益于强大的网络安全和运营部门。但 是，在CPMI/IOSCO原则的背景下，没有正式的监督来对SPEI作为一个具有系统重要性的支付系统进行独立、持续和深入的监督。授予足够的独立性，独立于SPEI运营商和资源将有助于支付系统和市场基础设施总局内的监督部门履行Banxico对所有支付系统（包括SPEI）的任务。 网络风险监管和监督实践需要重大改进。鼓励CNBV向其所有受监管的金融实体发布可执行的指导或法规 1本技术说明由EmranIslam（货币基金组织货币和资本市场部金融监督和监管司）编写。FSAP感谢当局的建设性对话和他们分享的许多见解。 6国际货币基金组织(imf) 网络风险，不仅针对信贷机构和金融科技。2CNBV还应实施更加结构化，基于风险的网络监管方法，并辅以适当的工具。对金融实体的现场检查于2022年4月刚刚开始，对可能的风险的明确识别将受益于非现场监督，例如信息传输没有得到很好的保护以及缺乏问责规则。最后，应给予网络监督单位足够的资源来履行其职责，并使用各种不同的监管工具（例如，使用独立审计员），从而利用其有限的资源最大限度地提高效率。 Banxico和CNBV将从考虑开发金融体系的网络地图中受益。虽然网络测绘是一个新兴领域，但它将有助于加深对金融实体和FMI在运营和技术上如何相互联系的理解，他们为保证信息安全而采取的措施，以及哪些传输渠道可能通过 网络攻击引发金融不稳定。基于这一分析，他们应该制定一系列网络传染情景，并在他们的联合学院使用这些情景，以建立更强大的全行业危机准备。 墨西哥将受益于改善其威胁情报和信息共享的公共和私人平台。通过在共享社区内交换网络信息和情报，金融实体可以提高其防御能力、威胁检测技术和缓解策略。Banxico应与金融部门合作，开发全行业的网络信息和情报共享网络 。 建议进一步改进响应和恢复能力.CNBV将受益于正式制定网络事件的内部和跨境危机管理协议，而Banxico和CNBV都应在协调基地方面采取具体行动，以改善网络风险的跨机构危机管理框架。3通过改善公共和私人利益相关者之间的协调与合作，墨西哥将能够更好地管理系统性网络事件。最后，Banxico和CNBV在其联合学院应定期进行基于整个市场 的网络危机桌面模拟演习，包括不同的机构（例如，财政和公共信贷部和IPAB）和金融实体/FMI，基于一系列极端但合理的情景。 当局需要提高金融部门对围绕协调基地的网络威慑过程的认识。它规定了网络威慑以及对网络犯罪分子的调查和起诉的协议。调查和起诉的责任在于总检察长，但也存在一些关键挑战：例如，金融实体必须正式要求进行调查，但不愿意这样做，因为这会导致没收钥匙 2就本说明而言，由CNBV监管的银行，非银行和其他类型的金融机构应称为金融实体，而金融市场基础设施应称为FMI。需要注意的是， CNBV有一个法规草案，预计将于今年发布。 3协调基地是由财政和公共信贷部（SHCP），班希科，CNBV，CONDUSEF，CONSAR，CNSF，FGR，ABM，AMIB，AMIS，AMIG， AMAFORE，AMSOFIPO，AAGEDE， ASOFOM，金融科技协会，AFICO和CONCAMEX与行业协会和金融实体协调，为信息安全方面的合作奠定基础。 资产;有必要在法官和调查人员中建立技术专长，以分析犯罪和证据。Banxico和CNBV可以在为金融实体发布有关如何存储，处理和管理证据的指南方面发挥有效作用，以促进调查并提高对金融实体内部发展专业知识和对网络事件进行有效调查的重要需求的认识。 当局应改进围绕协调基地的实施进程。它为墨西哥公共和私营利益攸关方之间的协调与合作奠定了良好的基础，尽管目前正式没有牵头机构负责全面执行。协调基础需要转化为业务结构、政策和程序，并具有明确的领导结构。Banxico和CNBV应该明确说明他们将如何合作-彼此之间，行业，其他当局等-而不损害各自的任务。目前正在努力使这些结 构和流程正规化，Banxico和CNBV提议它们在它们之间发挥领导作用。实施这些结构和流程应成为优先事项，因为加强协调与合作将实现更加综合和全面的方法来建立金融部门的网络弹性。 8国际货币基金组织(imf) 表1.墨西哥：关于网络弹性和金融稳定的建议 建议和负责执行的机构 时机 负责任的政府 战略和治理Banxico和CNBV应继续为金融部门和FMI制定其网络战略，无论是在自己的任务中还是在联合职能中，具有明确的愿景和目标，明确阐明在实施战略，实施战略所需的举措和工具方面的作用和责任，实施路线图和时间表，以及实现战略所需的资源和投资估计（¶31）。 我 Banxico,CNBV Banxico和CNBV在其联合学院应明确其在网络风险方面的内部协调和外部合作方面的不同角色和责任（¶32，33）。 NT Banxico,CNBV Banxico和CNBV应正式确定运营结构，政策和程序，以运作协调基础和信息安全敏感事件响应小组（GRI），以实现跨机构的信息共享，合作和协调，明确墨西哥金融部门不同利益相关者（公共和私人）的角色和责任，并明确牵头机构的作用（¶34）。 NT Banxico,CNBV Banxico和CNBV应提高其在加强墨西哥金融部门网络弹性方面发挥作用的能力，同时考虑一系列不同的方法，例如增加资源和工具（¶35）。 NT Banxico,CNBV 金融系统和网络映射Banxico和CNBV在其联合学院应考虑开发金融部门的网络地图，以分析不同的传播渠道，记录一系列不同的传染情景，制定剧本和进行练习，并考虑潜在的压力测试情景，基于这些情景（¶45）。 太 Banxico,CNBV CNBV应维护系统重要性金融实体和FMI的第三方服务提供商的特定数据库，并进行分析以识别关键的第三方服务提供商，并确定墨西哥金融体系是否存在集中风险（¶46）。 NT CNBV 网络安全风险监督(Banxico)Banxico应根据CPMI-IOSCO指南及其网络战略，为其监督任务范围内的FMI制定和发布监管要求，包括SPEI（¶61）。 我 Banxico Banxico应该遵循一个更有条理和全面的网络风险监督流程。这包括利用一系列工具和技术来评估用于根据既定要求解决网络风险的措施，得出明确的结论，并确定具体的补救措施或专题调查结果。在确定未来行动时，应考虑到这些评估和结论。此外，Banxico应为其监督者提供适当的网络培训（¶61）。 NT Banxico 1/I立即（1年内）;新界近期（1-2年内）;M