CPS 234-nalevingsoplossing

Wie moet voldoen aan CPS 234?

CPS 234 heeft betrekking op alle APRA-gereguleerde entiteiten, zoals:

• Banken, kredietverenigingen en andere geautoriseerde deposito-instellingen (ADI's)
• Levensverzekeringsmaatschappijen
• Pensioenfondsen
• Algemene verzekeraars
• Vriendelijke samenlevingen
• Particuliere zorgverzekeraars
• Niet-operationele holdings

De hierboven genoemde entiteiten beschikken over belangrijke persoonlijk identificeerbare informatie en beschermde gezondheidsinformatie waarop cyberaanvallen zich tijdens een aanval zouden richten.

Vereisten voor informatiebeveiliging van CPS 234

Onder CPS 234 zijn er vereisten op het gebied van informatiebeveiliging waaraan u moet voldoen.

Dit vereist:

• Uw organisatie beschikt over een informatiebeveiligingscapaciteit die overeenkomt met de omvang van uw informatiemiddelen en de omvang van de bedreigingen
• Evalueer de informatiebeveiligingsmogelijkheden van gerelateerde entiteiten of derde partijen die namens de organisatie informatiemiddelen beheren
• Zorg ervoor dat uw organisatie haar capaciteiten op het gebied van informatiebeveiliging op peil houdt en kwetsbaarheden en bedreigingen bijwerkt als gevolg van wijzigingen in bedrijfsmiddelen of de omgeving

Om aan deze vereisten te voldoen, beoordelen gereguleerde entiteiten doorgaans de toereikendheid van de middelen, inclusief financiering en personeelsmiddelen en tijdige toegang tot de noodzakelijke vaardigheden.

CPS 234's informatiebeveiligingsbeleidsvereisten

Entiteiten die onder APRA vallen, moeten een beleidskader voor informatiebeveiliging handhaven dat hun blootstelling aan kwetsbaarheden en bedreigingen weerspiegelt. De verantwoordelijkheden van alle partijen die een informatie- en databeveiligingsplicht hebben, dienen richting te krijgen in het beleid van uw organisatie.

Het raamwerk is doorgaans gestructureerd als een hiërarchie met beleid op een hoger niveau, ondersteund door richtlijnen en procedures.

Er zijn veel gemeenschappelijke gebieden die in het beleidskader worden aangepakt, zoals:

• Identificatie, autorisatie en verlening van toegang tot gegevensmiddelen
• Informatiebeveiligingseisen moeten in elke fase van de levenscyclus van een asset in overweging worden genomen (van aanschaf tot ontmanteling en vernietiging).
• Het beheer van informatiebeveiligingstechnologie, waaronder firewalls, antimalwaresoftware, inbraakdetectie, inbraakpreventiesoftware, cryptografische systemen en monitoringtools
• Een overkoepelende informatiebeveiligingsarchitectuur wordt ontworpen door de aanpak voor het creëren van uw IT-omgeving vanuit een beveiligingsperspectief te identificeren
• Bij monitoring en incidentbeheer gaat het om het identificeren, classificeren, rapporteren en escaleren van incidenten. Het omvat ook het bewaren van bewijsmateriaal voor onderzoeksdoeleinden
• Verwachtingen bij het inschakelen van derde partijen en verbonden partijen om de informatiebeveiliging op peil te houden
• Aanvaardbaar gebruik van informatiemiddelen die voldoen aan de verantwoordelijkheden van de eindgebruiker, inclusief personeelsleden, derden, medewerkers en klanten
• Werven en screenen van medewerkers en opdrachtnemers
• Mechanismen om de naleving en de voortdurende effectiviteit van het informatiebeveiligingsbeleidskader te beoordelen en te meten

Dit raamwerk zou doorgaans consistent zijn met andere entiteitsraamwerken, zoals risicobeheer en dienstverlenerbeheer.

CPS 234's Identificatie- en classificatievereisten voor informatiemiddelen

Door APRA gereguleerde entiteiten zijn verplicht om informatiemiddelen te classificeren, inclusief die welke worden beheerd door verbonden partijen en derden.

Dit omvat infrastructuur en ondersteunende systemen, zoals omgevingscontrolesystemen en fysieke toegangscontrolesystemen. Het omvat ook informatiemiddelen die worden beheerd door derden of verbonden partijen.

De relaties tussen gevoelige of kritieke informatiemiddelen en andere middelen die mogelijk minder betekenis hebben, maar kunnen worden gebruikt om de veiligheid van die middelen te schenden.

Bovendien moet dit de mate weerspiegelen waarin informatiebeveiligingsincidenten een entiteit of haar klanten – financieel of anderszins – kunnen beïnvloeden.

Bedrijven moeten over een classificatiemethodologie beschikken om te labelen wat een informatiemiddel is, om ervoor te zorgen dat belanghebbenden geïnformeerd en bewust zijn. Deze methode biedt ook context over granulariteitsoverwegingen en hoe activa worden beoordeeld, afhankelijk van hun kriticiteit of gevoeligheid. Houd er rekening mee dat activa verschillende beoordelingen kunnen krijgen op het gebied van kritikaliteit en gevoeligheid.

Het is gebruikelijk dat entiteiten gebruik maken van hun bestaande impactanalyses op de bedrijfscontinuïteit – die doorgaans de kriticiteit en andere gevoelige processen beoordelen – om de gevoeligheidsanalyse uit te voeren.

CPS 234's vereisten voor informatiebeveiligingscontrole

Om te voldoen aan CPS 234 moeten door APRA gereguleerde entiteiten informatiebeveiligingscontroles implementeren om hun gegevensactiva snel te beschermen en in verhouding te staan ​​tot de dreiging waarmee zij worden geconfronteerd, overeenkomend met:

• Identificeer bestaande en toenemende kwetsbaarheden en bedreigingen die van cruciaal belang kunnen zijn voor essentiële gegevensmiddelen
• De levenscyclusfase van een informatiemiddel
• De mogelijke gevolgen van een gegevensbeveiligingsincident

Wat zijn de incidentbeheervereisten van CPS 234?

Volgens CPS 234 moeten alle door APRA gereguleerde entiteiten beschikken over robuuste mechanismen om informatiebeveiligingsincidenten zo snel mogelijk op te sporen en erop te reageren.

Er zijn veel detectiemechanismen voor informatiebeveiliging, waaronder oplossingen voor scannen, detecteren, monitoren en loggen. Deze beveiligingscontroles zullen robuuster en gevarieerder zijn, afhankelijk van de impact van een potentieel beveiligingsincident, en bestrijken doorgaans deze brede categorieën:

• Fysieke hardware
• Activiteiten op een hoger niveau, zoals betalingen
• Wijzigingen in gebruikerstoegang

Wat zijn de controletestvereisten van CPS 234?

CPS 234 vereist dat gereguleerde entiteiten systematische tests uitvoeren op informatiebeveiligingscontroles van een aard en frequentie die overeenkomen met:

• De snelheid waarmee nieuwe kwetsbaarheden en bedreigingen ontstaan
• De risico's die gepaard gaan met blootstelling aan omgevingen waarin de entiteit haar informatiebeveiligingsbeleid niet kan afdwingen
• Het belang en de gevoeligheid van de informatie-item(s)
• De gevolgen van een databeveiligingsincident
• De betekenis en frequentie van wijzigingen in informatiemiddelen

Beveiligingscontroles moeten ten minste jaarlijks worden getest of wanneer er een materiële verandering plaatsvindt in de informatiemiddelen of de zakelijke omgeving, zodat u kunt weten of deze nog steeds effectief en geldig zijn. Om ervoor te zorgen dat tests succesvol zijn, is het essentieel om de succescriteria duidelijk te definiëren en vast te stellen wanneer opnieuw testen nodig is.

Het testen moet worden uitgevoerd door voldoende bekwame, onafhankelijke specialisten die geen belangenconflicten hebben en een eerlijke evaluatie kunnen geven.

Wat zijn de interne auditvereisten van CPS 234?

Betrouwbare informatiebeveiligingscontroles moeten worden verzorgd door bekwaam personeel. Bovendien moet de interne auditfunctie de informatiebeveiligingscontrole beoordelen die wordt verstrekt door verbonden of derde partijen in gevallen waarin:

• Een informatiebeveiligingsincident dat de informatiemiddelen van een entiteit aantast, kan financiële gevolgen op de lange termijn hebben en klanten schade kunnen berokkenen
• Interne audits zijn bedoeld om te vertrouwen op de informatiebeveiligingscontroleborging die door de verbonden partij of derde partij wordt verstrekt

Als uit de beoordeling een tekortkoming blijkt of als er geen zekerheid bestaat dat aan de vereisten wordt voldaan, wordt de kwestie gewoonlijk ter overweging voorgelegd aan het bestuur.

Wanneer moet APRA op de hoogte worden gesteld onder CPS 234?

APRA moet zo snel mogelijk op de hoogte worden gebracht en uiterlijk 72 uur nadat de entiteit op de hoogte is gesteld van een beveiligingsincident.

Dit zijn incidenten die:

1. Had een substantiële impact kunnen hebben op de belangen van depositohouders, polishouders, begunstigden en andere klanten, of zou deze financieel of niet-financieel substantieel kunnen beïnvloeden
2. Andere toezichthouders in Australië of andere rechtsgebieden hebben geïnformeerd

Bij het informeren van APRA verwachten zij dat informatie wordt verstrekt, zoals:

• Naam van gereguleerde entiteit
• Datum en tijd van het incident
• Toen het incident als materieel werd beoordeeld
• Soort incident
• Beschrijving van het voorval
• Wat de huidige status is
• Acties ondernomen of gepland

APRA moet zo snel mogelijk op de hoogte worden gebracht en niet later dan tien werkdagen nadat u zich bewust bent geworden van een zwakte in de informatiebeveiligingscontrole die het bedrijf niet op tijd kan verhelpen.

Welke verschillen zijn er tussen CPS 234 en ISO 27001?

Een belangrijk verschil tussen de twee normen is de manier waarop ze worden gehandhaafd. Organisaties die de ISO 27001-certificering behalen, moeten hun certificering elke drie jaar vernieuwen, met regelmatige controle-audits gedurende deze periode. CPS 234 beschikt niet over een certificaat; in plaats daarvan beschikt APRA over veel formele en informele handhavingsinstrumenten.

Niet-formele benaderingen omvatten het samenwerken met bedrijven om problemen te identificeren en aan te pakken voordat ze hun vermogen om hun beloften waar te maken in gevaar brengen.

Desalniettemin is APRA bereid om indien nodig handhavingsmaatregelen te nemen – dit kan gerechtelijke stappen omvatten of het instrueren van bedrijven om bepaalde acties te ondernemen of stop te zetten.

Hoewel ISO 27001 wereldwijd wordt erkend, heeft APRA de CPS 234-standaard gecreëerd om tegemoet te komen aan de groeiende behoefte aan cyberbeveiliging bij entiteiten in de financiële dienstverleningssector. ISO 27001 is een veel uitgebreidere informatiebeveiligingsnorm en is van toepassing op bedrijven in verschillende sectoren, ongeacht hun omvang, type of locatie.

CPS 234 is ontwikkeld om samen te werken met ISO/IEC 27001, waarbij de eisen zijn afgestemd op de clausules en beveiligingscontroles uit ISO 27001. Beide standaarden zijn bedoeld om de informatiebeveiliging van een organisatie te verbeteren. Elk bedrijf of elke organisatie die ISO 27001-geaccrediteerd is, zou gemakkelijker moeten kunnen voldoen aan de CPS 234-vereisten.

Hoe kunnen bedrijven worden voorbereid op audits van CPS 234?

Zoals u kunt zien, moet er veel worden gedaan om naleving te garanderen. De meest beheersbare vereiste waaraan moet worden voldaan, is ervoor zorgen dat al het cyberbeveiligingspersoneel duidelijk gedefinieerde, gearticuleerde en gecommuniceerde verantwoordelijkheden binnen de organisatie heeft.

Een van de grootste uitdagingen bij het naleven van CPS 234 kan mogelijk een gebrek aan richtlijnen en praktische toepassing zijn als het gaat om derden.

Hoe ISMS.online helpt

Ons platform wordt geleverd met verschillende kant-en-klare raamwerken die u kunt overnemen, aanpassen of toevoegen, afhankelijk van de unieke behoeften van uw organisatie. Of u kunt eenvoudig uw eigen systeem bouwen voor op maat gemaakte complianceprojecten.