EU 규정 준수 의무의 이해 시리즈: 금융 서비스

에서 첫 번째 부분 이 블로그 시리즈에서는 규정 준수 환경과 각 산업마다 사이버 보안에 대한 고유한 규제 또는 지침이 어떻게 적용되는지에 대해 논의했습니다.그 뒤를 이어 게시물 제가 직접 경험한 분야인 중요 시스템 및 운영 기술 분야의 규제 및 보안 통제에 대해 다루었으며, 사이버 보안이 발전하면서 저를 매료시킨 분야입니다.

여기서는 (어떤 면에서는) 정반대의 산업 유형으로 넘어가겠습니다. 여기서는 금융 기관 및 은행에 적용되는 일부 EU 및 유럽 관련 규정에 대해 자세히 설명하겠습니다.우리에게는 다음과 같은 글로벌 규정이 있지만 스위프트 캡 과 PCI-DSS 다른 곳에서도 자세히 다루었습니다. 이 시리즈의 주제에 따라 특히 EU에 적용되는 통제 및 지침에 초점을 맞출 것입니다.이러한 명령의 영향은 유럽 최대 규모의 IT 보안 프로젝트에 영향을 미치는 경우가 많습니다.

이전과 마찬가지로 먼저 몇 가지 약어를 정의해 보겠습니다.

• FMI — 금융 시장 인프라.이러한 시스템은 뱅킹 프로세스 자체를 뒷받침합니다.
• CPMI — 결제 및 시장 인프라 위원회.CPMI는 결제, 청산 및 결제 시스템의 안전을 증진하고 감독을 제공하는 권고안을 제시하는 국제기구입니다.
• 키오스코 — 국제 증권위원회 조직.이 기관은 글로벌 증권 및 선물 시장을 규제하는 기관입니다.
• 유럽중앙은행 — 유럽 중앙은행.유로를 공통 통화로 채택한 19개 EU 국가의 중앙은행.
• 모금 — 체계적으로 중요한 결제 시스템.이에 대해서는 아래에서 구체적으로 설명하겠지만, 대부분의 은행에서 사용하는 국제 백본 결제 시스템의 목록을 포함한다고 해도 과언이 아닙니다.

진행하기 전에 SIPS에 대해 잠깐 살펴보겠습니다.SIPS는 장애가 발생할 경우 일반적으로 국가 전체에 영향을 미치는 주요 결제 시스템입니다.여기에 정의된 규정의 경우 개별 국가와 달리 최소한 유럽 전역에 적용되며, 대부분의 경우 적용 범위와 사용이 전 세계에 적용됩니다.

관련 지침의 적용을 받는 주요 시스템은 TARGET2, EURO1 및 STEP2-T 입니다.SIPS 규정에 따라 ECB는 이 세 시스템을 감독할 책임이 있습니다.또한 ECB와 벨기에 국립은행/벨기에 국립은행이 이 제도를 감독할 책임이 있습니다. 마스터카드 청산 관리 시스템 SIPS, 방크 드 프랑스가 감독을 담당합니다. 코어 (FR).

세계적인 사례로, 미국 연방준비제도 (Fed·연준) 는 CLS 제도에 대한 일차적 감독 책임을 받아들여 G10 국가 중앙은행과 함께 ECB가 참여하는 협력 감독 체계를 주도하고 있습니다.유로시스템 내에서 ECB는 다른 유로시스템 중앙은행과 긴밀히 협력하여 CLS의 유로 표시 지불금 결제에 대한 일차적 책임을 집니다.

시스템적으로 중요한 결제 시스템의 핵심 원칙

시스템이 SIPS로 분류되려면 아래 지침을 따라야 합니다.은행계에서는 이를 “10계명”이라고도 합니다.

1. 근거가 충분한 법적 근거.
2. 참가자가 시스템 참여로 인해 발생하는 각 재무 위험에 대한 시스템의 영향을 명확하게 이해할 수 있도록 하는 규칙 및 절차.
3. 신용 위험 및 유동성 위험 관리를 위한 명확하게 정의된 절차로, 시스템 운영자와 참여자의 각 책임을 명시하고 이러한 위험을 관리 및 억제하기 위한 적절한 인센티브를 제공합니다.
4. 가치 있는 날에 신속한 최종 정산, 가급적 하루 중, 최소한 하루가 끝날 무렵에 최종 정산.
5. 다자간 네팅이 이루어지는 경우, 참여자가 단일 결제 의무가 가장 큰 경우 최소한 일일 정산을 적시에 완료할 수 있어야 합니다.
6. 결제에 사용되는 자산은 중앙은행에 청구하는 것이 좋습니다. 다른 자산을 사용하는 경우 신용 위험이 거의 또는 전혀 없고 유동성 위험이 거의 또는 전혀 없어야 합니다.
7. 높은 수준의 보안, 운영 안정성, 일상적인 처리를 적시에 완료하기 위한 비상 조치.
8. 사용자에게는 실용적이고 경제적으로도 효율적입니다.
9. 공정하고 공개적인 접근을 허용하는 객관적이고 공개적으로 공개된 참여 기준
10. 효과적이고 책임감 있고 투명한 거버넌스 제도.

이 목록에서 일곱 번째 항목을 강조했습니다. 이 부분은 우리가 초점을 맞출 사이버 보안에 관한 주변 지침의 일부이기 때문입니다.

이러한 SIPS를 보호하는 방법에 대한 지침을 제공하기 위해 2016년 CPMI와 IOSCO는 다음을 구성했습니다. 금융 시장 인프라를 위한 사이버 레질리언스 지침 (지침). 여기에는 이러한 규모와 영향을 미치는 시스템을 보호하는 데 대한 자세한 지침이 포함되어 있으며 측정 전략과 함께 여러 주요 중점 영역을 정의합니다.

예를 들어, 일부 고급 보안 섹션에는 다음이 포함됩니다.

신분증: 이는 애초에 보호가 필요한 시스템을 결정하는 조직의 능력과 관련이 있습니다.여기에는 비즈니스 기능, 프로세스, 자산 및 정보가 포함됩니다.정확한 식별을 통해 다음 작업의 우선 순위를 지정할 수 있습니다.

이 분야의 개선의 핵심은 가치가 높은 시스템과 해당 시스템이 구축한 종속성을 신속하게 식별하는 것입니다.대부분의 경우 이러한 시스템은 모든 중요한 종속성과 경로를 식별하는 데 상당한 작업이 필요한 복잡한 재개발 환경으로 이미 존재합니다.

보호: 일단 파악되면 사이버 공격 및 침해로부터 중요 시스템을 보호하기 위한 효과적인 제어를 구현하는 방법을 설명합니다.

저한테는 제로 트러스트 여기서 중요한 역할을 합니다.가능한 한 기본 거부 아키텍처에 가까운 아키텍처를 채택함으로써 보호 기능이 기본적으로 제공되고 공격 범위가 줄어듭니다.또한 모든 성공적인 공격의 폭발 반경은 본질적으로 더 작습니다.

탐지: 실용적이기 때문에 범위 내 시스템에 대한 공격이 성공할 경우 사용해야 하는 탐지 방법, 억제 및 방어 전략이 요약되어 있습니다.

식별 및 보호 장치에 직접 연결되어 있기 때문에 이미 정상적인 동작을 설정하고 네트워크, 애플리케이션 및 사용자 액세스를 통해 기본 거부 구성을 설정한 경우 공격을 탐지하는 것이 훨씬 더 간단합니다.

테스팅: 부록으로, 테스트 섹션에는 이전 3개 섹션과 관련된 시스템을 가장 잘 준비 및 테스트하고 반복적인 증명을 통해 공격을 견딜 수 있도록 복원력 있는 방식으로 구성하는 방법이 포함되어 있습니다.

나는 이전에 작성 이 섹션의 매핑에 대해 일루미오 중요한 애플리케이션 및 흐름을 식별하고, 제로 트러스트 정책 아키텍처를 통해 공격으로부터 보호하고, 애플리케이션 동작의 변화를 감지하고, 마지막으로 지침 범위 내에서 조직이 보안 구성을 입증하도록 지원합니다.

원래 작업 외에도 매우 유용한 개발로 2018년에 ECB는 자체적으로 다음과 같은 제목의 추가 보고서를 발표했습니다. 금융 시장 인프라에 대한 사이버 레질리언스 감독 기대치 (코어), 권장 사항을 구현하기 위한 단계에 대한 추가 지침을 제공하고, 보다 추상적인 개념을 명확한 실제 기술 사례에 매핑하고, 마지막으로 FMI의 성공 여부를 측정하는 방법에 대한 정의된 기대치를 제공합니다.

CROE는 모든 기관의 보안을 개선하기 위해 FMI 간 커뮤니케이션을 장려하고 있으며, 여전히 2016년 원본 백서에 요약된 세 가지 측정 수준, 즉 다음을 언급합니다.

진화: 식별, 관리 및 완화를 위한 필수 기능이 FMI 전반에 걸쳐 확립, 발전 및 유지됩니다. 사이버 위험, 이사회가 승인한 사이버 레질리언스 전략 및 프레임워크에 따라관행의 성과는 모니터링 및 관리됩니다.

전진: 변화하는 수준의 요구 사항을 충족하는 것 외에도 이 수준의 관행에는 FMI의 비즈니스 라인 전반에 통합되고 FMI에 제기되는 사이버 위험을 사전에 관리할 수 있도록 시간이 지남에 따라 개선된 고급 도구 (예: 고급 기술 및 위험 관리 도구) 를 구현하는 것이 포함됩니다.

혁신: 진화하고 발전하는 수준의 요구 사항을 충족하는 것 외에도 FMI의 사이버 복원력과 생태계를 강화하고 외부 이해 관계자와 사전에 협력함으로써 빠르게 진화하는 사이버 위협 환경에서 필요에 따라 FMI 전반의 기능을 강화합니다.이 수준에는 FMI와 더 넓은 생태계가 사이버 위험을 관리하고 사이버 복원력을 강화할 수 있도록 사람, 프로세스 및 기술의 혁신을 주도하는 것이 포함됩니다.이를 위해서는 새로운 제어 및 도구를 개발하거나 새로운 정보 공유 그룹을 만들어야 할 수도 있습니다.

요약하자면

문서와 담당 팀과의 대화를 통해 이러한 시스템이 일상 생활에 미치는 영향 (즉, 시스템이 손상될 경우 국가 재앙과 전 세계에 미칠 영향) 에 대한 이해가 크게 증가하고 있습니다.이러한 발전은 아직 매우 최근의 일이고, 지침의 시행은 이제 막 시작되었다는 것을 알 수 있습니다.그렇긴 하지만, 이 글의 첫 부분에서 언급한 바와 같이, 필자는 이러한 지침이 10년에 걸친 높은 수준의 IT 및 IT 보안 프로젝트를 구성하는 방식을 직접 살펴보았습니다. 구현된 시스템 유형 결정, 문서의 주요 측정 가능 영역과의 매핑, 시스템 자체의 설계 및 설계 방식 등이 그것입니다.

Illumio에서는 두 문서에 직접 연결되는 세 가지 주요 영역, 즉 다음을 통한 식별에 중점을 둡니다. 애플리케이션 종속성 매핑.이를 통해 조직은 중요한 시스템 및 애플리케이션의 실시간 맵을 사용하여 작업하고 이들 간의 일반적인 종속성 및 애플리케이션 흐름을 설정할 수 있습니다.또한 다음 섹션인 보호에 필요한 범위를 정확하게 지정할 수 있습니다.

Illumio 플랫폼은 본질적으로 제로 트러스트입니다.정책을 정의하여 필요한 애플리케이션 흐름만 허용하여 잠재적 침해 경로와 측면 이동을 크게 제한할 수 있습니다.매핑과 정책 구성을 함께 사용하면 세 번째 핵심 축인 위협을 쉽게 탐지할 수 있습니다. 세 번째 핵심 축은 새로운 통신 경로 시도를 통해 변화를 유도하는 것입니다. 애플리케이션 워크로드 행동, 손상된 워크로드를 빠르고 안전하게 격리할 수 있는 능력

Illumio가 금융 서비스 조직을 보호하는 방법에 대한 자세한 내용은 여기를 참조하십시오. 솔루션 페이지.다음 번에는 저와 함께 GDPR과 TSR과 같은 EU 전역의 다른 명령에 대해 생각해 보시기 바랍니다!