Anforderungen des SWIFT Customer Security Programme (CSP) in 2020

Alle SWIFT-Nutzer sind zur Teilnahme am SWIFT Customer Security Programme (CSP) verpflichtet. Wir hatten bereits in 2019 auf erhöhte CSP-Anforderungen durch SWIFT hingewiesen.

Ab dem Jahr 2020 ist jährlich gemäß dem “Independent Assessment Framework” ein “Community Standard Assessment” vorgeschrieben, welches ein Assessment mindestens der verpflichtenden Kontrollen des SWIFT „Customer Security Controls Framework“ (CSCF) durch einen unabhängigen Dritten vorgibt. Dieses kann entweder durch externe Dritte oder eine interne unabhängige Funktion (z. B. Interne Revision) mit ausreichender Qualifikation¹ durchgeführt werden. Eine Nichteinhaltung von Vorgaben des SWIFT CSCF sowie ein nicht durchgeführtes Assessment durch SWIFT-Nutzer wird von SWIFT den lokalen Aufsichtsbehörden gemeldet.

 

SWIFT CSP Timeline

 

Scope und Anzahl der Kontrollen

Das SWIFT CSCF enthält empfohlene („advisory“) und verpflichtende („mandatory“) Kontrollen.

Scope und Anzahl der Kontrollen

Die Anzahl der verpflichtend zu prüfenden Kontrollen nimmt tendenziell zu. Hierbei ist zu beobachten, dass die Kontrollen zunächst als empfohlen eingestuft und dann schrittweise als verpflichtend definiert werden. Aus Sicht der SWIFT-Nutzer ist es daher aus unserer Erfahrung ratsam, sich präventiv auch mit den empfohlenen Kontrollen zu beschäftigen.

 

Aktuelle Erfahrungen aus dem Markt

Für SWIFT-Nutzer ist es notwendig, sich zeitnah nach einem geeigneten Prüfer/Berater umzusehen, der die Anforderungen des SWIFT CSP kennt und die Kontrollen des zugehörigen SWIFT CSCF attestieren kann. Vor allem aber ist es für ein erfolgreiches Assessment wichtig, dass der Prüfer/Berater neben dem fachlichen Know-how die notwendige Erfahrung mitbringt, typischen Herausforderungen frühzeitig zu begegnen und mit marktgerechten Lösungen zu verbinden, um den Kunden effizient durch das Assessment führen zu können.

Unsere aktuelle Sicht auf den Markt zeigt, dass trotz bestehender Selbstzertifizierung meist keine ausreichende Vorbereitung der Nutzer auf unabhängige Assessments vorliegt. Während sich bei der Selbstzertifizierung oft auch auf das Wissen und die Einschätzung der verantwortlichen Mitarbeiter verlassen wird, legen externe Prüfer und (Interne) Revisoren oftmals strengere formale Anforderungen und Methoden auf Basis von Prüfungs- bzw. Assurance-Standards an. Dadurch ist z. B. mit Beanstandungen hinsichtlich fehlender Dokumentationen zum Nachweis der Compliance mit den SWIFT CSP Anforderungen zu rechnen.

Darüber hinaus sind die spezifischen SWIFT CSP Anforderungen oftmals nicht vollständig in den unternehmensweiten Regelungsdokumenten (Richtlinien, Prozesse, etc.) reflektiert – es kann empfehlenswert sein, eine spezifische Sicherheitsdokumentation für die lokale SWIFT Infrastruktur entlang der CSP Anforderungen zu erstellen. Dies vermeidet nicht nur unnötige Beanstandungen, sondern erhöht auch langfristig die Effizienz bei Assessments, da das aufwendige Einsammeln von Dokumenten und Nachweislieferungen ein Stück weit entfallen.

Weiterhin nehmen wir am Markt wahr, dass aktuell noch sehr unterschiedliche Interpretationen der Assessment-Methodiken und -Erwartungen zwischen verschiedenen Prüfern als auch zwischen SWIFT-Nutzern bestehen. Ein Standard-Vorgehen für die Durchführung der Assessments hat sich in der Praxis noch nicht vollständig etabliert – wir setzen aber schon jetzt ein etabliertes Verfahren auf Basis von ISAE-Standards ein, um den Anforderungen der Kunden schnell, nachvollziehbar und transparent zu begegnen. Aufgrund der Praxis-Erfahrungen und der Beobachtungen von SWIFT rechnen wir mittelfristig mit einer weiteren Harmonisierung sowie Anpassung bzw. Konkretisierung des Assessment Frameworks. Dies führt unserer Erfahrung nach üblicherweise zu einer insgesamt strengeren Auslegung und Durchführung der Assessments.

 

Unterstützung durch PwC

PwC setzt bei der Attestierung gemäß SWIFT CSP unter Berücksichtigung aller Anforderungen auf eine strukturierte Prüfung mittels Nutzung anerkanntem Prüfungsstandard und stellt somit die Compliance der SWIFT-Nutzer heute und zukünftig sicher.

Ein interdisziplinäres Team von IT-Sicherheits-/ Cyber-Security-Experten sowie erfahrenen Prüfern von PwC unterstützt SWIFT-Nutzer gerne bei der Umsetzung, Einhaltung oder Attestierung der CSP-Anforderungen. Die Bandbreite der Leistungen erstreckt sich dabei von erforderlichen strategischen Weichenstellungen bis hin zur Implementierung effizienter und kostengünstiger Kontrollmechanismen.

Unterstützung durch PwC

Karsten Wilop

Telefon: +49 211 / 981-1931

karsten.wilop@pwc.com

Achim Schäfer

Telefon: +49 69 / 9585-1022

achim.schaefer@pwc.com

Marc Billeb

Tel: +49 69 / 9585-2723


¹           1. Durchführung von Cyber Security Assessments nach einem Industriestandard wie PCI DSS, ISO 27001, NIST SP 800-53                 oder dem NIST Cybersecurity Framework innerhalb der letzten zwölf Monate.
             2. Mindestens eine branchenrelevante Zertifizierung der durchführenden Personen, bspw.: Certified Information Systems                     Security Professional (CISSP), Certified Information Systems Auditor (CISA), ISO 27001 Lead Auditor.

Hinterlassen Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

/* */