Кібербезпека банківських та комерційних структур
2. Програма забезпечення безпеки клієнтів в платіжній системі SWIFT
Програма забезпечення безпеки членів (ПБЧ) в платіжній системі SWIFT охоплює три основні області, це захист і забезпечення безпеки інформаційної інфраструктури, запобігання і виявлення зловмисних дій в платіжних операціях, а також захист від потенційних загроз інформаційній безпеці Не дивлячись на те, що члени спільноти SWIFT (користувачі) як і раніше несуть основну відповідальність за захист своєї інформаційної інфраструктури, мета SWIFT - підтримати своїх користувачів в боротьбі проти кіберзагроз.
Чому це важливо?
У зв´язку з низкою кібератак, що трапилися в 2016 році, фахівці SWIFT визначили 16 обов´язкових і 11 рекомендованих заходів щодо зниження ризиків інформаційної безпеки для своїх користувачів. В зв´язку з цим, всі користувачі повинні будуть провести атестацію своєї інформаційної інфраструктури (що забезпечує функціонування SWIFT), результати якої необхідно буде повідомити контрагентам і регулюючим органам.
Програма забезпечення безпеки клієнтів в платіжній системі SWIFT
Далі описаний комплекс обов´язкових і рекомендованих заходів щодо зниження ризиків інформаційної безпеки. Обов´язкові заходи засновані на існуючих рекомендаціях і встановлюють принципи забезпечення інформаційної безпеки. Рекомендовані заходи являють собою кращу практику, яку спільнота SWIFT радить впровадити кожному користувачеві в його інформаційній інфраструктурі (табл. 3).
Таблиця 3. Комплекс обов´язкових і рекомендованих заходів щодо зниження ризиків інформаційної безпеки
|
Принципи |
Засоби і процедури зі зниженню ризиків інформаційної безпеки |
|
Обмеження доступу до мережі Інтернет і захист інформаційних систем |
Обов’язкові Захист інфраструктури SWIFT. Необхідно створити захищений від несанкціонованого доступу, а також атак, сегмент мережі, в якому функціонує SWIFT. Контроль за привілейованими обліковими записами. Доступ привілегірованих облікових записів повинен контролюватися і відслідковуватися. Іх використання повинно бути дозволеним тільки для обмежених видів діяльності, наприклад для розгортання і налаштування інформаційних систем, технічного обслуговування користувачів, а також в умовах надзвичайних обставин. У всіх інших випадках дозволено використання облікових записів з мінімальним правами доступу. |
|
Зниження ймовірності виникнення загроз |
Обов’язкові Безпека внутрішніх інформаційних потоків. Повинні бути впроваджені механізми забезпечення конфіденційності, цілісності і авторизації даних для захисту потоків даних «додаток SWIFT -додаток» і «оператор-додаток». Оновлення. Все апаратне і програмне забезпечення всередині захищеної зони SWIFT і на персональних комп ´ютерах операторів повинно регулярно оновлюватися. Підвищення надійності системи . Повинні застосовуватися механізми відмовостійкості інформаційних систем. Рекомендовані Безпека інформаційних потоків бек-офісу . Повинні бути впроваджені механізми забезпечення конфіденційності, цілісності і авторизації даних для захисту потоків даних між додатками бек-офісу (або про міжним ПО) і компонентами підключення до інфраструктури SWIFT. Захист каналів передачі даних. Конфіденційні дані, що відносяться до SWIFT і ті, що покидають захищений периметр повинні шифруватися. Цілісність і конфіденційність інтерактивних сесій оператора. Повинні використовуватися механізми забезпечення конфіденціальності і цілісності інтерактивних сесій оператора, здійснюють з´єднання з захищеним сегментом SWIFT. Пошук уразливостей. Захищений сегмент SWIFT, системи, а також ПК операторів повинні скануватися на уразливості за допомогою сучасних інструментів пошуку вразливостей. Аутсорсинг. Діяльність, передана в аутсорсинг, повинна захищатися, як мінімум, по тим же стандартом безпеки, який застосовувався б в разі їх здійснення в ініціації організації. |
Огляд заходів щодо зниження ризиків інформаційної безпеки користувачів SWIFT (табл. 4).
Таблиця 4 . Засоби і процедури щодо зниження ризиків інформаційної безпеки
|
Принципи |
Засоби і процедури зі зниження ризиків інформаційної безпеки |
|
Попередження несанкціонованого доступу |
Обов’язкові Парольна політика. Парольні налагодження повинні враховувати такі параметри як довжина, складність, термін дії та історія паролів. Багатофакторна аутентифікація. Повинна використовуватися багатофакторна аутенти- фікація для доступу користувачів до додатків, пов’язаних з системою SWIFT. |
|
Управління ідентифікаційної інформацією |
Обов’язкові Контроль логічного доступу. Доступ до інформаційних систем надається відповідно до принципу «мінімальних привілеїв» і тільки в разі наявності службової необхідності. Рекомендовані Зберігання паролів. Паролі для привілейованих облікових записів повинні зберігатися на захищеному фізичному або логічному носії, а доступ до них повинен бути обмежений. |
|
Виявлення аномальних активностей в системах і даних про операції |
Обов’язкові Антивірусний захист. Програмне забезпечення для захисту від шкідливого ПЗ повинно бути встановлено, підтримуватися і регулярно оновлюватися на всіх інформаційних системах і персональних комп ´ютерах. Цілісність ПО. Повинна здійснюватися пе- ревірка цілісності програмного забезпечення на інтерфейсах передачі повідомлень і передачі даних, а також інших додатках, пов´язаних з системою SWIFT. Цілісність бази даних. Повинна здійснюватися перевірка цілісності баз даних в яких ведеться запис операцій SWIFT. Моніторинг подій. Повинні бути впроваджені засоби, здатні виявити і зареєструвати аномальну активність в системах і даних про операції, а також повинен здійснюватися аналіз таких активностей. Рекомендовані Виявлення вторгнень. Для виявлення вторгнень і незвичайної мережевої активності повинні використовуватися спеціалізовані засоби виявлення і запобігання вторгненням. |
|
Реагування на інциденти і підвищення обізнаності в області інформаційної безпеки |
Обов’язкові Порядок реагування на кіберзагрози. Повинні бути визначені і протестовані порядки реагування на кіберзагрози. Навчання питань забезпечення інформаційної безпеки. Для всіх співробітників повинні проводитися щорічні заходи по навчанню питань в області інформаційної безпеки. Програма навчальних заходів, повинна бути розроблена з врахуванням конкретних функцій співробітників в рамках їх взаємодії в системі SWIFT. Рекомендовані Тестування на проникнення. Тестування на проникнення в додатки, базові комп´ютери і мережі повинно проводиться в межах захищеної зони SWIFT на ПК операторів. Оцінка ризиків інформаційної безпеки. Оцінка ризиків інформаційної безпеки повинна проводиться на регулярній основі з метою підвищення готовності до реагування на інциденти і |
