特立尼达和多巴哥：技术援助报告-加强金融机构的网络安全

2023年5月 特立尼达和多巴哥 技术援助REPORT-STRENGTHENING 金融机构网络安全 国际货币基金组织的报告没有。23/161 这份关于特立尼达和多巴哥的技术援助报告是由特立尼达和多巴哥的一个工作人员小组编写的：国际货币基金组织。它基于当时可用的信息 2023年2月完工。 本报告的副本可从以下网址向公众提供国际货币基金组织(imf)出版服务 邮政信箱9278020090年华盛顿特区。电话:(202)623-7430传真:(202)623-7201 电子邮件：publications@imf.org网站：http://www.imf.org 价格:18.00美元/打印副本 国际货币基金组织(imf) 华盛顿特区。 ©2023国际货币基金组织(imf) 技术援助报告 特立尼达和多巴哥 加强网络安全金融机构 2023年2月 准备的 RangacharyRavikumarTamasGaidosch 编写部门: 货币和资本市场部门 内容页面 术语表3 前言。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 。。。。。。。。4 执行总结。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。5三世。金融部门网络安全指导方针发展和评估的监督 我能。力..介....绍190 一个。评估10 二世。研讨会在网络安全调节。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 B。建议。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 。。。。。。。。。。。9 第四。。网。络。安。全。治。理。。....。....。....。....。....。....。....。....。....。....。....。....。....。....。....。....。....。....1..215 一个。评估15 B。建议。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 V。身。份。。和。访。问。管。理。项。目。。....。....。....。....。....。....。....。....。....。....。....。....。....。....。....。....1..617 一个。评估17 B。建议。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 表。。。。。。。。。。。。。。。。。。。。。。。。。。18 表1.关键建议。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 。附。件。。。。。。。。。。。。。。。7 我。选择好我项目实践20 二世。议程–研讨会在调节。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 。。。。。。。。。。。。。。。22 GLOSSARY 首字母缩写呵呀 BCPCBTTCSP 细节 自动票据交换所业务连续性计划 特立尼达和多巴哥的中央银行客户安全计划 博士灾难恢复 FFIECFISDFIUTTFTE 联邦金融机构审查委员会金融机构监管部门 特立尼达和多巴哥金融情报室全职等效 我身份和访问管理 ICAAP 信息通信技术 它 罗马数字 MYND-CDD 苏格兰皇家银行 招RF标I书 TTSEC 助教 内部资本充足率评估过程信息和通信技术 信息技术 货币和资本市场部门 青年和国家发展部-合作社发展部门 基于风险的监管请求的信息 提案申请 特立尼达和多巴哥证券交易委员会技术援助 P重修表面 应特立尼达和多巴哥中央银行（CBTT）的要求，货币和资本市场部（MCM）提供了实地技术援助（TA）任务 2022年10月31日至11月4日期间加强金融机构的网络安全。 访问的目的是（i）加强金融机构的网络安全在CBTT的监督范围内，建立有效的监督能力 监管网络安全，以及（ii）加强中央银行的网络安全态势。 代表团在第一天会见了总督。访问团会见了帕特里克·所罗门 （检查员），金融机构监督局的MichelleFrancis-Pantor（副检查员）部门（FISD）和FrancesCorrea（IT顾问）及其团队成员。 本报告介绍了特派团的评估和主要结论。代表团谨表示感谢 CBTT的官员感谢他们的出色合作和富有成效的讨论。 EXECUTIVE年代UMMARY 应CBTT的要求，技术援助团负责加强金融网络安全机构于2022年10月31日至11月4日期间交付。州长在2022年春季会议期间要求TA以及任务和 通过与管理局进行对话确定了里程碑。特派团有两个目标：（i）加强受监管的金融机构的网络安全 CBTT的范围和（ii）改善CBTT的网络安全立场。对于项目加强中央银行的网络安全成立了一个内部项目小组。 为了加强金融机构的网络安全，CBTT已经建立了一个工作 由所有金融监管机构（即CBTT，特立尼达和多巴哥证券）组成的小组以及特立尼达和多巴哥金融情报室外汇委员会（TTSEC） （FIUTT）和合作发展委员会（CCD）办公室起草一个金融机构网络安全指南和监管手册。 可交付成果包括关于网络风险监管的能力建设研讨会。的 研讨会于2022年11月1日至3日举行，涵盖网络威胁形势、网络风险金融稳定、新技术对网络风险的影响、国际监管 实践、网络风险治理和管理最佳实践、第三方风险管理、事件报告、业务连续性规划、响应和恢复、信息共享，以及 测试。来自所有监管机构的监督官员亲自和远程参加了研讨会监管机构，尽管目前CBTT是唯一打算起草 这方面的指导。 CBTT确定了填补监管空白的必要性，并希望发布一个重点网络安全指南，涵盖治理、风险管理、事件报告和 网络卫生，并打算制定一份指南草案，以与其监管部门协商在2023年第一季度的机构。目前,没有信息 CBTT发布的通信技术（ICT）或网络风险指南。这些方面间接受关于公司治理、市场行为、 用于保护客户信息的安全系统，内部资本充足率评估流程（ICAAP）和外包。与几家银行的讨论表明， 受监管实体可能会有不同的看法，并且不认为这些指示是直接的适用于ICT/网络风险管理，强调需要单独的监管 指导。评估团与机构间工作组进行了多轮讨论。设立的目的是为制定指南提供指导。 信息通信技术/网络风险的监督安排需要进一步改进和资源 FISD内部的制约因素亟待解决。的组织结构 FISD表明监管银行和非银行的责任被委托给一个部门和保险和养老金公司到另一个。没有分配专用 即使是前五大银行的监管者。保险和 养老金公司。CBTT认识到网络风险的重要性，并采取了一些措施 包括定期就网络相关主题对银行进行专题审查，开展 对银行进行网络风险评估，并使金融部门参与者认识到需要增强网络安全。提高信息通信技术/网络的频率和强度非常重要特别是大型银行的考试。这将需要增加资源 迫切。迄今为止，保险和养老金公司尚未接受任何网络调查应对ICT/网络风险的相关主题和监管/监督举措有限。 为了帮助改善CBTT的网络安全态势，该任务执行了高网络安全治理以及身份和访问管理的级别评估 (我)项目。这两项评估都是基于对相关组织和 项目结构、政策和程序，以及与CBTT选定成员的访谈管理和员工。 网络安全治理评估的主要发现如下： （i）CBTT的网络安全治理是根据普遍接受的做法建立的金融部门，有一些细微的差异和资源限制; （ii）第一行1的信息安全职能隶属于信息技术主管，信息技术主管 要求补偿控制; （iii）不寻常的是，第二道防线——风险管理——在 IT治理,一线的作用; （iv）网络安全政策和程序涵盖了大多数重要主题，并且最近更新; （v）管理支付系统网络安全的政策在 需要技术控制。SWIFT网络安全控制环境更多由于客户安全计划的正式要求而全面 (CSP);和 （vi）董事会层面没有单独的网络风险委员会或类似委员会，但现有的委员会认为这个功能。 IAM项目已正式成立，目前处于第一阶段，正在考虑预备。项目的治理、高级路线图和可交付成果 第一阶段总体上符合良好做法。访问提请项目注意 在不久的将来，团队完成一些关键任务，包括从业务职能部门获取输入，到进行角色和访问权限评审，并制定正式要求等。一个 建议采取的行动摘要见附录一。 1就内部审计师协会（IIA）阐述的三线模型而言（内部审计师协会的三线模型– 由IIA出版），第一线角色：向客户提供产品/服务;管理风险。二线角色：风险相关事项的专业知识、支持、监控和挑战。三线角色：独立客观 就与实现目标有关的所有事项提供保证和建议。 T能力1。K莎莉RECOMMENDATIONS 建议优先级 组织和能力 时间参考 帧*段 增加信息通信技术/网络风险监管资源 网络风险监管 高立即15 起草涵盖银行的信通技术/网络风险准则，保险公司和养老公司的基础上各种 在法规研讨会上提供的意见，引起了一般原则与具体原则之间的适当平衡考虑到当地环境和数字的细节 景观 在准则中加入一项规定，以进行独立的定期评估银行、保险的网络准备情况公司和养老金公司由合格的外部 专业人士 纳入一项要求，要求董事会确定 附近 高16 术语 附近 媒介17 术语 附近 监管差距，制定适当的实施计划高18 术语 里程碑并作为指南的一部分提交给CBTT 准备网络事件报告模板并要求 附近 受监督的实体根据以下规定报告网络事件高20 术语 指南或模板中定义的要求。 使受监管实体认识到加强的必要性 通过演讲、采访等方式进行网络安全，并给人留下深刻印象附近 需要单独的指南，网络事件报告和银行之间的信息共享 规划和开展信息通信技术/网络准备调查保险公司和养老金公司 增加ICT/网络风险的频率和强度评估,为大型银行开始。 规划和增加监督资源，以确保自我充分的监管功能涵盖银行、保险公司和养老保险公司 考虑为 ICT/网络风险 网络风险监管 高21 术语 媒介 高22 术语 媒介 高23 术语 媒介 高24 术语 媒介 媒介25 术语 参考 建议优先级时间表 段 网络安全管理 评估IT安全部门的工作量并增加所需的资源。 将IT治理从风险责任中移除函数。 建立定期的网络安全会议和报告董事会层面的制度，由负责人参与它的安全。 制定安全的应用程序开发策略和安全加固基线。 制定政策以引入网络安全控制 ACH和RTGS系统更符合SWIFCSP。定期委托对 支付系统。 灾难恢复测试应包括模拟 媒介 高32 术语 高 短期内33 高 短期内34 高 短期内35 高 短期内36 高 短期内37 高媒介 彻底失败的主要数据中心。 计划第二阶段的项目,包括我 38 术语 身份和访问管理(IAM)项目 需求定义和角色以及访问权限审查作为主要任务,等等。 分析预计的工作量和专业知识与内部工作量和专业知识确定类型和程度的资源和技能 需要第三方支持。 高短期内44 高短期内45 采用分阶段方法我部署。高