Услуга по выполнению требований SWIFT

Аудит SWIFT

Основный руководящий документом в сфере информационной безопасности Компания SWIFT в 2016 году представила программу обеспечения безопасности клиентов Customer Security Programme (CSP).
В рамках программы CSP SWIFT выпустил положение «The SWIFT Customer Security Controls Framework» (CSCF), содержащее актуальный перечень требований.
CSCF требует, чтобы все организации — клиенты SWIFT Начиная с середины 2021 года пользователям необходимо будет подтвердить свою аттестацию по CSCF v2021 независимой внутренней или внешней оценкой. А это значит, что в первой половине года необходимо провести самоаттестацию. Независимая компания, подтверждающая результаты самоаттестации, должна иметь квалифицированных специалистов, обладающих опытом работы по направлению информационной безопасности.

Заказать услуги по выполнению требований SWIFT

Архитектура SWIFT

Вариант подключения к SWIFT и тип эталонной архитектуры напрямую влияет на перечень требований, которым необходимо соответствовать.
В зависимости от компонентов, которые могут быть размещены в информационной инфраструктуре организации, SWIFT выделяет несколько типов эталонных архитектур. Всего в требованиях SWIFT определено 4 типа таких архитектур:

  • Архитектура А1 — полное размещение компонентов на стороне банка (интерфейс обмена сообщениями и интерфейс связи SWIFT находятся на стороне пользователя).
  • Архитектура А2 — частичное размещение компонентов на стороне банка (интерфейс обмена сообщениями находится на стороне пользователя, а интерфейс связи находится на стороне поставщика услуг).
  • Архитектура А3 — с использованием коннектора (на стороне пользователя используется коннектор для работы с системой SWIFT, а интерфейсы обмена сообщениями и интерфейс связи системы SWIFT находятся на стороне поставщика услуг).
  • Архитектура B — без собственной инфраструктуры (на стороне пользователя не используются компоненты системы SWIFT).

Также различают несколько вариантов подключения к SWIFT:

Собственное подключение – для этого типа подключения требуется создание собственного комплекса SWIFT, который включает в себя набор аппаратных, программных компонентов, а также специализированное оборудование по обеспечению безопасности (VPN).

Коллективное подключение включает в себя:

  • Подключение собственным интерфейсом через Gateway Сервис-бюро — финансовая организация использует собственный интерфейс для работы в сети SWIFTNet, в то время как Сервис-бюро обеспечивает каналы связи, шифровальное оборудование и программное обеспечение, необходимое для доступа к сети SWIFT.
  • Терминальное подключение через Access Сервис-бюро — вся необходимая инфраструктура для подключения к сети SWIFT предоставляется и обслуживается Сервис-бюро. Финансовая организация подключается к SWIFT через стандартный браузер. Для защиты соединения используется VPN-канал, который настраивается и поддерживается Сервис-бюро.

Облачные решения SWIFT состоят из:

  • Сервиса, обеспечивающего подключение по облачной инфраструктуре к системе SWIFT, а также к взаимосвязанным приложениям и сервисам.
  • Облачного сервиса, функционирующего под управлением SWIFT, который позволяет подключать собственный интерфейс напрямую к сети SWIFT без необходимости использования собственного сервиса и аппаратных модулей шифрования данных (обязательных при собственном подключении).
  • Альтернативного подключения к SWIFT и обеспечивает экстренную связь со SWIFT в случае недоступности основного и резервного подключения, например, по причине аварии или глобального сбоя. Простой и удобный в эксплуатации тип подключения. Облачный сервис позволяет обмениваться сообщениями и использовать сервисы SWIFT до момента восстановления основной площадки.

Проведение самоаттестации

Эксперты проверяющей организации ООО «ЛИТЕРАФОРТЕ» окажут помощь в проведении самоаттестации для любых типов подключений к системе SWIFT. Работа заключается: в организации процесса проведения самоаттестации, его непосредственного исполнения, проверке выполнения обязательных требований SWIFT к обеспечению ИБ, а также в поддержке принятия решения о соответствии рекомендуемым требованиям SWIFT к обеспечению ИБ. Требования состоят из двадцати одного обязательного требования:

  • П. 1.1. Требования к обеспечению защиты среды SWIFT;
  • П. 1.2. Требования по контролю за привилегированными учетными записями операционной системы;
  • П. 1.3. Требования к защите платформы виртуализации;
  • П. 2.1. Требования по безопасности внутреннего потока данных;
  • П. 2.2. Требования по обновлению для системы безопасности;
  • П. 2.3. Требования по повышению надежности системы;
  • П. 2.6. Требования по конфиденциальности и целостность сессии оператора;
  • П. 2.7. Требования по сканированию на уязвимость системы;
  • П. 2.10. Требования по повышению надежности приложений;
  • П. 3.1. Требования по физической защите;
  • П. 4.1. Требования по политике паролей;
  • П. 4.2. Требования по многофакторной аутентификации;
  • П. 5.1. Требования по логическому контролю доступа;
  • П. 5.2. Требования по управлению токенами;
  • П. 5.4. Требования по физическому и логическому хранению паролей;
  • П. 6.1. Требования к защите от вредоносных программ;
  • П. 6.2. Требования к целостности программного обеспечения;
  • П. 6.3. Требования к обеспечению целостности базы данных;
  • П. 6.4. Требования к ведению журнала операций и мониторингу;
  • П. 7.1. Требования по планированию реагирования на киберинциденты;
  • П. 7.2. Требования по информированию и обучению в сфере безопасности.

А также из десяти рекомендуемых требований:

  • П. 1.3А. Требования по защите платформ виртуализации;
  • П. 1.4А. Требования по ограничению доступа в Интернет;
  • П. 2.4А. Требования безопасности потока данных бэк-офиса;
  • П. 2.5А. Требования по аутсорсингу критически важных видов деятельности;
  • П. 2.8А. Требования по аутсорсингу критической деятельности;
  • П. 2.9А. Требования по средству контроля транзакционного бизнеса;
  • П. 2.10А. Требования по повышению надежности приложений;
  • П. 5.3А. Требования к процессу проверки персонала;
  • П. 6.5А. Требования к обнаружению вторжений;
  • П. 7.3А. Требования к испытанию на проникновение;
  • П. 7.4А. Требования к оценке рисков на основе сценариев;

В ходе оказания помощи при проведении самоаттестации эксперты ООО «ЛИТЕРАФОРТЕ» проведут проверку системы обеспечения информационной безопасности сегмента SWIFT, а также проанализируют организационно-распорядительную документацию в направлении информационной безопасности при помощи следующих инструментов:

  • проверка наличия межсетевых экранов, анализ способов сегментирования;
  • анализ ограничения полномочий системных администраторов;
  • изучение документов, регламентирующих работу и взаимодействие всех компонентов, входящих в область оценки (включая должностные инструкции операторов и администраторов систем);
  • анализ способов защиты данных, передаваемых по сети (шифрование);
  • проверка соответствия настроек информационных систем требованиям эксплуатационной документации и документам SWIFT;
  • подтверждение выполнения парольной политики (соответствие паролей требованиям SWIFT). Использование многофакторной аутентификации (Вход в систему на ПК оператора, учетные записи приложений и операционной системы, персональные токены и персональные мобильные устройства, используемые как отчуждаемый носитель информации);
  • проверка организации и контроля физического доступа к компонентам локальной инфраструктуры SWIFT (ПК оператора включая съемное оборудование, все аппаратное обеспечение, платформа виртуализации (гипервизор));
  • анализ целостности программного обеспечения (в зависимости от выбранной архитектуры — коннектор, графический интерфейс пользователя для обмена сообщениями и коммуникационного интерфейса, приложение интерфейса обмена сообщениями, приложение коммуникационного интерфейса, RMA, SNL);
  • проверка наличия системы защиты от вредоносных программ в сегменте SWIFT;
  • анализ актуальности ОРД по управлению инцидентами ИБ;
  • оценка информированности и уровня обучение персонала (все сотрудники с доступом к системам SWIFT) в сфере безопасности (вводные\плановые\внеплановые\периодические инструктажи).

Результатом работ является:
Отчет о проведенной самоаттестации, содержащий сведения о выполнении каждого из обязательных и рекомендуемых требований. Отчет предназначается для дальнейшей загрузки в KYC-SA и независимой экспертизы (оценки).
Проведение работ по оказанию помощи в проведении самоаттестации может осуществляться как очно, так и удаленно.

Проведение независимой экспертизы результатов самоаттестации

В рамках проведения независимой экспертизы результатов самоаттестации проверяется: качество и корректность выбранных показателей, актуальность и достоверность свидетельств выполнения вышеперечисленных требований. Проведение независимой экспертизы самоаттестации основываются на отчете, загруженным в KYC-SA. Проверяемые требования основаны на 8 нижеперечисленных обобщенных направлениях:

  • Ограничение доступа в Интернет
  • Разделение критически важных систем
  • Уменьшение поверхности атаки и управление уязвимостями
  • Обеспечение безопасности физической среды
  • Предотвращение компрометации учетных данных
  • Управление пользовательскими привилегиями
  • Обнаружение аномальной активности
  • Обмен оперативными данными и разработка процедур реагирования на инциденты.

Эксперты ООО «ЛИТЕРАФОРТЕ»:

  • проведут экспертизу корректности оценки каждого требования, в независимости от архитектуры и типа подключения;
  • проведут оценку уровня соответствия выделенных направлений требованиям сегмента SWIFT;
  • оценят выстроенную систему информационной безопасности сегмента SWIFT.

Проведение работ по независимой экспертизе может осуществляться как очно, так и удаленно.

Результатом выполнения работ является отчет о независимой экспертизе, в котором имеется подтверждение или опровержение выводов о соответствии требованиям SWIFT, сделанных в ходе самоаттестации.

После проведения работ, отчет, подготовленный компанией, проводящей независимую экспертизу, подлежит хранению, для предъявления его, по первому требованию представителей компании SWIFT.

Фролов Сергей Николаевич

Фролов Сергей Николаевич

Специалист по информационной безопасности

Аксенов Максим Валерьевич

Аксенов Максим Валерьевич

Специалист по информационной безопасности

Наши преимущества

Конкурентные цены

Мы стремимся оптимизировать все процессы производства, что позволяет быть более эффективными.

Объективные сроки

Мы не занижаем и не завышаем сроки. Исходя из нашего опыта мы даем реальные сроки.

Компетентные специалисты

Опыт, закрепленный большим количеством проведенных аудитов и образование наших специалистов — дают гарантию в корректности отчетов.

Стоимость по выполнению требований SWIFT

Услуга Стоимость
Аудит безопасности SWIFT

от 150 000 руб.

Свяжитесь с нами


    Нажимая на кнопку, вы даете согласие на обработку своих персональных данных. This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

    Услуги для Вас

    Анализ уязвимостей по ОУД4 и ГОСТ 15408-3

    Анализ уязвимостей программного обеспечения по ОУД4 и ГОСТ 15408-3

    Подробнее

    Оценка соответствия по 683-П

    Оценка соответствия требованиям Положения Банка России №683-П

    Подробнее

    ГОСТ Р 57580

    Оценка соответствия (аудит) требованиям в области информационной безопасности по ГОСТ Р 57580

    Подробнее

    Пентест (pentest)

    Тестирование на проникновение: анализ уязвимостей, моделирование хакерских атак

    Подробнее