20.11.2024
Последние:

Портал agro-sss.ru

Мы подобрали для вас самые интересные ответы на самые популярные вопросы "Как"

Как 

Swift csp что это

admin 0 Comments

SWIFT Customer Security Controls Framework

The SWIFT Customer Security Controls Framework (CSCF) consists of mandatory and advisory security controls for SWIFT users. The controls evolve over time to combat new and arising threats and to implement new developments in cybersecurity.

Reinforcing the security of the global banking system

The SWIFT Customer Security Controls Framework (CSCF) is composed of mandatory and advisory security controls for SWIFT users.

The mandatory security controls establish a security baseline for the entire community. They must be implemented by all users on their local SWIFT infrastructure. SWIFT has chosen to prioritise these mandatory controls to set a realistic goal for near-term, tangible security gains and risk reduction.

The advisory controls are based on recommended practice that SWIFT recommends all users to implement. Over time, controls may change due to the evolving threat landscape, the introduction of new technologies, the evolution of security-related regulations in major jurisdictions, developments in cybersecurity practices, or user feedback,. As such, some advisory controls may become mandatory, or new controls may be added.

All controls are articulated around three overarching objectives:

Finally, control definitions are in line with existing information security industry standards.

The information outlined in the CSCF document form the general, product-agnostic controls. All users must read the controls set out in this document carefully, and prepare their own organisation for implementation.

To complement the CSCF, SWIFT publishes product-specific Security Guidance (SG) documents. These provide the minimum security recommendations as well as additional guidance on how the existing security features of SWIFT’s messaging interfaces suite should be configured to align with the latest CSCF.

To ensure adoption, and to complement the CSCF, SWIFT publishes further details of the related attestation policy and process in the SWIFT Customer Security Controls (CSCF) Policy document.

The document contains information on:

Источник

Требования к банкам по обеспечению безопасности пользователей системы SWIFT

Swift csp что это. picture 107634 1522219817. Swift csp что это фото. Swift csp что это-picture 107634 1522219817. картинка Swift csp что это. картинка picture 107634 1522219817

Swift csp что это. 0 zagolovok 1. Swift csp что это фото. Swift csp что это-0 zagolovok 1. картинка Swift csp что это. картинка 0 zagolovok 1

Society for Worldwide Interbank Financial Telecommunications (Общество всемирных межбанковских финансовых каналов связи), SWIFT разработало для своих пользователей стандарты безопасности. В соответствии ними банкам необходимо выполнить определенные требования по безопасности, а также пройти самоаттестацию по обязательным элементам контроля безопасности для подтверждения их выполнения. Основные мероприятия по безопасности и сроки их выполнения на сегодня уже определены и являются обязательными для всех банков в рамках сети SWIFT.

Введение

Банки всегда представляли интерес для злоумышленников и мошенников — их грабили и продолжают грабить. Меняются только способы — если раньше это были громкие ограбления со стрельбой, то в настоящее время большинство таких преступлений сместилось в цифровую плоскость и совершаются намного «тише».

И это является закономерным результатом общей цифровизации современного общества. С одной стороны, с развитием информационных технологий общество получило новые возможности, с другой — появляющиеся технологии порождают новые угрозы безопасности. И банк здесь не является исключением. В его деятельности информационные технологии используются очень активно, и сегодня уже нельзя представить себе банк, который бы функционировал автономно, без привлечения современных технологий.

По этой причине фокус злоумышленников сместился в сторону информационных технологий, и все чаще мы можем прочитать в новостях про ограбление очередного банка, только уже с использованием компьютера, а не пистолета. Соответственно, сегодня информационная инфраструктура (в том числе информационные системы) банка представляет особый интерес для преступников.

Одной из таких информационных систем является международная межбанковская система передачи информации и совершения платежей SWIFT, к которой подключены многие российские банки. Она также периодически подвергается хакерским атакам, целью которых является хищение денежных средств. Громким инцидентом стала атака на Центральный банк Бангладеш, в результате которой злоумышленники смогли вывести крупную сумму денежных средств. И такие попытки не прекращаются, о чем SWIFT информирует своих пользователей. По этим причинам для обеспечения безопасности в своей системе SWIFT создала программу безопасности пользователей, целью которой является помощь пользователям в борьбе с киберпреступниками.

Ниже в статье мы рассмотрим, какие требования по безопасности SWIFT необходимо выполнить банкам, а также сроки реализации этих требований — что и когда именно необходимо выполнить.

Концепция обеспечения безопасности SWIFT

SWIFT и основные документы по обеспечению безопасности

Society for Worldwide Interbank Financial Telecommunications (Общество всемирных межбанковских финансовых каналов связи), или сокращенно SWIFT, представляет собой международную межбанковскую систему передачи информации и совершения платежей. В кооперативное сообщество, созданное по бельгийскому законодательству, входит более 9000 банков из 209 стран. В настоящий момент членами SWIFT являются более 10000 организаций, в том числе около 1000 корпораций.

Учитывая рост количества угроз информационной безопасности, а также непосредственно количество попыток проведения атак на межбанковскую систему, SWIFT для помощи своим пользователям в вопросах обеспечения безопасности разработал ряд документов, направленных на повышение общего уровня безопасности (см. Рисунок 1).

Рисунок 1. Основные документы в области обеспечения безопасности SWIFT

Swift csp что это. 1 dokumenty swift. Swift csp что это фото. Swift csp что это-1 dokumenty swift. картинка Swift csp что это. картинка 1 dokumenty swift

В рамках настоящей статьи для нас представляют наибольший интерес следующие документы:

В этих документах описаны основные требования по безопасности SWIFT, а также требования по самоаттестации.

Область применения элементов контроля безопасности и типы архитектур

В своих документах SWIFT предоставляет описание, на что распространяются требования по безопасности (контроли безопасности), а именно: выделяются конкретные компоненты системы, которые входят в область применения. Таким образом, банкам не нужно самостоятельно придумывать, на что распространяются требования по безопасности, достаточно руководствоваться информацией, приведенной в официальных документах SWIFT.

На Рисунке 2 показаны три основных уровня компонентов, которые входят в инфраструктуру SWIFT: уровень обмена данных, локальная инфраструктура SWIFT и операторский сегмент.

Рисунок 2. Область применения элементов контроля безопасности

Swift csp что это. 2 komponenty. Swift csp что это фото. Swift csp что это-2 komponenty. картинка Swift csp что это. картинка 2 komponenty

В рамках локальной инфраструктуры SWIFT могут рассматриваться следующие компоненты:

В зависимости от компонентов, которые могут быть размещены в банке, SWIFT выделяет несколько типов эталонных архитектур. Всего в стандарте определено 4 типа таких архитектур:

Тип архитектуры в том числе напрямую влияет на выбор требований по безопасности (их количество), которые необходимо выполнить банку в рамках системы SWIFT. Таким образом, система защиты SWIFT должна строиться исходя из компонентов, которые в нее включены.

Требования по безопасности SWIFT

Требования по безопасности изложены в соответствии с целями и принципами безопасности, которые должны соблюдаться при построении системы защиты.

Стандарт безопасности SWIFT (документ SWIFT Customer Security Controls Framework 1.0) содержит в себе три основополагающие цели, которые поддерживаются восемью принципами безопасности (представлены на Рисунке 3). Цели и принципы определяют основные направления обеспечения безопасности пользователей SWIFT. В рамках каждой цели определены элементы контроля безопасности (требования по безопасности), которые направлены на уменьшение определенных рисков информационной безопасности.

Рисунок 3. Цели, принципы и элементы контроля безопасности

Swift csp что это. 3 principy swift. Swift csp что это фото. Swift csp что это-3 principy swift. картинка Swift csp что это. картинка 3 principy swift

Требования по безопасности определяются в зависимости от выбранного типа архитектуры системы (описание которых приведено выше) и делятся на обязательные и рекомендуемые к выполнению (рекомендуемые требования обозначаются буквой «А»). Как было указано выше, требования по безопасности сгруппированы по принципам безопасности, которые они поддерживают. Пример требований приведен в Таблице 1.

Таблица 1. Пример требований по безопасности SWIFT

Требования безопасностиТип архитектуры
AB
1 Ограничение доступа в интернет и защита критических систем от общей ИТ-среды
1.1 Обеспечение защиты SWIFT
1.2 Контроль за привилегированными учетными записями операционной системы
2 Уменьшение количества потенциальных векторов атак и уязвимостей
2.1 Безопасность внутреннего потока данных
2.2 Обновления для системы безопасности
2.3 Повышение надежности системы
2.4A Безопасность потока данных в бэк-офисе

В стандарте приводится детальное описание выполнения требований по безопасности SWIFT. Описание требований безопасности включает в себя следующую информацию:

Таким образом, в документе приведено полное описание и рекомендации по выполнению требований по безопасности SWIFT (элементов контроля), которые позволяют банку самостоятельно выполнить мероприятия по обеспечению безопасности SWIFT.

Контроль выполнения требований по безопасности

Самоаттестация как форма контроля

Для контроля соблюдения требований SWIFT разработал процесс проведения самооценки (самоаттестации) требованиям Security Controls Policy. Банкам предлагается провести аудит своей системы (в рамках SWIFT) и опубликовать результаты в специальном приложении SWIFT KYC Registry. Эти результаты являются подтверждением соответствия системы установленным требованиям безопасности и доступны непосредственно SWIFT. Также такой доступ может предоставляться партнерам или контрагентам банка (по решению самого банка).

SWIFT настаивает на выполнении определенных в стандарте требований всеми банками, которые присоединились к SWIFT. В настоящее время определено несколько способов проведения такого контроля:

Таким образом, банк может самостоятельно выполнить самоаттестацию либо привлечь стороннюю организацию. Жестких требований по выбору таких организаций SWIFT не предъявляет. Но с целью повышения качества внешних аудитов SWIFT создал список рекомендованных сервис-провайдеров по кибербезопасности в рамках Customer Security Programme: Directory of cyber security service providers. В этот список включены компании, которые аккредитованы SWIFT в части предоставления услуг по кибербезопасности для клиентов SWIFT, в том числе, по оценке соответствия требованиям безопасности SWIFT.

На Рисунке 4 приведено начало списка рекомендованных SWIFT сервис-провайдеров для Европейского региона. В списке есть контактная информация по сервис-провайдеру, а также перечень стран, в которых могут быть предоставлены соответствующие услуги по безопасности SWIFT.

Рисунок 4. Пример рекомендованных сервис-провайдеров по кибербезопасности SWIFT для Европы с указанием стран, на которые распространяется эта деятельность

Swift csp что это. 4 1. Swift csp что это фото. Swift csp что это-4 1. картинка Swift csp что это. картинка 4 1

Сроки выполнения самоаттестации

Для контроля выполнения банками требований по безопасности SWIFT установил конкретные сроки по их реализации. Изначально SWIFT не контролировал своих клиентов с целью предоставления определенного времени для выполнения требований по безопасности. Но с 2018 года был введен такой контроль и установлено, что и когда должны выполнить банки в части обеспечения безопасности SWIFT: эти данные приведены в Таблице 2.

Таблица 2. Сроки реализации требований по безопасности и предоставления отчетности

Наименование этапаОписаниеСрок реализации
Запуск процесса по аттестации безопасностиЗапущен процесс по аттестации безопасности для всех пользователей SWIFTИюль 2017
Первоначальная самоаттестацияВсе пользователи SWIFT должны провести аудит своих систем и предоставить информацию по самоаттестации. При этом на данном этапе не требовалось обязательное выполнение всех требований по безопасности SWIFTЯнварь 2018
Повторная самоаттестация по результатам выполненных работВсе пользователи SWIFT должны провести повторный аудит своих систем и предоставить информацию по самоаттестации. При этом на данном этапе у пользователя должны быть выполнены все обязательные требования по безопасности (обязательные элементы контроля)Январь 2019

Таким образом, SWIFT предписывает банкам выполнять требования по безопасности и предоставлять информацию об их выполнении на регулярной основе. Самоаттестация должна выполняться:

При этом в приложении SWIFT KYC Registry сохраняется вся история версий опубликованных данных по самоаттестации, которая остается доступной как для пользователя, так и для контрагентов, которым пользователь предоставил соответствующий доступ.

Выводы

В настоящей статье приведено краткое описание того, что необходимо выполнить банку (и когда) в соответствии с концепцией обеспечения безопасности пользователей SWIFT. Описаны основные понятия концепции безопасности SWIFT, приведена информация о требованиях безопасности, которые должны выполняться банками, а также рассмотрены формы контроля выполнения таких требований.

Таким образом, мы постарались осветить основные моменты концепции, а также вопросы самоаттестации, которые на сегодня являются обязательными к выполнению всеми пользователями SWIFT.

Как видно из приведенной статьи, банк может выполнить предъявляемые требования по безопасности SWIFT (в том числе требования по самоаттестации) как самостоятельно, так и с привлечением внешних аудиторов. Стандарт детально описывает требования по безопасности, что позволяет банку выполнить их собственными силами. Однако в части проведения самоаттестации мы рекомендуем обращаться к услугам внешних аудиторов для объективной и независимой оценки построенной системы защиты SWIFT и выявления возможных недочетов и уязвимостей в такой системе.

Источник

SWIFT Customer Security Program

Banking information is some of the most important to keep safe. That’s why recent high-profile cyber-attacks on customers using Society for Worldwide Interbank Financial Telecommunications (SWIFT) are so significant. Deloitte can help business leaders navigate the factors associated with implementing SWIFT’s Customer Security Controls Framework (CSCF), as well as address SWIFT dependencies.

Swift csp что это. lu limiting future cyber attacks. Swift csp что это фото. Swift csp что это-lu limiting future cyber attacks. картинка Swift csp что это. картинка lu limiting future cyber attacks

Limiting future cyber-attacks

In response to recent cyber-attacks, SWIFT issued baseline security requirements through its Customer Security Controls Framework. While the SWIFT network itself was not compromised in the attacks, in some cases hackers successfully breached the local operating environment established by SWIFT users.

To reduce the opportunities for cybercriminals to exploit weaknesses in SWIFT users’ local environments in the future, SWIFT created the Customer Security Program (CSP). The CSP is a programme designed to help organisations using Swift to design, review and implement specific cyber security controls for their local environments.

The CSP focusses on three mutually reinforcing areas. Customers will first need to protect and secure their local environment (you), it is then about preventing and detecting fraud in your commercial relationships (your counterparts), and continuously sharing information and preparing to defend against future cyber threats (your community).

Securing your local SWIFT-related infrastructure and putting in place the right people, policies and practices, are critical to avoiding cyber related fraud.

Your counterparts

Companies do not operate in a vacuum and all SWIFT users are part of a broader ecosystem. Even with strong security measures in place, attackers are very sophisticated and you need to assume that you may be the target of cyber-attacks. That is why it is also vital to manage security risk in your interactions and relationships with counterparties

Your community

The financial industry is truly global, and so are the cyber challenges it faces. What happens to one company in one location can be replicated elsewhere in the world.

Swift csp что это. lu how swift users can work to protect themselves. Swift csp что это фото. Swift csp что это-lu how swift users can work to protect themselves. картинка Swift csp что это. картинка lu how swift users can work to protect themselves

How SWIFT users can work to protect themselves

SWIFT has requested users to set up these cyber security controls by 31 December 2017, and to update their systems according to CSP requests on an annual basis. The CSP compliance will come through self-attestation. SWIFT has already announced updates to the Customer Security Controls Framework for attestation in 2021.

SWIFT encourages its users to implement and monitor these customer security controls as part of a broader cyber security risk management program which should be regularly evaluated and adjusted, based on leading industry practices, and changes to the individual users’ security posture and infrastructure.
Moreover, from mid-2021, all users will be obligated to perform ‘Community Standard Assessments’. This means that all attestations submitted in 2021 under the CSCF v2021 also require an independent assessment. A user can do this in either of two ways:

Last, separate and distinct from the above two categories, SWIFT also reserves the right to seek independent external assurance to verify the veracity of their self-attestation, as outlined in the Customer Security Controls Policy (CSCP). These are called “SWIFT-Mandated assessments”.

SWIFT-Mandated assessments must cover all SWIFT mandatory controls applicable to the user’s architecture type as defined in the version of the CSCF applicable at the time the assessment is conducted, even if the assessment request relates to an attestation submitted under a prior version of the CSCF.

Источник

Directory of cyber security service providers

Directory of cyber security service providers

SWIFT has created a Directory of cyber security service providers for your reference when looking for providers in your country. These companies can help you to implement the CSP mandatory and advisory controls that apply to your connectivity configuration with SWIFT.

In listing firms in the Directory of cyber security service providers, SWIFT has taken into account certain criteria, including:

It is important to note that SWIFT has not checked or validated the individual qualifications of the cyber security service providers listed in the directory; nor has SWIFT verified that providers listed in the directory have a history of SWIFT expertise.

SWIFT does not certify providers listed on the directory, however, every company listed on the directory has been requested to follow a CSP curriculum to acquire or maintain its knowledge and understanding about the programme. Its presence in the directory reflects a successful completion of the CSP curriculum.

Customer due diligence

You are responsible for completing your own due diligence when selecting and contracting cyber security service providers or any other entity offering such services. You should, for instance, verify that individual consultants working for the selected provider:

Please also note that you can opt to contract with other providers that are not featured in the directory.

Do you want to be part of the directory?

Please note that only head offices are published (or one entity that represents them) rather than various local offices.

To submit your application, please follow these steps:

Should you have any questions, please contact us.

Источник

SWIFT CSP

О СТАНДАРТЕ SWIFT

Swift csp что это. swift. Swift csp что это фото. Swift csp что это-swift. картинка Swift csp что это. картинка swift

Compliance Control осуществляет оценку соответствия локальной платежной инфраструктуры SWIFT Заказчика требованиям программы безопасности пользователей SWIFT (SWIFT Customer Security Programme – CSP).
Концепция обеспечения безопасности пользователей SWIFT (SWIFT Customer Security Controls Framework – CSCF) включает в себя обязательные и рекомендуемые элементы контроля безопасности для реализации пользователями SWIFT в их локальной среде, связанной со SWIFT. Обязательные элементы контроля безопасности устанавливают общий базовый уровень безопасности для сообщества SWIFT и должны быть реализованы всеми пользователями, включая тех, кто подключается через сервисное бюро или провайдера. Перечень обязательных и рекомендуемых элементов контроля регулярно пересматривается с учетом меняющегося ландшафта угроз.

В рамках CSCF пользователи SWIFT должны подтвердить свой уровень соответствия обязательным элементам контроля, применимым к их типу архитектуры подключения к SWIFT. Результаты проведенной аттестации должны быть предоставлены и опубликованы на портале KYC-SA (Know Your Customer – Security Attestation / Знай своего клиента – Аттестация по безопасности).

С середины 2020 года компания SWIFT сделала обязательным независимую оценку соответствия требованиям SWIFT CSCF для версии v2021.

Специалисты компании Compliance Control Ltd имеют успешный опыт проведения работ по оценке соответствия требованиям программы SWIFT Customer Security Programme.
Заказчики получают дополнительные консультации, позволяющие избежать возможных ошибок в ходе реализации требований программы SWIFT Customer Security Programme и подойти к этапу предоставления отчётности в SWIFT с уверенностью в максимально возможной объективной оценке.

Источник

Вам также понравится

так близко к горизонту основано на реальных событиях каких людей

admin 0

Как называется боязнь взрослых мужчин

admin 0

Как называется кристаллическая решетка металлов

admin 0

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *