8 800 201-20-70Звонок бесплатный пн.-пт.: 10:00 - 18:00

Аудит безопасности SWIFT. Самоаттестация, подтверждение результатов

Компания SWIFT в 2016 году представила программу обеспечения безопасности клиентов Customer Security Programme (CSP).

В рамках программы CSP SWIFT выпустил положение «The SWIFT Customer Security Controls Framework» (CSCF), содержащее актуальный перечень требований.

CSCF требует, чтобы все организации — клиенты SWIFT прошли самоаттестацию в обязательном порядке в период с июля по 31 декабря 2020 г.

После прохождения самоаттестации, необходимо подтверждение ее результатов проведением независимой экспертизы. Независимая компания, подтверждающая результаты самоаттестации, должна иметь квалифицированных специалистов, обладающих опытом работы по направлению информационной безопасности.

Аудит безопасности SWIFT. Самоаттестация, подтверждение результатов

Эксперты по аудиту безопасности SWIFT

Кобец Дмитрий Андреевич

Кобец Дмитрий Андреевич

Эксперт в сфере информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года

Профиль >>

Все эксперты
Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»

Профиль >>

Все эксперты
Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты

Описание

Типы эталонных архитектур и подключений SWIFT

Вариант подключения к SWIFT и тип эталонной архитектуры напрямую влияет на перечень требований, которым необходимо соответствовать.

В зависимости от компонентов, которые могут быть размещены в информационной инфраструктуре организации, SWIFT выделяет несколько типов эталонных архитектур.

Всего в требованиях SWIFT определено 4 типа таких архитектур:

Типы архитектур SWIFT

  • Архитектура А1 — полное размещение компонентов на стороне банка (интерфейс обмена сообщениями и интерфейс связи SWIFT находятся на стороне пользователя).
  • Архитектура А2 — частичное размещение компонентов на стороне банка (интерфейс обмена сообщениями находится на стороне пользователя, а интерфейс связи находится на стороне поставщика услуг).
  • Архитектура А3 — с использованием коннектора (на стороне пользователя используется коннектор для работы с системой SWIFT, а интерфейсы обмена сообщениями и интерфейс связи системы SWIFT находятся на стороне поставщика услуг).
  • Архитектура B — без собственной инфраструктуры (на стороне пользователя не используются компоненты системы SWIFT).

Также различают несколько вариантов подключения к SWIFT:

Варианты подключения к SWIFT

  1. Собственное подключение — для этого типа подключения требуется создание собственного комплекса SWIFT, который включает в себя набор аппаратных, программных компонентов, а также специализированное оборудование по обеспечению безопасности (VPN).
  2. Коллективное подключение, которое включает в себя:
    1. Подключение собственным интерфейсом через Gateway Сервис-бюро — финансовая организация использует собственный интерфейс для работы в сети SWIFTNet, в то время как Сервис-бюро обеспечивает каналы связи, шифровальное оборудование и программное обеспечение, необходимое для доступа к сети SWIFT.
    2. Терминальное подключение через Access Сервис-бюро — вся необходимая инфраструктура для подключения к сети SWIFT предоставляется и обслуживается Сервис-бюро. Финансовая организация подключается к SWIFT через стандартный браузер. Для защиты соединения используется VPN-канал, который настраивается и поддерживается Сервис-бюро.
  3. Облачные решения SWIFT, которые состоят из:
    • Сервиса, обеспечивающего подключение по облачной инфраструктуре к системе SWIFT, а также к взаимосвязанным приложениям и сервисам.
    • Облачного сервиса, функционирующего под управлением SWIFT, который позволяет подключать собственный интерфейс напрямую к сети SWIFT без необходимости использования собственного сервиса и аппаратных модулей шифрования данных (обязательных при собственном подключении).
    • Альтернативного подключения к SWIFT и обеспечивает экстренную связь со SWIFT в случае недоступности основного и резервного подключения, например, по причине аварии или глобального сбоя. Простой и удобный в эксплуатации тип подключения. Облачный сервис позволяет обмениваться сообщениями и использовать сервисы SWIFT до момента восстановления основной площадки.

Самоаттестация SWIFT (Контроль выполнения требований по безопасности)

Эксперты RTM Group окажут помощь в проведении самоаттестации для любых типов подключений к системе SWIFT.

Работа заключается: в организации процесса проведения самоаттестации, его непосредственного исполнения, проверке выполнения обязательных требований SWIFT к обеспечению ИБ, а также в поддержке принятия решения о соответствии рекомендуемым требованиям SWIFT к обеспечению ИБ.

Требования состоят из двадцати одного обязательного требования:

  • П. 1.1. Требования к обеспечению защиты среды SWIFT;
  • П. 1.2. Требования по контролю за привилегированными учетными записями операционной системы;
  • П. 1.3. Требования к защите платформы виртуализации;
  • П. 2.1. Требования по безопасности внутреннего потока данных;
  • П. 2.2. Требования по обновлению для системы безопасности;
  • П. 2.3. Требования по повышению надежности системы;
  • П. 2.6. Требования по конфиденциальности и целостность сессии оператора;
  • П. 2.7. Требования по сканированию на уязвимость системы;
  • П. 2.10. Требования по повышению надежности приложений;
  • П. 3.1. Требования по физической защите;
  • П. 4.1. Требования по политике паролей;
  • П. 4.2. Требования по многофакторной аутентификации;
  • П. 5.1. Требования по логическому контролю доступа;
  • П. 5.2. Требования по управлению токенами;
  • П. 5.4. Требования по физическому и логическому хранению паролей;
  • П. 6.1. Требования к защите от вредоносных программ;
  • П. 6.2. Требования к целостности программного обеспечения;
  • П. 6.3. Требования к обеспечению целостности базы данных;
  • П. 6.4. Требования к ведению журнала операций и мониторингу;
  • П. 7.1. Требования по планированию реагирования на киберинциденты;
  • П. 7.2. Требования по информированию и обучению в сфере безопасности.

А также из десяти рекомендуемых требований:

  • П. 1.3А. Требования по защите платформ виртуализации;
  • П. 1.4А. Требования по ограничению доступа в Интернет;
  • П. 2.4А. Требования безопасности потока данных бэк-офиса;
  • П. 2.5А. Требования по аутсорсингу критически важных видов деятельности;
  • П. 2.8А. Требования по аутсорсингу критической деятельности;
  • П. 2.9А. Требования по средству контроля транзакционного бизнеса;
  • П. 2.10А. Требования по повышению надежности приложений;
  • П. 5.3А. Требования к процессу проверки персонала;
  • П. 6.5А. Требования к обнаружению вторжений;
  • П. 7.3А. Требования к испытанию на проникновение;
  • П. 7.4А. Требования к оценке рисков на основе сценариев.

В ходе оказания помощи при проведении самоаттестации эксперты RTM Group проведут проверку системы обеспечения информационной безопасности сегмента SWIFT, а также проанализируют организационно-распорядительную документацию в направлении информационной безопасности при помощи следующих инструментов:

Инструменты для помощи при проведении самоаттестации

  • проверка наличия межсетевых экранов, анализ способов сегментирования;
  • анализ ограничения полномочий системных администраторов;
  • изучение документов, регламентирующих работу и взаимодействие всех компонентов, входящих в область оценки (включая должностные инструкции операторов и администраторов систем);
  • анализ способов защиты данных, передаваемых по сети (шифрование);
  • проверка соответствия настроек информационных систем требованиям эксплуатационной документации и документам SWIFT;
  • подтверждение выполнения парольной политики (соответствие паролей требованиям SWIFT). Использование многофакторной аутентификации (Вход в систему на ПК оператора, учетные записи приложений и операционной системы, персональные токены и персональные мобильные устройства, используемые как отчуждаемый носитель информации);
  • проверка организации и контроля физического доступа к компонентам локальной инфраструктуры SWIFT (ПК оператора, включая съемное оборудование, все аппаратное обеспечение; платформа виртуализации (гипервизор));
  • анализ целостности программного обеспечения (в зависимости от выбранной архитектуры — коннектор, графический интерфейс пользователя для обмена сообщениями и коммуникационного интерфейса, приложение интерфейса обмена сообщениями, приложение коммуникационного интерфейса, RMA, SNL);
  • проверка наличия системы защиты от вредоносных программ в сегменте SWIFT;
  • анализ актуальности ОРД по управлению инцидентами ИБ;
  • оценка информированности и уровня обучения персонала (все сотрудники с доступом к системам SWIFT) в сфере безопасности (вводные\плановые\внеплановые\периодические инструктажи).

Результатом работ является:

Отчет о проведенной самоаттестации, содержащий сведения о выполнении каждого из обязательных и рекомендуемых требований. Отчет предназначается для дальнейшей загрузки в KYC-SA и независимой экспертизы (оценки).
Проведение работ по оказанию помощи в проведении самоаттестации может осуществляться как очно, так и удаленно.

Проведение независимой экспертизы результатов самоаттестации SWIFT

В рамках проведения независимой экспертизы результатов самоаттестации проверяется: качество и корректность выбранных показателей, актуальность и достоверность свидетельств выполнения вышеперечисленных требований.

Проведение независимой экспертизы самоаттестации основываются на отчете, загруженным в KYC-SA.

Проверяемые требования основаны на 8 нижеперечисленных обобщенных направлениях:

Направления для требований SWIFT

  • Ограничение доступа в Интернет;
  • Разделение критически важных систем;
  • Уменьшение поверхности атаки и управление уязвимостями;
  • Обеспечение безопасности физической среды;
  • Предотвращение компрометации учетных данных;
  • Управление пользовательскими привилегиями;
  • Обнаружение аномальной активности;
  • Обмен оперативными данными и разработка процедур реагирования на инциденты.

Эксперты RTM Group:

  • проведут экспертизу корректности оценки каждого требования, в независимости от архитектуры и типа подключения;
  • уровня соответствия выделенных направлений требованиям сегмента SWIFT;
  • оценят выстроенную систему информационной безопасности сегмента SWIFT.

Проведение работ по независимой экспертизе может осуществляться как очно, так и удаленно.

    Запрос коммерческого предложения

    Результатом выполнения работ является отчет о независимой экспертизе, в котором имеется подтверждение или опровержение выводов о соответствии требованиям SWIFT, сделанных в ходе самоаттестации.

    После проведения работ, отчет, подготовленный компанией, проводящей независимую экспертизу, подлежит хранению, для предъявления его, по первому требованию представителей компании SWIFT.

    Почему RTM Group?

    • Эксперты обладают богатым опытом независимого аудита, судебных экспертиз и представительства в судах, преподавательским опытом.
    • RTM Group – экспертная компания, не является интегратором и не предоставляет аутсорсинговых услуг – поэтому наш аудит не сводится к «продаже» дополнительных услуг.
    • Мы – полностью независимая компания, не аффилированная ни с одним брендом или вендором.
    • Мы обладаем лицензиями:
      • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
      • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
      • Лицензия ФСБ России на работу со средствами криптозащиты

    Лицензии RTM Group

    Заказать услуги по аудиту безопасности SWIFT

    Для уточнения стоимости и сроков звоните или пишите нам:

    Тел: +7 (495) 197-64-95
    Время работы: пн-пт 10:00 — 17:00 (мск)
    email: info@rtmtech.ru

      Заказать

       






      Видео по аудиту безопасности SWIFT

      Наши преимущества

      3 лицензии

      ФСТЭК России и ФСБ России

      Нами проведено более 300 аудитов

      Сотрудники компании провели более 300 аудитов по различным критериям

      Каждый 5-й российский банк - наш клиент

      Мы работаем с банками по направлениям аудитов ИБ, экспертизам, а также оказываем юридическую поддержку

      Цены на услуги по аудиту безопасности SWIFT

      Наименование услуги Стоимость

      Консультация

      бесплатно

      Аудит безопасности SWIFT

      от 150 000 руб.

      FAQ: Часто задаваемые вопросы

      Какое наказание грозит за просрочку сроков по прохождению самоаттестиции SWIFT?

      За просрочку сроков прохождения самоаттетстации компания SWIFT может порекомендовать регулятору (ЦБ РФ), обратить внимание на невыполнение требований безопасности на данного оператора.

      Услуги для вас

      НАМ ДОВЕРЯЮТ