Услуга по выполнению требований SWIFT
Кибератаки в финансовой среде чаще всего начинаются со взлома системы безопасности в локальной среде пользователя. Стартовавшая в 2016 году «Программа безопасности пользователей» (Customer Security Programme – далее CSP) призвана укрепить безопасность сообщества SWIFT. Программа CSP разработана, чтобы помочь пользователям SWIFT защитить свои локальные среды и доступ к службам обмена сообщениями SWIFT.
Заказать услуги по выполнению требований SWIFTКак обеспечить соответствие требованиям в части элементов контроля безопасности?
Для соответствия определению элемента контроля CSP пользователь должен реализовать решение, которое:
- достигает заявленную цель контроля;
- охватывает задокументированные компоненты, относящиеся к вашей архитектуре;
- устраняет факторы риска.
После реализации решений необходима аттестация. Аттестация и предоставление статуса соответствия требованиям обеспечивает прозрачность в отношении использования элементов контроля безопасности.
Процесс аттестации также позволяет пользователям оптимизировать собственные процессы управления информационными рисками.
С 2021 г. все пользователи SWIFT должны подтверждать соответствие требованиям «Концепции обеспечения безопасности пользователей SWIFT (Customer Security Controls Framework) с помощью независимой оценки.
Чтобы гарантировать соответствие заявленному определению элементу контроля, существуют два возможных подхода – аудит и оценка.
Оценка
Подход на основе оценки более гибкий, и пользователям доступен более широкий выбор лиц, оказывающих услуги оценки (в том числе тех, которые могут не соответствовать требованиям к аудиторской организации).
Аудит
Аудит регулируется признанными в международном масштабе стандартами. Обычно проведение аудита занимает больше времени, затрагивает больше компонентов и обходится дороже оценки.
Какие бывают методы оценки?
Оценщики могут использовать методы оценки в разном сочетании сообразно собственным обстоятельствам. Основные методы оценки это:
- Опрос;
- Проверка документации;
- Наблюдение;
- Перепроверка системы.
Требования к Оценщикам
Пользователям SWIFT доступен широкий выбор лиц, оказывающих услуги оценки, в том числе тех, которые не могут соответствовать требованиям аудиторской организации. Это касается как внутренних, так и внешних оценщиков. Однако имеются «строго рекомендуемые требования».
Оценщики должны быть:
- Квалифицированными
Оценщики должны иметь опыт проведения операционной оценки кибербезопасности, ведущий оценщик должен иметь по крайней мере один профессиональный сертификат, относящийся к отрасли. - Независимыми
Оценщик не должен иметь конфликт интересов, должен демонстрировать такой уровень независимости, чтобы осуществлять соответствующее мероприятие надежным и объективным образом.
Как оценить, на сколько Ваша организация соответствует требованиям?
Оценить, насколько Ваша организация соответствует требованиям можно только с помощью независимой внутренней оценки и/или независимой внешней оценки. С 2022 года самоаттестация не соответствует требованиям SWIFT.
Как сообщить о статусе соответствия?
Приложение KYC-SA – это веб-портал SWIFT, на который отправляются и конфиденциально публикуются данные об аттестации.
Что произойдет, если аттестация не будет выполнена вовремя?
SWIFT оставляет за собой право информировать надзорные органы соответствующей юрисдикции поднадзорного пользователя (на территории Российской Федерации данным органом является Центральный Банк Российской Федерации), не предоставившего результаты аттестации. Такое информирование предполагается осуществлять на регулярной основе.
Также SWIFT оставляет за собой право информировать надзорные органы или иных лиц, в зависимости от ситуации, о статусе пользователей, не выполняющих требования об обязательных элементах контроля безопасности и несоблюдающих политику элементов контроля безопасности пользователей SWIFT, а также об иных обстоятельствах, в том числе:
- о несвоевременном предоставлении или о непредоставлении результатов ежегодной аттестации в приложении KYC-SA;
- несоответствии по результатам аттестации одному или более обязательным требованиям к элементам контроля безопасности;
- подача результатов без независимой оценки;
- не соответствие провайдера пользователя требованиям;
- несоответствии требования при наличии запроса от SWIFT на проведение обязательной внешней оценки SWIFT.
Компания Литерафорте имеет опыт в проведении операционной оценки кибербезопасности, в том числе по требованиям «Концепции обеспечения безопасности пользователей SWIFT (Customer Security Controls Framework). Организация имеет в штате квалифицированных специалистов, обладающих опытом, международными сертификатами, и прошедшими обучение на портале SWIFTSmart. Также наша компания постоянно работает над повышением качества оказываемых услуг.
Курихин Андрей Валерьевич
Технический писатель
Профессиональный опыт в сфере информационных технологий с 2009 года
Кто имеет право и полномочия проводить независимую оценку?
В соответствии с Концепцией независимой оценки (Independent Assessment Framework) выдвигаются два строго рекомендуемых требования к Асессорам (оценщикам).
- Независимость. Для надлежащего проведения оценки оценщик должен быть свободен от любого конфликта интересов. Независимость – это свобода от обстоятельств, которые угрожают при проведении оценки непредвзято выполнять свои обязанности. Таким образом, оценщик должен быть свободен от неправомерного влияния от ответственных лиц за элементы контроля.
- Квалификация Асессора. Внешняя компания/внутреннее подразделение, проводящее оценку, должны иметь свежий (в пределах 12 месяцев) и соответствующий опыт проведения оценки операционной деятельности, на соблюдение требований кибербезопасности в соответствии с отраслевыми стандартами, такими как PCI DSS, ISO 27001, NIST SP 800-53, SOC-2 или Концепция кибербезопасности NIST или просто CSP/CSCF. Другие отраслевые стандарты допустимы, если они обеспечивают такой же уровень надежности и безопасности. Также имеются требования к лицам, которые отвечают за руководство командой по оценке в организации. Этим лицом обычно является Ведущий Асессор, который должен иметь по крайней мере одну профессиональную сертификацию, соответствующую отрасли.
Примерами такой сертификации являются:
- Квалифицированный Асессор систем безопасности - PCI Qualified Security
Assessor (QSA); - Сертифицированный специалист по безопасности информационных систем - Certified Information Systems Security Professional (CISSP);
- Сертифицированный аудитор информационных систем - Certified Information Systems Auditor (CISA);
- Сертифицированный менеджер по информационной безопасности – Certified Information Security Manager (CISM);
- Ведущий аудитор по ISO 27001;
- Глобальная сертификация обеспечения информационной безопасности Института системного администрирования, сетевого взаимодействия и безопасности - System Administration, Networking, and Security Institute (SANS) GIAC (Global Information Assurance Certification).
Другие профессиональные сертификации, с локального рынка и на локальном языке, допустимы, если они обеспечивают тот же уровень надежности и безопасности. Однако, оценку по требованию SWIFT могут проводить только внешние оценщики.
Важно!
SWIFT не одобряет и не аккредитовывает каких-либо определенных Асессоров, и Пользователи в конечном счете несут ответственность за выбор Асессора, соответствующего их потребностям и целям, отвечающего требуемым стандартам и имеющего соответствующую сертификацию. Тем не менее SWIFT публикует список внешних компаний, которые изъявили желание быть опубликованными и могут оказать помощь в проведении независимых оценок по CSCF.
Доступна ли самоаттестация по SWIFT в 2022 году?
В соответствии с Концепцией независимой оценки (Independent Assessment Framework v2022) существуют три вида оценок:
- Самоаттестация;
- Оценка по стандартам общества;
- Оценка по требованиям SWIFT.
Самоаттестация существовала с начала реализации программы CSP. Ее проводили сотрудники первой линии защиты. Как правило, самоаттестацию выбирали как промежуточный вариант, когда невозможно было пройти независимую оценку. Начиная с 2022 года выбор этого варианта делает аттестацию не соответствующей требованиям, и SWIFT оставляет за собой право сообщать о пользователях, применяющих этот вариант, регулятору. Таким образом самоаттестация доступна, но не будет принята SWIFT, что повлечет за собой установку статуса к участнику как Not Comply.
В какой период должна проводиться независимая внешняя оценка?
В соответствии с Политикой обеспечения безопасности пользователей SWIFT (SWIFT Customer Security Controls Policy v 2022), новая версия аттестации доступна в июле каждого года. Если результаты аттестации оцениваются на основе старой версии CSCF и публикуются до июля, аттестация будет действовать до конца текущего года. Если результаты аттестации оцениваются на основе текущей версии CSCF и публикуются после июля, аттестация будет действовать до конца следующего года.
Таким образом, независимая внешняя оценка по текущей версии CSCF должна проводиться во второй половине года (с июля по декабрь).
Компетентные специалисты
Опыт, закрепленный большим количеством проведенных пентестов и подготовка наших специалистов — дают гарантию в корректности отчетов.
Конкурентные цены
Мы стремимся оптимизировать все процессы производства, что позволяет быть более эффективными.
Объективная оценка
Как независимая компания, мы дадим объективную оценку информационной безопасности предприятия.
Стоимость по выполнению требований SWIFT
| Услуга | Стоимость |
|---|---|
Консультация |
бесплатно |
Аудит безопасности SWIFTНезависимый аудит безопасности SWIFT |
от 150 000 руб. |
Свяжитесь с нами
Напишите нам! Расскажите о Вашей задаче и наш специалист свяжется с Вами.
Услуги для Вас
Оценка и анализ уязвимостей по ОУД4 и ГОСТ 15408-3
Анализ уязвимостей и оценка программного обеспечения по ОУД4 и ГОСТ 15408-3
ПодробнееОценка соответствия по 683-П
Оценка соответствия требованиям Положения Банка России №683-П
ПодробнееГОСТ Р 57580
Оценка соответствия (аудит) требованиям в области информационной безопасности по ГОСТ Р 57580
ПодробнееПентест (pentest)
Тестирование на проникновение: анализ уязвимостей, моделирование хакерских атак
Подробнее