З листопада 2019 року Аудиторська компанія “Актив-Аудит” зареєстрований як постачальник послуг, зазначений у каталозі міжнародної міжбанківської системи передачі інформації та здійснення платежів (SWIFT) за Програмою безпеки клієнта (CSP). Будучи зареєстрованими як постачальник послуг, зазначений у каталозі SWIFT, надає можливість нашим клієнтам опублікувати атестацію безпеки KYC (KYC Security Attestation). З 01.07.2020г. проходження даної атестації є обов’язковою.
Згідно Стандартним оцінками спільноти SWIFT з середини 2020 року всі користувачі будуть зобов’язані виконувати «Стандартні оцінки спільноти». Все атестації необхідно буде оцінювати незалежно, що має бути досягнуто за допомогою:
- Зовнішньої оцінки незалежної зовнішньої організації; Список компаній, які можуть допомогти в проведенні незалежних оцінок по CSCF, див. Розділ: «Europe» за посиланням. https://www.swift.com/myswift/customer-security-programme-csp_/community-engagement/cyber-firms-directory
- Вимоги до персоналу, що проводить внутрішню оцінку
– самоаттестации, повинна виконуватися другою або третьою лінією функції захисту користувача (наприклад, управлінням ризиків або внутрішнім аудитом), і яка не залежить від функції захисту першої лінії, що представила атестацію (наприклад, як офіс CISO) або його функціональний еквівалент ( в залежності від обставин).
– повинні мати відповідний сучасним досвідом в області оцінки пов’язаних з кібербезпекою елементів контролю
- SWIFT залишає за собою право звертатися за незалежними зовнішніми гарантіями (CSP п.2.3). Якщо користувач SWIFT обраний для оцінки на вимогу SWIFT, повідомлення від SWIFT направляється до CISO. SWIFT вимагає від обраних для оцінки користувачів призначити незалежного стороннього (т. Е. Зовнішнього) оцінювача і використовувати стандартизовані шаблони SWIFT для проведення незалежної оцінки. Залучення незалежних внутрішніх сторін, в тому числі виконують функції внутрішнього аудиту, не допускається для проведення оцінки на вимогу SWIFT. Користувачі зобов’язані інформувати SWIFT про компанії, що надає послуги зовнішньої оцінки, використовуючи стандартизований шаблон повідомлень. SWIFT залишає за собою право підтвердити повноваження постачальника (компанії) з проведення оцінки, кваліфікацію персоналу (осіб), які здійснюють оцінку, і / або їх здатність оцінювати відповідність вимогам CSCF.
Методи оцінки, які ми використовуємо:
• Запити: проведення співбесід з відповідним персоналом.
• Спостереження: безпосереднє спостереження за існуванням конкретних заходів контролю.
• Огляд: отримання доказів, зібраних шляхом перевірки документів і записів.
• Тестування: практичне перевірка елементів захисту систем і вибірковий збір доказів.
Той факт, що ми внесені до каталогу SWIFT, підтверджує, що ми маємо міжнародні сертифікати аудиту та досвід у сфері оцінки послуг у напрямку аудиту систем управління інформаційної безпеки і кібербезпеки, а так само дає нам можливість отримання підтримки і обмін методологією з проведення незалежної оцінки за Програмою безпеки клієнта (CSP).
Нормативні документи:
• Програма безпеки клієнтів (CSP) v2019
• Програма безпеки клієнтів (CSP) v2020
• Політика контролю безпеки клієнта (CSCP) v2019
• Атестація безпеки KYC
• Шаблони і форми оцінки CSCF на основі Excel
Більше за посиланнями:
1. Каталог CSSP: https://www.swift.com/myswift/customer-security-programme-csp_/community-engagement/cyber-firms-directory/
2. Каталог постачальників оцінок CSP: https://www.swift.com/myswift/customer-security-programme-csp/find-external-support/directory-csp-assessment-providers
Дісклеймер: SWIFT не сертифікує, не гарантує, не схвалює та не рекомендує жодного постачальника послуг, указаного в її каталозі, і клієнти SWIFT не зобов’язані використовувати постачальників, перелічених у каталозі.