Аудит безопасности SWIFT: оказание помощи в самоаттестации, независимая внешняя оценка, подтверждение результатов

Цель проведения

В соответствии с CSCF, всем организациям-клиентам SWIFT необходимо пройти самоаттестацию в обязательном порядке (При наличии в штате специалистов указанных в п. 5.5. Customer Security Programme, в случае отсутствия только внешняя аттестация).

Формат проведения работ

Сертифицированные эксперты окажут помощь в проведении самоаттестации, которая заключается в:

1. Проведении оценки варианта подключения к SWIFT и типа эталонной архитектуры;
2. Организации процесса проведения и непосредственно проведут самоаттестацию;
3. Проверке выполнения обязательных требований SWIFT к обеспечению ИБ, а также в поддержке принятия решения о соответствии рекомендуемым требованиям SWIFT к обеспечению ИБ;

В ходе аудита проводятся следующие работы:

В ходе оказания помощи при проведении самоаттестации сертифицированные эксперты проведут проверку системы обеспечения информационной безопасности сегмента SWIFT, а также проанализируют организационно-распорядительную документацию в направлении информационной безопасности при помощи следующих инструментов:

• проверка наличия межсетевых экранов, анализ способов сегментирования;
• анализ ограничения полномочий системных администраторов;
• изучение документов, регламентирующих работу и взаимодействие всех компонентов, входящих в область оценки (включая должностные инструкции операторов и администраторов систем);
• анализ способов защиты данных, передаваемых по сети (шифрование);
• проверка соответствия настроек информационных систем требованиям эксплуатационной документации и документам SWIFT;
• подтверждение выполнения парольной политики (соответствие паролей требованиям SWIFT). Использование многофакторной аутентификации (Вход в систему на ПК оператора, учетные записи приложений и операционной системы, персональные токены и персональные мобильные устройства, используемые как отчуждаемый носитель информации);
• проверка организации и контроля физического доступа к компонентам локальной инфраструктуры SWIFT (ПК оператора включая съемное оборудование, все аппаратное обеспечение, платформа виртуализации (гипервизор));
• анализ целостности программного обеспечения (в зависимости от выбранной архитектуры — коннектор, графический интерфейс пользователя для обмена сообщениями и коммуникационного интерфейса, приложение интерфейса обмена сообщениями, приложение коммуникационного интерфейса, RMA, SNL);
• проверка наличия системы защиты от вредоносных программ в сегменте SWIFT;
• анализ актуальности ОРД по управлению инцидентами ИБ;
• оценка информированности и уровня обучение персонала (все сотрудники с доступом к системам SWIFT) в сфере безопасности (вводные\плановые\внеплановые\периодические инструктажи).

Результат и отчетная документация:

1. Отчет о проведенной самоаттестации, содержащий сведения о выполнении каждого из обязательных и рекомендуемых требований. Отчет предназначается для дальнейшей загрузки в KYC-SA и независимой экспертизы (оценки).
2. Отчет о независимой экспертизе, в котором имеется подтверждение или опровержение выводов о соответствии требованиям SWIFT, сделанных в ходе самоаттестации.

Требования SWIFT

Компания SWIFT в 2016 году представила программу обеспечения безопасности клиентов Customer Security Programme (CSP).

В рамках программы CSP, SWIFT ежегодно выпускает Концепцию Обеспечения Безопасности Пользователей «The SWIFT Customer Security Controls Framework» (CSCF), содержащую актуальный перечень требований, а также порядок прохождения аттестаций/самоаттестаций и подтверждение их независимой внешней оценкой.

Независимая компания, подтверждающая результаты самоаттестации, должна быть профильной в направлении аудитов информационной безопасности и иметь квалифицированных специалистов, обладающих опытом проведения аудитов ИБ финансового сектора.

Типы эталонных архитектур и подключений SWIFT (СВИФТ)

Вариант подключения к SWIFT и тип эталонной архитектуры напрямую влияет на перечень требований, которым необходимо соответствовать.

В зависимости от компонентов, которые могут быть размещены в информационной инфраструктуре организации, SWIFT выделяет несколько типов эталонных архитектур.

Всего в требованиях SWIFT определено 5 типов архитектур:

• Архитектура А1 — включает размещенные решения, в которых пользователь владеет (имеет лицензию) коммуникационным интерфейсом, при этом а) он работает от имени другого пользователя (пользователей) или б) эксплуатируется у себя третьей стороной внутри или (размещенной) вне пользовательской среды.
• Архитектура А2 — включает размещенные решения, в которых пользователь имеет лицензию на интерфейс обмена сообщениями, который управляется им, третьей стороной или поставщиком услуг.
• Архитектура А3 — Этот тип архитектуры включает в себя размещенные решения коннектора SWIFT.
• Архитектура А4 — Клиентский коннектор. Сервер, на котором работает прикладное ПО (например, решение для передачи файлов, система промежуточного ПО, такая как сервер IBM® MQ, или аналогичные системы, являющиеся клиентскими коннекторами), применяется в среде пользователя для обеспечения взаимодействия приложений с интерфейсом, размещенным в среде поставщика услуг (например, сервисного бюро, поставщика приложений Lite2 Business Application или группового хаба)
• Архитектура B — В пользовательской среде не используется компонент инфраструктуры, зависящий от SWIFT.

Также различают несколько вариантов подключения к СВИФТ:

1. Собственное подключение — для этого типа подключения требуется создание собственного комплекса SWIFT, который включает в себя набор аппаратных, программных компонентов, а также специализированное оборудование по обеспечению безопасности (VPN).
2. Коллективное подключение, которое включает в себя:
   1. Подключение собственным интерфейсом через Gateway Сервис-бюро — финансовая организация использует собственный интерфейс для работы в сети SWIFTNet, в то время как Сервис-бюро обеспечивает каналы связи, шифровальное оборудование и программное обеспечение, необходимое для доступа к сети SWIFT.
   2. Терминальное подключение через Access Сервис-бюро — вся необходимая инфраструктура для подключения к сети SWIFT предоставляется и обслуживается Сервис-бюро. Финансовая организация подключается к SWIFT через стандартный браузер. Для защиты соединения используется VPN-канал, который настраивается и поддерживается Сервис-бюро.
3. Облачные решения SWIFT, которые состоят из:
   1. Сервиса, обеспечивающего подключение по облачной инфраструктуре к системе SWIFT, а также к взаимосвязанным приложениям и сервисам.
   2. Облачного сервиса, функционирующего под управлением SWIFT, который позволяет подключать собственный интерфейс напрямую к сети SWIFT без необходимости использования собственного сервиса и аппаратных модулей шифрования данных (обязательных при собственном подключении).
   3. Альтернативного подключения к SWIFT и обеспечивает экстренную связь со SWIFT в случае недоступности основного и резервного подключения, например, по причине аварии или глобального сбоя. Простой и удобный в эксплуатации тип подключения. Облачный сервис позволяет обмениваться сообщениями и использовать сервисы SWIFT до момента восстановления основной площадки.

Самоаттестация SWIFT (Контроль выполнения требований по безопасности)

Эксперты RTM Group окажут помощь в проведении самоаттестации для любых типов подключений к системе SWIFT.

Работа заключается: в организации процесса проведения самоаттестации, его непосредственного исполнения, проверке выполнения обязательных требований SWIFT к обеспечению ИБ, а также в поддержке принятия решения о соответствии рекомендуемым требованиям SWIFT к обеспечению ИБ.

В ходе оказания помощи при проведении самоаттестации эксперты RTM Group проведут проверку системы обеспечения информационной безопасности сегмента SWIFT, а также проанализируют организационно-распорядительную документацию.

Результатом работ является:

Отчет о проведенной самоаттестации, содержащий обоснования выполнения обязательных и/или рекомендуемых элементов контроля.

На основании данного отчета, проверяемой организацией в личном кабинете KYC-SA самостоятельно отмечаются выполнение/невыполнение каждого из элементов контроля.

Проведение работ по оказанию помощи в проведении самоаттестации может осуществляться как очно, так и удаленно.

Проведение независимой внешней оценки SWIFT

Исполнитель проводит независимую внешнюю оценку по обязательным мерам контроля KYC-SA Baseline, на соответствие требованиям SWIFT CSP Independent Assessment Framework, которая заключается в:

1. проведении оценки варианта подключения к SWIFT и типа эталонной архитектуры;
2. организации процесса проведения и непосредственное проведение независимой внешней оценки;
3. проверке выполнения обязательных требований SWIFT к обеспечению ИБ, а также в поддержке принятия решения о соответствии рекомендуемым требованиям SWIFT к обеспечению ИБ.

В ходе проведения независимой внешней оценки Исполнитель проводит проверку системы обеспечения информационной безопасности сегмента SWIFT, а также анализирует организационно-распорядительную документацию в направлении информационной безопасности при помощи следующих инструментов:

1. Проверка наличия межсетевых экранов, анализ способов сегментирования;
2. Анализ ограничения полномочий системных администраторов;
3. Изучение документов, регламентирующих работу и взаимодействие всех компонентов, входящих в область оценки (включая должностные инструкции операторов и администраторов систем);
4. Анализ способов защиты данных, передаваемых по сети (шифрование);
5. Проверка соответствия настроек информационных систем требованиям эксплуатационной документации и документам SWIFT;
6. Подтверждение выполнения парольной политики (соответствие паролей требованиям SWIFT). Использование многофакторной аутентификации (Вход в систему на ПК оператора, учетные записи приложений и операционной системы, персональные токены и персональные мобильные устройства, используемые как отчуждаемый носитель информации);
7. Проверка организации и контроля физического доступа к компонентам локальной инфраструктуры SWIFT (ПК оператора включая съемное оборудование, все аппаратное обеспечение, платформа виртуализации (гипервизор));
8. Анализ целостности программного обеспечения (в зависимости от выбранной архитектуры — коннектор, графический интерфейс пользователя для обмена сообщениями и коммуникационного интерфейса, приложение интерфейса обмена сообщениями, приложение коммуникационного интерфейса, RMA, SNL);
9. Проверка наличия системы защиты от вредоносных программ в сегменте SWIFT;
10. Анализ актуальности ОРД по управлению инцидентами ИБ;
11. Оценка информированности и уровня обучения персонала (все сотрудники с доступом к системам SWIFT) в сфере безопасности (вводные\плановые\внеплановые\периодические инструктажи).

После проведения независимой внешней оценки Исполнитель формирует и предоставляет Заказчику промежуточный отчет на русском с рекомендациями для выполнения обязательных требований SWIFT CSP Independent Assessment Framework к обеспечению ИБ.

По факту выполнения рекомендаций Исполнитель проводит итоговую независимую внешнюю оценку и формирует финальный отчет в соответствии с требованиями SWIFT CSP Independent Assessment Framework на русском и английском и языках.

На основании финального отчета в личном кабинете KYC-SA сотрудники проверяемой организации самостоятельно отмечают выполнение/невыполнение каждого из элементов контроля, при этом указывают тип проведения оценки как «ExternalAssessment» и указывают проверяющую организацию и ее сотрудников.

Финальный отчет предназначен для хранения у проверяемой организации, и может быть предъявлен по запросу сотрудников SWIFT, путем направления скан-копии на электронную почту.

Почему RTM Group?

• Эксперты обладают богатым опытом независимого аудита, судебных экспертиз и представительства в судах, преподавательским опытом.
• RTM Group – экспертная компания, не является интегратором и не предоставляет аутсорсинговых услуг – поэтому наш аудит не сводится к «продаже» дополнительных услуг.
• Мы – полностью независимая компания, не аффилированная ни с одним брендом или вендором.
• Сертификаты SWIFT:
   
• Мы обладаем лицензиями:
  • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
  • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
  • Лицензия ФСБ России на работу со средствами криптозащиты