SWIFT CSCF ASSESSMENT

Safeguarding the
banking community
Översikt

SWIFT CSCF Assessment

Med det ökande hotet från sofistikerade aktörer måste finansiella organisationer fortsätta att vara vaksamma och proaktiva. SWIFT Customer Security Program har införts för att stödja finansiella organisationer i den pågående kampen mot cyberbedrägerier. Sentor kan hjälpa till med årliga SWIFT CSCF Assessments och tekniska säkerhetstester för att stärka er motståndskraft.

SWIFT är ett globalt medlemsägt kooperativ och världens ledande leverantör av säkra finansiella meddelandetjänster. Alla användare av SWIFT Interbank Messaging Network måste följa deras regelverk inom cybersäkerhet.

SWIFT Customer Security Programme (CSP)

SWIFT skapade Customer Security Program (CSP) för att främja cybersäkerhet bland SWIFT-användare och för att driva branschomfattande samarbete i kampen mot cyberhot. Användare är ansvariga för säkerheten i sin infrastruktur, och för att stödja detta har CSP utformats för att bekämpa endpoint-säkerhetshot och cyberbedrägerier. I hjärtat av CSP ligger CSCF (Customer Security Controls Framework), en gemensam uppsättning säkerhetskontroller som årligen revideras, vilket hjälper användarna att säkra sina lokala miljöer och i sin tur SWIFT-communityt i stort.

SWIFT Customer Security Controls Framework (CSCF)

CSCF består av både obligatoriska och rådgivande säkerhetskontroller, som bör implementeras av alla användare inom ramen för deras lokala SWIFT-infrastruktur.

Obligatoriska säkerhetskontroller skapar en allmän baslinje och måste implementeras av alla SWIFT-användare, inklusive de som använder ett servicekontor eller en leverantör av affärsapplikationer.

Rådgivande kontroller är baserade på bästa säkerhetspraxis och SWIFT rekommenderar att användare implementerar dessa kontroller där det är tillämpligt. Listan över obligatoriska och rådgivande kontroller granskas och anpassas regelbundet för att kunna hantera nya hot.

SWIFT CSCF Mandatory Annual Assessment

Sedan 2020 är alla användare skyldiga att utföra ”Community Standard Assessments”.
För att ytterligare förbättra intygens integritet, följdriktighet och precision kräver SWIFT, enligt CSCF v2020, att alla intyg inlämnade under 2020 måste granskas oberoende. Detta uppnås genom antingen:

Extern granskning, av en oberoende extern organisation som har befintlig erfarenhet av bedömning av cybersäkerhet, utförd av individer som har relevanta certifieringar för IT-säkerhetsindustrin, eller:

Intern granskning, utförd av organisationens andra- eller tredje försvarsfunktionslinje, t.ex. compliance, riskhantering eller internrevision, vilken skall vara organisatoriskt oberoende från den första försvarslinjefunktionen som lämnade intyget, t.ex. CISO-kontoret. Precis som vid extern granskning bör de som genomför granskningen ha aktuell och relevant erfarenhet av bedömning av cyberrelaterade säkerhetskontroller.

Lösningen

Sentor erbjuder årliga SWIFT CSCF-granskningar, inklusive alla relaterade penetrationstest- och sårbarhetsanalyser, beroende på vilken SWIFT CSCF-arkitektur granskningen omfattar. En SWIFT CSCF-granskning kan levereras enligt vår etablerade fasmodell som anpassas och skräddarsys för att möta behoven i just er organisation.

Vid en typisk SWIFT CSCF-granskning utför vi följande moment:

  • Förberedelser: projektplanen förbereds för den första utvärderingen.
  • Kick-off-möte: möte med kundens primära kontakt för definition av SWIFT CSCF-scopet baserat på den implementerade SWIFT-arkitekturen (A1, A2, A3 eller B). Tillämpliga kontroller och uppgifter granskas och planeras.
  • Dokumentgranskning: dokumentation granskas och efterlevnaden av tillämpliga SWIFT CSCF-kontroller bedöms.
    Intervju gällande kundens processer för arbete on-site och remote: möte med kundens primära kontakt för utvärdering av tillämpliga processer och procedurer för efterlevnad av SWIFT CSCF
  • Teknisk säkerhetstestning: tillämpliga penetrationstester och sårbarhetsgranskningar genomförs baserat på tillämpliga CSCF-kontroller
  • Dokumentation av SWIFT CSCF-rapport: granskaren förbereder det dokumenterade intyget för kunds CSCF-efterlevnad och hjälper kunden med SWIFT Portal KYC Registry Security Attestation (KYC-SA), en rapportering som krävs av SWIFT.
  • Rapportleveransmöte: granskaren presenterar resultatet av granskningen för kund.
Främsta fördelarna med Sentors tjänst

  • Sentor har hjälpt kunder med SWIFT CSCF sedan 2017.
  • Sentor besitter nödvändig IT- och informationssäkerhetskompetens för att utföra SWIFT CSCF-granskningar och uppfyller SWIFTs krav för att genomföra dessa.
  • Sentor har också fullgod kompetens inom penetrationstestning och sårbarhetsanalyser för att kunna genomföra alla nödvändiga tekniska säkerhetstester.

Vad ska beaktas vid val av granskare

När SWIFT-användaren väljer utförare av intern- eller extern granskning måste följande säkerställas:

A. Utföraren måste nyligen (inom tolv månader) besitta relevant erfarenhet för att utföra en cybersäkerhetsinriktad operativ granskning mot en branschstandard som PCI DSS, ISO 27001, NIST SP 800-53, NIST Cybersecurity Framework eller helt enkelt CSP / CSCF.

B. Samtliga individer som får uppgiften att utföra granskningen ska ha minst en branschrelevant professionell certifiering, t.ex.

  • PCI Qualified Security Assessor (QSA)
  • Certified Information Systems Security Professional (CISSP)
  • Certified Information Systems Auditor (CISA)
  • Certified Information Security Manager (CISM)
  • ISO 27001 Lead Auditor
  • System Administration, Networking, OSCP/CEH, and Security Institute (SANS)

Även om SWIFT inte specifikt ackrediterar externa leverantörer av granskningar, upprättas en lista över företag som kan hjälpa till att utföra oberoende CSCF-granskningar på swift.com i katalogen för granskningsleverantörer. Det är dock upp till användaren att välja en utförare som lämpar sig för organisationens behov och syften. När man väljer leverantör rekommenderas det starkt att användaren tar hjälp av bilaga A för stärka sina kunskaper inom området.

PCI Security Standards Council har separat en lista över QSA: er som kan hittas här. Dessa listor tillhandahålls endast som referens.

För granskningar av Community Standard och SWIFT Mandated Assessments bör användaren ange namnet och eventuellt kontaktuppgifterna för deras assessors direkt i KYC-SA-ansökan vid tidpunkten för att de lämnar in sitt KYC-SA-intyg.

Vill du veta mer? Skriv ned din e-postadress så återkommer vi till dig!

Prenumerera på nyhetsbrevet

Vill du hålla dig uppdaterad inom IT- och informationssäkerhet? Anmäl dig till vårt nyhetsbrev här!
Anmäl dig!

Whitepapers

Sentor har tagit fram flera whitepapers som berör informationssäkerhet och compliance.

NIS-direktivet
GDPR och outsourcing
ISO 27001
Mer läsning!

Case studies

Vi har två kundcase där kunderna beskriver om sina utmaningar och hur Sentor har varit hjälp.

GDPR - Insplanet
ISO 27001 - TeamEngine
Mer läsning!

Debattinlägg i Sydsvenskan

Svenska organisationer måste ta ansvar för sin säkerhet. Det krävs inte minst nu när NIS-direktivet börjar gälla i EU, skriver Krister Hedfors.
Läs mer! (extern länk)

Vill du kontakta oss?