SWIFT CSCF Assessment

تقييم أمن العملاء وفق إطار سويفت

جمعية الاتصالات المالية العالمية بين البنوك، وتعرف اختصاراً باسم سويفت، هي الجهة الرائدة على مستوى العالم في تقديم خدمات الرسائل المالية الآمنة ويقع مقرها الرئيسي في بلجيكا.

إن الحوكمة والإشراف الدولي لدى سويفت يعزز الصبغة المحايدة والعالمية لهيكلها التعاوني. تكفل شبكة المكاتب العالمية لسويفت تواجدها الفعال في كافة المراكز المالية الكبرى.

ما هو برنامج أمن العملاء الصادر عن شبكة سويفت؟

تم إنشاء برنامج أمن العملاء (CSP) الصادر عن شبكة سويفت بهدف تعزيز الأمن السيبراني لدى مستخدمي شبكة سويفت وقيادة جهود التعاون في هذا القطاع في سياق مكافحة التهديدات السيبراني الناشئة.

يُعزز هذا البرنامج من قدرة المؤسسات المالية حتى تضمن وجود مصدات دفاعية فاعلة تحميها من الهجمات السيبرانية بما يحقق حماية تكامل الشبكة المالية الأوسع نطاقًا.

يعد إطار ضوابط أمن المعلومات (CSCF) جزءًا من برنامج أمن المعلومات الصادر عن شبكة سويفت، والذي يتكون من ضوابط إلزامية واستشارية للمستخدمين، ويساعد في تأمين الشبكة المحلية التابعين لها ومنظومة سويفت بوجه عام.

من هم مستخدمو شبكة سويفت؟

إن مستخدمي شبكة سويفت مجموعة متنوعة المؤسسات والجهات المالية العاملة في القطاع المالي، منها:

  • المؤسسات المالية الخاضعة للرقابة: البنوك وشركات الاستثمار وشركات التأمين والكيانات المالية الأخرى الخاضعة للرقابة.
  • الكيانات غير الخاضعة للرقابة: وهي مؤسسات نشطة في القطاع المالي، ولكن لا تخضع بالضرورة للإشراف الرقابي ذاته.
  • مجموعات مستخدمين مغلقة وكيانات الأعمال وتشمل ما يلي:
    1. الشركات
    2. الجهات الرقابية على أسواق المال
    3. الكيانات المشاركة في أنظمة الدفع
    4. جهات توفير بيانات أسواق الأوراق المالية
    5. الكيانات المشاركة في أنظمة البنية التحتية لأسواق الأوراق المالية
    6. الكيانات المشاركة في الخدمات ضمن مجموعة مستخدمين مغلقة تدار من قبل أحد الأعضاء
    7. الأطراف المقابلة لإدارة الخزينة

هل يتوجب على مستخدمي شبكة سويفت إجراء تقييم بشأن الالتزام بإطار ضوابط أمن العملاء الصادر عن شبكة سويفت؟

نعم، تستوجب شبكة سويفت، كحد أدنى، أن تخضع كافة الضوابط الإلزامية الواردة في إطار ضوابط أمن العملاء الصادر عن شبكة سويفت لتقييم مستقل. يجب إجراء التقييم خلال فترة التصديق الاعتيادية من بداية يوليو إلى الموعد النهائي في 31 ديسمبر من كل عام.

ما هو الإطار الإلزامي في الكويت الذي ينظم تقييم الالتزام بإطار ضوابط أمن العملاء الصادر عن شبكة سويفت؟

طبقاً للإطار الاستراتيجي للأمن السيبراني للقطاع المصرفي في دولة الكويت، نظام الرقابة رقم 4-5-2، البند (د)، يستوجب بنك الكويت المركزي على الجهات الخاضعة لرقابته الالتزام بأحدث إصدار لأفضل الممارسات والمعايير مثل إطار ضوابط أمن العملاء (CSCF) الصادر عن شبكة سويفت. هذا من شانه ضمان التزام المؤسسات المالية المحلية بالمعايير الدولية للأمن السيبراني الصادرة عن شبكة سويفت.

ما هو أحدث إصدار من إطار ضوابط أمن العملاء الصادر عن شبكة سويفت وما هي التغييرات التي استحدثت؟

أحدث إصدار من إطار ضوابط أمن العملاء الصادر عن شبكة سويفت هو SWIFT CSCF v2024 والذي طُرح في عام 2023. ويأتي هذا الإصدار بتحديثات عديدة هدفت إلى تحسين أمن مستخدمي شبكة سويفت، وهي كما يلي:

  • الضابط الإلزامي الجديد رقم 2.8: حماية النشاط الحرج الموكل لمصدر خارجي. هذا الضابط يؤكد أهمية إدارة المخاطر المرتبطة بالأطراف الخارجية ومزودي الخدمات. ويُلزم هذا الضابط المؤسسات بتطبيق تدابير حماية الأنشطة الحرجة المسندة إلى أطراف خارجية، ما يعكس التركيز المتزايد على إدارة مخاطر الأطراف الخارجية.
  • التركيز على أمن تدفق بيانات العمليات المساندة (الضابط رقم 2.4A): رغم أنه ليس ضابطًا إلزامًيًا حتى الآن، فقد ركزت شبكة سويفت على أهمية تأمين عمليات تبادل البيانات مع تطبيقات العمليات المساندة. وتوصَى المؤسسات بالاستعداد لتطبيق هذا الضابط والذي يركز على إدارة المخاطر المتعلقة بسرية البيانات الحساسة وتكاملها.
  • إيضاحات وتحسينات للضوابط القائمة: خضع العديد من الضوابط للتحديث من أجل تعزيز وضوحها واستخدامها. على سبيل المثال، الضابط رقم 2.3 (تعزيز الأنظمة) والذي يضم الآن سياسات لحماية منفذ USB وتحسينات لإدراج التطبيقات في القائمة البيضاء. كما خضع الضابط 2.9 (الضوابط التجارية للمعاملات) للتعديل ليسمح بإجراء الضوابط التجارية خارج المنطقة الآمنة.
  • التكامل مع نظام المقاصة بين البنوك السويسرية: يمكن الآن دمج عملية التقييم مع مراجعة شبكة المقاصة بين البنوك السويسرية، بما يُمكن المؤسسات من الاستفادة من جهود التضافر وضمان التزام كلتا الشبكتين بأعلى المعايير الأمنية.

ما هي مبادئ إطار ضوابط أمن العملاء الصادر عن شبكة سويفت؟

يشتمل إطار ضوابط أمن العملاء الصادر عن شبكة سويفت (CSCF) على 8 مبادئ مصممة لتوجيه المؤسسات لتعزيز دفاعات أمنها السيبراني، وهذه المبادئ هي:

  1. تقييد الاتصال بالإنترنت
  2. فصل الأنظمة بالغة الأهمية عن البيئة العامة لتكنولوجيا المعلومات
  3. تخفيض مستوى التعرض للهجمات ونقاط الضعف
  4. تأمين بيئة العمل المادية
  5. منع تعريض بيانات الدخول للمخاطر
  6. إدارة هوية المستخدمين وفصل الصلاحيات
  7. كشف النشاط غير المألوف في الأنظمة أو سجلات المعاملات
  8. التخطيط للتعامل مع الحوادث ومشاركة المعلومات

ما هو الموعد النهائي للالتزام بمتطلبات برنامج أمن العملاء الصادر عن شبكة سويفت؟

الموعد النهائي هو 31 ديسمبر من كل عام، إذ يتعين على عملاء شبكة سويفت تقديم التصديق السنوي الذي يؤكد امتثالهم لمتطلبات الالتزام الموضحة في برنامج أمن العملاء الصادر عن شبكة سويفت.

ما هو نطاق وتوقيت تقييم الالتزام بإطار ضوابط أمن العملاء الصادر عن شبكة سويفت؟

يجب أن يغطي نطاق التقييم على الأقل كافة الضوابط الإلزامية السارية على السنة موضوع التقييم ونوع بنية النظام. إن توقيت تقديم التصديق ذو الصلة يبدأ من أول شهر يوليو حتى الموعد النهائي المقرر في 31 ديسمبر.

ما هي القيمة المضافة لكيان الأعمال من خدمات تقييم الالتزام بإطار ضوابط أمن العملاء الصادر عن شبكة سويفت؟

إن تحقيق الامتثال لإطار ضوابط أمن العملاء الصادر عن شبكة سويفت يعود بفوائد عديدة على كيانات الأعمال منها:

  • الالتزام الرقابي: ضمان الالتزام بمعايير الأمن السيبراني الصادرة عن سويفت والتشريعات المحلية ذات الصلة.
  • تعزيز ثقة أصحاب المصلحة: تحسين مستوى الثقة في موثوقية وأمن البنية التحتية التكنولوجية للمؤسسة المالية.
  • إدارة المخاطر: المبادرة الاستباقية لتحديد مخاطر الأمن السيبراني التي تهدد النظم المتصلة بسويفت وإدارتها بما يضمن استمرارية الأعمال.

لماذا بيكر تلي؟

إن بيكر تلي الكويت يتميز بخبرات مهنية متخصصة في الأمني السيبراني والالتزام بإطار سويفت، ويقدم العديد من المزايا إلى عملائه، وتشمل ما يلي:

  • خبرة عالمية ذات تواجد محلي: بيكر تلي شركة استشارات عالمية ذات تواجد محلي في دولة الكويت، تضم شبكة تربو عن 250 خبيرًا في الأمن السيبراني حول العالم.
  • أدوات متقدمة: يستخدم بيكر تلي الكويت مختبرات عالمية مجهزة بأحدث الأدوات المتخصصة في تقييم مواطن الضعف واكتشاف مخاطر الهجمات السيبرانية.
  • معرفة دائمة بآخر تحديثات الأمن السيبراني: لدى المكتب قواعد بيانات محدثة عن الأساليب والأدوات الجديدة المستخدمة في الحد من التهديدات.
  • فريق ثنائي اللغة: لدينا فريق عمل يجيد اللغتين العربية والإنجليزية، ويضمن التواصل الفعال مع العملاء المحليين والدوليين.

راسلنا
اتصل بنا