Валютное управление Сингапура (MAS) и Ассоциация банков Сингапура (ABS)
Общие сведения о MAS и ABS
Валютное управление Сингапура (MAS)
Денежно-кредитное управление Сингапура (MAS), единственный банковский регулятор в Сингапуре и его центральный банк, выпустило свои рекомендации по управлению технологическими рисками. В этом руководстве MAS формулирует свои ожидания в отношении аутсорсинга в облачных службах, применяемого финансовыми учреждениями в Сингапуре, включая банки, страховые и трастовые компании. Оно стало итогом общеотраслевого обсуждения, начавшегося в октябре 2014 г. при участии корпорации Майкрософт.
Руководство MAS значительно упрощает процесс внедрения технологий, содержит понятные ожидания регулятора и устраняет неверное понимание некоторых моментов, замедлявшее внедрение облачных решений в финансовой отрасли.
Кроме того, руководящие принципы однозначно поддерживают использование облачных служб, включая общедоступное облако, финансовыми учреждениями, и что они могут извлечь выгоду из этого. Они исключили ожидание того, что финансовые учреждения будут уведомлять MAS перед любыми значительными обязательствами по аутсорсингу. Вместо этого предполагается, что учреждения, подлежащие надзору MAS, уточнят свои подходы на основе рисков при оценке существенных соглашений аутсорсинга и будут проводить самостоятельную оценку всех соглашений аутсорсинга на соответствие этому руководству. (На данный момент эти рекомендации не имеют обязательной юридической силы, но MAS указал, что в будущем будет выдаваться официальное уведомление.)
Ассоциация банков Сингапура (ABS)
Вскоре после выпуска "Руководства по управлению рисками аутсорсинга" MAS ассоциация ABS, являющаяся некоммерческой организацией, представляющей интересы местных и иностранных банков, работающих в Сингапуре (но не других финансовых учреждений), представило необязательные Рекомендации по внедрению облачных вычислений. Она предназначена для того, чтобы помочь банкам реализовать механизмы аутсорсинга в соответствии с рекомендациями MAS.
Майкрософт, MAS и ABS
После одобрения облачных вычислений, включая использование общедоступных облаков, валютного управления Сингапура (MAS) и при поддержке Ассоциации банков Сингапура (ABS), корпорация Майкрософт опубликовала ответ Корпорации Майкрософт на рекомендации по аутсорсингу MAS и руководство АБС и контрольный список соответствия для финансовых учреждений в Сингапуре. Вместе они демонстрируют, как финансовые фирмы могут перемещать данные и рабочие нагрузки в Microsoft Cloud с уверенностью в том, что они соответствуют рекомендациям MAS, и завершить самостоятельную оценку своих механизмов аутсорсинга в соответствии с новыми рекомендациями.
Ответ Майкрософт на руководство MAS и рекомендации ABS предоставляет финансовым компаниям обзор основных вопросов, возникших в отношении применения руководства MAS и рекомендаций ABS к облачным службам, интерпретации Майкрософт и ответы на каждый из основных вопросов, а также сведения о том, как Майкрософт помогает обеспечить соответствие требованиям руководства MAS. В нем руководство MAS и рекомендации ABS рассматриваются отдельно.
Ответ Майкрософт на руководство MAS сосредоточен на рекомендациях MAS по разумным методам управления рисками в случае аутсорсинга. В нем подробно описаны правильные политики, процессы и средства Майкрософт для оценки рисков, представлен контрольный список для оценки наших корпоративных облачных служб, а также рассмотрены процессы управления и внутренние средства контроля.
Ответ Майкрософт на рекомендации ABS сосредоточен на разделах 3 и 4.
- Раздел 3 основан на комплексной экспертизе и требованиях управления поставщиком из руководства MAS с подробным рассмотрением таких вопросов, как контрактные соображения. Мы представляем подробные сведения о средствах Майкрософт для управления поставщиками и о предлагаемой нами помощи в ходе комплексной оценки.
- В разделе 4 рекомендуется набор ключевых базовых средств управления — от шифрования до управления проникновением и уязвимостями, которые должны иметь поставщики облачных служб при работе с банками. Для каждого указанного средства контроля мы описываем, как в них решены проблемы с безопасностью.
Получите практические рекомендации по переносу данных и рабочих нагрузок в Microsoft Cloud в соответствии с руководством MAS
Контрольный список соответствия требованиям для финансовых учреждений Сингапура
В этом документе представлен обзор нормативной среды с важными требованиями в Сингапуре и контрольный список соответствия требованиям, в котором перечислены нормативные вопросы, требующие решения, а также сопоставлены облачные службы Майкрософт с этими вопросами. Проверяя и завершая контрольный список по пунктам, финансовые учреждения могут внедрить облачные службы Майкрософт с уверенностью в том, что они соответствуют соответствующим требованиям в Сингапуре.
Опираясь на наш комплексный подход к обеспечению безопасности рисков в облаке, мы уверены, что финансовые учреждения в Сингапуре могут перейти в Microsoft Cloud в соответствии с рекомендациями MAS и руководством АБС, а также предоставлять более сложный профиль управления рисками безопасности, чем многие локальные решения.
Получите практические рекомендации по переносу данных и рабочих нагрузок в Microsoft Cloud в соответствии с руководством MAS
Скачать контрольный список соответствия требованиям для финансовых учреждений Сингапура
Затрагиваемые облачные платформы и службы Майкрософт
- Azure
- Dynamics 365
- Intune
- Облачная служба Power BI в виде автономной службы или в составе плана либо набора Office 365
- Office 365
Вопросы и ответы
Требуется ли утверждение контролирующих органов?
Нет, не требуется предварительное уведомление, консультации или утверждение соглашений об аутсорсинге. Тем не менее, MAS ожидает, что финансовые учреждения будут готовы продемонстрировать, как они соответствуют требованиям, и как можно скорее уведомить MAS о неблагоприятных событиях, возникающих в результате соглашений об аутсорсинге финансового учреждения, например об инциденте с нарушением безопасности данных.
Что такое "существенное" соглашение и почему это определение важно?
Механизм аутсорсинга является "существенным", если сбой или нарушение службы может существенно повлиять на бизнес-операции финансовой фирмы или способность управлять рисками и соблюдать применимые законы и нормативные акты; или, если она связана с информацией о клиентах и в случае любого несанкционированного доступа или раскрытия, потери или кражи информации о клиентах оказывает существенное влияние на клиентов фирмы. Определение "сведения о клиенте" явно исключает зашифрованные данные.
Это определение имеет важное значение, так как некоторые положения Руководящих принципов аутсорсинга MAS применяются только к "материальным механизмам аутсорсинга". К ним относятся обязательство проводить ежегодные проверки, обязательные договорные положения, касающиеся прав аудита, и обеспечение того, чтобы аутсорсинг за пределами Сингапура не влиял на надзорные усилия MAS.
Ресурсы
- Руководство MAS по управлению рисками аутсорсинга
- Руководство по управлению технологическими рисками MAS
- Вопросы и ответы о руководстве по аутсорсингу MAS
- Рекомендации по внедрению облачных вычислений ABS 1.1
- Переход на облачные технологии — ответ Майкрософт на руководство по аутсорсингу MAS и рекомендации по внедрению облака ABS**
- Контрольный список соответствия требованиям Майкрософт