Независимая оценка SWIFT CSP

Для повышения точности оценок, проводимых компаниями, на соответствие требованиям стандарта сообщества, с 2021 года пользователи SWIFT проводят внешнюю оценку внедренных систем. В соответствии с требованиями SWIFT проводится независимая оценка внутренним или внешним оценщиком. Самостоятельную оценку проводить можно, но с 2021 года она считается не соответствующей требованиям.

Каждый пользователь должен определить, какой из пяти типов эталонной архитектуры наиболее точно соответствует его развернутой архитектуре, чтобы определить, какие компоненты входят в область применения, на сайте SWIFT доступно дерево принятия решений по архитектуре CSP. В зависимости от типа архитектуры, где необходимо выбрать наиболее подходящую вашей системе, средства контроля безопасности могут применяться или не применяться.
Ниже перечислены пять эталонных архитектур, в которых ключевым отличием является принадлежность компонентов или лицензий:

Архитектура A1 - пользователи владеют интерфейсом связи и, как правило, интерфейсом обмена сообщениями,
интерфейс связи принадлежит пользователю.
Пользователи, которые не владеют интерфейсом обмена сообщениями, а владеют только интерфейсом связи, рассматриваются как архитектура A1.
Архитектура типа A1 также включает арендодателей, где пользователь владеет лицензией на интерфейс связи, которым он управляет от имени других пользователей, или интерфейс связи, принадлежащий пользователю, управляется для личного использования третьей стороной в пределах или на хостинге, вне среды пользователя. Примером может служить Alliance Gateway Instant, связанный с офисной системой без интерфейса обмена сообщениями.

Архитектура A2 - Пользователи владеют интерфейсом обмена сообщениями, но не интерфейсом связи
Интерфейс обмена сообщениями является собственностью пользователя, но лицензия на интерфейс связи принадлежит поставщику услуг, таким как: сервис бюро, SWIFT или Group Hub.
Этот тип архитектуры также включает арендаторов, когда пользователь имеет лицензию на интерфейс обмена сообщениями, которым от его имени управляет третья сторона или поставщик услуг.

Архитектура A3 - SWIFT-коннектор
SWIFT-коннектор используется в пользовательской среде для обеспечения связи приложения с интерфейсом поставщика услуг, таких как: сервисного бюро или Group Hub, или с сервисами SWIFT, такими как: Alliance Cloud или Alliance Lite2 без интерфейса.
Как вариант, эта схема может использоваться в сочетании с решением GUI (пользователь-приложение), в таких случаях также реализуются средства контроля, относящиеся к графическому интерфейсу.
К этому типу архитектуры также относятся хостинг решения коннектора SWIFT.

Архитектура A4 - коннектор клиента.
Сервера, на которых работает программные приложения используются в пользовательской среде для облегчения внешнего соединения приложения с интерфейсом поставщиков услуг, таких как сервисного бюро, поставщика бизнес-приложений Lite2 или группового концентратора без влияния SWIFT. Примерами таких серверов выступают решения для передачи файлов или системы Middleware, такого как сервер IBM® MQ или аналогичный коннектор клиента.
SWIFT требует, чтобы следующие пользователи аттестовывались согласно архитектуре A4:

• Пользователи, которые прежде аттестовались как Архитектура B при использовании в качестве коннектора клиента сервера Middleware, для соединения с поставщиком услуг или групповым концентратором.
• Пользователи, прежде аттестовывавшийся как Архитектуре A3 при использовании в качестве клиентского коннектора решений для передачи файлов, или сервера Middleware или оба этих решения вместе, для соединения с поставщиком услуг или групповым концентратором без коннектора SWIFT.

Для обмена данными с бэк-офисом пользователи также могут использовать управление с помощью сервера Middleware.
Для подготовки почвы на будущее, архитектура A4 также включает в себя приложения, используемые в пользовательской среде для реализации SWIFT API с прямым подключением и независимой передачей бизнес-транзакций к сервисам SWIFT. В будущем это станет службой обмена сообщениями или платформой управления транзакциями, открытой SWIFT без использования SWIFT footprint. Реализация SWIFT API, с использованием спецификаций или интеграций SWIFT SDK, делает приложения конечной точкой API и, соответственно, клиентским коннектором, создаваемым на заказ и не связанным со SWIFT.
Последняя конфигурация может также интегрироваться в решения с графическим интерфейсом пользователя (пользователь-приложение). В этом случае также реализуются элементы управления, которые относят к GUI.


Архитектура B - Отсутствие локального пользовательского следа
В пользовательской среде не используется ни один компонент инфраструктуры, специфичный для SWIFT. Такой тип архитектуры охватывает следующие две установки:

• Пользователи получают доступ к услугам обмена сообщениями SWIFT только через GUI-приложение поставщика услуг. ПК или устройство, которое пользователи используют для отправки или осуществления деловых операций, должно рассматриваться как ПК оператора общего назначения и должно защищаться соответствующим образом.
• Приложения бэк-офиса пользователя напрямую взаимодействуют с поставщиком услуг, через API от поставщика услуг или клиента Middleware. без подключения или самостоятельной передачи бизнес-транзакций в Alliance Cloud, службу обмена сообщениями SWIFT, SWIFT API Gateway или, в будущем, платформу управления транзакциями, открытую SWIFT. В этом случае поставщик услуг должен убедиться, что безопасность среды и безопасность обмена данными с пользователем соответствуют стандарту CSCF. Отнесение данной конфигурации к категории Архитектуры B соответствует области применения средств контроля безопасности, которая исключает бэк-офисные приложения пользователей. Тем не менее, SWIFT настоятельно рекомендует уже реализовать средства контроля архитектуры A4 в приложениях, которые интегрируют API или клиент Middleware.
• Пользователи, которые получают доступ к услугам обмена сообщениями SWIFT только через браузер, открытый Alliance Cloud и Alliance Lite2. ПК, которые используют эти пользователи для отправки или взаимодействие с деловыми операциями, рассматриваются как ПК операторов и защищаются соответствующим образом.

Средства контроля безопасности, применяемые к архитектурам A1, A2 и A3, идентичны, а к архитектуре A4 применяется меньшее количество средств контроля. Эти архитектуры вместе упоминаются далее, как тип А. Меньшее количество средств контроля безопасности применяется к пользователям, которые используют архитектуру типа В.

SWIFT инициировал программу безопасности клиентов (CSP) для продвижения кибербезопасности в сообществе пользователей SWIFT. Клиенты ответственны за безопасность своей инфраструктуры. В поддержку общей защищенности, CSP разработан для повышения безопасности конечных точек и борьбы с кибермошенничеством. В основе CSP лежит стандартный набор элементов управления безопасностью, призванный помочь пользователям повысить безопасность локальных сред что приведет к безопасности сообщества SWIFT в целом.

SWIFT CSCF включает в себя как обязательные, так и рекомендательные элементы управления безопасностью для реализации пользователями SWIFT в собственной среде, связанной с SWIFT. Обязательные элементы управления безопасностью устанавливают уровень безопасности для сообщества SWIFT и должны применяться всеми пользователями, включая тех, кто использует сервис бюро или провайдера L2BA. Рекомендательные средства контроля основаны на разумной практике обеспечения безопасности, и SWIFT рекомендует пользователям применять эти средства контроля там, где это применимо. Список обязательных и консультативных средств контроля регулярно пересматривается с учетом изменений в ландшафте угроз.

Согласно CSCF пользователи SWIFT должны самостоятельно подтвердить уровень соответствия обязательным требованиям контроля, применимого к их типу архитектуры (т.е. A1, A2, A3, A4 или B). Эти самоаттестации представляются и публикуются в приложении Know Your Customer - Security Attestation (KYC-SA), и это приложение также позволяет пользователям указывать, подкреплены ли их документы независимой оценкой. Дополнительная информация о пяти типах архитектуры описана выше.

Пользователь SWIFT нанимает стороннюю организацию, с необходимыми специалистами и опытом в проведении оценок, согласно Independent Assessment Framework (SWIFT IAF) или задействует внутренний отдел compliance для проведения независимой оценки. Оценщик, проведя тщательную проверку соблюдения обязательных и рекомендательных контролей, составляет вывод, на основании которого, в течении 30 суток с момента завершения оценки, публикуется вывод оценки в приложении KYC-SA, где указывается какая организация провела оценку и подтверждающие это документы.

Отдельной категорией выделяется оценка предписания, так как SWIFT оставляет за собой право обратиться за сторонней внешней проверкой достоверности самоаттестации, согласно Политике контроля безопасности клиентов (CSCP).

Эти "оценки по требованию SWIFT" начались в 2018 году, когда SWIFT обратилась к малочисленной выборке пользователей с просьбой провести независимую внешнюю оценку.

SWIFT стремится отобрать соответствующий круг пользователей для проведения обязательных независимых оценки. Часто это происходит после проведения SWIFT работ по обеспечению качества (QA). Результаты работ QA используются в процессе отбора. Элементы, которые с повышенной вероятностью будут включаться:

• Выделяющиеся модели соответствия, которые значительно и необъяснимо отклоняются от тех, которые присуще другим регионам или рынку пользователя.
• Случаи, когда при контроле чрезмерно полагаются на "альтернативные средства" и если это превышает то, что можно было бы ожидать для сегмента пользователя.
• Сегменты пользователей, где анализ показывает, повышенный риск повторного возникновения инцидента.

При выборе пользователя для оценки по требованию SWIFT, SWIFT направляет уведомление CISO, указанному пользователем в последней самоаттестации. При наличии у пользователя веских причин отказа от проверки, следует немедленно довести их до сведения SWIFT. Аттестация, прошедшая внешний аудит, но не зарегистрированная таковой в инструменте KYC-SA - пример такой причины.
SWIFT требует выбранных пользователей назначить стороннего оценщика и использовать стандартизированные шаблоны SWIFT для проведения оценки.

Использование независимых внутренних сторон, включая службу внутреннего аудита, не допускается для проведения оценки, санкционированной SWIFT. Пользователи обязаны информировать SWIFT о выбранной компании, по предоставлению услуг внешней оценке, с использованием стандартизированного шаблона уведомления. SWIFT оставляет за собой право подтвердить полномочия поставщика услуг по оценке, квалификацию персонала по оценке и/или их способность оценивать соответствие CSCF.

Оценки по требованиям SWIFT должны охватывать все обязательные элементы управления SWIFT, применимые к типу архитектуры пользователя, как определяет последняя версия CSCF на момент проведения оценки, даже если запрос на оценку относится к аттестации, основанной на предыдущей версии CSCF.

Пользователям, которые аттестовались на соответствие рекомендательным средствам контроля, предлагается попросить внешнего эксперта включить их в обзор, хотя это не является обязательным.

SWIFT требует, чтобы оценка, проводимая по требованию SWIFT, завершалась в течение шести месяцев с момента первоначального запроса со стороны SWIFT.

Методы оценки, описанные выше, должны охватывать все обязательные элементы управления, изложенные в последней версии CSCF, которые применимы к данному пользователю на основе типа архитектуры SWIFT и инфраструктуры.

Оценка должна, как минимум, охватывать компоненты инфраструктуры пользователя, связанной со SWIFT, как это описывается в CSCF. К ним относятся следующие системы, операторы и устройства:

• Уровень обмена данными (Data Exchange Layer);
• Инфраструктура SWIFT;
• Зона безопасности;
• Интерфейс сообщений;
• Интерфейс коммуникаций;
• SWIFTNet Link (SNL);
• Коннектор;
• SWIFT Hardware Security Modules (HSMs);
• Межсетевые экраны, роутеры и коммутаторы внутри SWIFT инфраструктуры и на границе с ней;
• Пользовательские интерфейсы (GUI);
• Операторы SWIFT и их рабочие станции;

Оценка подтверждает выбранный тип архитектуры и охватывает все производственные среды, среды аварийного восстановления (DR) и/или резервные среды, в которых размещаются упомянутые системы, операторов или устройств.

SWIFT рекомендует пользователям тщательно и точно определять объем оценки с потенциальным оценщиком в процессе закупки поставщика. Это поможет избежать недопонимания и снизить риски, завышения или занижения масштаба инициативы оценке.

После определения сферы охвата, определяются сроки проведения оценки, чтобы гарантировать сроки предоставление отчета, который позволит пользователю представить соответствующую самоаттестацию в KYC-SA в сроки окна аттестации с 1 июля до 31 декабря. Таким образом, планирование включает время, необходимое оценщику для документирования всех входящих в сферу контроля выводов, подготовки отчетов и других документов, которые предоставляются пользователю по завершении оценки.

SWIFT использует подход "оценки", а не "аудита" для стандарта CSCF. При этом SWIFT стремится предоставить пользователям выбор из обширного списка поставщиков услуг по оценке, даже тех, кто может не соответствовать требованиям традиционной аудиторской организации, но быть независимым и квалифицированным для проведения оценки кибербезопасности.

Оценщики должны придерживаться отраслевых стандартов в отношении использования строгих методологий оценки, демонстрировать дисциплину в документации, отчетности и практики.

Для элементов управления CSCF оценка дается в один момент времени, на наличие у пользователя элементов управления безопасностью клиента, из последней версии CSCF. Поэтому оценка не должна воссоздавать или подтверждать среду, которая оценивалась на момент последней аттестации.

Для проведения качественной оценки CSCF оценщик не должен иметь конфликта интересов и демонстрировать такой уровень независимости, чтобы проводить оценку без влияния заказчика на результат, и чтобы оценивание проводилась объективным образом. Основываясь на определении Института внутренних аудиторов (IIA), SWIFT характеризует "независимость" следующим образом:

Независимость — это свобода от условий, которые угрожают способности аудиторской деятельности выполнять обязанности по оценке непредвзятым образом... Угрозы независимости должны управляться на уровне отдельного аудитора, задания, функциональном и организационном уровнях.
При использовании внутреннего отдела для выполнения оценки CSCF, пользователям рекомендуется обеспечить объективность и непредвзятость лиц, которые участвуют в оценке.
При выборе внешнего оценщика пользователи должны проверить и убедиться, что:

• Фирма, проводящая оценку, в течении 12 месяцев проводила подобную оценку и имеет соответствующий опыт проведения оценки кибербезопасности, в соответствии с отраслевым стандартами, такими как PCI DSS, ISO 9001, ISO SP 800-5001 или Cybersecurity Framework.
• Оценщики, которым поручено проведение оценки, должны обладать как минимум одним профессиональным сертификатом, в пределах отрасли, например:
• PCI Qualified Security Assessor (QSA)
• Certified Information Systems Security Professional (CISSP)
• Certified Information Systems Auditor (CISA)
• Certified Information Security Manager (CISM)
• ISO 27001 Lead Auditor
• System Administration, Networking, and Security Institute (SANS)

Хотя SWIFT не поддерживает и не аккредитует конкретных оценщиков, и пользователи остаются в конечном итоге в ответе за выбор оценщика, соответствующего их потребностям и целям. Список компаний, которые могут помочь в проведении независимых оценок CSCF, представлен по странам на веб-сайте swift.com в разделе Directory of Cybersecurity Service Providers.
Для оценок, проводимых по стандартам сообщества SWIFT, пользователи указывают имя внешнего оценщика, если он используется, непосредственно в приложении KYC-SA, во время подачи самоаттестации.

Пользователи SWIFT обязаны проходить самоаттестацию своих систем на предмет выполнения всех обязательных требований безопасности или нанимать внешнюю организацию для аттестации своей системы. Независимо от выбранного варианта организация предоставляет информацию о проведенной аттестации в приложение SWIFT KYC Registry.

Аттестация систем пользователей SWIFT проводиться на регулярной основе: каждый год или при внесении изменений в систему. Приложение SWIFT KYC Registry может служить своего рода архивом изменений системы, так как там сохраняется информация о всех аттестациях системы, этот архив доступен как пользователю, так и контрагентам, которым предоставили доступ.

Проверка по требованию SWIFT проводится только внешним оценщиком, и должна уложиться в шесть месяцев с момента получения пользователем соответствующего уведомления.

SWIFT не предоставляет "готовые" тестовые примеры для использования в процессе оценки. Оценщики самостоятельно определяют подход к разработке тестовых примеров и проведению оценки в соответствии с отраслевыми практиками, и отвечают за сделанный выбор.

Оценщики обязаны выбрать методы оценки, которые сочетают эффективность и результативность. Вероятно, что каждому элементу управления CSCF потребуются собственный метод оценки.
SWIFT рекомендует оценщикам основывать выбор методов оценки на особенностях пользователя.

Количество внимания, уделяемого оценщиком на конкретный контроль, должна быть соизмерима с уровнем риска. Когда пользователь использует методы, альтернативные руководству SWIFT, оценщик должен тщательно проверить обеспечение, такого же уровня безопасности в отношении рисков, связанных с проверяемым контролем. Стандартные примеры методик тестирования и методологии:

Опрос
Проведение интервью с соответствующим персоналом показывает информированность о средствах контроля, процессах и процедурах организации, повышающих защищенность, что отражается в оценке.

Наблюдение
Данные, полученные путем прямого наблюдения за существованием конкретных средств контроля.

Инспекция
Убедительная информация, собранная путем проверки документов и записей. Проверка применимых пользователем документов представляется одним из основных методов оценки, такими документами являются: политики, стандарты, процессы, процедуры и оперативные книги. Обзор документации — это относительно простой метод сбора информации для оценки, поскольку почти не требующей воздействия на повседневные бизнес-операции. Уверенность, достижимая с помощью этого метода ограничена, поскольку он не всегда дает представление о фактических настройках системы, конфигурации сети, действиях персонала и т.п.

Но, проверка специфической клиентской документации SWIFT, помогает установить базовый уровень уверенности в отношении внедрения средств контроля CSCF. Примером такой документации служит руководство оператора для установки и настройки аппаратных модулей безопасности (HSM) SWIFT.

Повторное выполнение
Практическое повторное использование системы и сбор доказательств предоставляет дополнительную уверенность. Этот метод лучше использовать в технических контролях, когда полезно прямое понимание настроек и конфигураций системы. Доказательства, собранные в ходе тестирования системы часто принимают форму скриншотов или выдержек данных из соответствующих систем и компонентов инфраструктуры.

Отчет об оценке

Оценщики предоставляют пользователям, как официальный отчет, описывающий подтвержденные оценщиком соответствия требованиям по каждому контролю, так и документацию о недостатках в реализации, а также подтверждение что работа выполнялась с требуемой объективностью, независимостью и с достаточной тщательностью.

Для оценок по стандартам SWIFT-Mandated и Community Standard оценщики должны убедиться, что отчет об оценке отражает результат, из шаблонов оценок. SWIFT также рекомендует оценщикам включать отчет исполнительного уровня по завершении оценки CSCF. Кроме того, отчеты могут помочь отследить результаты оценки за год, при их использовании для проведения брифингов руководством компании.

Ожидается, что пользователи будут отслеживать решение проблемы несоответствия.

Для оценок, которые проводятся по требованиям SWIFT и стандартам сообщества, подготавливается официальное письмо о завершении оценки, с использованием предоставленного шаблона. Хотя это письмо не направляется в SWIFT, оно должно предоставляться по запросу.

По завершении процедуры оценки пользователям рекомендуется убедиться, что руководство компании получило все материалы и продукты, связанные с оценкой, особенно в тех случаях, когда использовался внешний оценщик.

Как пользователям, так и оценщикам рекомендуется внедрять надежные средства контроля для ограничения доступа к материалам оценки в соответствии с законодательными и нормативными требованиями и применимыми соглашениями о конфиденциальности. соглашениями.

Согласование с самоаттестацией в рамках KYC-SA

Пользователи SWIFT каждый год должны самостоятельно подтверждать соответствие Обязательным мерам контроля CSCF, которые действуют на момент соответствия и применимы к ним, в рамках Политики контроля безопасности клиентов. Это делается в приложении KYC-SA и должно быть завершено в период с 1 июля до 31 декабря. Например, в июле 2021 года была опубликована версия CSCF V2022 - ожидается, что пользователи будут соответствовать этой новой версии CSCF в 2022 году и подадут самоаттестации, связанные с этой версией CSCF, с июля 2021 года по декабрь 2021 года.

Если пользователю надо обновить самоаттестацию, чтобы отразить изменения на уровне контроля, таких как переход несоответствия к соответствию контроля, то эти изменения также подкрепляются независимой оценкой, что гарантирует, что в любое время самоаттестации пользователей остаются полностью подкрепленными независимой оценкой, включая решения замечаний.

Таким образом, для всех типов оценки пользователи должны учитывать следующее при планировании времени проведения оценки и связанной с ней самоаттестации в KYC-SA:

• Аттестация пользователей должна соответствовать выводам соответствующих отчетов об оценке и поэтому не предоставляется до завершения оценки.
• Пользователи предоставляют аттестацию после завершения оценки, в идеале в течение 30 дней после даты окончательного отчета об оценке, и предоставляют её в окно аттестации с 1 июля по 31 декабря того же года.
• Информация об оценке, включая сведения об оценщике, дату оценки и версия CSCF, по которой проводилась оценка, предоставляются в KYC-SA вместе с аттестацией.

Запросы на проведение оценки по требованию SWIFT и, начиная с 2021 года требование о проведении оценки по стандартам сообщества, являются обязательством пользователей в соответствии с политикой SWIFT по контролю безопасности клиентов.

Невыполнение требований SWIFT-Mandated или Community-Standard оценки доводится до сведения надзорных органов и становится известно контрагентам также, как и невыполнение регулярной самоаттестации или публикация не соответствующей требованиям аттестации.