InfoGuard AG (Hauptsitz)
Lindenstrasse 10
6340 Baar
Schweiz
InfoGuard AG
Stauffacherstrasse 141
3014 Bern
Schweiz
InfoGuard Deutschland GmbH
Landsberger Straße 302
80687 München
Deutschland
Der Finanzsektor bleibt auch weiterhin eines der attraktivsten Ziele für Cyber-Kriminelle, weshalb Compliance-Anforderungen (zum Glück!) laufend angepasst werden. Entsprechend bringt auch die Version 2023 des SWIFT Customer Security Control Frameworks (CSCF) wiederum einige Änderungen mit sich.
In der Übersicht: Zum einen gibt es eine neue obligatorische Kontrolle 1.5 (nur für den Architekturtypus A4 «Middleware/File Transfer Server as Connector»); zum anderen wurden die Unterschiede zwischen den verschiedenen Architekturtypen besser dokumentiert. Bei den übrigen Architekturen (ausser A4) gab es keine neuen Kontrollen, jedoch wurden einige inhaltlich leicht angepasst. Ein Auszug (übersetzt aus dem Englischen):
Des Weiteren gab es einige Änderungen im Rahmen des Independent Assessment Frameworks, auf die weiter unten näher eingegangen wird.
Folgende Änderungen des SWIFT CSCF v2023 sind zu berücksichtigen:
Architektur-Typ A4
Back-Office-Systeme (z.B. Core Banking System, ERP-System):
Nach der Einführung der Customer Connectors und des Architektur-Typs A4 (durch Aufteilung der Architektur A3) im SWIFT CSCF v2021 wird nun die Control 1.5 (Customer Environment Protection) zwingend, um die Architektur A4 mit A3 in Einklang zu bringen und alle Connectors gleichermassen zu schützen.
Die Architekturzeichnungen wurden überarbeitet und erweitert, um die Aufteilung zwischen den verschiedenen Architekturen A3, A4 und B zu verdeutlichen.
Architekturtyp A3Quelle: SWIFT Customer Security Controls Framework v2023, Customer Security Programme (Version 01.07.2022)
Architekturtyp A4Quelle: SWIFT Customer Security Controls Framework v2023, Customer Security Programme (Version 01.07.2022)
Quelle: SWIFT Customer Security Controls Framework v2023, Customer Security Programme (Version 01.07.2022)
Architekturtyp B
Quelle: SWIFT Customer Security Controls Framework v2023, Customer Security Programme (Version 01.07.2022)
Das Delta Assessment, wie man es im letzten Jahr kannte, wurde von der SWIFT komplett gestrichen. Alle Kontrollen müssen bei jedem Assessment (erneut) bewertet werden. Es besteht jedoch weiterhin die Möglichkeit, sich auf die Beurteilung der Kontrolle(n) aus dem unabhängigen Assessment des Vorjahres abzustützen (egal ob intern, extern, gemischt oder von SWIFT-Mandated). So oder so muss eine jährliche Bescheinigung durch eine unabhängige Beurteilung belegt werden, unabhängig davon, ob diese Bescheinigung teilweise oder vollständig auf einer früheren Prüfung beruht oder nicht.
Für die einfachere Dokumentation des gewählten Testansatzes hat SWIFT ein neues zwingendes Assessment Report Template entwickelt, welches durch den Assessor zusätzlich zu den bekannten Assessor Templates auszufüllen ist.
Bereiten Sie sich rechtzeitig vor mit unserem SWIFT Compliance Assessment, um etwaige Non-Compliance-Probleme bis Ende 2023 zu beheben. Wir bieten umfassende Cyber Security Services und Unterstützung bei der Beurteilung von SWIFT Customer Security Programmes. Mit unserem umfassenden SWIFT Assessment erhalten Sie eine Bewertung Ihres IST-Zustands und klare Empfehlungen zur Einhaltung der v2023 Compliance. Sichern Sie Ihre SWIFT-Transaktionen und bleiben Sie compliant in der sich stetig wandelnden Finanzwelt!