Оценка соответствия требованиям SWIFT

SWIFT Customer Security Controls Framework является Стандартом безопасности, обязательным для применения всеми клиентами системы SWIFT в рамках программы SWIFT Customer Security Programme.

Оценка по требованиям Стандарта должна ежегодно проводиться для каждого клиентского BIC. Возможны и ситуации, описанные ниже, когда требуется внеплановая оценка:

  • после любых изменений в архитектуре решения SWIFT, развернутого в организации
  • в случае смены поставщика услуг
  • после изменений в указанных ранее результатах оценки
  • в случае изменения места организации в иерархии узлов
  • в случае, если клиент начинает использовать новый BIC.

Все клиенты SWIFT обязаны выполнить оценку соответствия и отчитаться о результатах до 31 декабря 2017 года. В начале января 2018 года SWIFT будет уведомлять ЦБ РФ обо всех организациях, которые не предоставили сведений об оценке. С 1 января 2019 года все организации обязаны полностью соответствовать всем обязательным требованиями SWIFT Customer Security Controls Framework. Сведения о компаниях, которые не продемонстрируют соответствие, будут направлены в ЦБ РФ в январе 2019 года.

Компания Digital Security входит в Перечень сервис-провайдеров по кибербезопасности SWIFT (Directory of cyber security service providers). Нахождение в Перечне подтверждает наличие у сервис-провайдера необходимой экспертизы для проведения Оценки соответствия.

Полезно отметить, что составе необязательных (на настоящий момент) к исполнению требований Стандарта безопасности SWIFT входит проведение теста на проникновение (требование 7.3.А). Тест на проникновение должен проводиться ежегодно, а также после любых значительных изменений в среде SWIFT. Компания Digital Security оказывает услуги по внешнему и внутреннему анализу защищенности инфраструктуры, в том числе проверку безопасности инфраструктуры SWIFT.

Объекты аудита

В ходе оценки соответствия будут проверяться:

  • Сегмент информационной системы организации, предназначенный для работы со SWIFT, включающий программное обеспечение для работы со SWIFT, HSM, рабочую станцию администратора SWIFT, серверы, активное сетевое оборудование
  • Процессы обеспечения информационной безопасности клиентской части среды SWIFT.

Задачи аудита

Основной задачей аудита является оценка соответствия клиентской части инфраструктуры SWIFT, установленной у клиента, требованиям стандарта SWIFT Customer Security Controls Framework.

В процессе аудита производится:

  • Определение области действия стандарта SWIFT Customer Security Controls Framework
  • Проверка выполнения каждого обязательного и необязательного требования в соответствии с Implementation Guidelines
  • Проверка разработанных организацией мер по выполнению обязательных и необязательных требований стандарта, оценка их корректности, полноты и достаточности
  • Проверка фактических настроек технических и программных средств
  • Проверка процессов управления информационной безопасностью.

Результаты работы

Результатом выполнения оценки соответствия является отчёт, содержащий:

  • Результаты оценки соответствия системы обеспечения информационной безопасности требованиям Стандарта по форме Анкеты оценки KYC Registry Security Attestation Application на русском и английском языках, в которой будет содержаться развернутое описание свидетельств выполнения каждого требования Стандарта
  • Рекомендации по устранению выявленных несоответствий и повышению уровня соответствия требованиям Стандарта.
Оставить заявку