Помощь в проведении самоаттестации

Необходимо проверить:

  • соответствие текущего состояния настроек компонент комплекса SWIFT требованиям обязательных и рекомендованных пунктов CSCF (Customer Security Controls Framework),
  • наличие регламентов действий сотрудников,
  • уровень разграничения прав доступа и других элементов (полный перечень содержит порядка 150 пунктов).

Методы выполнения:

  • опрос сотрудников,
  • проведение анализа конфигураций и настроек  интерфейсов Alliance: Access, Entry, SNL, Gateway, Web Platform,
  • изучение регламентов и эксплуатационной документации.
Результатом этой работы будет являться итоговый документ, на основании которого можно заполнить соответствующие разделы KYC Registry для подтверждения прохождения самоаттестации, произвести оценку рисков и составить при необходимости план мероприятий по устранению несоответствий.
В общем виде в итоговом отчете текущее состояние представляется в виде диаграммы.

Элементы контроля группируются по их статусу, текущее состояние каждого из них детально описывается в таблицах, определяются возможные шаги по реализации в случае полного или частичного несоответствия, например:

ID Рекомендация Продукт Дата
SBS.01 Резервные копии данных и программного обеспечения выполняются регулярно. Политика и процедуры резервного копирования задокументированы. Процесс восстановления данных из резервных копий задокументирован и периодически тестируется. Alliance: Access, SNL, Gateway, Web Platform 2021-…
Реализовано частично Существую настройки (scripts), осуществляющие копирование данных на уровне файловых систем на внешние дисковые массивы. Запуск осуществляется автоматически, по расписанию. Отсутствует: описание регламентов резервного копирования, хранения резервных копий и процедур восстановления. Тестирование восстановление не проводилось или проводилось давно.    

 

Для подтверждения итогов самоаттестации необходимо провести «независимую проверку» (independent assessment) с привлечением третьей (не вовлечённой) стороны. Это может быть любое лицо (в том числе и сотрудник банка) или внешняя организация, которые обладают необходимым опытом и набором компетенций в области контроля информационной безопасности.


В следующем, 2022 году, ожидается обновление требований, так что процедуры аттестации и проверки становятся постоянными, рутинными операциями и влекут за собой назначение ответственного сотрудника со стороны банка с увеличением должностных обязанностей и полномочий, а также пересмотра (расширения) условий и объема услуг подрядных компаний в случае полного или частичного аутсорсинга.