Журнал "Системы Безопасности" № 5‘2021

S E C U R I T Y A N D I T M A N A G E M E N T 41 2021 г. Данная версия содержит 31 требо- вание по безопасности, из которых 22 являются обязательными для выполнения до 31 декабря 2021 г. ниже перечислены все требования из CSCF. Обязательные для выполнения требования выделены полужирным шрифтом: 1. Ограничение доступа в Интернет и защи- та наиболее важных систем от общей ИТ- среды: 1.1 Обеспечение защиты среды SWIFT. 1.2 Контроль за привилегированными учетны- ми записями операционной системы. 1.3 защита платформы виртуализации. 1.4 Ограничение доступа в интернет. 2. Уменьшение количества потенциальных векторов атак и уязвимостей: 2.1 защита внутреннего потока данных. 2.2 Обновления системы безопасности. 2.3 Повышение надежности системы. 2.4A Безопасность потока данных бэк-офиса. 2.5A защита внешней передачи данных. 2.6 Конфиденциальность и целостность сессии оператора. 2.7 Сканирование на уязвимость системы: 2.8а аутсорсинг критически важных видов дея- тельности. 2.9A Средства контроля транзакционного биз- неса. 2.10 Повышение надежности приложений. 2.11A Средства контроля RMA. 3. Обеспечение физической безопасности среды: 3.1 физическая защита. 4. Предотвращение компрометации учет- ных данных: 4.1 Политика паролей. 4.2 Многофакторная аутентификация. 5. управление идентификационными данными и разграничение полномочий: 5.1 Логический контроль доступа. 5.2 управление токенами. 5.3A Процесс проверки персонала. 5.4. физическое и логическое хранение паролей. 6. Обнаружение аномальной активности в системах и журналах транзакций: 6.1 защита от вредоносных программ. 6.2 Целостность программного обеспечения 6.3 Целостность базы данных. 6.4 ведение журнала операций и мониторинг. 6.5A Обнаружение вторжений. 7. План реагирования на инциденты и информирование: 7.1 Планирование реагирования на киберинци- денты. 7.2 Обучение и информирование в сфере без- опасности. 7.3а Тест на проникновение. 7.4A Оценка рисков. Описание данных требований в CSCF занимает более 100 страниц текста, поэтому остановлюсь только на важных моментах. Основные моменты SWIFT CSCF 2021 1. все компоненты SWIFT должны быть в отде- ленном физически от основной инфраструкту- ры банка контуре безопасности (отдельные сер- веры и коммуникационное оборудование). 2. Должен использоваться межсетевой экран (далее – Мэ) транспортного уровня, создаю- щий границу контура безопасности. Доступ для администрирования Мэ должен быть только из контура безопасности SWIFT. 3. Операторы/администраторы должны рабо- тать с компонентами SWIFT локально внутри контура безопасности. 4. в случае удаленной работы операторов/адми- нистраторов должен использоваться Jump-сервер. 5. Должна быть 2FA для операторов/админи- страторов. 6. физический доступ к серверам и другому оборудованию должен быть доступен только для системных и прикладных администраторов SWIFT. 7. Желательно отделение от общих корпоративных иТ-сервисов (WSUS, SCCM, Antivirus, SIEM, BackUp). 8. администраторы должны проходить ежегод- ное обучение по программе SWIFT. исходя из собственной практики подготовки и про- хождения внешнего аудита по CSCF 2019 и 2021, могу сказать, что если банком выполняются перечис- ленные выше моменты, то вероятность успешного прохождения аудита велика, так как другие требова- ния безопасности в большинстве случаев уже выпол- няются или могут быть реализованы во время аудита. Отправка отчета После получения положительного заключения от внешней аудиторской компании необходимо сделать последний шаг и отправить результаты в Alliance SWIFT. Для этого необходимо: 1. зайти в приложение KYC-SA под ролью предоставляющего (Submitter) – лица, кото- рое будет заполнять данные в приложении, и утверждающего (Approver) – лица, уполно- моченного утвердить заполненную форму самоаттестации (директор по информацион- ной безопасности – Chief Information Security Officer, CISO или лицо с аналогичными функ- циями). 2. заполнить черновик аттестации на основе полученного от аудитора отчета. 3. завершить и отправить аттестацию. После заполнения черновика формы аттестации назначенный утверждающий (Approver) должен утвердить и направить на публикацию финаль- ную версию аттестации. SWIFT проверит аттестацию на предмет указан- ной информации. После успешного завершения данной проверки статус аттестации будет пере- веден в "опубликовано", что будет свидетель- ствовать о завершении работ. Заключение По моей практике, аудит может занимать от 7 до 30 дней, а подготовка – несколько меся- цев. Поэтому, если ваш банк является участником платежной системы SWIFT и вы не проводили никаких работ, рекомендую их начать незамед- лительно и в первую очередь с аудита инфра- структуры SWIFT. n www.secuteck.ru октябрь – ноябрь 2021 СПЕЦПРОЕКТ БЕзОПаСнОСТь БанКОв в эПОху ЦифРОвизаЦии В се результаты аттестации публикуются самими участниками в KYC Registry (KYC-SA), которое является центральным приложением для пользователей, что способствует прозрачному обмену информацией о состоянии безопасности с контрагентами для управления киберрис- ками и оценке контрагентов (Due Diligence) Б анкам легко включить SWIFT CSCF в действующую политику инфор- мационной безопасности, так как ее разработчики принимают во вни- мание здравый смысл и новейшие передовые практики и учитывают специфическую для пользователя инфраструктуру и конфигурации Таблица1. Пример совпадений требований различных отраслевых стандартов SWIFT CSCF 2021 Концепция кибербезопасности ISO 27002 (2013) PCI DSS 3.2.1 NIST версии v1.1 1.1 Защита среды SWIFT Управление доступом (PR.AC ) Управление Требование 1. Обеспечение защиты PR.AC -5: защита целостности безопасностью Установить и пользовательской локальной сети, включающая в себя сети (13.1) 13.1.3: поддерживать инфраструктуры SWIFT разделение на подсети разделение на конфигурацию от потенциально скомпро- в тех случаях, когда подсети брандмауэра для метированных элементов это целесообразно защиты данных общей ИТ-среды владельца карты. и внешней среды Применяемые подразделы: 1.3 1.2 Контроль за Управление доступом (PR.AC ) Управление Требование 8. привилегированными PR.AC -4: управление правами доступом Осуществлять учетными записями на доступ с учетом принципов пользователей идентификацию операционной системы. наименьших привилегий (9.2) 9.2.3: и аутентификацию Ограничить и контролировать и разделения обязанностей управление правами доступа распределение и исполь- привилегированного к компонентам зование учетных записей доступа системы. операционной системы Применяемые уровня администратора подразделы: 8.1, 8.5 Ваше мнение и вопросы по статье направляйте на ss @groteck.ru