SWIFT Security Framework: новые требования ИБ ставшие обязательными с 2017 года
С января 2017 года вступают в силу новые требования по информационной безопасности для всех участников международной сети межбанковского взаимодействия SWIFT. Анонсированные еще в прошлом году после печально известных событийс Банком Бангладеш, а так же не фоне общих событий связанных с нагнетанием обстановки вокруг безопасности банковских операций.
Новые требования по безопасности, указанные в документе SWIFT основаны на 3 целях и 8 принципах, так же включат 27 контролей ИБ (из которых 16 обязательных и 11 рекомендуемых) и несколько новых инструментов - Relationship Management Application (RMA), 2-Factor Authentication (2FA) и Daily Validation Reports. Упомянуто так о реестре SWIFT KYC Registry в котором каждый участник системы SWIFT может получит данные о самооценке ИБ своего партнера или контрагента
Краткая предыстория
В июне 2016 года стало известно, о том, что компания SWIFT объявила о запуске с 2017 года собственной программы SWIFT Customer Security Programme. нацеленной на повышение уровня безопасности. Одним из основных мотивов для инициации послужил взлом в феврале 2016 года Центрального Банка Бангладеш и кража с его счетов порядка $81 млн. при помощи вредоносного программного обеспечения, а также последующие подобные атаки на другие банки.
SWIFT, как главный разработчик новой концепции в рамках анонсированной программы Customer Security Programme(CSP) в недавнем времени выпустила документ под названием "SWIFT Customer Security Framework. Supplementary Guide", в котором содержатся набор новых обязательных и рекомендованных мер защиты для клиентов и участников сети SWIFT. Так, обязательные меры защиты являются основой обеспечения безопасности и конфиденциальности платежных операций и клиентских данных, проводимых в рамках SWIFT, а вторые, т.е. рекомендуемые меры защиты описывают лучшие практики с точки зрения разработчиков документа, повышающие базовый уровень защищенности.
Программа SWIFT Customer Security Programme направлена на повышение мер по обеспечению информационной безопасности в финансовой индустрии и основывается на 5 взаимодополняющих стратегических целях:
улучшение процессов обмена информацией среди мирового сообщества;
улучшение инструментов SWIFT для клиентов;
улучшение рекомендаций и предоставление методологической базы по аудиту безопасности;
улучшение процессов по обнаружению мошеннических паттернов транзакций;
RMA - позволяет управлять корреспондентскими отношениями и является первой линией защиты от нежелательных или мошеннических платежей. RMA позволяет пользователям выбирать и ограничивать количество корреспондентов, от которых они хотят получать сообщения, а также ограничивать тип сообщений, который они получают. Использование RMA позволяет клиентам снизить риск получения нежелательных или мошеннических платежей, и ограничить трафик обмена сообщениями только с доверенными сторонами. RMA встроен в ряд интерфейсов SWIFT, а также доступен как отдельный продукт.
2FA включена во все новые релизы SWIFT Alliance Access (7.1.20) и Alliance Web Platform (7.0.70), которая дополняет уже имеющийся функционал по двухфакторной аутентификации в SWIFT решениями для небольших клиентов, а также вводят более эффективные механизмы управления паролями по умолчанию и механизмы по контролю целостности.
В сентябре 2016 г. SWIFT так же объявила о инструмента Daily Validation Reports, разработанного для дополнения уже существующего инструментария, использующегося клиентами в целях контроля мошеннических операций. На основании данных SWIFT о клиентских транзакциях, инструмент Daily Validation Reportsпредоставляет клиентам информацию об их транзакционных потоках для обнаружения необычных паттернов и контроля активности SWIFT-сообщений, т.е. по сути речь идет о анти-фрод системе.
Цель DVR инструмента - быстрое обнаружение мошенничеств в случаях, когда злоумышленник пытается скрыть свою активность в локальных системах, например, путем изменения или уничтожения данных по платежным сообщениям или данных реконсиляции. Daily Validation Reports включают в себя Activity Reports и Risk Reports:
Activity Reports позволяют видеть совокупную ежедневную активность входящих и исходящих SWIFT-сообщений (MT 103, MT 202, MT 202COV, MT 205, MT 205COV) в разрезе по валютам, странам и контрагентам, предоставляя краткий обзор по каждому дню за последние 24 месяца для быстрого и наглядного обнаружения необычных паттернов;
Risk Reports предоставляют клиентам обзор крупных или необычных потоков платежей и новые комбинации участников платежей, позволяя быстро и наглядно обнаружить необычных отправителей, назначения и паттерны.
Так же согласно новых требований из Security Framework все клиенты компании SWIFT будут обязаны предоставлять результаты самооценки по 16 обязательным контролям на ежегодной основе. Самооценка, как процесс, начнется во втором квартале 2017 года, когда стандарты будут применяться для всех клиентов, подключенных к SWIFT, в том числе для клиентов, подключенных через сервисные организации. А уже 1 января 2018 г. начнется непосредственный контроль соответствия клиентов требованиям стандартов. Результаты будут доступны для всех контрагентов для обеспечения прозрачности и получения возможности компаниям оценить риски по контрагентам, с которыми они взаимодействуют в рамках ведения бизнеса. .
Среди участников подтверждения соответствия клиента SWIFT требованиям безопасности компания SWIFT выделяет менеджмент компании, внутренний аудит, независимых внешних аудиторов.
Все требования по безопасности, указанные в документе основаны на 3 целях и 8 принципах. На рисунке ниже таблица с сайта SWIFT с их кратким описанием. Также ниже приведен текст 16 обязательных и 11 рекомендательных контролей Полная документация по контролям доступна в базе знаний - Knowledge Base tip 5020786.
В документе прописаны 27 контролей, которые соотнесены с 8 принципами:
Ограничение доступа в Интернет
Разделение критически важных систем
Уменьшение поверхности атаки и управление уязвимостями
Обеспечение безопасности физической среды
Предотвращение компрометации учетных данных
Управление пользовательскими привилегиями
Обнаружение аномальной активности
Обмена оперативными данными и разработки инцидент процедур реагирования
Статус соответствия всем новым требованиям будет размещаться в публичном реестре под названием SWIFT KYC Registry, для того что бы каждый клиент или участник сети SWIFT мог быть уверен в надежности и безопасности своих партнеров и контрагентов.
Новый документ и новые требования ИБ
Согласно SWIFT Customer Security Framework. Supplementary Guide новые требования ИБ распространяются на 4 компонента:
уровень обмена данными
локальную инфраструктуру SWIFT заказчика
пользовательские ПК
пользователей.
В документа по мимо это для каждой из 4-х архитектур (которые определены и расписаны разработчиками) описаны требования ИБ, разделенные на обязательные и рекомендательные.
Все все требования нового документа можно связать с тремя общими целями, проходящими красной нитью через весь документ, а именно:
защита рабочего окружения
распределение и ограничение доступ
обнаружение и реагирование на инциденты ИБ
По мимо этого новый документ от SWIFT имеет отсылки с остальным лучшим практикам, к примеру к PCI DSS или NIST CSF. Так в конце документа Customer Security Framework содержит таблицу соответствия своих требований ИБ и требований из указанных best practices
Ознакомиться с самими документом и его приложениями можно на официально страничке компании в центре документации SWIFT
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.