CPS 234 samsvarsløsning

Hvem bør overholde CPS 234?

CPS 234 dekker alle APRA-regulerte enheter, for eksempel:

• Banker, kredittforeninger og andre autoriserte innskuddsmottakende institusjoner (ADI)
• Livsforsikringsselskaper
• Pensjonsmidler
• Generelle forsikringsselskaper
• Vennlige samfunn
• Private helseforsikringsselskaper
• Ikke-operative holdingselskaper

Enheter nevnt ovenfor har viktig personlig identifiserbar informasjon og beskyttet helseinformasjon som cyberangrep vil være rettet mot under et angrep.

CPS 234s krav til informasjonssikkerhet

Under CPS 234 har du krav til informasjonssikkerhetsevne som du må oppfylle.

Dette krever:

• Organisasjonen din opprettholder en informasjonssikkerhetskapasitet som tilsvarer informasjonsmidlenes størrelse og omfang av trusler
• Evaluer informasjonssikkerhetsfunksjonene til relaterte enheter eller tredjeparter som administrerer informasjonsressurser på vegne av organisasjonen
• Sørg for at organisasjonen opprettholder sin informasjonssikkerhetsevne og oppdaterer sårbarheter og trusler som følge av endringer i eiendeler eller miljø

For å oppfylle disse kravene vurderer regulerte enheter vanligvis tilstrekkeligheten av ressursene, inkludert finansierings- og bemanningsressurser og rettidig tilgang til nødvendige ferdighetssett.

CPS 234s retningslinjer for informasjonssikkerhet

Enheter regulert av APRA må opprettholde et rammeverk for informasjonssikkerhet som gjenspeiler deres eksponering for sårbarheter og trusler. Ansvaret til alle parter som har en forpliktelse til å opprettholde informasjons- og datasikkerhet bør gis retning av organisasjonens policy.

Rammeverket er vanligvis strukturert som et hierarki med retningslinjer på høyere nivå støttet av retningslinjer og prosedyrer.

Det er mange fellesområder som tas opp i det politiske rammeverket, for eksempel:

• Identifikasjon, autorisasjon og tildeling av tilgang til dataressurser
• Informasjonssikkerhetskrav bør vurderes på hvert trinn i livssyklusen til en eiendel (fra anskaffelse til avvikling og destruksjon)
• Administrasjon av informasjonssikkerhetsteknologi, inkludert brannmurer, anti-malware programvare, inntrengningsdeteksjon, inntrengningsforebyggende programvare, kryptografiske systemer og overvåkingsverktøy
• En overordnet informasjonssikkerhetsarkitektur er designet ved å identifisere tilnærmingen for å skape ditt IT-miljø fra et sikkerhetsperspektiv
• Overvåking og hendelseshåndtering innebærer å identifisere, klassifisere, rapportere og eskalere hendelser. Det inkluderer også å bevare bevis for etterforskningsformål
• Forventninger ved bruk av tredjeparter og nærstående parter for å opprettholde informasjonssikkerhet
• Akseptabel bruk av informasjonsressurser som overholder sluttbrukers ansvar, inkludert ansatte, tredjeparter, samarbeidspartnere og kunder
• Rekruttering og screening av ansatte og entreprenører
• Mekanismer for å vurdere og måle samsvar og den pågående effektiviteten av rammeverket for informasjonssikkerhet

Dette rammeverket vil typisk være i samsvar med andre enhetsrammeverk, for eksempel risikostyring og tjenesteleverandørstyring.

CPS 234s krav til identifisering og klassifisering av informasjonsmidler

APRA-regulerte enheter er forpliktet til å klassifisere informasjonsmidler, inkludert de som administreres av nærstående parter og tredjeparter.

Dette inkluderer infrastruktur og tilleggssystemer, som miljøkontrollsystemer og fysiske adgangskontrollsystemer. Den omfatter også informasjonsressurser som administreres av tredjeparter eller nærstående parter.

Forholdet mellom sensitive eller kritiske informasjonsressurser og andre eiendeler som kan ha mindre betydning, men som kan brukes til å krenke sikkerheten til disse eiendelene.

I tillegg bør dette reflektere i hvilken grad informasjonssikkerhetshendelser har potensial til å påvirke – økonomisk eller på annen måte – en enhet eller dens kunder.

Bedrifter må ha en klassifiseringsmetodikk for å merke hva som utgjør et informasjonsmiddel for å sikre at interessenter er informert og bevisst. Denne metoden gir også kontekst om granularitetshensyn og hvordan eiendeler vurderes avhengig av deres kritikalitet eller sensitivitet. Merk at eiendeler kan gis forskjellige vurderinger for kritikalitet og sensitivitet.

Det er vanlig at enheter utnytter sine eksisterende konsekvensanalyser for forretningskontinuitet – som vanligvis vurderer kritikalitet og andre sensitive prosesser – for å utføre sensitivitetsanalysen.

CPS 234s informasjonssikkerhetskontrollkrav

For å overholde CPS 234, må APRA-regulerte enheter implementere informasjonssikkerhetskontroller for å beskytte datamidlene sine raskt og proporsjonalt med trusselen de står overfor, tilsvarende:

• Identifiser eksisterende og økende sårbarheter og trusler som kan være avgjørende for viktige dataressurser
• Livssyklusstadiet til et informasjonselement
• De potensielle konsekvensene av en datasikkerhetshendelse

Hva er CPS 234s krav til hendelseshåndtering?

I følge CPS 234 må alle APRA-regulerte enheter ha robuste mekanismer for å oppdage og svare på informasjonssikkerhetshendelser så snart som mulig.

Det finnes mange deteksjonsmekanismer for informasjonssikkerhet, inkludert skanne-, sensing-, overvåkings- og loggløsninger. Disse sikkerhetskontrollene vil være mer robuste og mer varierte avhengig av virkningen av en potensiell sikkerhetshendelse, og dekker vanligvis disse brede kategoriene:

• Fysisk maskinvare
• Aktiviteter på høyere nivå som betalinger
• Endringer i brukertilgang

Hva er CPS 234s kontrolltestkrav?

CPS 234 krever at regulerte enheter utfører systematisk testing av informasjonssikkerhetskontroller av en art og hyppighet som tilsvarer:

• Hastigheten som nye sårbarheter og trusler oppstår med
• Risikoen forbundet med å bli eksponert for miljøer der enheten ikke kan håndheve sine retningslinjer for informasjonssikkerhet
• Viktigheten og sensitiviteten til informasjonselementet(e)
• Konsekvensene av en datasikkerhetshendelse
• Betydningen og hyppigheten av endringer i informasjonsmidler

Sikkerhetskontroller må testes minst årlig eller når det er en vesentlig endring i informasjonsmidler eller forretningsmiljøet, slik at du kan vite om de fortsatt er effektive og gyldige. For å sikre at tester er vellykkede, er det viktig å definere suksesskriteriene klart og når re-testing vil være nødvendig.

Testing bør utføres av passende dyktige, uavhengige spesialister som ikke har noen interessekonflikter og kan gi en rettferdig evaluering.

Hva er CPS 234s internrevisjonskrav?

Pålitelig informasjonssikkerhetskontroll må gis av kvalifisert personell. I tillegg må internrevisjonsfunksjonen vurdere informasjonssikkerhetskontrollen gitt av relaterte eller tredjeparter i tilfeller der:

• En informasjonssikkerhetshendelse som påvirker en enhets informasjonsmidler kan ha en langsiktig økonomisk innvirkning og evne til å skade kunder
• Internrevisjoner har til hensikt å stole på informasjonssikkerhetskontrollgarantien gitt av den nærstående parten eller tredjeparten

Dersom vurderingen avdekker en mangel eller det ikke er sikkerhet for at kravene oppfylles, tas spørsmålet vanligvis opp med styret for behandling.

Når må APRA varsles under CPS 234?

APRA må informeres så snart som mulig og senest 72 timer etter at enheten er gjort oppmerksom på en sikkerhetshendelse.

Dette er hendelser som:

1. Kunne ha hatt en betydelig innvirkning på eller kunne vesentlig påvirke økonomisk eller ikke-finansielt interessene til innskytere, forsikringstakere, begunstigede og andre kunder
2. Har informert andre regulatorer i Australia eller andre jurisdiksjoner

Når de varsler APRA, forventer de at informasjon blir gitt, for eksempel:

• Navn på regulert enhet
• Dato og klokkeslett for hendelsen
• Når hendelsen ble vurdert som vesentlig
• Type hendelse
• Beskrivelse av hendelsen
• Hva er nåværende status
• Handlinger tatt eller planlagt

APRA skal informeres så snart som mulig og senest ti virkedager etter at du blir oppmerksom på en svakhet i informasjonssikkerhetskontrollen som selskapet ikke kan fikse i tide.

Hvilke forskjeller er det mellom CPS 234 og ISO 27001?

En viktig forskjell mellom de to standardene er hvordan de håndheves. Organisasjoner som oppnår ISO 27001-sertifisering må fornye sertifiseringen hvert tredje år, med regelmessige overvåkingsrevisjoner i denne perioden. CPS 234 har ikke sertifikat; i stedet har APRA mange formelle og uformelle håndhevingsverktøy.

Ikke-formelle tilnærminger inkluderer samarbeid med selskaper for å identifisere og løse problemer før de truer deres evne til å holde løftene sine.

Likevel er APRA forberedt på å iverksette håndhevelsestiltak når det er hensiktsmessig – dette kan inkludere rettsbaserte handlinger eller å instruere selskaper om å iverksette eller stoppe bestemte handlinger.

Mens ISO 27001 er anerkjent globalt, skapte APRA CPS 234-standarden for å møte det økende behovet for cybersikkerhet blant enheter innen finansnæringen. ISO 27001 er en mye mer omfattende informasjonssikkerhetsstandard, og den gjelder for virksomheter i ulike sektorer uansett størrelse, type eller plassering.

CPS 234 ble opprettet for å fungere unisont med ISO/IEC 27001, med krav i samsvar med klausuler og sikkerhetskontroller skissert i ISO 27001. Begge standardene er utformet for å øke en organisasjons informasjonssikkerhet. Enhver virksomhet eller organisasjon som er ISO 27001-akkreditert bør ha lettere for å oppfylle CPS 234-kravene.

Hvordan kan selskaper forberedes på revisjoner av CPS 234?

Som du kan se, er det mye å gjøre for å sikre samsvar. Det mest håndterbare kravet å oppfylle er å sikre at alle cybersikkerhetsmedarbeidere har klart definerte, artikulerte og kommuniserte ansvar på tvers av organisasjonen.

En av de største utfordringene for overholdelse av CPS 234 kan potensielt være mangel på retningslinjer og praktisk anvendelse når det gjelder tredjeparter.

Hvordan ISMS.online Hjelp

Plattformen vår kommer med ulike forhåndsbygde rammer du kan ta i bruk, tilpasse eller legge til, avhengig av organisasjonens unike behov. Eller du kan enkelt bygge din egen for skreddersydde overholdelsesprosjekter.