Уважаемые пользователи SWIFT!
Информируем Вас о том, что SWIFT опубликовал третье издание ежеквартального информационного бюллетеня CSP, цель которого - держать сообщество в курсе важной информации по Программе безопасности пользователей SWIFT (Customer Security Programme - CSP).
Предлагаем Вам ознакомиться с неофициальным переводом данного бюллетеня.
Август 2018
Всемирный экономический форум (ВЭФ) назвал кибератаки основным глобальным риском ("Доклад о глобальных рисках", опубликованный Всемирным экономическим форумом 17 января 2018 года), и его анализ показывает, что, по всему миру, никакие предпринимаемые действия не могут обеспечить качественную защиту – кибератаки вошли в топ-десять рисков в 2016 году и в первую пятерку в 2017; в 2018 году они входят в тройку рисков для мировой экономики. Поэтому еще более важно, чем когда-либо, чтобы вы продолжали обеспечивать безопасность и защиту среды, связанной со SWIFT, предотвращать и обнаруживать мошенничество в ваших коммерческих отношениях, а также делиться и использовать информацию, связанную с мошенничеством, для защиты от будущих кибер-угроз.
Аттестация 2018
Всем пользователям необходимо подтвердить полное соблюдение обязательных элементов контроля безопасности версии 1 (2018 года) путем прохождения повторной аттестации до даты истечения действующей - 31 декабря 2018 года. Пользователи могут быть заинтересованы в использовании уточнений и дополнений в руководства по применению элементов контроля безопасности, включенных в Концепцию обеспечения безопасности пользователей версии 2019 года, чтобы поддержать эту работу. Перед прохождением переаттестации, пожалуйста, убедитесь, что ваша учетная запись swift.com и регистрационные данные являются актуальными и, при необходимости, обновите их перед подачей результатов аттестации.
Элементы контроля 2019
В ближайшее время SWIFT опубликует новую Концепцию обеспечения безопасности пользователей версии 2019 (CSCF v2019), которая будет включать в себя дополнения в руководства по внедрению элементов контроля безопасности, а также изменения в существующие элементы контроля - эти изменения включают в себя смену статуса трёх элементов контроля с "рекомендуемый" на "обязательный", а также добавление двух новых рекомендуемых элементов контроля. После публикации в августе CSCF v2019 планируется проведение консультаций, чтобы помочь вам составить план и бюджет каких-либо действий с вашей стороны. До июля 2019 года CSCF v2019 не будет реализована в KYC-SA, также как и онлайн-хранилище для аттестации пользователей. Подтверждение соответствия требованиям CSCF v2019 станет обязательным к концу 2019 года.
Управление изменениями
Процесс управления изменениями в рамках развития структуры элементов контроля разработан с целью убедиться в том, что у сообщества SWIFT достаточно времени (до 18 месяцев) для понимания и реализации любых будущих изменений, касающихся требований элементов контроля. Любые изменения в элементах контроля будут анонсироваться в середине года вместе с аттестацией и соблюдением обязательных элементов контроля уже новой версии CSCF, требования которой становятся обязательными в период с июля по декабрь следующего года, в зависимости от даты истечения срока действия аттестации. В исключительных случаях может потребоваться экстренный выпуск, но мы ожидаем, что такие случаи будут редкостью.
Нововведения KYC-SА
Целый ряд усовершенствований был реализован в Приложении по аттестации безопасности (KYC-SA), которые позволят повысить удобство использования приложения и помогут решить ряд проблем, с которыми сталкивается сообщество, а именно:
Эти новые функции доступны уже сейчас, а более подробную информацию по ним и другим улучшениям можно найти в Письме к выпуску KYC-SA от 22 июня 2018 года, которое включено в Руководство пользователя SWIFT.
SWIFT ISAC
Если вы еще не подписались на SWIFT ISAC, мы призываем Вас сделать это. Это даст вам доступ к сведениям о показателях компрометации (IOC), информации об опытных образцах вредоносных программ и описаниям, где это возможно, методов и принципов действий (modus operandi), используемых злоумышленниками. Вы также можете подписаться на уведомления по безопасности, чтобы получать уведомления сразу после публикации чего-то нового. Доступ к SWIFT ISAC осуществляется через swift.com с использованием существующих учетных данных swift.com для входа. В качестве меры предосторожности, мы также предлагаем Вам ознакомиться с дорожной картой восстановления после инцидентов кибербезопасности, которая приведена в бюллетене 10047 в SWIFT ISAC.
В рамках Концепции обеспечения безопасности пользователей обязательный элемент контроля 2.2 Обновление для системы безопасности требует, чтобы обязательные обновления программного обеспечения происходили к соответствующим срокам. Напоминаем вам, что релиз 7.2. Alliance и SWIFTNet являются обязательными и должны быть внедрены не позднее конца ноября 2018 года.
SWIFT настоятельно рекомендует запрашивать доступ к данным аттестации ваших контрагентов и давать им разрешение на просмотр вашей аттестации, где это уместно. Это даст организации возможность быть прозрачной в отношении своего статуса аттестации, что должно повысить доверие и уверенность для контрагентов, ведущих бизнес друг с другом. Чтобы убедиться, что запросы на доступ обрабатываются без задержек, вы должны назначить роли “Granter” и “Requester” в KYC-SA, если они до сих пор еще не назначены. В соответствии с передовой практикой, вам следует принимать или отклонять запросы на доступ как можно быстрее, максимум в течение шести рабочих дней. Пока вы определяете процесс согласования и предоставления доступа, в то же время вы можете отклонить запросы и попросить своего контрагента запросить доступ в будущем.
Наш новый сервис по предотвращению мошенничества, SWIFT Payment Controls, должен быть запущен в конце этого года. Предназначенное для защиты ваших платежных операций против мошеннических атак, данное решение помогает усилить вашу стратегию обеспечения безопасности. SWIFT Payment Controls сочетает мониторинг в реальном времени, механизмы оповещения и блокировки отправленных платежей и ежедневную отчетность. Этот сервис помогает учреждениям выявлять и предотвращать высокорискованные платежи, а также препятствует дестабилизации бизнеса и финансовым потерям при взломе бэк-офиса.
Куда обращаться за помощью
Пожалуйста, ознакомьтесь со страницей поддержки аттестации безопасности, доступной через mySWIFT, для получения информации, которая поможет вам завершить аттестацию безопасности и получить доступ к целому ряду полезных ссылок. Если вам нужна дополнительная поддержка, вы также можете ознакомиться с материалами CSP, доступными в Руководстве пользователя SWIFT, учебном портфолио SWIFTSmart, Базе знаний практических советов, видеороликах, записях веб-семинаров и FAQ. Для ознакомления и информации некоторые документы и учебные модули SWIFTSmart доступны на разных языках, и мы регулярно проводим семинары и информационные сессии на местных языках. Для получения дополнительной информации, пожалуйста, свяжитесь с вашим менеджером SWIFT.
Предстоящие информационные сессии по CSP
Пожалуйста, посетите страницу сообщества CSP (CSP community engagement page) на сайте swift.com, чтобы зарегистрироваться на предстоящую информационную сессию CSP, которая будет опубликована в ближайшее время.
Руководство к действию для пользователей SWIFT
Источник: Customer Security Programme Newsletter_Q3 2018
© Росфинком 2023, Использование материалов сайта
с разрешения Росфинком и с указанием ссылки на сайт www.rosswift.ru.