19 февраля, вторник 13:43
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Информационная безопасность SWIFT

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Информационная безопасность SWIFT

    Добрый день!
    К нам пришёл аудит ИБ, который, в том числе, затрагивает и SWIFT. Все бы хорошо, но нас с коллегами смутили "Выгрузки отчётов безопасности 11,28,31". Ни я, ни мои коллеги не смогли найти информации о них, а аудиторы говорят, что мы должны про них знать. Может кто-то сталкивался с такими запросами? Что это за отчёты и как их выгружать?
    Спасибо!

  • #2
    Вообще аудитор должен четко пояснить, что он хочет иначе может быть уличён в некомпетентности. ) Пусть предоставят обезличенный пример отчёта. "11,28,31" это что?

    Комментарий


    • #3
      Сообщение от Zuz Посмотреть сообщение
      Вообще аудитор должен четко пояснить, что он хочет иначе может быть уличён в некомпетентности. ) Пусть предоставят обезличенный пример отчёта. "11,28,31" это что?
      Или пусть аудиторы сошлются на конкретный документ, где указаны данные требования.

      Комментарий


      • #4
        Сообщение от provaider Посмотреть сообщение
        Все бы хорошо, но нас с коллегами смутили "Выгрузки отчётов безопасности 11,28,31". Ни я, ни мои коллеги не смогли найти информации о них, а аудиторы говорят, что мы должны про них знать. Может кто-то сталкивался с такими запросами? Что это за отчёты и как их выгружать?
        Спасибо!
        Общее правило аудита - в отчете не должно быть спорных оценочных суждений. Т.е., если вам неясно замечание или вы с ним несогласны, вы вправе потребовать разъяснений и указания ссылок на первоисточники, из которых взято данное требование.

        Комментарий


        • #5
          Добрый день!

          Поделитесь, пожалуйста переводом "SWIFT Customer Security Framework", во втором квартале необходимо всем направить отчет о выполнении аудита

          Комментарий


          • #6
            Eniemchik
            Как-то не кошерно сразу постить один и тот же вопрос в несколько тем, предлагаю ограничиться одной.

            Перевода не видел, но РосСВИФТ грозился, что будет информация по форме отчетности по самоаттестации и куда ее надо будет отсылать. Так, что пока только оригинальный документ с требованиями на сайте Swift и комментарии от Лукацкого http://www.securitylab.ru/blog/perso...ger/335126.php

            Комментарий


            • #7
              На сайте SWIFT, для зарегистрированных пользователей, доступна финальная версия SWIFT`s Customer Security Controls Framework.
              К концу мая, обещают опубликовать дополнительные материалы в т.ч. по проведению самооценки.

              Требования, кстати, достаточно плотно пересекаются с требованиями по обеспечению безопасности в 552-П, но уровень проработки документа и, вообще, подход к обеспечению ИБ не сопоставимы.

              По поводу возможного перевода, в документе есть такое требование - Do not further disclose the information in this publication without the prior written consent of SWIFT.
              Последний раз редактировалось saches; 10.04.2017, 13:12.

              Комментарий


              • #8
                Сообщение от saches Посмотреть сообщение
                Do not further disclose the information in this publication without the prior written consent of SWIFT.
                Что то мы можем посмотреть Вы уважаемый ничего нового написать не можете только занимаетесь простым флудом.

                Людям необходим хоть какой-то даже неофициальный перевод (а Вы просто мешаете выбросом пустышек), убедительная просьба предоставлять информацию на ресурсе (если есть такое желание) для людей а не для самого себя (это в копилку Вам не пойдет).





                Комментарий


                • #9
                  Сообщение от Eniemchik Посмотреть сообщение
                  .......Людям необходим хоть какой-то даже неофициальный перевод (а Вы просто мешаете выбросом пустышек), убедительная просьба предоставлять информацию на ресурсе (если есть такое желание) для людей а не для самого себя (это в копилку Вам не пойдет).....
                  Ну извиняйте, что я вам до сих пор перевод не выложил.
                  Если так свербит, рекомендую воспользоваться, например, яндекс-переводчиком, качество получающегося текста достаточно сносное.
                  90-95%% перевода вопросов не вызывают. Если будет что-то конкретное не понятно, спрашивайте, и вам наверняка ответят.
                  Причем, вполне возможно, что вопросов как понимать тот или иной пункт будет не сильно больше по сравнению с вопросами по 552-П, которое, вроде как, не на английском было написано.

                  ЗЫ: будут какие-либо рязъяснялки от RosSwift-а, информацию выложу, вы уж не обессудте. Но не думаю, что это будет раньше июня.
                  Последний раз редактировалось saches; 18.04.2017, 12:06.

                  Комментарий


                  • #10
                    У RosSwift-а появился переведенный на русский SWIFT`s Customer Security Controls Framework.
                    И вроде как, готовы предоставить документ обратившимся к ним банкам.
                    Последний раз редактировалось saches; 15.05.2017, 20:37.

                    Комментарий


                    • #11
                      Коллеги, этот документ https://www2.swift.com/uhbonline/boo...111118/b47.htm действует?
                      Кто то реально LAU использует?


                      Комментарий


                      • #12
                        IgorL
                        По словам поддержки SWIFTа, LAU абсолютно работоспособный механизм, всячески рекомендуемый SWIFTом для использования при обмена информации как между компонентами SWIFT Alliance, так и с банковским бэком.
                        По их же словам, в LAU России практически никто не настраивает/использует.
                        Последний раз редактировалось saches; 16.05.2017, 09:58.

                        Комментарий


                        • #13
                          Сообщение от saches Посмотреть сообщение
                          IgorL
                          По словам поддержки SWIFTа, LAU абсолютно работоспособный механизм, всячески рекомендуемый SWIFTом для использования при обмена информации как между компонентами SWIFT Alliance, так и с банковским бэком.
                          По их же словам, в LAU России практически никто не настраивает/использует.
                          Возможно рекомендации недостаточно настойчивы? В России же пока гром не грянет...

                          Комментарий


                          • #14
                            Сообщение от IgorL Посмотреть сообщение
                            Возможно рекомендации недостаточно настойчивы? В России же пока гром не грянет...
                            Со слов руководителя Российского SWIFTа, уже отработана технология обращения в ЦБ (FinCERT), а ЦБ уже потом общается с банками.
                            Но пока это использовалось в качестве "мотивирующего пряника" для банков тормозящих с переходом на более свежие версии ПО, и якобы планируется к использованию, по результатам проведения банками само-аттестации по требованиям SWIFT в 2017.

                            Возможно, пока SWIFT в своем ПО не уберет возможность обмена не подписанными сообщениями/файлами так все и будет "вялотекущще". Хотя тот же XML-DSig уже сейчас есть (или появится этим летом в v.7.2.)

                            Комментарий


                            • #15
                              Сообщение от saches Посмотреть сообщение
                              ...
                              Возможно, пока SWIFT в своем ПО не уберет возможность обмена не подписанными сообщениями/файлами так все и будет "вялотекущще". Хотя тот же XML-DSig уже сейчас есть (или появится этим летом в v.7.2.)
                              Как минимум дату окончания приема не подписанных пока не объявит. Собственно это деньги банков, по логике это им следовало бы озаботиться, причем в АБС-ке при формировании сразу. Чтоб дважды на грабельки не наступать. Спасибо за информацию!

                              Комментарий


                              • #16
                                Всем, добрый день!

                                15.05.2017г. прошел семинар по новой концепции по безопасности SWIFT (кто не попал регистрируйтесь на официальном сайте, повторная встреча назначена на 08.06.2017года).

                                Самое главное:
                                1. Swift-у запретили в соответствии с концепцией (и не только) производить какие либо проверки.
                                2. Фирмы отраженные на официальном сайте SWIFT как внешние аудиторы (только прошли официальное ознакомление с данной концепцией) и ни какой ответственности за качество проведенного аудита не несут (поэтому их всех по дальше), SWIFT от них также отказался (как и от ответственности проведенного этими фирмами аудита) - поэтому проводим аудит собственными силами.
                                3. Форму (чек лист) для проведения аудита SWIFT предоставит до начала июня и возможно на русском языке (но официальными версиями являются только на английском).
                                4. За качество переведенной концепции и пересылаемой представителям Банков - SWIFT ответственности не несет (со слов организаторов семинара - перевод осуществлялся представителями 18 российских Банков).
                                5. Большинство вопросов по аудиту закрывается с миграцией на версию 7.2 (требование к оборудованию SWIFT выставить не может т.к. предполагается использование WINDOWS 16 - в общем планируйте бюджет на приобретение качественного железа).
                                6. ЦБ планирует до конца 2017 года произвести проект документа (со слов организаторов семинара) по воздействию на Банки за несоблюдение требований по безопасности. На данный момент воздействовать на Банки за несоблюдение требований SWIFT никто не может. Да и SWIFT не является платежной системой (с их слов - это нам самим больше надо).
                                7. До завершения 2017 года - необходимо хоть как-то заполнить и отправить проверочную форму, до завершения 2018 года в форме можно проставить что все выполняется - НИКТО КОНТРОЛИРОВАТЬ И ВВОДИТЬ КАКИЕ ЛИБО САНКЦИИ НЕБУДЕТ. (ЗА безопасность на своем участке каждый сам отвечает).
                                8. Разработан Swift новый модуль для контроля входящих и исходящих платежных сообщений (платный - для каждого Банка цена разная - т.к. у всех разное количество платежей в день) отчет предоставляется только на следующий день, SWIFT предоставляет пробное использование данной услуги в течении двух недель. (Со слов организаторов - что если данную услугу использовал бы БАНК БАНГЛАДЕША - то может быть могла быть предотвращена в 2016 году массовая кража ("бы" и "быть" слова организаторов) сослагательное наклонение - ничего конкретного). По моему мнению данная услуга должна быть не наследующий день, а в режиме реального времени.
                                9. Swift "желает" официально опубликовать Ф.И.О. руководителей службы безопасности по каждому банку на своем ресурсе (организаторы были в замешательстве по поводу 152-ФЗ).
                                И каждый желающий узнать о состоянии ИБ у Вас в Банке может направить запрос к Вам и по положительному решению может лицезреть все недостатки в выполнении требований. В общем очень много недоделанного и непродуманного со стороны SWIFT, к 08.06.2017 году обещали предоставить ответы на более 150 вопросов (на которые не смогли сразу ответить).
                                10. Обучение отраженное в стандарте со стороны SWIFT будет проводиться бесплатно через их портал (в дальнейшем на русском языке - в видео роликах будет бегущая строка).

                                В общем на семинаре было много всего интересного и забавного.

                                P.S. к 08.06.2017 регистрируйтесь (все бесплатно) - приходите - готовьте за ранее по больше вопросов (питание включено). Рекомендую присутствовать до завершения т.к. нам 15.05.2017г. ответы почти на вопросы озвучил Матвей по чек листу (за 1 час), Диана доходчиво все объясняла в течении 8 часов по всем обязательным параметрам (в дальнейшем необязательные "рекомендуемые" будут обязательными).

                                Лучше задать вопросы организаторам, а потом здесь поделиться своими комментариями.

                                Комментарий


                                • #17
                                  Eniemchik
                                  Спасибо !!!
                                  (08.06 планирую точно, но получится или нет ... ?)

                                  Комментарий


                                  • #18
                                    Коллеги, можете подсказать по самооценке свифта? В каком формате её нужно предоставлять? Писали тут про чек лист, а он в итоге появился?

                                    Комментарий


                                    • #19
                                      Сообщение от Sat_Kelman Посмотреть сообщение
                                      по самооценке свифта? В каком формате её нужно предоставлять? Писали тут про чек лист, а он в итоге появился?
                                      Угу. Всем уже письма прислали.

                                      The KYC Registry Security Attestation Application (KYC-SA) is now open for both data submission and consumption. All SWIFT users are urged to complete the practical steps outlined in the welcome mail sent to all swift.com administrators of the parent entities in July, in order to log-in to the KYC-SA and to submit a self-attestation for each of your BIC8s.

                                      Комментарий


                                      • #20
                                        Добрый день!
                                        На сайте SWIFT, для зарегистрированных пользователей, доступна финальная версия SWIFT`s Customer Security Controls Framework.
                                        Я зарегистрировался на сайте, но скачать не дает - пишет недостаточно прав.

                                        Если кто то сможет выслать данный документ на a.glebov@plus-bank.ru, буду благодарен.
                                        Спасибо.

                                        Комментарий


                                        • #21
                                          Вроде как исправился...

                                          Комментарий


                                          • #22
                                            Коллеги, добрый день! Вопрос по заполнению самооценки, в том случае, если у банка нет полноценного внутреннего или внешнего 24х7 SOC-а, как отвечали на вопрос - "Select the contact person or department for the 24x7 SOC" ? Заранее спасибо.

                                            Комментарий


                                            • #23
                                              Добрый день, Коллеги!
                                              Чек лист для проведения аттестации Swift есть у кого нибудь?

                                              Комментарий


                                              • #24
                                                Сообщение от saches Посмотреть сообщение
                                                Коллеги, добрый день! Вопрос по заполнению самооценки, в том случае, если у банка нет полноценного внутреннего или внешнего 24х7 SOC-а, как отвечали на вопрос - "Select the contact person or department for the 24x7 SOC" ? Заранее спасибо.
                                                Ну прям 24*7 у нас тоже нет, но написали ИТ. Если что им звонят, они же будут устранять что-то. Ну и у наших есть удаленный доступ. Так что по сути 24/7 )))

                                                Комментарий


                                                • #25
                                                  Сообщение от ESA15 Посмотреть сообщение
                                                  .......Чек лист для проведения аттестации Swift есть у кого нибудь?
                                                  На сайте Swift-а огромное количество информации по аттестации, в том числе и учебные ролики. Кое что переведено Россвифт.
                                                  Всю необходимую информацию можно получить после регистрации.
                                                  Вроде как, все документы идет с ограничением для распространения. Так что не факт, что тут будет что-то выкладываться.
                                                  Ну и, КМК, одним чек-листом не обойтись.

                                                  ЗЫ: В принципе, до января 2019-го, для Swift-а важен только факт проведения самоаттестации.
                                                  Т.е. можно зарегистрировавшись на сайте, зайти в приложение по самоаттестации (KYC-SA), заполнить всю необходимую справочную информацию, а на требования по ИБ ответить "не соответствую". И до 1-го января 2019-го, по уверениям Swift-а, этого будет достаточно.

                                                  ЗЫЫ: Ну а потом (не удивлюсь, если так и будет), Swift "жахнет" обязательным внешним аудитом....
                                                  Последний раз редактировалось saches; 26.10.2017, 12:44.

                                                  Комментарий


                                                  • #26
                                                    Сообщение от saches Посмотреть сообщение
                                                    Ну а потом (не удивлюсь, если так и будет), Swift "жахнет" обязательным внешним аудитом...
                                                    Не, не жахнет.
                                                    ЦБ уже пытался от них этого добиться, были посланы.

                                                    Комментарий


                                                    • #27
                                                      Народ, подскажите. Сеяас делаем аудит по требованиям свифта с привлечением внешней стороны. И у нас появились разные взгляды на некоторые моменты.

                                                      1.1.а Внедрить «зону безопасности», чтобы отделить и защитить локальную инфраструктуру SWIFT от компрометации систем и сервисов, расположенных за пределами этой зоны
                                                      У нас операторы свифта сидят в общей сети с обычными пользователями, но скажем так их машины зарезервированы (по мас и ip), то есть с других мест они не могут подключиться.
                                                      Аудитор же говорит что для выполнения этого пункта операторы должны быть в отдельной своей DMZ.

                                                      1.1.с.1. Административный доступ к сетевым устройствам защищен с использованием либо внеполосной сети, либо через контролируемый внутриполосный доступ (например, административная сеть VLAN). Административный доступ к брандмауэру (брандмауэрам), защищающим зону безопасности, не зависит от корпоративной системы аутентификации пользователей.
                                                      У нас места сотрудников ИТ зарезервированы (по мас и ip).
                                                      Аудитор опять же утверждает, что для выполнения у админов должна быть своя подсеть с админскими учетками для администрирования сети. В пример себя приводит - у них у админов стоит 2 компа, один общий для работы, другой чисто для работы под админскими учетками, например для работы в AD.

                                                      Я ссылаюсь на то, что это реккомендации, а не обязательное выполнение, и у нас они выполняются, то своими методами ограничения доступа. Аудиторы же говорят, что надо делать как они. Иначе без выделенных подсетей есть риск компрометации учеток пользователей (фишинг например) и потом управление сетью свифт, так как пользователи и админы сидят вместе со всеми.

                                                      Комментарий


                                                      • #28
                                                        Sat_Kelman
                                                        1. Согласен с Вами, у меня фактически примерно такая же картина.
                                                        2. Согласен и с этими аудиторами !
                                                        Как так ?
                                                        Сказанное ими и изложенное здесь вами очень даже разумно.
                                                        Я обязательно попробую реализовать что-то более близкое к предлагаемому ими...

                                                        Комментарий


                                                        • #29
                                                          Sat_Kelman
                                                          ИМХО, не имеет большого смысла читать кривой перевод, т.к. "Только английская версия документов SWIFT является официальной и обязательной для исполнения версией."
                                                          Например, если посмотреть на подзаголовки, то
                                                          Implementation Guidelines: это на самом деле не "Рекомендация...", а скорее "Руководство по реализации".
                                                          • пункт a) Overall design goals.... это именно цели, которые достигаются при реализации всего обязательного требования 1.1., а не какие-то защитные меры или СЗИ. (это уже о трактовке)
                                                          • п. c) Protection of the secure zone - т.е. "Защита безопасной зоны" делится на:
                                                          - c.1 Boundary Protection
                                                          - c.2 Communication between components in the secure zone

                                                          И,уже, именно для реализации Boundary Protection, в качестве средства защиты границы безопасной зоны, речь идет о МСЭ с контролем состояния TCP/UDP, причем, с некоторой оговоркой -
                                                          Transport layer stateful firewalls are used to create logical separation at the boundary of the secure zone.
                                                          − Transport layer firewalls creating the secure zone boundary may be virtual or physical, but are dedicated to the protection of the secure zone.
                                                          ACLs, and application firewalls may be used to provide additional protections for the secure zone, but are not alone sufficient.


                                                          Т.е., если, например, провести аналогию с 552-П, то в обоих случаях, речь идет о выделении отдельного сетевого семента. Но, в отличии от 552-П, SWIFT требует использования конкретного МСЭ с определенными характеристиками именно для защиты этого сегмента.

                                                          п.п. d) Access to the secure zone systems и d.1 Local Operator (end user and administrator) access - наверное, имеет смысл обсуждать, когда этот самый сегмент (безопасная зона) будет иметь место.

                                                          Т.е., КМК, в данном конкретном случае, имеет смысл прислушаться к мнению аудиторов. И согласитесь, что использование полноценного МСЭ и привязка ПК по IP и MAC-адресам, это совершенно различные защитные меры. Понятно, что вынос всей инфраструктуры SWIFT-а в отдельный сегмент это приличный "гимор", но сам SWIFT хочет, чтобы все банки реализовали это у себя к 1.01.2019-го. Т.е. впереди еще целый год, главное не затягивать.))

                                                          Кроме того, в оригинальном документе Swift-а на стр.10-11 видим -
                                                          Implementation Guidelines - SWIFT-formulated method for control implementation.
                                                          ........
                                                          If a user chooses to implement an alternative solution that significantly deviates from the SWIFT-formulated implementation, then the user should consider the following in the solution design:
                                                          a. Scope - does the solution cover the in-scope components of the control?
                                                          b. Risk Drivers - does the solution mitigate the documented risks? (see Appendix A for a risk matrix)
                                                          c. Effectiveness - is the solution effective in practice? (for example, policies which are documented but not enacted or enforced are unlikely to be effective)


                                                          Т.е. в принципе, имеется определенная возможность использования альтернативных решений, но надо быть готовым доказать это в соответствии с критериями SWIFT-а.
                                                          Последний раз редактировалось saches; 21.12.2017, 13:31.

                                                          Комментарий

                                                          Пользователи, просматривающие эту тему

                                                          Свернуть

                                                          Присутствует 1. Участников: 0, гостей: 1.

                                                          Обработка...
                                                          X