Verbind de verplichte financiële regelgeving van Australië met ISO 27001
CPS 234 is een informatiebeveiligingsregelgeving uitgegeven door de Australian Prudential Regulation Authority (APRA) voor verzekerings- en financiële organisaties om zich te beschermen tegen cyberaanvallen.
De Australische Prudential Regulation Authority (APRA) werd in 1998 opgericht door de Australische regering.
APRA houdt toezicht op particuliere zorgverzekeraars, algemene en levensverzekeraars, pensioenfondsen, bevriende verenigingen, herverzekeringsmaatschappijen en financiële instellingen die bevoegd zijn om deposito's aan te nemen, zoals hypotheekbanken, banken en kredietverenigingen.
CPS 234 is een informatiebeveiligingsverordening die voor het eerst is uitgegeven door APRA op 1 juli 2019. De verordening is bedoeld om organisaties te helpen zichzelf en hun klanten te beschermen tegen cyberaanvallen door hun informatiebeveiligingskader te versterken.
CPS 234 stelt eisen vast rond de identificatie en classificatie van informatiemiddelen, rollen en verantwoordelijkheden op het gebied van informatiebeveiliging, implementatie en testen van informatiebeveiligingscontroles, incidentbeheer, interne audit en melding van inbreuken.
CPS 234 bepaalt dat gereguleerde entiteiten informatiebeveiligingssystemen en -praktijken moeten handhaven die geschikt zijn voor de bedreigingen waarmee zij worden geconfronteerd.
Financiële instellingen zijn een populair doelwit voor cyberaanvallen omdat ze hun macht behouden persoonlijk identificeerbare informatie (PII) en beschermde gezondheidsinformatie (PHI) van Australische inwoners.
Door APRA gereguleerde entiteiten zijn verplicht CPS 234 te volgen. De standaard valt onder de volgende wetten:
CPS 234 heeft betrekking op alle APRA-gereguleerde entiteiten, zoals:
De hierboven genoemde entiteiten beschikken over belangrijke persoonlijk identificeerbare informatie en beschermde gezondheidsinformatie waarop cyberaanvallen zich tijdens een aanval zouden richten.
Onder CPS 234 zijn er vereisten op het gebied van informatiebeveiliging waaraan u moet voldoen.
Dit vereist:
Om aan deze vereisten te voldoen, beoordelen gereguleerde entiteiten doorgaans de toereikendheid van de middelen, inclusief financiering en personeelsmiddelen en tijdige toegang tot de noodzakelijke vaardigheden.
Entiteiten die onder APRA vallen, moeten een beleidskader voor informatiebeveiliging handhaven dat hun blootstelling aan kwetsbaarheden en bedreigingen weerspiegelt. De verantwoordelijkheden van alle partijen die een informatie- en databeveiligingsplicht hebben, dienen richting te krijgen in het beleid van uw organisatie.
Het raamwerk is doorgaans gestructureerd als een hiërarchie met beleid op een hoger niveau, ondersteund door richtlijnen en procedures.
Er zijn veel gemeenschappelijke gebieden die in het beleidskader worden aangepakt, zoals:
Dit raamwerk zou doorgaans consistent zijn met andere entiteitsraamwerken, zoals risicobeheer en dienstverlenerbeheer.
Ontdek hoe eenvoudig het is om uw
naleving van APRA-normen op ISMS.online
Boek uw demo
Door APRA gereguleerde entiteiten zijn verplicht om informatiemiddelen te classificeren, inclusief die welke worden beheerd door verbonden partijen en derden.
Dit omvat infrastructuur en ondersteunende systemen, zoals omgevingscontrolesystemen en fysieke toegangscontrolesystemen. Het omvat ook informatiemiddelen die worden beheerd door derden of verbonden partijen.
De relaties tussen gevoelige of kritieke informatiemiddelen en andere middelen die mogelijk minder betekenis hebben, maar kunnen worden gebruikt om de veiligheid van die middelen te schenden.
Bovendien moet dit de mate weerspiegelen waarin informatiebeveiligingsincidenten een entiteit of haar klanten – financieel of anderszins – kunnen beïnvloeden.
Bedrijven moeten over een classificatiemethodologie beschikken om te labelen wat een informatiemiddel is, om ervoor te zorgen dat belanghebbenden geïnformeerd en bewust zijn. Deze methode biedt ook context over granulariteitsoverwegingen en hoe activa worden beoordeeld, afhankelijk van hun kriticiteit of gevoeligheid. Houd er rekening mee dat activa verschillende beoordelingen kunnen krijgen op het gebied van kritikaliteit en gevoeligheid.
Het is gebruikelijk dat entiteiten gebruik maken van hun bestaande impactanalyses op de bedrijfscontinuïteit – die doorgaans de kriticiteit en andere gevoelige processen beoordelen – om de gevoeligheidsanalyse uit te voeren.
Om te voldoen aan CPS 234 moeten door APRA gereguleerde entiteiten informatiebeveiligingscontroles implementeren om hun gegevensactiva snel te beschermen en in verhouding te staan tot de dreiging waarmee zij worden geconfronteerd, overeenkomend met:
Volgens CPS 234 moeten alle door APRA gereguleerde entiteiten beschikken over robuuste mechanismen om informatiebeveiligingsincidenten zo snel mogelijk op te sporen en erop te reageren.
Er zijn veel detectiemechanismen voor informatiebeveiliging, waaronder oplossingen voor scannen, detecteren, monitoren en loggen. Deze beveiligingscontroles zullen robuuster en gevarieerder zijn, afhankelijk van de impact van een potentieel beveiligingsincident, en bestrijken doorgaans deze brede categorieën:
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
CPS 234 vereist dat gereguleerde entiteiten systematische tests uitvoeren op informatiebeveiligingscontroles van een aard en frequentie die overeenkomen met:
Beveiligingscontroles moeten ten minste jaarlijks worden getest of wanneer er een materiële verandering plaatsvindt in de informatiemiddelen of de zakelijke omgeving, zodat u kunt weten of deze nog steeds effectief en geldig zijn. Om ervoor te zorgen dat tests succesvol zijn, is het essentieel om de succescriteria duidelijk te definiëren en vast te stellen wanneer opnieuw testen nodig is.
Het testen moet worden uitgevoerd door voldoende bekwame, onafhankelijke specialisten die geen belangenconflicten hebben en een eerlijke evaluatie kunnen geven.
Betrouwbare informatiebeveiligingscontroles moeten worden verzorgd door bekwaam personeel. Bovendien moet de interne auditfunctie de informatiebeveiligingscontrole beoordelen die wordt verstrekt door verbonden of derde partijen in gevallen waarin:
Als uit de beoordeling een tekortkoming blijkt of als er geen zekerheid bestaat dat aan de vereisten wordt voldaan, wordt de kwestie gewoonlijk ter overweging voorgelegd aan het bestuur.
APRA moet zo snel mogelijk op de hoogte worden gebracht en uiterlijk 72 uur nadat de entiteit op de hoogte is gesteld van een beveiligingsincident.
Dit zijn incidenten die:
Bij het informeren van APRA verwachten zij dat informatie wordt verstrekt, zoals:
APRA moet zo snel mogelijk op de hoogte worden gebracht en niet later dan tien werkdagen nadat u zich bewust bent geworden van een zwakte in de informatiebeveiligingscontrole die het bedrijf niet op tijd kan verhelpen.
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
Een belangrijk verschil tussen de twee normen is de manier waarop ze worden gehandhaafd. Organisaties die de ISO 27001-certificering behalen, moeten hun certificering elke drie jaar vernieuwen, met regelmatige controle-audits gedurende deze periode. CPS 234 beschikt niet over een certificaat; in plaats daarvan beschikt APRA over veel formele en informele handhavingsinstrumenten.
Niet-formele benaderingen omvatten het samenwerken met bedrijven om problemen te identificeren en aan te pakken voordat ze hun vermogen om hun beloften waar te maken in gevaar brengen.
Desalniettemin is APRA bereid om indien nodig handhavingsmaatregelen te nemen – dit kan gerechtelijke stappen omvatten of het instrueren van bedrijven om bepaalde acties te ondernemen of stop te zetten.
Hoewel ISO 27001 wereldwijd wordt erkend, heeft APRA de CPS 234-standaard gecreëerd om tegemoet te komen aan de groeiende behoefte aan cyberbeveiliging bij entiteiten in de financiële dienstverleningssector. ISO 27001 is een veel uitgebreidere informatiebeveiligingsnorm en is van toepassing op bedrijven in verschillende sectoren, ongeacht hun omvang, type of locatie.
CPS 234 is ontwikkeld om samen te werken met ISO/IEC 27001, waarbij de eisen zijn afgestemd op de clausules en beveiligingscontroles uit ISO 27001. Beide standaarden zijn bedoeld om de informatiebeveiliging van een organisatie te verbeteren. Elk bedrijf of elke organisatie die ISO 27001-geaccrediteerd is, zou gemakkelijker moeten kunnen voldoen aan de CPS 234-vereisten.
Zoals u kunt zien, moet er veel worden gedaan om naleving te garanderen. De meest beheersbare vereiste waaraan moet worden voldaan, is ervoor zorgen dat al het cyberbeveiligingspersoneel duidelijk gedefinieerde, gearticuleerde en gecommuniceerde verantwoordelijkheden binnen de organisatie heeft.
Een van de grootste uitdagingen bij het naleven van CPS 234 kan mogelijk een gebrek aan richtlijnen en praktische toepassing zijn als het gaat om derden.
Ons platform wordt geleverd met verschillende kant-en-klare raamwerken die u kunt overnemen, aanpassen of toevoegen, afhankelijk van de unieke behoeften van uw organisatie. Of u kunt eenvoudig uw eigen systeem bouwen voor op maat gemaakte complianceprojecten.
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo