Новый стандарт по информационной безопасности от SWIFT - Customer Security Controls Framework (CSCF) и требования к банкам

В марте 2017 года SWIFT выпустил свой стандарт по ИБ Customer Security Controls Framework 1.0 (CSCF). Все клиенты SWIFT (имеющие собственный BIC, которые выглядят так ASBKUZ22, NBFAUZ2X) должны до 31 декабря 2017 г. отчитаться перед SWIFT о соответствии новому стандарту CSCF.
Для этого нужно собрать данные о соответствии стандарту и предоставить их в SWIFT через специальный интерфейс - KYC Registry Security Attestation Application
Что нужно сделать для оценки:
1. Определить область действия стандарта - какое оборудование и системы входят в так называемый scope. Определить тип архитектуры (A1, A2, A3, B) - от этого зависит какие пункты стандарта будут обязательными, а какие рекомендуемыми.
2. Собрать сведения о соответствии по всем обязательным пунктам стандарта CSCF.
3. Ввести все полученные данные в специальное приложение KYC-SA.

Сам стандарт имеет технический уклон, содержит подробное описание каждого требования и его обоснование. Также в стандарте приводится таблица соответствия его пунктов другим отраслевым стандартам (PCI DSS, ISO 27002, NIST)

До конца 2017 года нужно отправить в SWIFT данные о соответствии стандарту CSCF, в течение 2018 года собранные данные будут анализироваться SWIFT, а с 2019 года все сведения о несоответствиях будут передаваться местным регуляторам (для нас это, очевидно, будет Центральный банк РУ) - см. график справа.

ITTS готово провести оценку соответствия требованиям SWIFT CSCF и помочь банкам со сбором данных и отправкой их в SWIFT.

Также рекомендуем статью нашего коллеги Андрея Гайко из Digital Security и вебинар Безопасность SWIFT.

SWIFT - Общество всемирных межбанковских финансовых каналов связи (от англ. Society for Worldwide Interbank Financial Telecommunications) — международная межбанковская система передачи информации и совершения платежей. В настоящий момент членами SWIFT являются более 10 000 организаций.