Основой целью документа Customer Security Programme (CSP) являлось повышение и укрепление безопасности инфраструктуры участников платежной системы SWIFT. Затем в 2017 году, компания SWIFT опубликовала стандарт «The SWIFT Customer Security Controls Framework» (CSCF v2017), содержащий набор обязательных и рекомендуемых требований к информационной безопасности для организаций — клиентов SWIFT. На данный момент актуальным документом является The SWIFT CSCF 2022 года, содержащий обновленный перечень требований. В соответствии с Концепцией независимой оценки (Independent_Assessment_Framework) устанавливается, в том числе и подход к оценке. В актуальной версии SWIFT установил, что выбрал подход «оценки», а не аудита.
Почему SWIFT выбрал подход «оценки», а не «аудита»
Конечные цели аудита и оценки очень похожи — это обеспечение разумного комфорта в отношении соответствия заявленным целям элементов контроля.
Что же такое «Разумный комфорт»?
SWIFT определяет «Разумный комфорт» как: «Уровень удовлетворения или комфорта, который руководство может получить от внутренних или внешних профильных экспертов, когда:
- Обеспечивается надлежащий уровень независимости и объективности;
- Внутренние или внешние профильные эксперты осуществляют добросовестную и объективную оценку разработки и реализации элементов контроля, подтверждающей снижение рисков в соответствии с установленными целями элементов контроля;
- Отмеченные отклонения существенно не влияют на способность элементов контроля снижать риск, или альтернативные элементы контроля компенсируют отмеченные отклонения.
Аудит — это очень формальный подход, основанный на международных стандартах и сертификатах. Поэтому, скорее всего, его будут предлагать только те компании, которые обладают соответствующими навыками оценки киберугроз и проведения таких аудитов, а также, это может увеличить затраты для сообщества. Поэтому SWIFT не учитывает, обеспечивается ли комфорт посредством оценки или аудита, при условии, что фирма/внутреннее подразделение (а также отдельные оценщики) обладают необходимыми навыками и сертификацией.
Выбирая подход к оценке, SWIFT намеревается предоставить пользователям возможность выбирать из самого широкого круга поставщиков, включая тех, кто необязательно отвечает требованиям в привычном понимании аудит-ориентированной организации, но которые являются независимыми и обладают необходимой квалификацией. Соответственно, оценщики могут придерживаться отраслевых стандартов в отношении строгого соблюдения методологий и демонстрировать дисциплинированность при подготовке и предоставлении документации и отчетности.
Для подавляющего большинства элементов контроля CSCF под оценкой подразумевается оценивание в «момент времени» реализации пользователем последней применимой версии CSCF. Поэтому оценщик не должен пытаться получить доказательства того, что окружающая среда всегда соответствовала требованиям с момента последней аттестации.
В чем суть риск-ориентированного подхода?
Оценщики должны использовать риск-ориентированный подход для оценки соответствия пользователя определению элементов контроля CSP; то есть оценивать цель обеспечения безопасности, независимо от используемого метода реализации (будь то предлагаемые рекомендации по внедрению или альтернативные реализации). Чтобы соответствовать элементу контролю CSP, Пользователи должны внедрить решение, которое:
- Соответствует заявленной цели элемента контроля;
- Охватывает документированные компоненты, входящие в область применения, относящиеся к архитектуре пользователя;
- Учитывать факторы риска.
Суть элемента контроля — это предлагаемый способ достижения цели элемента контроля, а рекомендации по внедрению являются общими методами достижения этой цели. Даже если рекомендации могут быть хорошим способом начать оценку, раздел «Руководство по применению» никогда не следует рассматривать как «чек-лист аудита», поскольку реализация у каждого пользователя может отличаться. Поэтому, если некоторые элементы контроля отсутствуют или частично охвачены, необходимо учитывать смягчение последствий, а также особенности конкретной среды для надлежащей оценки общего уровня соответствия и соблюдения элементов контроля (опять же, реализованными в соответствии с предлагаемыми рекомендациями или альтернативными методами). Использование предлагаемых рекомендаций или альтернативных методов считается эквивалентным с точки зрения риска.
Риск-ориентированный подход для участника, упрощает или усложняет соответствие?
Подведя итог, возникает вопрос, как это отразится на участниках системы SWIFT. Потребует ли это дополнительных финансовых затрат и выделения ресурсов? Ответ очевиден! Поскольку основной целью риск-ориентированного подхода является достижение цели элемента контроля, то устранение риска и его предотвращение не потребует значимых дополнительных финансовых вложений и выделения ресурсов.
