Аудит безопасности SWIFT: оказание помощи в самоаттестации, независимая внешняя оценка, подтверждение результатов

Мы предлагаем:

  • Помощь в проведении самоаттестации;
  • Проведение независимой внешней оценки;
  • Подтверждение самоаттестации независимой внешней оценкой.

Почему мы:

  • Специалисты, обладающие сертификатами, предусмотренными требованиями SWIFT.
  • Мы проводим оценку для любой архитектуры.
  • У нас богатый опыт работы с банками — более 5 лет.

Важно:

Необходимо ежегодно проводить внешнюю независимую оценку SWIFT. Подтверждать самоаттестацию внешней независимой оценкой.

Аудит безопасности SWIFT: оказание помощи в самоаттестации, независимая внешняя оценка, подтверждение результатов - услуги RTM Group
Аудит безопасности SWIFT: оказание помощи в самоаттестации, независимая внешняя оценка, подтверждение результатов - от RTM Group
Узнать стоимость?

Эксперты по аудиту безопасности SWIFT

Эксперт по аудиту безопасности SWIFT Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»

Профиль >>

Все эксперты
Эксперт по аудиту безопасности SWIFT Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты

Цель проведения

В соответствии с CSCF, всем организациям-клиентам SWIFT необходимо пройти самоаттестацию в обязательном порядке (При наличии в штате специалистов указанных в п. 5.5. Customer Security Programme, в случае отсутствия только внешняя аттестация).

 

Формат проведения работ

Сертифицированные эксперты окажут помощь в проведении самоаттестации, которая заключается в:

  1. Проведении оценки варианта подключения к SWIFT и типа эталонной архитектуры;
  2. Организации процесса проведения и непосредственно проведут самоаттестацию;
  3. Проверке выполнения обязательных требований SWIFT к обеспечению ИБ, а также в поддержке принятия решения о соответствии рекомендуемым требованиям SWIFT к обеспечению ИБ;

В ходе аудита проводятся следующие работы:

В ходе оказания помощи при проведении самоаттестации сертифицированные эксперты проведут проверку системы обеспечения информационной безопасности сегмента SWIFT, а также проанализируют организационно-распорядительную документацию в направлении информационной безопасности при помощи следующих инструментов:

  • проверка наличия межсетевых экранов, анализ способов сегментирования;
  • анализ ограничения полномочий системных администраторов;
  • изучение документов, регламентирующих работу и взаимодействие всех компонентов, входящих в область оценки (включая должностные инструкции операторов и администраторов систем);
  • анализ способов защиты данных, передаваемых по сети (шифрование);
  • проверка соответствия настроек информационных систем требованиям эксплуатационной документации и документам SWIFT;
  • подтверждение выполнения парольной политики (соответствие паролей требованиям SWIFT). Использование многофакторной аутентификации (Вход в систему на ПК оператора, учетные записи приложений и операционной системы, персональные токены и персональные мобильные устройства, используемые как отчуждаемый носитель информации);
  • проверка организации и контроля физического доступа к компонентам локальной инфраструктуры SWIFT (ПК оператора включая съемное оборудование, все аппаратное обеспечение, платформа виртуализации (гипервизор));
  • анализ целостности программного обеспечения (в зависимости от выбранной архитектуры — коннектор, графический интерфейс пользователя для обмена сообщениями и коммуникационного интерфейса, приложение интерфейса обмена сообщениями, приложение коммуникационного интерфейса, RMA, SNL);
  • проверка наличия системы защиты от вредоносных программ в сегменте SWIFT;
  • анализ актуальности ОРД по управлению инцидентами ИБ;
  • оценка информированности и уровня обучение персонала (все сотрудники с доступом к системам SWIFT) в сфере безопасности (вводные\плановые\внеплановые\периодические инструктажи).

 

Результат и отчетная документация:

  1. Отчет о проведенной самоаттестации, содержащий сведения о выполнении каждого из обязательных и рекомендуемых требований. Отчет предназначается для дальнейшей загрузки в KYC-SA и независимой экспертизы (оценки).
  2. Отчет о независимой экспертизе, в котором имеется подтверждение или опровержение выводов о соответствии требованиям SWIFT, сделанных в ходе самоаттестации.

    Узнать стоимость

    Требования SWIFT

    Компания SWIFT в 2016 году представила программу обеспечения безопасности клиентов Customer Security Programme (CSP).

    В рамках программы CSP, SWIFT ежегодно выпускает Концепцию Обеспечения Безопасности Пользователей «The SWIFT Customer Security Controls Framework» (CSCF), содержащую актуальный перечень требований, а также порядок прохождения аттестаций/самоаттестаций и подтверждение их независимой внешней оценкой.

    Независимая компания, подтверждающая результаты самоаттестации, должна быть профильной в направлении аудитов информационной безопасности и иметь квалифицированных специалистов, обладающих опытом проведения аудитов ИБ финансового сектора.

     

    Типы эталонных архитектур и подключений SWIFT (СВИФТ)

    Вариант подключения к SWIFT и тип эталонной архитектуры напрямую влияет на перечень требований, которым необходимо соответствовать.

    В зависимости от компонентов, которые могут быть размещены в информационной инфраструктуре организации, SWIFT выделяет несколько типов эталонных архитектур.

    Всего в требованиях SWIFT определено 5 типов архитектур:

    • Архитектура А1 — включает размещенные решения, в которых пользователь владеет (имеет лицензию) коммуникационным интерфейсом, при этом а) он работает от имени другого пользователя (пользователей) или б) эксплуатируется у себя третьей стороной внутри или (размещенной) вне пользовательской среды.
    • Архитектура А2 — включает размещенные решения, в которых пользователь имеет лицензию на интерфейс обмена сообщениями, который управляется им, третьей стороной или поставщиком услуг.
    • Архитектура А3 — Этот тип архитектуры включает в себя размещенные решения коннектора SWIFT.
    • Архитектура А4 — Клиентский коннектор. Сервер, на котором работает прикладное ПО (например, решение для передачи файлов, система промежуточного ПО, такая как сервер IBM® MQ, или аналогичные системы, являющиеся клиентскими коннекторами), применяется в среде пользователя для обеспечения взаимодействия приложений с интерфейсом, размещенным в среде поставщика услуг (например, сервисного бюро, поставщика приложений Lite2 Business Application или группового хаба)
    • Архитектура B — В пользовательской среде не используется компонент инфраструктуры, зависящий от SWIFT.

    Также различают несколько вариантов подключения к СВИФТ:

    Варианты подключения к SWIFT

    1. Собственное подключение — для этого типа подключения требуется создание собственного комплекса SWIFT, который включает в себя набор аппаратных, программных компонентов, а также специализированное оборудование по обеспечению безопасности (VPN).
    2. Коллективное подключение, которое включает в себя:
      1. Подключение собственным интерфейсом через Gateway Сервис-бюро — финансовая организация использует собственный интерфейс для работы в сети SWIFTNet, в то время как Сервис-бюро обеспечивает каналы связи, шифровальное оборудование и программное обеспечение, необходимое для доступа к сети SWIFT.
      2. Терминальное подключение через Access Сервис-бюро — вся необходимая инфраструктура для подключения к сети SWIFT предоставляется и обслуживается Сервис-бюро. Финансовая организация подключается к SWIFT через стандартный браузер. Для защиты соединения используется VPN-канал, который настраивается и поддерживается Сервис-бюро.
    3. Облачные решения SWIFT, которые состоят из:
      1. Сервиса, обеспечивающего подключение по облачной инфраструктуре к системе SWIFT, а также к взаимосвязанным приложениям и сервисам.
      2. Облачного сервиса, функционирующего под управлением SWIFT, который позволяет подключать собственный интерфейс напрямую к сети SWIFT без необходимости использования собственного сервиса и аппаратных модулей шифрования данных (обязательных при собственном подключении).
      3. Альтернативного подключения к SWIFT и обеспечивает экстренную связь со SWIFT в случае недоступности основного и резервного подключения, например, по причине аварии или глобального сбоя. Простой и удобный в эксплуатации тип подключения. Облачный сервис позволяет обмениваться сообщениями и использовать сервисы SWIFT до момента восстановления основной площадки.

     

    Самоаттестация SWIFT (Контроль выполнения требований по безопасности)

    Эксперты RTM Group окажут помощь в проведении самоаттестации для любых типов подключений к системе SWIFT.

    Работа заключается: в организации процесса проведения самоаттестации, его непосредственного исполнения, проверке выполнения обязательных требований SWIFT к обеспечению ИБ, а также в поддержке принятия решения о соответствии рекомендуемым требованиям SWIFT к обеспечению ИБ.

    В ходе оказания помощи при проведении самоаттестации эксперты RTM Group проведут проверку системы обеспечения информационной безопасности сегмента SWIFT, а также проанализируют организационно-распорядительную документацию.

    Результатом работ является:

    Отчет о проведенной самоаттестации, содержащий обоснования выполнения обязательных и/или рекомендуемых элементов контроля.

    На основании данного отчета, проверяемой организацией в личном кабинете KYC-SA самостоятельно отмечаются выполнение/невыполнение каждого из элементов контроля.

    Проведение работ по оказанию помощи в проведении самоаттестации может осуществляться как очно, так и удаленно.

      Нужна консультация?

      Проведение независимой внешней оценки SWIFT

      Исполнитель проводит независимую внешнюю оценку по обязательным мерам контроля KYC-SA Baseline, на соответствие требованиям SWIFT CSP Independent Assessment Framework, которая заключается в:

      1. проведении оценки варианта подключения к SWIFT и типа эталонной архитектуры;
      2. организации процесса проведения и непосредственное проведение независимой внешней оценки;
      3. проверке выполнения обязательных требований SWIFT к обеспечению ИБ, а также в поддержке принятия решения о соответствии рекомендуемым требованиям SWIFT к обеспечению ИБ.

      В ходе проведения независимой внешней оценки Исполнитель проводит проверку системы обеспечения информационной безопасности сегмента SWIFT, а также анализирует организационно-распорядительную документацию в направлении информационной безопасности при помощи следующих инструментов:

      1. Проверка наличия межсетевых экранов, анализ способов сегментирования;
      2. Анализ ограничения полномочий системных администраторов;
      3. Изучение документов, регламентирующих работу и взаимодействие всех компонентов, входящих в область оценки (включая должностные инструкции операторов и администраторов систем);
      4. Анализ способов защиты данных, передаваемых по сети (шифрование);
      5. Проверка соответствия настроек информационных систем требованиям эксплуатационной документации и документам SWIFT;
      6. Подтверждение выполнения парольной политики (соответствие паролей требованиям SWIFT). Использование многофакторной аутентификации (Вход в систему на ПК оператора, учетные записи приложений и операционной системы, персональные токены и персональные мобильные устройства, используемые как отчуждаемый носитель информации);
      7. Проверка организации и контроля физического доступа к компонентам локальной инфраструктуры SWIFT (ПК оператора включая съемное оборудование, все аппаратное обеспечение, платформа виртуализации (гипервизор));
      8. Анализ целостности программного обеспечения (в зависимости от выбранной архитектуры — коннектор, графический интерфейс пользователя для обмена сообщениями и коммуникационного интерфейса, приложение интерфейса обмена сообщениями, приложение коммуникационного интерфейса, RMA, SNL);
      9. Проверка наличия системы защиты от вредоносных программ в сегменте SWIFT;
      10. Анализ актуальности ОРД по управлению инцидентами ИБ;
      11. Оценка информированности и уровня обучения персонала (все сотрудники с доступом к системам SWIFT) в сфере безопасности (вводные\плановые\внеплановые\периодические инструктажи).

      После проведения независимой внешней оценки Исполнитель формирует и предоставляет Заказчику промежуточный отчет на русском с рекомендациями для выполнения обязательных требований SWIFT CSP Independent Assessment Framework к обеспечению ИБ.

      По факту выполнения рекомендаций Исполнитель проводит итоговую независимую внешнюю оценку и формирует финальный отчет в соответствии с требованиями SWIFT CSP Independent Assessment Framework на русском и английском и языках.

      На основании финального отчета в личном кабинете KYC-SA сотрудники проверяемой организации самостоятельно отмечают выполнение/невыполнение каждого из элементов контроля, при этом указывают тип проведения оценки как «ExternalAssessment» и указывают проверяющую организацию и ее сотрудников.

      Финальный отчет предназначен для хранения у проверяемой организации, и может быть предъявлен по запросу сотрудников SWIFT, путем направления скан-копии на электронную почту.

      В рамках аудита безопасности SWIFT мы предлагаем услуги пентеста (тестирования на проникновение).

       

      Почему RTM Group?

      • Эксперты обладают богатым опытом независимого аудита, судебных экспертиз и представительства в судах, преподавательским опытом.
      • Мы – полностью независимая компания, не аффилированная ни с одним брендом или вендором.
      • Сертификаты SWIFT:
        Сертификат Кобец SWIFT 2024  SWIFT Царев Е.О. 2024
      • Мы обладаем лицензиями:
        • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
        • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
        • Лицензия ФСБ России на работу со средствами криптозащиты

      Лицензии RTM Group

      Заказать услуги по аудиту безопасности SWIFT

      Для уточнения стоимости и сроков звоните или пишите нам:

      Тел: 8 800 201-20-70 (Звонок по России бесплатный)
      email:






      Видео по аудиту безопасности SWIFT

      Почему RTM Group

      RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций

      В списке SWIFT Directory of CSP assessment providers

      В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

      Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

      Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

      Сайт RTM Group входит в тройку лучших юридических сайтов России

      В составе ТК №122

      Цены на услуги по аудиту безопасности SWIFT

      Обратите внимание!
      Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
      Работа с физическими лицами временно не осуществляется.

      Наименование услуги Стоимость

      Консультация

      Бесплатно

      Аудит безопасности SWIFT

      Срок — от 2 недель

      Подробное описание
       

      от 175 000 руб.

      Пентест в рамках SWIFT

      Тестирование на проникновение и анализ уязвимостей информационной инфраструктуры.
      Срок — от 2 недель

      Подробное описание
       

      от 200 000 руб.

      Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
      Работа с физическими лицами временно не осуществляется.

      Наши преимущества

      3 лицензии

      ФСТЭК России и ФСБ России

      Нами проведено более 800 аудитов

      Сотрудники компании провели более 700 аудитов по различным критериям

      Каждый 5-й российский банк - наш клиент

      Мы работаем с банками по направлениям аудитов ИБ, экспертизам, а также оказываем юридическую поддержку

      Наши отзывы по аудиту безопасности SWIFT

      Благодарность от АО "Банк СОЮЗ"
      25.11.2022
      Уважаемый Евгений Олегович! Банк СОЮЗ (АО) (далее – Банк) выражает свою благодарность компании RTM Group за качественное и быстрое выполнение независимой внешней оценки сегмента SWIFT на соответствие требованиям элементов контроля Концепции обеспечения безопасности пользователей SWIFT. Эксперты оценили степень выполнения обязательных и рекомендуемых элементов контроля, подготовили отчёт, установленный требованиями сообщества, а также помогли создать драфт в личном кабинете участника. Обоснование элементов контроля было исчерпывающим и не нарушало требования регламентирующих документов. Отдельно хочется отметить компетентность специалистов и поблагодарить за оказание услуг в кратчайшие сроки. Организации RTM Group желаем интересных проектов и надёжных партнёров. Надеемся на долгосрочное сотрудничество.   Председатель правления С.В. Даныш
      Благодарственное письмо АО "Реалист Банк"
      26.11.2024
      Уважаемые коллеги! АО "РЕАЛИСТ БАНК" выражает искреннюю благодарность компании RTM Group за высокопрофессиональное выполнение работ по оценке соответствию требований ГОСТ Р 57580, а также за проведение независимой внешней оценки инфраструктуры SWIFT. Мы глубоко ценим ваш вклад в обеспечение безопасности и надежности нашей инфраструктуры. Особую благодарность хотим выразить специалистам, - Марине Юрьевой и Юлии Шорошевой. Их профессионализм, ответственность и внимательность к деталям стали залогом успешного завершения проекта. Ваши сотрудники продемонстрировали высокий уровень экспертизы и преданность своему делу, что является значимой частью нашего успешного сотрудничества. Мы уверены, что наш совместный опыт станет основой для дальнейшего укрепления  партнерских отношений и успешного сотрудничества на благо наших клиентов. Желаем компании RTM Group процветания, роста и новых профессиональных достижений! Руководитель службы информационной безопасности Курочкин С.А.

      Услуги для вас

      Продукты и решения для вас

      Нам доверяют

      FAQ: Часто задаваемые вопросы

      Какое наказание грозит за просрочку сроков по прохождению самоаттестиции SWIFT?

      За просрочку сроков прохождения самоаттетстации компания SWIFT может порекомендовать регулятору (ЦБ РФ), обратить внимание на невыполнение требований безопасности на данного оператора.

      А какое отношение ЦБ имеет к требованиям СВИФТА?

      ЦБ к требованиям SWIFT не имеет никакого отношения, но SWIFT может ходатайствовать, написать письмо в ЦБ о применение мер или воздействий на недобросовестного участника SWIFT, т.е. с одной стороны ЦБ не имеет отношения, но система SWIFT может указать ЦБ на того или иного участника.

      Оценку по SWIFT могут проводить только те организации, которые указаны на сайте Swift?

      На сайте SWIFT указаны только те аудиторы, которые прошли минимальный due diligence силами самого SWIFT. Соответственно, особых требований нет, но сам SWIFT рекомендует проводить оценку тем организациям, которые обладают доверием в вашей стране. Если ЦБ требует лицензию на ТЗКИ, то не будет лишним, если оценку будут проводить организации с лицензией ТЗКИ.

      «Подскажите пожалуйста, имеется ли какое-либо положение, описывающее структуру отчета?»

      «Подробная процедура проведения оценки указана в Independent Assessment Process — Guidelines_v1.0. Однако, формы отчета как таковой ни в одном из документов SWIFT не имеется. Имеются только шаблоны самой оценки в формате Excel.

      Поэтому форма отчета произвольная, но должна содержать таблицы из шаблонов в формате Excel. Данные шаблоны оценки имеются на сайте SWIFT.com и доступны только участникам системы.»

      Пожалуйста, объясните, что такое коннектор.

      Это ПО, которое обеспечивает взаимодействие организации-участника с системой SWIFT.

      В каком виде у нас должен быть отчет по SWIFT?

      Актуальная форма отчёта размещена на сайте SWIFT. Может быть как в электронном виде, так и на бумаге.

      Есть ли конфликт интересов в случае, если независимую оценку проводит сервис-бюро, сопровождающее в Банке резервный канал SWIFT?

      Да, конфликт интересов в данном случае будет.

      Для а4 какой коннектор нужен пользовательский или системный от свифта?

      Для А4 нужен коннектор пользователя.

      Что нужно делать с письмом «CSCF Assessment Completion Letter»?

      Оно составляется ведущим аудитором в формате документа Word и хранится до первого требования SWIFT.

      Внешний аудитор это именно внешний по отношении у организации или к подразделению ИБ?

      В отношении к организации. В противном случае оценка не будет считаться независимой.

      Если у сотрудника банка есть сертификат CISM, он может проводить независимую оценку?

      Нет, так как он является сотрудником, оценка не будет независимой.

      2,9 – это рекомендуемый элемент контроля или обязательный?

      Нет, это обязательный элемент. Он стал таковым с 2022.