Аудит безопасности SWIFT. Самоаттестация, подтверждение результатов

Типы эталонных архитектур и подключений SWIFT

Вариант подключения к SWIFT и тип эталонной архитектуры напрямую влияет на перечень требований, которым необходимо соответствовать.

В зависимости от компонентов, которые могут быть размещены в информационной инфраструктуре организации, SWIFT выделяет несколько типов эталонных архитектур.

Всего в требованиях SWIFT определено 4 типа таких архитектур:

• Архитектура А1 — полное размещение компонентов на стороне банка (интерфейс обмена сообщениями и интерфейс связи SWIFT находятся на стороне пользователя).
• Архитектура А2 — частичное размещение компонентов на стороне банка (интерфейс обмена сообщениями находится на стороне пользователя, а интерфейс связи находится на стороне поставщика услуг).
• Архитектура А3 — с использованием коннектора (на стороне пользователя используется коннектор для работы с системой SWIFT, а интерфейсы обмена сообщениями и интерфейс связи системы SWIFT находятся на стороне поставщика услуг).
• Архитектура B — без собственной инфраструктуры (на стороне пользователя не используются компоненты системы SWIFT).

Также различают несколько вариантов подключения к SWIFT:

1. Собственное подключение — для этого типа подключения требуется создание собственного комплекса SWIFT, который включает в себя набор аппаратных, программных компонентов, а также специализированное оборудование по обеспечению безопасности (VPN).
2. Коллективное подключение, которое включает в себя:
   1. Подключение собственным интерфейсом через Gateway Сервис-бюро — финансовая организация использует собственный интерфейс для работы в сети SWIFTNet, в то время как Сервис-бюро обеспечивает каналы связи, шифровальное оборудование и программное обеспечение, необходимое для доступа к сети SWIFT.
   2. Терминальное подключение через Access Сервис-бюро — вся необходимая инфраструктура для подключения к сети SWIFT предоставляется и обслуживается Сервис-бюро. Финансовая организация подключается к SWIFT через стандартный браузер. Для защиты соединения используется VPN-канал, который настраивается и поддерживается Сервис-бюро.
3. Облачные решения SWIFT, которые состоят из:
   • Сервиса, обеспечивающего подключение по облачной инфраструктуре к системе SWIFT, а также к взаимосвязанным приложениям и сервисам.
   • Облачного сервиса, функционирующего под управлением SWIFT, который позволяет подключать собственный интерфейс напрямую к сети SWIFT без необходимости использования собственного сервиса и аппаратных модулей шифрования данных (обязательных при собственном подключении).
   • Альтернативного подключения к SWIFT и обеспечивает экстренную связь со SWIFT в случае недоступности основного и резервного подключения, например, по причине аварии или глобального сбоя. Простой и удобный в эксплуатации тип подключения. Облачный сервис позволяет обмениваться сообщениями и использовать сервисы SWIFT до момента восстановления основной площадки.

Самоаттестация SWIFT (Контроль выполнения требований по безопасности)

Эксперты RTM Group окажут помощь в проведении самоаттестации для любых типов подключений к системе SWIFT.

Работа заключается: в организации процесса проведения самоаттестации, его непосредственного исполнения, проверке выполнения обязательных требований SWIFT к обеспечению ИБ, а также в поддержке принятия решения о соответствии рекомендуемым требованиям SWIFT к обеспечению ИБ.

Требования состоят из двадцати одного обязательного требования:

• П. 1.1. Требования к обеспечению защиты среды SWIFT;
• П. 1.2. Требования по контролю за привилегированными учетными записями операционной системы;
• П. 1.3. Требования к защите платформы виртуализации;
• П. 2.1. Требования по безопасности внутреннего потока данных;
• П. 2.2. Требования по обновлению для системы безопасности;
• П. 2.3. Требования по повышению надежности системы;
• П. 2.6. Требования по конфиденциальности и целостность сессии оператора;
• П. 2.7. Требования по сканированию на уязвимость системы;
• П. 2.10. Требования по повышению надежности приложений;
• П. 3.1. Требования по физической защите;
• П. 4.1. Требования по политике паролей;
• П. 4.2. Требования по многофакторной аутентификации;
• П. 5.1. Требования по логическому контролю доступа;
• П. 5.2. Требования по управлению токенами;
• П. 5.4. Требования по физическому и логическому хранению паролей;
• П. 6.1. Требования к защите от вредоносных программ;
• П. 6.2. Требования к целостности программного обеспечения;
• П. 6.3. Требования к обеспечению целостности базы данных;
• П. 6.4. Требования к ведению журнала операций и мониторингу;
• П. 7.1. Требования по планированию реагирования на киберинциденты;
• П. 7.2. Требования по информированию и обучению в сфере безопасности.

А также из десяти рекомендуемых требований:

• П. 1.3А. Требования по защите платформ виртуализации;
• П. 1.4А. Требования по ограничению доступа в Интернет;
• П. 2.4А. Требования безопасности потока данных бэк-офиса;
• П. 2.5А. Требования по аутсорсингу критически важных видов деятельности;
• П. 2.8А. Требования по аутсорсингу критической деятельности;
• П. 2.9А. Требования по средству контроля транзакционного бизнеса;
• П. 2.10А. Требования по повышению надежности приложений;
• П. 5.3А. Требования к процессу проверки персонала;
• П. 6.5А. Требования к обнаружению вторжений;
• П. 7.3А. Требования к испытанию на проникновение;
• П. 7.4А. Требования к оценке рисков на основе сценариев.

В ходе оказания помощи при проведении самоаттестации эксперты RTM Group проведут проверку системы обеспечения информационной безопасности сегмента SWIFT, а также проанализируют организационно-распорядительную документацию в направлении информационной безопасности при помощи следующих инструментов:

• проверка наличия межсетевых экранов, анализ способов сегментирования;
• анализ ограничения полномочий системных администраторов;
• изучение документов, регламентирующих работу и взаимодействие всех компонентов, входящих в область оценки (включая должностные инструкции операторов и администраторов систем);
• анализ способов защиты данных, передаваемых по сети (шифрование);
• проверка соответствия настроек информационных систем требованиям эксплуатационной документации и документам SWIFT;
• подтверждение выполнения парольной политики (соответствие паролей требованиям SWIFT). Использование многофакторной аутентификации (Вход в систему на ПК оператора, учетные записи приложений и операционной системы, персональные токены и персональные мобильные устройства, используемые как отчуждаемый носитель информации);
• проверка организации и контроля физического доступа к компонентам локальной инфраструктуры SWIFT (ПК оператора, включая съемное оборудование, все аппаратное обеспечение; платформа виртуализации (гипервизор));
• анализ целостности программного обеспечения (в зависимости от выбранной архитектуры — коннектор, графический интерфейс пользователя для обмена сообщениями и коммуникационного интерфейса, приложение интерфейса обмена сообщениями, приложение коммуникационного интерфейса, RMA, SNL);
• проверка наличия системы защиты от вредоносных программ в сегменте SWIFT;
• анализ актуальности ОРД по управлению инцидентами ИБ;
• оценка информированности и уровня обучения персонала (все сотрудники с доступом к системам SWIFT) в сфере безопасности (вводные\плановые\внеплановые\периодические инструктажи).

Результатом работ является:

Отчет о проведенной самоаттестации, содержащий сведения о выполнении каждого из обязательных и рекомендуемых требований. Отчет предназначается для дальнейшей загрузки в KYC-SA и независимой экспертизы (оценки).
Проведение работ по оказанию помощи в проведении самоаттестации может осуществляться как очно, так и удаленно.

Проведение независимой экспертизы результатов самоаттестации SWIFT

В рамках проведения независимой экспертизы результатов самоаттестации проверяется: качество и корректность выбранных показателей, актуальность и достоверность свидетельств выполнения вышеперечисленных требований.

Проведение независимой экспертизы самоаттестации основываются на отчете, загруженным в KYC-SA.

Проверяемые требования основаны на 8 нижеперечисленных обобщенных направлениях:

• Ограничение доступа в Интернет;
• Разделение критически важных систем;
• Уменьшение поверхности атаки и управление уязвимостями;
• Обеспечение безопасности физической среды;
• Предотвращение компрометации учетных данных;
• Управление пользовательскими привилегиями;
• Обнаружение аномальной активности;
• Обмен оперативными данными и разработка процедур реагирования на инциденты.

Эксперты RTM Group:

• проведут экспертизу корректности оценки каждого требования, в независимости от архитектуры и типа подключения;
• уровня соответствия выделенных направлений требованиям сегмента SWIFT;
• оценят выстроенную систему информационной безопасности сегмента SWIFT.

Проведение работ по независимой экспертизе может осуществляться как очно, так и удаленно.

После проведения работ, отчет, подготовленный компанией, проводящей независимую экспертизу, подлежит хранению, для предъявления его, по первому требованию представителей компании SWIFT.

Почему RTM Group?

• Эксперты обладают богатым опытом независимого аудита, судебных экспертиз и представительства в судах, преподавательским опытом.
• RTM Group – экспертная компания, не является интегратором и не предоставляет аутсорсинговых услуг – поэтому наш аудит не сводится к «продаже» дополнительных услуг.
• Мы – полностью независимая компания, не аффилированная ни с одним брендом или вендором.
• Мы обладаем лицензиями:
  • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
  • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
  • Лицензия ФСБ России на работу со средствами криптозащиты