Помощь в проведении самоаттестации
Помощь в проведении самоаттестации
Необходимо проверить:
- соответствие текущего состояния настроек компонент комплекса SWIFT требованиям обязательных и рекомендованных пунктов CSCF (Customer Security Controls Framework),
- наличие регламентов действий сотрудников,
- уровень разграничения прав доступа и других элементов (полный перечень содержит порядка 150 пунктов).
Методы выполнения:
- опрос сотрудников,
- проведение анализа конфигураций и настроек интерфейсов Alliance: Access, Entry, SNL, Gateway, Web Platform,
- изучение регламентов и эксплуатационной документации.
| Результатом этой работы будет являться итоговый документ, на основании которого можно заполнить соответствующие разделы KYC Registry для подтверждения прохождения самоаттестации, произвести оценку рисков и составить при необходимости план мероприятий по устранению несоответствий. В общем виде в итоговом отчете текущее состояние представляется в виде диаграммы. |
 |
Элементы контроля группируются по их статусу, текущее состояние каждого из них детально описывается в таблицах, определяются возможные шаги по реализации в случае полного или частичного несоответствия, например:
| ID | Рекомендация | Продукт | Дата |
| SBS.01 | Резервные копии данных и программного обеспечения выполняются регулярно. Политика и процедуры резервного копирования задокументированы. Процесс восстановления данных из резервных копий задокументирован и периодически тестируется. | Alliance: Access, SNL, Gateway, Web Platform | 2021-… |
| Реализовано частично | Существую настройки (scripts), осуществляющие копирование данных на уровне файловых систем на внешние дисковые массивы. Запуск осуществляется автоматически, по расписанию. Отсутствует: описание регламентов резервного копирования, хранения резервных копий и процедур восстановления. Тестирование восстановление не проводилось или проводилось давно. |
Для подтверждения итогов самоаттестации необходимо провести «независимую проверку» (independent assessment) с привлечением третьей (не вовлечённой) стороны. Это может быть любое лицо (в том числе и сотрудник банка) или внешняя организация, которые обладают необходимым опытом и набором компетенций в области контроля информационной безопасности.
В следующем, 2022 году, ожидается обновление требований, так что процедуры аттестации и проверки становятся постоянными, рутинными операциями и влекут за собой назначение ответственного сотрудника со стороны банка с увеличением должностных обязанностей и полномочий, а также пересмотра (расширения) условий и объема услуг подрядных компаний в случае полного или частичного аутсорсинга.