Цифровые финансовые услуги (ЦФУ) образуют сложную экосистему с участием различных заинтересованных сторон, таких как банки, поставщики ЦФУ, операторы сетей подвижной связи (MNO), поставщики платформ ЦФУ, регуляторные органы, агенты, торговые компании, поставщики платежных услуг, производители устройств, разработчики приложений, поставщики услуг меток безопасности, производители оригинального оборудования (OEM) и клиенты. Взаимосвязь этих системных объектов и зависимость от нескольких сторон в экосистеме расширяет границы безопасности, которые охватывают не только поставщиков ЦФУ, но также клиентов, поставщиков сетей, производителей мобильных телефонов и других сторонних поставщиков в экосистеме.
Система обеспечения безопасности ЦФУ позволяет определить угрозы безопасности и уязвимости, с которыми сталкиваются соответствующие заинтересованные стороны ЦФУ. Регуляторные органы, в том числе органы в области электросвязи, банковской системы и платежных систем, также могут использовать систему обеспечения безопасности ЦФУ, с тем чтобы устанавливать базовые уровни безопасности для поставщиков ЦФУ.
Эта система, после ее реализации, дополнит устоявшуюся практику управления рисками и информационной безопасностью заинтересованных сторон, участвующих в экосистеме ЦФУ. Например, меры безопасности, приведенные в настоящем документе, могут быть включены в программу безопасности информационно-коммуникационных технологий (ИКТ) поставщика ЦФУ.
В Рекомендации МСЭ-Т X.1150 описана система обеспечения безопасности ЦФУ, которая обеспечивает систематический процесс управления рисками безопасности для оценки угроз и уязвимостей и определяет соответствующие меры безопасности, которые должны быть реализованы заинтересованными сторонами ЦФУ. Угрозы, связанные с торговыми компаниями, поставщиками платежных услуг и другими организациями финансовых услуг, а также конкретные способы смягчения последствий угроз, с которыми они сталкиваются, выходят за рамки настоящей Рекомендации.
В состав системы обеспечения безопасности ЦФУ входят следующие компоненты:
a)процесс управления рисками безопасности, основанный на ISO/IEC 27005;
b)оценка угроз и уязвимостей в отношении базовой инфраструктуры оператора сети подвижной связи и поставщика ЦФУ, приложений ЦФУ, услуг, сетевых операций и сторонних поставщиков, участвующих в экосистеме предоставления ЦФУ;
c)стратегии смягчения последствий, которые основаны на результатах оценок, указанных в подпункте b), выше. Меры по смягчению последствий определяют 119 требований к средствам обеспечения безопасности применительно к угрозам безопасности, которые описаны в разделе 13 настоящей Рекомендации.
|
