Услуга по выполнению требований SWIFT

Аудит SWIFT

Кибератаки в финансовой среде чаще всего начинаются со взлома системы безопасности в локальной среде пользователя. Стартовавшая в 2016 году «Программа безопасности пользователей» (Customer Security Programme – далее CSP) призвана укрепить безопасность сообщества SWIFT. Программа CSP разработана, чтобы помочь пользователям SWIFT защитить свои локальные среды и доступ к службам обмена сообщениями SWIFT.

Заказать услуги по выполнению требований SWIFT

Как обеспечить соответствие требованиям в части элементов контроля безопасности?

Для соответствия определению элемента контроля CSP пользователь должен реализовать решение, которое:

  • достигает заявленную цель контроля;
  • охватывает задокументированные компоненты, относящиеся к вашей архитектуре;
  • устраняет факторы риска.

После реализации решений необходима аттестация. Аттестация и предоставление статуса соответствия требованиям обеспечивает прозрачность в отношении использования элементов контроля безопасности.

Процесс аттестации также позволяет пользователям оптимизировать собственные процессы управления информационными рисками.

С 2021 г. все пользователи SWIFT должны подтверждать соответствие требованиям «Концепции обеспечения безопасности пользователей SWIFT (Customer Security Controls Framework) с помощью независимой оценки.

Чтобы гарантировать соответствие заявленному определению элементу контроля, существуют два возможных подхода – аудит и оценка.

Оценка

Подход на основе оценки более гибкий, и пользователям доступен более широкий выбор лиц, оказывающих услуги оценки (в том числе тех, которые могут не соответствовать требованиям к аудиторской организации).

Аудит

Аудит регулируется признанными в международном масштабе стандартами. Обычно проведение аудита занимает больше времени, затрагивает больше компонентов и обходится дороже оценки.

 

Какие бывают методы оценки?

Оценщики могут использовать методы оценки в разном сочетании сообразно собственным обстоятельствам. Основные методы оценки это:

  • Опрос;
  • Проверка документации;
  • Наблюдение;
  • Перепроверка системы.

 

Требования к Оценщикам

Пользователям SWIFT доступен широкий выбор лиц, оказывающих услуги оценки, в том числе тех, которые не могут соответствовать требованиям аудиторской организации. Это касается как внутренних, так и внешних оценщиков. Однако имеются «строго рекомендуемые требования».

Оценщики должны быть:

  • Квалифицированными
    Оценщики должны иметь опыт проведения операционной оценки кибербезопасности, ведущий оценщик должен иметь по крайней мере один профессиональный сертификат, относящийся к отрасли.
  • Независимыми
    Оценщик не должен иметь конфликт интересов, должен демонстрировать такой уровень независимости, чтобы осуществлять соответствующее мероприятие надежным и объективным образом.

 

Как оценить, на сколько Ваша организация соответствует требованиям?

Оценить, насколько Ваша организация соответствует требованиям можно только с помощью независимой внутренней оценки и/или независимой внешней оценки. С 2022 года самоаттестация не соответствует требованиям SWIFT.

 

Как сообщить о статусе соответствия?

Приложение KYC-SA – это веб-портал SWIFT, на который отправляются и конфиденциально публикуются данные об аттестации.

 

Что произойдет, если аттестация не будет выполнена вовремя?

SWIFT оставляет за собой право информировать надзорные органы соответствующей юрисдикции поднадзорного пользователя (на территории Российской Федерации данным органом является Центральный Банк Российской Федерации), не предоставившего результаты аттестации. Такое информирование предполагается осуществлять на регулярной основе.

Также SWIFT оставляет за собой право информировать надзорные органы или иных лиц, в зависимости от ситуации, о статусе пользователей, не выполняющих требования об обязательных элементах контроля безопасности и несоблюдающих политику элементов контроля безопасности пользователей SWIFT, а также об иных обстоятельствах, в том числе:

  • о несвоевременном предоставлении или о непредоставлении результатов ежегодной аттестации в приложении KYC-SA;
  • несоответствии по результатам аттестации одному или более обязательным требованиям к элементам контроля безопасности;
  • подача результатов без независимой оценки;
  • не соответствие провайдера пользователя требованиям;
  • несоответствии требования при наличии запроса от SWIFT на проведение обязательной внешней оценки SWIFT.

Компания Литерафорте имеет опыт в проведении операционной оценки кибербезопасности, в том числе по требованиям «Концепции обеспечения безопасности пользователей SWIFT (Customer Security Controls Framework). Организация имеет в штате квалифицированных специалистов, обладающих опытом, международными сертификатами, и прошедшими обучение на портале SWIFTSmart. Также наша компания постоянно работает над повышением качества оказываемых услуг.

Фролов Сергей Николаевич

Фролов Сергей Николаевич

Специалист по информационной безопасности

Аксенов Максим Валерьевич

Аксенов Максим Валерьевич

Специалист по информационной безопасности

Кто имеет право и полномочия проводить независимую оценку?

В соответствии с Концепцией независимой оценки (Independent Assessment Framework) выдвигаются два строго рекомендуемых требования к Асессорам (оценщикам).

  1. Независимость. Для надлежащего проведения оценки оценщик должен быть свободен от любого конфликта интересов. Независимость – это свобода от обстоятельств, которые угрожают при проведении оценки непредвзято выполнять свои обязанности. Таким образом, оценщик должен быть свободен от неправомерного влияния от ответственных лиц за элементы контроля.
  2. Квалификация Асессора. Внешняя компания/внутреннее подразделение, проводящее оценку, должны иметь свежий (в пределах 12 месяцев) и соответствующий опыт проведения оценки операционной деятельности, на соблюдение требований кибербезопасности в соответствии с отраслевыми стандартами, такими как PCI DSS, ISO 27001, NIST SP 800-53, SOC-2 или Концепция кибербезопасности NIST или просто CSP/CSCF. Другие отраслевые стандарты допустимы, если они обеспечивают такой же уровень надежности и безопасности. Также имеются требования к лицам, которые отвечают за руководство командой по оценке в организации. Этим лицом обычно является Ведущий Асессор, который должен иметь по крайней мере одну профессиональную сертификацию, соответствующую отрасли.

Примерами такой сертификации являются:

  • Квалифицированный Асессор систем безопасности - PCI Qualified Security
    Assessor (QSA);
  • Сертифицированный специалист по безопасности информационных систем - Certified Information Systems Security Professional (CISSP);
  • Сертифицированный аудитор информационных систем - Certified Information Systems Auditor (CISA);
  • Сертифицированный менеджер по информационной безопасности – Certified Information Security Manager (CISM);
  • Ведущий аудитор по ISO 27001;
  • Глобальная сертификация обеспечения информационной безопасности Института системного администрирования, сетевого взаимодействия и безопасности - System Administration, Networking, and Security Institute (SANS) GIAC (Global Information Assurance Certification).

Другие профессиональные сертификации, с локального рынка и на локальном языке, допустимы, если они обеспечивают тот же уровень надежности и безопасности. Однако, оценку по требованию SWIFT могут проводить только внешние оценщики.

Важно!

SWIFT не одобряет и не аккредитовывает каких-либо определенных Асессоров, и Пользователи в конечном счете несут ответственность за выбор Асессора, соответствующего их потребностям и целям, отвечающего требуемым стандартам и имеющего соответствующую сертификацию. Тем не менее SWIFT публикует список внешних компаний, которые изъявили желание быть опубликованными и могут оказать помощь в проведении независимых оценок по CSCF.

Доступна ли самоаттестация по SWIFT в 2022 году?

В соответствии с Концепцией независимой оценки (Independent Assessment Framework v2022) существуют три вида оценок:

  • Самоаттестация;
  • Оценка по стандартам общества;
  • Оценка по требованиям SWIFT.

Самоаттестация существовала с начала реализации программы CSP. Ее проводили сотрудники первой линии защиты. Как правило, самоаттестацию выбирали как промежуточный вариант, когда невозможно было пройти независимую оценку. Начиная с 2022 года выбор этого варианта делает аттестацию не соответствующей требованиям, и SWIFT оставляет за собой право сообщать о пользователях, применяющих этот вариант, регулятору. Таким образом самоаттестация доступна, но не будет принята SWIFT, что повлечет за собой установку статуса к участнику как Not Comply.

В какой период должна проводиться независимая внешняя оценка?

В соответствии с Политикой обеспечения безопасности пользователей SWIFT (SWIFT Customer Security Controls Policy v 2022), новая версия аттестации доступна в июле каждого года. Если результаты аттестации оцениваются на основе старой версии CSCF и публикуются до июля, аттестация будет действовать до конца текущего года. Если результаты аттестации оцениваются на основе текущей версии CSCF и публикуются после июля, аттестация будет действовать до конца следующего года.

Таким образом, независимая внешняя оценка по текущей версии CSCF должна проводиться во второй половине года (с июля по декабрь).

Задать свой вопрос

    Настоящим подтверждаю, что я ознакомлен и согласен с условиями политики конфиденциальности.

    This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

    Наши преимущества

    Конкурентные цены

    Мы стремимся оптимизировать все процессы производства, что позволяет быть более эффективными.

    Объективные сроки

    Мы не занижаем и не завышаем сроки. Исходя из нашего опыта мы даем реальные сроки.

    Компетентные специалисты

    Опыт, закрепленный большим количеством проведенных аудитов и образование наших специалистов — дают гарантию в корректности отчетов.

    Стоимость по выполнению требований SWIFT

    Услуга Стоимость

    Консультация

    бесплатно

    Аудит безопасности SWIFT

    Независимый аудит безопасности SWIFT

    от 150 000 руб.

    Свяжитесь с нами

      Настоящим подтверждаю, что я ознакомлен и согласен с условиями политики конфиденциальности.

      This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

      Услуги для Вас

      Оценка и анализ уязвимостей по ОУД4 и ГОСТ 15408-3

      Анализ уязвимостей и оценка программного обеспечения по ОУД4 и ГОСТ 15408-3

      Подробнее

      Оценка соответствия по 683-П

      Оценка соответствия требованиям Положения Банка России №683-П

      Подробнее

      ГОСТ Р 57580

      Оценка соответствия (аудит) требованиям в области информационной безопасности по ГОСТ Р 57580

      Подробнее

      Пентест (pentest)

      Тестирование на проникновение: анализ уязвимостей, моделирование хакерских атак

      Подробнее