IMF-冰岛：金融部门评估计划关于网络和运营弹性 监督和监督的技术说明（英译中）

月计划关于网络和操作阻力、监督和监督的技术说明以下位置向公众提供国际货币基金组织.出版服务邮政信箱92780.华盛顿特区EmailpublicationsimforgWebhttp//www.imf.orgeperprintedcopy金组织金组织货币和资本市场部日计划AP)任务中编写。它包含技术分析和支持FSAP发现和建议的详orgexternalnp/fsap/fssa.spaspx。词汇表3执行摘要481013A安全战略、合作与协调13BC、事件管理和练习18监督安排和实施19A和监管框架19C22D251.在销售点使用现金支付82.支付同业清算系统113.冰岛中央银行组织结构图21LE733行计算机应急小组(冰岛)金融稳定委员会(CBI)CERT-IS服务数字运营弹局电子通讯办公室欧洲证券和市场管理局政和经济事务部(Fjármála-ogefnahagsráuneytiñ)CPMIIOSCO基础设施销售点原则过程SamstarfsvettvangurUmRekstarorygiFjarmalainnvida(关于网络事务的公共/私人合作论坛)伦理红色团队SURFER冰岛的金融系统是庞大的、集中的和相互关联的——银行和非银行金融机构(NBFI)——在国内和国际。共有aiPOS致对电子支付手段的依赖移到新的核心支付系统已经接近完成，大大增强了其网络弹性。然而，与所有司法管辖区一样，冰岛金DDoS钓鱼等)。)攻击。冰岛一家主要伪造，使欺诈者可以获取登录详细信息并提取资金。金融部门的应急计划，应急准备和响应必须注意到I网络安全.明确阐明的战略将为采取更详细的行动提供指导和背景，以保持该部门的网络和运营弹性，确保财政和经济事务部(MoF)，CBI和其他参与者的行动朝着共同目标保持一致。当局应共同努力，制定针对55网络风险事务方面的正式合作与协调安排。我们鼓励冰岛当局继续巩固整个政府的网络安全努ISSURFCERTIS范围。。监管实体本身的自我评估和第三方进行的独立审查。缺乏现场访问和/或对ICT)和网络风险进行现场检查，以获得更全面的网络准备情况，从具有系统重要性的机构开始，并在增加专家监督66在冰岛进行威胁主导的基于情报的道德红色团队(TIBER)渗透测试将为网络风险漏洞提供有价值的额外见#ons系统、计划和工具I门网络安全监督ICBI部IBICBI部I大CBI/CERT-IS和做法I2。ICBI表板趋势。I国际货币基金7及证券结算D向于用于加的数字化扩大了潜在的网络攻击表面。中37.8%是存储在智能设备中的数字卡。只有1.4%的电子卡服务的三个主要提供商中的两个的功能以及用于身份验证的电子识别(eID)服务的可用性。大多数付款服务在DDOS所集并给客户带来了一些损失。有关银行赔偿客户的任何损失。近年来，银行一直在升级其许多核心支4.本说明重点介绍了冰岛金融体系的网络和运营弹性以及具有系统重要性的金融机构的监督和监督框架。从(i运营弹性，重CBIRTGS银行(Ariobai，51sladsbai和Ladsbai)和冰岛证券交易所(Kaphll51slads)已被列为系统重要银行。本说明对CBI，财政部和其他机构在网络安全战略，合。5.这项审查的基础来自国际指导和监管良好做法。由于没有可执行的网络安全风险国际监管标准，特派团团队(全风6月)。99统、方案和工具。MBK的参与者是CBI本身(也是财政部的商业银行)，国内商业银行和储蓄银行以及两家外国金融机构(streamMBKFMI据库站点。而不访问和网络分离进行标准网络控制。pA付，或者通过国内银行用于零售支付的专有格式。冰岛是单一欧元支付区(SEPA)的参与者，参与的大型银行符合TheBankingsystemsshownarehostedbythebanksthemselves.InpracticetherearemanymoreindividualsystemsatFariceehf海astercardCBID11.现金分配是目前借记卡和信用卡系统唯一可行的备份。尽管现金的使用减少了，但现金是所有付款的法定货ATM配会ATM国内机，讨论将提交给未来论坛，其作用是塑造冰岛核心金融市场基础设施发展的愿景和优先事项。论坛将eyaRapydbisorghavereducedtheoperationalresibilityoftheIcelandicpaymentsystemasawholewithaconsequencepotentialimpactonfinancialstabilityPriortothesedecisionsthequanierershadbeen。15.在危机中大规模分配和接受现金作为后备是未经考验的鉴于基于卡的支付在销售点交易中几乎占主导地ATM质疑现金，如果有的话。网络安全监督A.网络安全战略、合作与协调MoHESI月和ii和机构执行部门和机构都参与了该计划的制定。分配给财政部的行动主要是行政行动，在大多数情况下并不具18.先前(2015年)的战略设想建立网络安全委员会(CSC)和网络安全论坛。CSC为有关网络和信息安调网络和信息安全领域行动的论坛。CBICSC就事会每年举行商、交流信息和制定政策的场所，目的是为了公共利益而加强和维护金融稳定，并限制系统性风险主席的财政部长和中央银行行长组成。CBI运营风也出席了会议。委员会的任务是评估金融体系、系统性风险和金融稳定的现状和前景，讨论和确定在为必要的行动，以影响金融体系，从而加强和维护金融稳定，并在必要时向有关当局提出意见。它在内采取行政指令和决定。此外，委员会还决定在任何给定时间，哪些受监督实体，基础设施和市场被21.金融部门没有专门的网络安全战略。此外，虽然每个当局和机构在网络安全方面的作用可能来自相关立法和/或其更广泛的作用，但没有中央文件规定它们如何共同保护金融部门的网络安全。明确阐述的战略将为更详细的行享”)。SURF任务的一个方面是就旨在促进关键基础设施网络和信息系统的复原力的行动制定共同愿景。行动清单SURF始明确机构间合作和协调安排；.在发生事故时规定明确的责任。会CBI委员会S26.CBI参加了许多国际信息共享论坛。中央银行尽最大努力参与欧洲银行管理局，欧洲证券和市场管理局以及举行会BIS正在为金融部门当局和私营部门之间在网络风险问题上的正式合作与协调作出安排。CBI于2021年夏季建立了金融基础设施运营安全合作论坛(SamstarfsvettvagrUmRestaroryghiFjarmalaivida“SURF”)。该论坛由CBI旨在促进关键基础设施网络和信息系统复原力的行动制定共同愿景；.在影响金融系统安全的运营中断时协调行动银行和支付机构的首席安全官(CSO)之间的会议，中央银行也参加了这些会议。主要电信公司的CSO以及警察职能沟通渠道。29.CBI是北欧金融计算机应急响应小组(NF-CERT)的成员。NF-CERT是一项协作计划，允许成员在处直接成员。运营商和数字服务提供商)。CERT-IS的目标是与部门团体成员进行定期演习，在国家一级增加信息共享和积极合CERTIS享事件信息，并在包括金融部门在内的每个部门设立小组，以分享信息和协调应对措施。在审查时NFCERT立竿见影，非常有帮C.应急计划、事件管理和练习ATM。在CBI，如果严重，则需要财政部(和金融稳定委员会)的参与。IS措施。SURF分任务是在影响金融系统安全和效率的运营中断时协调行动。由RB领导的论坛内的一个工作组CBI围。A.法律和监管框架ICT的ResilenceActDORAInadditiontherehasbeensignificantregulatoryinterestinoperationalresilience.ThecurrentguidelinescontainsmanyoftheprinciplessetoutintheBaselPrinciplesforOperationalResilence11.营弹性法》和《巴塞尔运营弹性原则》方面。中央银行是监督金融部门网络和运营风险的唯一机构。中央银行的四个部门专注于对受监管实体的监管：相互关联。有10家银行，其中三家在冰岛意义重大(具有系统重要性)，还有一个大型保险和养老基金部门。银行见下面的监督方法和实践)，对公司进行的自我评估进行更深入的调查并提出更大的挑战，并对运营风险和相关控制在ii师的权力来增加其有限的内部资源进行网络风险审查。C监督方法和做法SREP上一年报告的事件及其处理方式；.任何漏洞扫描和渗透测试的结果(预计三大银行将进行年度红色团队演习)；.适用于SREP压力测试的方案(鼓励银行探索未来可能的运营和网络风险事件)；.新应用程序和网上银行产品的代码审查。Onlysystemicinstitutionsarerequiredtodoyearindependentpenetraltesting.ItisrecommendedtootherinstitutionstodothisonariskbasedapproachTheCBIhasdecidedto安全检查。保险监督最近完成了以ICT为重点的第三次运营风险现场检查，预计将在于全球公认方法的网络攻击演习进行测试。支持这一点的监督工作往往是以通知和信件的形式发