Аудит безопасности SWIFT. Самоаттестация, подтверждение результатов

Требования SWIFT

Компания SWIFT в 2016 году представила программу обеспечения безопасности клиентов Customer Security Programme (CSP).

В рамках программы CSP SWIFT выпустил положение «The SWIFT Customer Security Controls Framework» (CSCF), содержащее актуальный перечень требований.

CSCF требует, чтобы все организации — клиенты SWIFT прошли самоаттестацию в обязательном порядке в период с июля по 31 декабря 2020 г.

После прохождения самоаттестации, необходимо подтверждение ее результатов проведением независимой экспертизы. Независимая компания, подтверждающая результаты самоаттестации, должна иметь квалифицированных специалистов, обладающих опытом работы по направлению информационной безопасности.

Типы эталонных архитектур и подключений SWIFT (СВИФТ)

Вариант подключения к SWIFT и тип эталонной архитектуры напрямую влияет на перечень требований, которым необходимо соответствовать.

В зависимости от компонентов, которые могут быть размещены в информационной инфраструктуре организации, SWIFT выделяет несколько типов эталонных архитектур.

Всего в требованиях SWIFT определено 4 типа таких архитектур:

• Архитектура А1 — полное размещение компонентов на стороне банка (интерфейс обмена сообщениями и интерфейс связи SWIFT находятся на стороне пользователя).
• Архитектура А2 — частичное размещение компонентов на стороне банка (интерфейс обмена сообщениями находится на стороне пользователя, а интерфейс связи находится на стороне поставщика услуг).
• Архитектура А3 — с использованием коннектора (на стороне пользователя используется коннектор для работы с системой SWIFT, а интерфейсы обмена сообщениями и интерфейс связи системы SWIFT находятся на стороне поставщика услуг).
• Архитектура B — без собственной инфраструктуры (на стороне пользователя не используются компоненты системы SWIFT).

Также различают несколько вариантов подключения к СВИФТ:

1. Собственное подключение — для этого типа подключения требуется создание собственного комплекса SWIFT, который включает в себя набор аппаратных, программных компонентов, а также специализированное оборудование по обеспечению безопасности (VPN).
2. Коллективное подключение, которое включает в себя:
   1. Подключение собственным интерфейсом через Gateway Сервис-бюро — финансовая организация использует собственный интерфейс для работы в сети SWIFTNet, в то время как Сервис-бюро обеспечивает каналы связи, шифровальное оборудование и программное обеспечение, необходимое для доступа к сети SWIFT.
   2. Терминальное подключение через Access Сервис-бюро — вся необходимая инфраструктура для подключения к сети SWIFT предоставляется и обслуживается Сервис-бюро. Финансовая организация подключается к SWIFT через стандартный браузер. Для защиты соединения используется VPN-канал, который настраивается и поддерживается Сервис-бюро.
3. Облачные решения SWIFT, которые состоят из:
   • Сервиса, обеспечивающего подключение по облачной инфраструктуре к системе SWIFT, а также к взаимосвязанным приложениям и сервисам.
   • Облачного сервиса, функционирующего под управлением SWIFT, который позволяет подключать собственный интерфейс напрямую к сети SWIFT без необходимости использования собственного сервиса и аппаратных модулей шифрования данных (обязательных при собственном подключении).
   • Альтернативного подключения к SWIFT и обеспечивает экстренную связь со SWIFT в случае недоступности основного и резервного подключения, например, по причине аварии или глобального сбоя. Простой и удобный в эксплуатации тип подключения. Облачный сервис позволяет обмениваться сообщениями и использовать сервисы SWIFT до момента восстановления основной площадки.

Самоаттестация SWIFT (Контроль выполнения требований по безопасности)

Эксперты RTM Group окажут помощь в проведении самоаттестации для любых типов подключений к системе SWIFT.

Работа заключается: в организации процесса проведения самоаттестации, его непосредственного исполнения, проверке выполнения обязательных требований SWIFT к обеспечению ИБ, а также в поддержке принятия решения о соответствии рекомендуемым требованиям SWIFT к обеспечению ИБ.

Требования состоят из двадцати одного обязательного требования:

• П. 1.1. Требования к обеспечению защиты среды SWIFT;
• П. 1.2. Требования по контролю за привилегированными учетными записями операционной системы;
• П. 1.3. Требования к защите платформы виртуализации;
• П. 2.1. Требования по безопасности внутреннего потока данных;
• П. 2.2. Требования по обновлению для системы безопасности;
• П. 2.3. Требования по повышению надежности системы;
• П. 2.6. Требования по конфиденциальности и целостность сессии оператора;
• П. 2.7. Требования по сканированию на уязвимость системы;
• П. 2.10. Требования по повышению надежности приложений;
• П. 3.1. Требования по физической защите;
• П. 4.1. Требования по политике паролей;
• П. 4.2. Требования по многофакторной аутентификации;
• П. 5.1. Требования по логическому контролю доступа;
• П. 5.2. Требования по управлению токенами;
• П. 5.4. Требования по физическому и логическому хранению паролей;
• П. 6.1. Требования к защите от вредоносных программ;
• П. 6.2. Требования к целостности программного обеспечения;
• П. 6.3. Требования к обеспечению целостности базы данных;
• П. 6.4. Требования к ведению журнала операций и мониторингу;
• П. 7.1. Требования по планированию реагирования на киберинциденты;
• П. 7.2. Требования по информированию и обучению в сфере безопасности.

А также из десяти рекомендуемых требований:

• П. 1.3А. Требования по защите платформ виртуализации;
• П. 1.4А. Требования по ограничению доступа в Интернет;
• П. 2.4А. Требования безопасности потока данных бэк-офиса;
• П. 2.5А. Требования по аутсорсингу критически важных видов деятельности;
• П. 2.8А. Требования по аутсорсингу критической деятельности;
• П. 2.9А. Требования по средству контроля транзакционного бизнеса;
• П. 2.10А. Требования по повышению надежности приложений;
• П. 5.3А. Требования к процессу проверки персонала;
• П. 6.5А. Требования к обнаружению вторжений;
• П. 7.3А. Требования к испытанию на проникновение;
• П. 7.4А. Требования к оценке рисков на основе сценариев.

В ходе оказания помощи при проведении самоаттестации эксперты RTM Group проведут проверку системы обеспечения информационной безопасности сегмента SWIFT, а также проанализируют организационно-распорядительную документацию в направлении информационной безопасности при помощи следующих инструментов:

• проверка наличия межсетевых экранов, анализ способов сегментирования;
• анализ ограничения полномочий системных администраторов;
• изучение документов, регламентирующих работу и взаимодействие всех компонентов, входящих в область оценки (включая должностные инструкции операторов и администраторов систем);
• анализ способов защиты данных, передаваемых по сети (шифрование);
• проверка соответствия настроек информационных систем требованиям эксплуатационной документации и документам SWIFT;
• подтверждение выполнения парольной политики (соответствие паролей требованиям SWIFT). Использование многофакторной аутентификации (Вход в систему на ПК оператора, учетные записи приложений и операционной системы, персональные токены и персональные мобильные устройства, используемые как отчуждаемый носитель информации);
• проверка организации и контроля физического доступа к компонентам локальной инфраструктуры SWIFT (ПК оператора, включая съемное оборудование, все аппаратное обеспечение; платформа виртуализации (гипервизор));
• анализ целостности программного обеспечения (в зависимости от выбранной архитектуры — коннектор, графический интерфейс пользователя для обмена сообщениями и коммуникационного интерфейса, приложение интерфейса обмена сообщениями, приложение коммуникационного интерфейса, RMA, SNL);
• проверка наличия системы защиты от вредоносных программ в сегменте SWIFT;
• анализ актуальности ОРД по управлению инцидентами ИБ;
• оценка информированности и уровня обучения персонала (все сотрудники с доступом к системам SWIFT) в сфере безопасности (вводные\плановые\внеплановые\периодические инструктажи).

Результатом работ является:

Отчет о проведенной самоаттестации, содержащий сведения о выполнении каждого из обязательных и рекомендуемых требований. Отчет предназначается для дальнейшей загрузки в KYC-SA и независимой экспертизы (оценки).
Проведение работ по оказанию помощи в проведении самоаттестации может осуществляться как очно, так и удаленно.

Проведение независимой экспертизы результатов самоаттестации SWIFT

В рамках проведения независимой экспертизы результатов самоаттестации проверяется: качество и корректность выбранных показателей, актуальность и достоверность свидетельств выполнения вышеперечисленных требований.

Проведение независимой экспертизы самоаттестации основываются на отчете, загруженным в KYC-SA.

Проверяемые требования основаны на 8 нижеперечисленных обобщенных направлениях:

• Ограничение доступа в Интернет;
• Разделение критически важных систем;
• Уменьшение поверхности атаки и управление уязвимостями;
• Обеспечение безопасности физической среды;
• Предотвращение компрометации учетных данных;
• Управление пользовательскими привилегиями;
• Обнаружение аномальной активности;
• Обмен оперативными данными и разработка процедур реагирования на инциденты.

Эксперты RTM Group:

• проведут экспертизу корректности оценки каждого требования, в независимости от архитектуры и типа подключения;
• уровня соответствия выделенных направлений требованиям сегмента SWIFT;
• оценят выстроенную систему информационной безопасности сегмента SWIFT.

Проведение работ по независимой экспертизе может осуществляться как очно, так и удаленно.

После проведения работ, отчет, подготовленный компанией, проводящей независимую экспертизу, подлежит хранению, для предъявления его, по первому требованию представителей компании SWIFT.

Почему RTM Group?

• Эксперты обладают богатым опытом независимого аудита, судебных экспертиз и представительства в судах, преподавательским опытом.
• RTM Group – экспертная компания, не является интегратором и не предоставляет аутсорсинговых услуг – поэтому наш аудит не сводится к «продаже» дополнительных услуг.
• Мы – полностью независимая компания, не аффилированная ни с одним брендом или вендором.
• Мы обладаем лицензиями:
  • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
  • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
  • Лицензия ФСБ России на работу со средствами криптозащиты