SWIFT客户安全控制框架
SWIFT客户安全控制框架是一套针对SWIFT客户的强制性和咨询性安全控制。
强制性安全控制为整个社区建立了安全基线,必须由所有用户在其本地SWIFT基础设施上实施。SWIFT选择优先实施这些强制性控制,以设定一个现实的目标,实现近期的切实安全收益和风险降低。咨询控制是基于SWIFT推荐用户实施的良好实践。随着时间的推移,强制性控制可能会随着威胁格局的演变而演变,一些咨询性控制可能会成为强制性的。
控制围绕着三个总体目标展开:“保护您的环境”、“了解并限制访问”以及“检测和响应”。根据SWIFT对网络威胁情报的分析,并结合行业专家和用户反馈,开发和改进了控制措施。控制定义还打算与现有的信息安全行业标准(如NIST)保持一致。雷竞技手机版app
所有用户都需要在每年7月初到12月底之间通过重新认证来确认是否完全遵守了所有强制性的安全控制。
由七月起,KYC- sa的保安认证申请每年均会更新已生效的CSCF版本;然后客户可以开始根据这个基线来验证他们的遵从程度。
此外,每年7月,SWIFT发布客户的下一个版本中的安全控制框架(CSCF)。本文件包含对控制的改变(诸如咨询控制被提升为强制性控制;此外咨询控制;以及进一步澄清)。新CSCF应征询你的帮助计划和预算明年。
2020年:
- 用户必须在7月初到12月底期间对CSCF v2019进行再验证,确认他们至少符合所有19项强制控制。我们建议您使用最新发布的CSCF版本因为它包含控制澄清。在提交您的认证之前,您必须始终进行架构和控制的重新评估,并且您需要反映对基础设施所做的任何更改。
- 鼓励有能力实施CSCF v2020的用户,或有能力通过独立评估来支持其认证的用户这样做。
- 用户仍然可以提交他们的认证和自我评估。从2021年中期开始,针对CSCF v2021的认证将需要独立的内部或外部评估来支持。
欲了解更多信息,请访问文档中心。
的SWIFT客户安全控制框架的详细描述可在swift.com。客户必须登录到mySWIFT与他们的swift.c雷竞技电竞om凭据来访问文件。(swift.com>订购与支持>知识中心> A-Z>客户安全计划)。
SWIFT的KYC安全认证应用程序(KYC- sa)是申请提交证明资料。KYC-SA应用程序还允许与对手方透明地交换安全状态信息,以支持网络风险管理和业务尽职调查。
的安全认证支持页面在my雷竞技电竞SWIFT上提供了如何开始的指导,了解安全控制,评估对您的机构的影响,并使用KYC-SA应用程序。该页面提供了对相关信息、操作视频、培训、文档和常见问题的方便访问。我们建议检查您的swift.com密码是否仍然有效,以继续使用KYC-SA。
此外,SWIFT还发布了一些特定产品安全指南(SG)的文件。这些文件提供了SWIFT的与安全相关的建议和现有安全SWIFT通讯接口套件如何提供额外的指导,最起码应该配置。
我们鼓励客户探索的新套件SWIFTSmart培训模块,包括SWIFT客户安全控制框架的概述和强制性安全控制的介绍。
| 强制性安全控制 | 控制目标 |
|---|---|
1.限制互联网访问和保护关键系统从一般的IT环境 |
|
| 1.1 SWIFT环境保护 | 确保保护用户本地的SWIFT基础设施不受一般IT环境和外部环境的潜在危害。 |
1.2操作系统特权账户控制 |
限制和控制管理员级操作系统帐户的分配和使用。 |
| 2.减少攻击面和漏洞 | |
| 2.1内部数据流安全性 | 确保机密性,完整性和数据的真实性当地SWIFT相关的应用及其对运营商PC链接之间流动。 |
| 2.2安全更新 | 通过确保供应商的支持、强制软件更新以及根据评估的风险及时进行安全更新,尽量减少本地SWIFT基础设施中已知技术漏洞的发生。 |
| 2.3系统硬化 | 通过加强系统,减少与快速相关组件的网络攻击表面。 |
| 2.6操作员会话保密性和完整性 | 保护连接到本地SWIFT基础设施的交互式运营商会话的机密性和完整性。 |
| 2.7漏洞扫描 | 通过实施定期的漏洞扫描过程,识别本地SWIFT环境中的已知漏洞,并根据结果采取行动。 |
| 3.切实保护环境 | |
| 3.1物理安全 | 防止未经授权的人进入敏感设备、工作环境、托管地点和储存处。 |
| 4.防止破坏凭证 | |
| 4.1密码策略 | 通过实现和实施有效的密码策略,确保密码能够充分抵抗常见的密码攻击。 |
| 4.2多因素认证 | 防止单一的认证因素的妥协允许访问到SWIFT系统,通过实现多因素认证。 |
| 5.管理身份和隔离特权 | |
| 5.1逻辑访问控制 | 强制的需求方知接入,最小特权和职责分离为运营商账户的安全性原则。 |
| 5.2令牌管理 | 确保正确管理、跟踪和使用连接的硬件认证令牌(如果使用了令牌)。 |
| 5.4物理和逻辑密码存储 | 保护物理上和逻辑上记录的密码。 |
| 6.检测系统或事务记录的异常活动 | |
| 6.1恶意软件防护 | 确保本地SWIFT基础设施受到恶意软件的保护。 |
| 6.2软件的完整性 | 确保与swift相关的应用程序的软件完整性。 |
6.3数据库的完整性 |
确保SWIFT消息接口数据库记录的完整性。 |
| 6.4测井与监测 | 记录安全事件并检测本地SWIFT环境中的异常动作和操作。 |
| 7.计划事件响应和信息共享 | |
| 7.1网络事件响应计划 | 确保网络事件的管理一致和有效的方法。 |
| 7.2安全培训和安全意识 | 确保所有的工作人员都知道并定期进行安全培训和宣传活动履行安全责任。 |
| 咨询安全控制 | 控制目标 |
|---|---|
| 1.限制互联网访问和保护关键系统从一般的IT环境 | |
| 1.3A虚拟化平台保护 | 安全的虚拟化平台和虚拟机(VM)托管SWIFT相关组件到与物理系统相同的水平。 |
| 2.减少攻击面和漏洞 | |
| 2.4A后台数据流安全 | 确保机密性,完整性和相互数据的真实性回办公室(或中间件)的应用程序和连接SWIFT基础设施组件之间流动。 |
2.5A外部传输数据保护 |
保护传输和驻留在安全区域之外的swift相关数据的机密性。 |
操作员会话的机密性和完整性 |
保护连接到本地SWIFT基础设施的交互式运营商会话的机密性和完整性。 |
| 2.7漏洞扫描 | 通过实施定期的漏洞扫描过程,识别本地SWIFT环境中的已知漏洞。 |
| 一个关键活动的外包 | 确保从关键活动的外包暴露风险的地方SWIFT基础设施的保护。 |
| 交易业务控制 | 在正常业务的预期范围内,将交易活动限制在经过验证和批准的交易对手方。 |
| 2.10应用硬化 | 通过对经过swift认证的消息传递和通信接口以及相关应用程序执行应用程序加固,减少与swift相关组件的攻击面。 |
5.管理身份和隔离特权 |
|
| 5.3A人员审核程序 | 通过人员审查,确保在本地快速反应环境下运作的员工的可信性。 |
| 5.4A物理和逻辑密码存储 | 保护物理上和逻辑上记录的密码。 |
| 6.检测系统或事务记录的异常活动 | |
| 6.5入侵检测 | 检测和防止进入和在本地SWIFT环境中的异常网络活动。 |
| 7.计划事件响应和信息共享 | |
| 7.3渗透测试 | 通过执行渗透测试验证操作安全性配置并识别安全性缺口。 |
| 7.4情景风险评估 | 评估机构的基础上合理的网络攻击方案的风险和准备。 |
更换管理层:改进控制框架的变更管理过程旨在确保SWIFT社区有足够的时间(最多18个月)来理解和实施未来对控制需求的任何变更。任何对控制的变更将在年中公布,根据认证的到期日期,认证和对任何新版本强制控制的遵守要求在次年的7月至12月之间。在特殊情况下,可能需要紧急释放,但我们预计这种情况很少发生。
新的控制或指导方针的推出将采取强有力的网络安全实践帐户,以务实的地址目前已知的和新产生的威胁提高安全栏。咨询与输入采集来自利益相关者一年四季均可发生,以从不同来源获取的变更请求。所有新的强制性控制将首先引入咨询,从而给所有的用户至少两个周期来计划,预算和实施。
