Как провести самооценку на соответствие требованиям стандарта безопасности SWIFT - Digital Security
←
→
Транскрипция содержимого страницы
Если ваш браузер не отображает страницу правильно, пожалуйста, читайте содержимое страницы ниже
www.reglament.net
стандарт CSCF \ кибербезопасность \ KYC
До 31 декабря 2017 года все клиенты обязаны отчитаться перед
SWIFT: насколько они соответствуют требованиям нового стан-
дарта безопасности — Customer Security Controls Framework.
А в начале 2018 года Банку России будет передана информация
об организациях, которые опоздали с подачей отчетов по само-
оценке или вообще не предоставили сведения к назначенному
сроку. В статье дано детальное руководство по проведению само-
оценки в банке.
Как провести самооценку
на соответствие требованиям
стандарта безопасности SWIFT
Одной из систем, на которые в последние годы обратили внимание
киберпреступники, стала система переводов SWIFT. Как известно,
по SWIFT отправляются платежные инструкции более чем на $1 трлн
каждый день.
Результатами атак киберпреступников на банки и клиентскую
часть системы SWIFT стали следующие события1:
— в 2013 г. из банка Sonali в Бангладеш были выведены $250 тыс.;
— в январе 2015 г. из банка Banco del Austro в Эквадоре хакеры
смогли перевести более $12 млн, из которых $2,8 млн удалось вер-
нуть; Андрей ГАЙКО,
— в конце 2015 г. из вьетнамского банка Tien Phong Bank кибер- Digital Compliance,
преступники попытались перевести через SWIFT $1,1 млн. По инфор- заместитель гене-
мации банка, деньги похищены не были; рального директора
— в феврале 2016 г. был атакован Центробанк Бангладеш. Зло
умышленники попытались вывести $1 млрд посредством SWIFT.
Однако атака была остановлена, они смогли вывести только $81 млн.
Эти деньги были переведены на счета в филиппинских банках. Там
они разошлись по казино, и их след был потерян;
— в июне 2016 г. из одного украинского банка было украдено $10 млн.
Деньги вернуть не удалось.
1
См. также: Пискунов И. SWIFT и обязательные требования к информационной безопасности // Международные банковские
операции. 2016. № 3.
13Международные банковские операции
№ 3 (65) \ 2017
Андрей ГАЙКО
В мае 2016 г. руководство SWIFT объявило о разработке программы
SWIFT Customer Security Programme, призванной повысить кибер-
безопасность системы SWIFT и ее клиентов (финансовых организа-
ций и крупных корпораций). В рамках этой программы был разра-
ботан стандарт безопасности SWIFT Customer Security Controls
Framework (CSCF), который содержит 16 обязательных контролей
безопасности и должен выполняться всеми клиентами SWIFT. До
31 декабря 2017 г. все клиенты обязаны отчитаться перед SWIFT,
насколько они соответствуют этим требованиям.
В марте 2017 г. был выпущен основной текст стандарта SWIFT
Customer Security Controls Framework 1.0. Detailed Description. Доку-
мент содержит перечень всех требований и всю необходимую инфор-
мацию для понимания целей требований и их реализации.
По сравнению с текстом стандарта SWIFT Customer Security
Framework. Supplementary Guide, который вышел в октябре 2016 г.,
в Detailed Description:
— четко сформулированы цели контролей;
Самооценка по требова- — указаны риски, на снижение которых направлены контроли;
ниям SWIFT Customer — дано детальное описание контекста применения;
Security Controls Policy — приведены руководства по внедрению контролей.
должна проводиться В мае 2017 г. выпущен документ SWIFT Customer Security Controls
для каждого клиент- Policy, который описывает роли, ответственность и процесс про-
ского 8-символьного BIC. хождения самооценки. Customer Security Controls Policy применяется
Если у финансовой орга- к пользователям SWIFT. Для поставщиков общей инфраструктуры
низации существуют (т.н. Shared infrastructure providers) существуют отдельные стан-
головная структура дарты: для сервисных бюро — Shared Infrastructure Programme (SIP),
и филиалы с присвоен- для поставщиков приложений Alliance Lite2 for Business Applications
ными BIC, самооценку (L2BA) — L2BA Programme.
надо проводить для
каждого BIC. Оценка соответствия
В качестве подтверждения выполнения требований SWIFT опреде-
лил необходимость проведения клиентами самооценки. Самооценка
по требованиям SWIFT Customer Security Controls Policy должна
проводиться для каждого клиентского 8-символьного Bank Identifier
Code (BIC). Возможна ситуация, когда у финансовой организации
существуют головная структура и филиалы с присвоенными BIC.
В этом случае самооценку надо проводить для каждого BIC.
Этот процесс должен осуществляться каждые 12 месяцев. Вне-
плановая самооценка должна проводиться в следующих ситуациях:
— после любых изменений в архитектуре развернутого в органи-
зации решения SWIFT;
14www.reglament.net
стандарт CSCF \ кибербезопасность \ KYC
Как провести самооценку на соответствие
требованиям стандарта безопасности SWIFT
— в случае смены поставщика услуг;
— после изменений в указанных ранее сведениях, например
в случае:
– необходимости изменения контактной информации, указанной
в самооценке;
– изменения статуса соответствия одному или нескольким требо-
ваниям безопасности. Сюда можно отнести реализацию запланиро-
ванных улучшений для требований, помеченных при предыдущей
самооценке как «я буду соответствовать к назначенной дате»;
— в случае изменения места организации в иерархии узлов;
— в случае если клиент начинает использовать новый BIC.
Клиенты SWIFT обязаны провести оценку реализации обязательных
контролей безопасности. По желанию они могут также оценить степень
соответствия необязательным требованиям cтандарта. Стоит отметить,
что при проведении оценки необходимо исходить из текущего состо-
яния дел на момент оценки и не учитывать будущие планы. Например, Программ подготовки
если в контроле говорится, что у вас должно быть установлено и исполь- аудиторов по CSCF
зоваться средство контроля целостности, а по факту у вас есть план у SWIFT нет. На сайте
на закупку этой системы, то нельзя считать требование выполненным. SWIFT ведется пере-
Контроль будет реализован только после того, как средство защиты чень Directory of Cyber
будет приобретено, установлено и введено в производственную экс- Security Service
плуатацию. До этих пор требование не должно считаться выполненным. Providers, где указаны
SWIFT не проводит и не будет проводить оценку соответствия компании, готовые
своих клиентов. Организации должны делать это самостоятельно предоставлять услуги
либо с привлечением независимых аудиторов. При заполнении анкеты по кибербезопасности
по самооценке в соответствующем поле необходимо будет указать для клиентов SWIFT,
название привлекаемой аудиторской компании. в том числе услуги
Стоит отметить, что программ подготовки аудиторов по CSCF по оценке соответствия
у SWIFT нет. Также нет задач по созданию программы аттестации требованиям стандар
аудиторов в ближайшем будущем. SWIFT на своем сайте ведет пере- та CSCF.
чень Directory of Cyber Security Service Providers, в котором указаны
компании, готовые предоставлять услуги по кибербезопасности для
клиентов SWIFT, в том числе услуги по оценке соответствия требо-
ваниям стандарта CSCF. Эти компании проходят отбор перед попа-
данием в перечень.
Результаты самооценки должны быть загружены на специализи-
рованный веб-портал KYC Registry Security Attestation Application.
Доступ к порталу предоставляется всем клиентам SWIFT. После
загрузки результатов на портал эти сведения могут быть доступны
партнерам организации. Любой клиент SWIFT может направить запрос
другому клиенту на предоставление доступа к данным сведениям.
15Международные банковские операции
№ 3 (65) \ 2017
Андрей ГАЙКО
Портал предоставляет возможность централизованно контроли-
ровать процесс проведения самооценок во всех компаниях, привя-
занных к материнской.
Все новые пользователи SWIFT перед подключением к производ-
ственной инфраструктуре SWIFT обязаны предоставить результаты
самооценки.
Область действия контролей SWIFT Customer
Security Controls Framework
Существует четыре типа подключения к SWIFT (A1, A2, A3, B).
В зависимости от используемой в компании схемы подключения
определяется перечень обязательных к применению контролей без-
опасности из SWIFT Customer Security Controls Framework. Схемы
варьируются в зависимости от объема компонентов, используемых
на стороне клиента для подключения к SWIFT. Для схем типа А
обязательным к выполнению будет 16 контролей безопасности про-
тив 11 для схем типа B.
Так, меньшее количество требований необходимо будет выполнить
компаниям, которые не имеют в информационной инфраструктуре
каких-либо компонентов SWIFT и все взаимодействие осуществляют
целиком и полностью через поставщика услуг (схема типа B). То есть
с поставщиком услуг реализуется только обмен данными через предо-
ставляемый поставщиком API или специальное приложение от постав-
щика. У клиента отсутствуют лицензии на интерфейс обмена сообще-
ниями и (или) интерфейс связи, не установлен коннектор для взаимо-
действия с интерфейсами, существующими на стороне поставщика услуг.
В область действия CSCF (рис. 1) будут входить все компоненты
инфраструктуры SWIFT, развернутые и администрируемые на сто-
роне клиента, включая приложения (ПО, реализующее интерфейсы
взаимодействия, SWIFTNet Link, коннекторы), сетевые сегменты
размещения инфраструктуры SWIFT, сетевое оборудование, токены,
съемные носители, оборудование (серверы, рабочие станции, HSM),
операторы, иные системы и устройства, с которых осуществляется
доступ к компонентам в скоупе.
В область действия CSCF не будут входить системы, которые
реализуют бизнес-логику и процессы, предшествующие взаимодей-
ствию со SWIFT, основные IT-системы организации (домен, почтовые
серверы, рабочие станции сотрудников и пр). Из скоупа исключаются
также подключения к сети SWIFT через SWIFT Network Partners,
интернет-подключения к сети SWIFT, устройства Alliance Connect
VPN, администрируемые SWIFT.
16www.reglament.net
стандарт CSCF \ кибербезопасность \ KYC
Как провести самооценку на соответствие
требованиям стандарта безопасности SWIFT
Рисунок 1
Область действия стандарта
Информационная инфраструктура организации
Обмен Подключение
Автоматизи- данными Локальная инфраструктура SWIFT к сети SWIFT
рованная
банковская
система/ Оператор/
иные системы пользователь/ SWIFT
администратор Network
Область действия стандарта
Обработка результатов самооценки
В начале 2018 г. SWIFT планирует запустить обработку результатов
самооценки. В январе первым делом начнется выявление организаций,
которые не предоставили данные о самооценке до 31 декабря 2017 г.
Следующим шагом будет сбор информации об организациях, которые
отчитались о неполном соответствии обязательным требованиям или
которые взаимодействуют с поставщиком услуг, не подтвердившим
соответствие стандарту. Полученные сведения в дальнейшем будут
передаваться в регулирующие органы различных стран.
В нашем случае можно говорить о том, что SWIFT будет уведом-
лять Банк России о статусе соответствия финансовых организаций
требованиям по безопасности SWIFT, действующим на территории
РФ. Согласно правилам отчетности, установленным SWIFT, в начале
2018 г. Банку России будет передана информация об организациях,
которые опоздали с подачей отчетов по самооценке или вообще не
предоставили сведения к назначенному сроку (31 декабря 2017 г.).
В январе 2019 г. состав передаваемых сведений расширится. Регу-
лятору будет передана информация об организациях:
— не выполнивших один или несколько обязательных контролей
безопасности;
— пользующихся услугами поставщиков услуг, которые в свою
очередь не соответствуют требованиям.
Однако в Банк России будет сообщаться ограниченная информа-
ция о клиентах SWIFT — будут переданы название организации, ее
17Международные банковские операции
№ 3 (65) \ 2017
Андрей ГАЙКО
BIC и статус соответствия. Сведения об организациях, которые
полностью выполнили все обязательные требования SWIFT Customer
Security Controls Framework и вовремя подали отчетность, пере-
даваться не будут.
Что касается организаций, деятельность которых не относится
к деятельности, регулируемой Банком России, то SWIFT будет сооб-
щать о статусе соответствия партнерам этих организаций в области
обмена сообщениями.
Санкции за невыполнение требований
На текущий момент перечень санкций и штрафов за несоблюдение
требований SWIFT не установлен. Однако SWIFT оставляет за собой
право определения таких ограничений. В этом случае клиенты SWIFT
будут дополнительно уведомлены. На начало 2018 г. можно говорить
только о возможных репутационных рисках и возможном внимании
В Банк России будет со стороны Банка России к организациям, которые полностью не
сообщаться ограничен- соответствуют стандарту SWIFT или не успели предоставить све-
ная информация о кли- дения о самооценке к 31 декабря 2017 г.
ентах SWIFT — будут Стоит немного сказать об участии Банка России в безопасности
переданы название SWIFT. Уже сейчас известны случаи, когда из Банка России в финан-
организации, ее BIC совые организации поступали звонки с вопросами о текущем статусе
и статус соответствия. внедрения требований по информационной безопасности от SWIFT.
Сведения об организа- Учитывая большую активность регулятора в последние годы в сфере
циях, которые полно- информационной безопасности финансового рынка, можно предпо-
стью выполнили все ложить, что его интерес к CSCF не уйдет. А учитывая, что SWIFT
обязательные требова- обещает сообщать заинтересованным регуляторам статус соответствия
ния SWIFT Customer своих клиентов, можно сделать вывод о необходимости полного соблю-
Security Controls дения обязательных требований CSCF к концу 2018 г., чтобы не вызы-
Framework и вовремя вать дополнительный интерес к себе со стороны Банка России.
подали отчетность,
передаваться не будут. Процесс самооценки
На практике нам нередко встречались случаи, когда инфраструк-
турой SWIFT занимались выделенные сотрудники банков. Причем
в обязанности этих специалистов входило обеспечение как работо-
способности системы, так и ее безопасности. Отдел ИБ обычно не
следил за безопасностью этой системы и не применял к ней корпо-
ративных требований и стандартов по ИБ. Возникала ситуация,
когда клиентская часть SWIFT, установленная в банке, выходила
из поля зрения отдела ИБ.
С появлением нового стандарта и необходимости проведения
самооценки первой задачей станет разделение зон ответственности.
18www.reglament.net
стандарт CSCF \ кибербезопасность \ KYC
Как провести самооценку на соответствие
требованиям стандарта безопасности SWIFT
Администраторам SWIFT и отделу ИБ необходимо будет четко раз-
граничить зоны ответственности за безопасность системы, понять,
какие защитные меры уже реализуются и насколько они адекватны.
Необходимо распространить на инфраструктуру SWIFT действующие
в компании политики и регламенты либо разработать новые.
Стандарт SWIFT CSCF достаточно технический. В большей сте-
пени по своему подходу и характеру он напоминает PCI DSS, чем
ISO 27002. Поэтому более правильным было бы поручить проведение
непосредственно оценки соответствия представителям отдела ИБ,
имеющим достаточные технические знания и опыт работы с PCI
DSS. К сведению: в приложении Е стандарта SWIFT CSCF. Detailed
Description приводится сопоставительная таблица, содержащая
требования CSCF и соответствующие по смыслу требования стан-
дартов PCI DSS 3.2, ISO 27002 (2013), NIST Cybersecurity Framework
v1.0. Эта информация может быть хорошим подспорьем для пони-
мания требований безопасности SWIFT. Стандарт SWIFT CSCF
Отметим, что в отличие от PCI DSS в CSCF отсутствует понятие достаточно техниче-
«компенсационная мера». SWIFT дает достаточную свободу в реа- ский. В большей сте-
лизации требуемого контроля безопасности. Любое отклонение от пени по своему подходу
Implementation Guidelines можно расценивать в качестве «компен- и характеру он напо-
сационной меры». Ведь смысл компенсационных мер — применить минает PCI DSS, чем
меры безопасности, отличные от требуемых по стандарту, но при ISO 27002. Поэтому
этом направленные на снижение того же риска, который будет сни- более правильным было
жен в случае прямого выполнения требования. бы поручить проведе-
Для того чтобы понять текущую ситуацию, в банке необходимо ние непосредственно
провести GAP-анализ (предварительную самооценку). План работ оценки соответствия
будет следующим. представителям отдела
ИБ, имеющим доста
1. Определение области действия стандарта точные технические
Важно корректно определить, какие серверы, ПО, сетевое оборудо- знания и опыт работы
вание, средства защиты, сотрудники участвуют в функционировании с PCI DSS.
установленной инфраструктуры SWIFT.
2. Составление плана и программы аудита
Поскольку аудит по CSCF является новым для рынка, у клиентов
возникают вопросы относительно того, как построить процедуру
оценки. Мы рекомендуем использовать смешанный подход.
Как уже было отмечено, SWIFT предполагает, что компании при
реализации контролей будут руководствоваться Implementation
Guidelines. Однако в компаниях, скорее всего, уже действуют кор-
поративные политики безопасности, которых может быть достаточно
19Международные банковские операции
№ 3 (65) \ 2017
Андрей ГАЙКО
для удовлетворения требований. Было бы избыточным реализовы-
вать положения Implementation Guidelines и применять корпора-
тивные правила для выполнения одного и того же требования. Необ-
ходимости делать двойную работу нет. Поэтому в рамках аудита
стоит оценить, насколько существующие средства защиты, корпо-
ративные политики и регламенты по ИБ позволяют соблюсти тре-
бования CSCF, а если их недостаточно, то насколько организация
выполняет положения Implementation Guidelines.
Нередки ситуации, когда требования по ИБ уже выполняются
сотрудниками, но неосознанно. Предварительно по каждому кон-
тролю CSCF стоит сделать маппинг — определить, какие требования
CSCF «закрываются» теми или иными политиками, регламентами,
процессами и системами защиты. Дальнейшая оценка на основании
таких критериев даст понимание, насколько на текущий момент
выполняются политики ИБ компании в инфраструктуре SWIFT.
В итоге программа аудита будет содержать:
В рамках аудита стоит — сведения о проверяемом контроле безопасности;
оценить, насколько — проверочные процедуры, которые позволят оценить полноту
существующие средства и достаточность применения корпоративной политики/регламента/
защиты, корпоративные средства защиты;
политики и регламенты — проверочные процедуры выполнения положений Implementation
по ИБ позволяют соблю- Guidelines.
сти требования CSCF, План аудита должен включать график выполнения проверок по
а если их недостаточно, дням с указанием привлекаемых сотрудников, их контактные дан-
то насколько организа- ные, обсуждаемые темы.
ция выполняет положе- План и программа аудита должны быть предварительно согла-
ния Implementation сованы со всеми заинтересованными лицами.
Guidelines.
3. Оценка соответствия
Оценку следует проводить в обозначенные в плане аудита сроки.
В рамках оценки следует документировать все наблюдения, сведе-
ния, получаемые в ходе интервью.
4. Составление отчета о выполненных работах
В документе Security Attestation Application For The KYC Registry.
Baseline 1.0 содержится описание всех полей, которые надо запол-
нить на портале The KYC Registry по результатам самооценки.
Поэтому предварительный отчет может содержать ту же информа-
цию, которая требуется согласно указанному документу. Для каждого
обязательного контроля следует указать текущий статус:
— «я соответствую, выполняя Implementation Guidelines»;
20www.reglament.net
стандарт CSCF \ кибербезопасность \ KYC
Как провести самооценку на соответствие
требованиям стандарта безопасности SWIFT
— «я соответствую, применяя альтернативные меры, соответству-
ющие тем же целям, что и изначальный контроль»;
— «я буду соответствовать к назначенной дате»;
— «я не соответствую»;
— «не применимо».
Для всех вариантов, за исключением первого, необходимо давать
обоснование выставления такого статуса. Так, для «я соответствую,
применяя альтернативные меры» необходимо описывать, какие
меры предпринимаются. Для «я буду соответствовать к назначенной
дате» указать дату и то, что планируется сделать. Этот вариант
ответа расценивается SWIFT как невыполнение требования. Для
«я не соответствую» и «не применимо» следует обосновать причину.
Необходимо оформлять результаты самооценки в виде отдельного
документа, дополнительно по каждому контролю указывать резуль-
таты наблюдений, на основании которых было сделано заключение
о статусе соответствия.
5. Составление плана устранения несоответствий
После получения результатов предварительной самооценки следует
еще раз изучить результаты аудита и понять, какие контроли к
какому сроку организация сможет реализовать. По результатам
коллегиального обсуждения нужно составить план устранения несо-
ответствий и актуализировать отчет о предварительной самооценке.
Для тех требований, планы по реализации которых были вырабо-
таны, — сменить статус с «я не соответствую» на «я буду соответ-
ствовать к назначенной дате» и указать необходимые сведения.
После проведения GAP-анализа и обсуждения его результатов
можно составить план по реализации отдельных требований CSCF
до конца ноября 2017 г. В конце ноября или начале декабря стоит
провести повторную оценку соответствия по указанному выше алго-
ритму и обновить зафиксированные ранее в рамках GAP-анализа
результаты. Возможно проведение оценки только по устраненным
замечаниям. При этом следует убедиться, что в область действия
стандарта не были внесены значительные изменения, которые делают
ранее полученные выводы неактуальными. Именно эти результаты
самооценки следует загружать в The KYC Registry Security Attestation
Application.
Согласно положениям SWIFT результаты самооценки перед публи-
кацией в The KYC Registry Security Attestation Application должны
быть утверждены Chief Information Security Officer (CISO). В случае
отсутствия CISO это может быть Chief Information Officer (CIO),
21Международные банковские операции
№ 3 (65) \ 2017
Андрей ГАЙКО
Chief Risk Officer (CRO), Chief Auditor или иной высший руководи-
тель организации. Если указанные сотрудники отсутствуют, то
утверждать публикацию результатов самооценки должен Chief
Executive Officer. ФИО сотрудника, который утвердил результаты
самооценки, должны быть указаны в соответствующих полях Security
Attestation Application.
На рис. 2 и 3 представлены алгоритмы работ по самооценке с после-
дующим совершенствованием защитных мер и с последующим
информированием SWIFT.
Рисунок 2
Схема работ по самооценке с последующим совершенствованием защитных мер
Этап Выходные документы
Определение области действия стандарта Документированный перечень
систем, сетей, людей, процессов,
входящих в область действия
стандарта
Составление плана и программы аудита
Программа аудита. План аудита
Первичный
Оценка соответствия
Сентябрь
аудит
2017 г.
Свидетельства аудита
Составление отчетных документов
Отчет по результатам аудита
Выработка мер по устранению несоответствий
План устранения недочетов
Октябрь–ноябрь
Актуализация отчета по результатам аудита Актуализированный отчет
устранение
Часиичное
недочетов
2017 г.
Реализация запланированных мероприятий План устранения недочетов
Актуализированный отчет.
Повторный аудит. Повторение всех этапов Актуализированный план
Повторный
как при первичном аудите устранения недочетов
Декабрь
аудит
2017 г.
Утверждение отчета Утвержденный отчет
Публикация результатов самооценки в KYC
Registry Security Attestation Application
22www.reglament.net
стандарт CSCF \ кибербезопасность \ KYC
Как провести самооценку на соответствие
требованиям стандарта безопасности SWIFT
Рисунок 3
Схема работ по самооценке с последующим информированием SWIFT
Этап Выходные документы
Документированный перечень систем,
Определение области действия стандарта
сетей, людей, процессов, входящих
в область действия стандарта
Составление плана и программы аудита Программа аудита. План аудита
Сентябрь–октябрь 2017 г.
Оценка соответствия Свидетельства аудита
Составление отчетных документов Отчет по результатам аудита
Выработка мер по устранению несоответствий План устранения недочетов
Актуализация отчета по результатам аудита Актуализированный отчет
Утверждение отчета Утвержденный отчет
Публикация результатов самооценки в KYC
Registry Security Attestation Application
Выводы
Резюмируя сказанное, видим такую картину (таблица):
— в 2017 г. необходимо успеть провести самооценку и отчитаться
о ее результатах на портале KYC Registry Security Attestation
Application до 31 декабря 2017 г.;
— в 2018 г. SWIFT не будет смотреть на результаты самооценки.
Начиная с января 2018 г. SWIFT будет:
23Международные банковские операции
№ 3 (65) \ 2017
Андрей ГАЙКО
Таблица
Этапы внедрения стандарта
Этап Сроки
Требования Customer Security Attestation стали обязательными для всех клиентов Июль 2017 г.
SWIFT. Появилась возможность публиковать результаты самооценки на портале KYC
Registry Security Attestation Application
Завершена аттестация всех клиентов. Январь 2018 г.
Регуляторы уведомлены о всех организациях, которые не предоставили сведения
о самооценке
Регуляторы уведомлены о всех организациях, которые не соответствуют обязательным С 1 января 2019 г.
требованиям.
Регуляторы уведомлены о всех организациях, которые не предоставили сведения
о ежегодной самооценке
отслеживать степень соответствия своих клиентов требованиям
CSCF;
сообщать регуляторам о тех, кто не предоставил сведения в срок;
— с января 2019 г. SWIFT начнет сообщать о статусе соответствия.
Поэтому в текущем году следует провести анализ ситуации и
выработать на будущий год планы по приведению себя в соответ-
ствие обязательным требованиям CSCF.
24Вы также можете почитать
