Вход

Новости

Информационный бюллетень по Программе безопасности пользователей: 3КВ 2018

Уважаемые пользователи SWIFT!

Информируем Вас о том, что SWIFT опубликовал третье издание ежеквартального информационного бюллетеня CSP, цель которого - держать сообщество в курсе важной информации по Программе безопасности пользователей SWIFT (Customer Security Programme - CSP).


Предлагаем Вам ознакомиться с неофициальным переводом данного бюллетеня.


Август 2018

Всемирный экономический форум (ВЭФ) назвал кибератаки основным глобальным риском ("Доклад о глобальных рисках", опубликованный Всемирным экономическим форумом 17 января 2018 года), и его анализ показывает, что, по всему миру, никакие предпринимаемые действия не могут обеспечить качественную защиту – кибератаки вошли в топ-десять рисков в 2016 году и в первую пятерку в 2017; в 2018 году они входят в тройку рисков для мировой экономики. Поэтому еще более важно, чем когда-либо, чтобы вы продолжали обеспечивать безопасность и защиту среды, связанной со SWIFT, предотвращать и обнаруживать мошенничество в ваших коммерческих отношениях, а также делиться и использовать информацию, связанную с мошенничеством, для защиты от будущих кибер-угроз.

Обязательные элементы контроля безопасности:

Аттестация 2018

Всем пользователям необходимо подтвердить полное соблюдение обязательных элементов контроля безопасности версии 1 (2018 года) путем прохождения повторной аттестации до даты истечения действующей - 31 декабря 2018 года. Пользователи могут быть заинтересованы в использовании уточнений и дополнений в руководства по применению элементов контроля безопасности, включенных в Концепцию обеспечения безопасности пользователей версии 2019 года, чтобы поддержать эту работу.  Перед прохождением переаттестации, пожалуйста, убедитесь, что ваша учетная запись swift.com и регистрационные данные являются актуальными и, при необходимости, обновите их перед подачей результатов аттестации.

Элементы контроля 2019

В ближайшее время SWIFT опубликует новую Концепцию обеспечения безопасности пользователей версии 2019 (CSCF v2019), которая будет включать в себя дополнения в руководства по внедрению элементов контроля безопасности, а также изменения в существующие элементы контроля - эти изменения включают в себя смену статуса трёх элементов контроля с "рекомендуемый" на "обязательный", а также добавление двух новых рекомендуемых элементов контроля. После публикации в августе CSCF v2019 планируется проведение консультаций, чтобы помочь вам составить план и бюджет каких-либо действий с вашей стороны. До июля 2019 года CSCF v2019 не будет реализована в KYC-SA, также как и онлайн-хранилище для аттестации пользователей. Подтверждение соответствия требованиям CSCF v2019 станет обязательным к концу 2019 года.

Управление изменениями

Процесс управления изменениями в рамках развития структуры элементов контроля разработан с целью убедиться в том, что у сообщества SWIFT достаточно времени (до 18 месяцев) для понимания и реализации любых будущих изменений, касающихся требований элементов контроля. Любые изменения в элементах контроля будут анонсироваться в середине года вместе с аттестацией и соблюдением обязательных элементов контроля уже новой версии CSCF, требования которой становятся обязательными в период с июля по декабрь следующего года, в зависимости от даты истечения срока действия аттестации. В исключительных случаях может потребоваться экстренный выпуск, но мы ожидаем, что такие случаи будут редкостью.

Нововведения KYC-SА

Целый ряд усовершенствований был реализован в Приложении по аттестации безопасности (KYC-SA), которые позволят повысить удобство использования приложения и помогут решить ряд проблем, с которыми сталкивается сообщество, а именно:

  • Теперь пользователи могут увидеть в KYC-SA всех контрагентов, с которыми они обменивались SWIFT-трафиком в прошлом году, что облегчает определение контрагентов, к которым им необходимо получить доступ в KYC-SA.
  • Добавлена возможность массовой обработки запросов доступа или «белого списка» контрагентов заранее, вместо обработки многочисленных запросов доступа по одному.
  • Добавлена возможность безопасного извлечения данных из KYC-SA для включения их оценки в процессы управления рисками, и, чтобы ещё больше усилить безопасность, мы ввели роль «офицер безопасности» в KYC-SA для формирования подобных конфиденциальных бизнес-отчетов.

Эти новые функции доступны уже сейчас, а более подробную информацию по ним и другим улучшениям можно найти в Письме к выпуску KYC-SA от 22 июня 2018 года, которое включено в Руководство пользователя SWIFT.

SWIFT ISAC

Если вы еще не подписались на SWIFT ISAC, мы призываем Вас сделать это. Это даст вам доступ к сведениям о показателях компрометации (IOC), информации об опытных образцах вредоносных программ и описаниям, где это возможно, методов и принципов действий (modus operandi), используемых злоумышленниками. Вы также можете подписаться на уведомления по безопасности, чтобы получать уведомления сразу после публикации чего-то нового. Доступ к SWIFT ISAC осуществляется через swift.com с использованием существующих учетных данных swift.com для входа. В качестве меры предосторожности, мы также предлагаем Вам ознакомиться с дорожной картой восстановления после инцидентов кибербезопасности, которая приведена в бюллетене 10047 в SWIFT ISAC.

Программное обеспечение SWIFT

В рамках Концепции обеспечения безопасности пользователей обязательный элемент контроля 2.2 Обновление для системы безопасности требует, чтобы обязательные обновления программного обеспечения происходили к соответствующим срокам. Напоминаем вам, что релиз 7.2. Alliance и SWIFTNet  являются обязательными и должны быть внедрены не позднее конца ноября 2018 года.

Основа для анализа рисков контрагентов

SWIFT настоятельно рекомендует запрашивать доступ к данным аттестации ваших контрагентов и давать им разрешение на просмотр вашей аттестации, где это уместно. Это даст организации возможность быть прозрачной в отношении своего статуса аттестации, что должно повысить доверие и уверенность для контрагентов, ведущих бизнес друг с другом. Чтобы убедиться, что запросы на доступ обрабатываются без задержек, вы должны назначить роли “Granter” и “Requester” в KYC-SA, если они до сих пор еще не назначены. В соответствии с передовой практикой, вам следует принимать или отклонять запросы на доступ как можно быстрее, максимум в течение шести рабочих дней. Пока вы определяете процесс согласования и предоставления доступа, в то же время вы можете отклонить запросы и попросить своего контрагента запросить доступ в будущем.

Средства борьбы с мошенничеством

Наш новый сервис по предотвращению мошенничества, SWIFT Payment Controls, должен быть запущен в конце этого года. Предназначенное для защиты ваших платежных операций против мошеннических атак, данное решение помогает усилить вашу стратегию обеспечения безопасности. SWIFT Payment Controls сочетает мониторинг в реальном времени, механизмы оповещения и блокировки отправленных платежей и ежедневную отчетность. Этот сервис помогает учреждениям выявлять и предотвращать высокорискованные платежи, а также препятствует дестабилизации бизнеса и финансовым потерям при взломе бэк-офиса.

Куда обращаться за помощью

Пожалуйста, ознакомьтесь со страницей поддержки аттестации безопасности, доступной через mySWIFT, для получения информации, которая поможет вам завершить аттестацию безопасности и получить доступ к целому ряду полезных ссылок. Если вам нужна дополнительная поддержка, вы также можете ознакомиться с материалами CSP, доступными в Руководстве пользователя SWIFT, учебном портфолио SWIFTSmart, Базе знаний практических советов, видеороликах, записях веб-семинаров и FAQ. Для ознакомления и информации некоторые документы и учебные модули SWIFTSmart доступны на разных языках, и мы регулярно проводим семинары и информационные сессии на местных языках. Для получения дополнительной информации, пожалуйста, свяжитесь с вашим менеджером SWIFT.

 

Предстоящие информационные сессии по CSP

Пожалуйста, посетите страницу сообщества CSP (CSP community engagement page) на сайте swift.com, чтобы зарегистрироваться на предстоящую информационную сессию CSP, которая будет опубликована в ближайшее время.

Руководство к действию для пользователей SWIFT

  1. Убедитесь, что вы полностью соблюдаете все обязательные элементы контроля безопасности и пройдите повторную аттестацию не позднее 31 декабря 2018 года.
  2. Начните использовать портал SWIFT ISAC, подпишитесь на уведомления - и незамедлительно свяжитесь с нами, если у вас возникли подозрения несанкционированного доступа к вашей инфраструктуре, связанной со SWIFT.
  3. Убедитесь, что установлены обязательные обновления безопасности для программного обеспечения SWIFT.
  4. Запросите доступ к данным аттестации ваших контрагентов и предоставьте доступ к данным аттестации вашей организации (где это уместно). Учитывайте структуру рисков контрагента вашего учреждения для применения данных аттестации контрагента.
  5. Обратите внимание на инструменты SWIFT для борьбы с мошенничеством, (Sender Payment Controls, Daily Validation Reports, RMA clean-ups и другие).

 

Источник: Customer Security Programme Newsletter_Q3 2018

 








           

© РОССВИФТ 2018, Использование материалов сайта с разрешения РОССВИФТ и с указанием ссылки на сайт www.rosswift.ru.
Россия, 119048, Москва, ул. Кооперативная, д.4, к. 15.  Тел.: +7 (499) 272-02-32 Факс: +7 (495) 782-14-03