SWIFT-User sind gemäß dem Customer Security Controls Framework (CSCF) verpflichtet, jährlich durch ein unabhängiges Assessment die Einhaltung mindestens aller verpflichtenden Controls nachzuweisen. Bei einem solchen SWIFT Assessment wird die Sicherheit der SWIFT-Infrastruktur und der SWIFT-Systeme einer Organisation geprüft, um sicherzustellen, dass diese gegen potenzielle Sicherheitsbedrohungen und Schwachstellen geschützt sind.
November und Dezember sind meist typische Monate für das jährliche SWIFT Assessment. Sie befinden Sich daher wahrscheinlich gerade in den Vorbereitungen oder mitten in Ihrem aktuellen Assessment nach SWIFT CSCFv2023. Haben Sie schon einmal überlegt, Ihr aktuelles Assessment direkt für eine Gap-Analyse und damit für die Vorbereitung auf das nächste Assessment nach CSCFv2024 zu nutzen?
Tobias Weber, Managing Security Consultant und SWIFT Auditor der usd AG erklärt, welche Vorteile dieses Vorgehen birgt, und wirft gleichzeitig für Sie einen Blick auf die bevorstehenden Änderungen nach CSCFv2024:
Aktuelles SWIFT Assessment mit Gap-Analyse kombinieren
Die Phasen eines SWIFT-Assessment-Jahres laufen meist gleich ab: Immer von Juli eines Jahres bis Jahresende werden für alle betroffenen SWIFT-User die entsprechenden Assessments durchgeführt, sodass diese spätestens im Januar ihren Report erhalten und ihre Einhaltung der Sicherheitsanforderungen nachweisen können. Zeitgleich wird im Juli regelmäßig ein Update des CSCF für das Folgejahr veröffentlicht.
Damit räumt SWIFT den Usern nicht nur eine Übergangsphase von etwa einem Jahr für die neu eingeführten Frameworks ein, sondern ermöglicht eine parallele Gap-Analyse zeitgleich mit dem stattfindenden Assessment. Nutzen Sie diese Gelegenheit, die Übergangsphase bis zu Ihrem SWIFT-Assessment im 2. Halbjahr 2024 optimal auszunutzen. Betrachten Sie frühzeitig die Änderungen in neu veröffentlichen Controls und stellen Sie fest, welche Implementierungen bis zum nächsten Assessment notwendig sind, um diese zu erfüllen.
CSCFv2024 - Änderungen im Überblick
Um gut vorbereitet zu sein, sollten SWIFT-User sich frühzeitig mit den Änderungen beschäftigen. Wirft man einen Blick auf das CSCFv2024 lassen sich die folgenden 3 wichtigsten Erkenntnisse festhalten:
- Die grundlegende Struktur des Frameworks ist gleichgeblieben.
- Das Thema Cloud wurde, wie bereits angekündigt, stärker in den Vordergrund gerückt. Dadurch ist beispielsweise Control 2.8 („Outsourced Critical Activity Protection“) nun verpflichtend für alle Architekturtypen: Infrastrukturen sollen so besser vor Risiken geschützt werden, die durch Outsourcing von kritischen Aktivitäten auftreten können.
- Es gibt einige Änderungen an Control 2.4A („Back Office Data Flow Security”): Der Scope wurde erweitert und ein neuer Appendix H zeigt die verschiedenen komplexen Möglichkeiten auf. Beispielsweise muss nun jeder Datenaustausch entweder Ende-zu-Ende oder transitiv geschützt werden. Allerdings wird dieses Control in zwei Phasen verpflichtend: Zunächst liegt der Fokus auf neuen Verbindungen. Im nächsten Schritt wird ein Schutz der bereits bestehenden Verbindungen verpflichtend. Wir gehen davon aus, dass diese Ziele in den Releases der kommenden CSCF zu beobachten sein werden.
Benötigen Sie Unterstützung bei Ihrem SWIFT Assessment oder bei einer vorbereitenden Gap-Analyse?
