CPS 234 -yhteensopivuusratkaisu

Kenen tulee noudattaa CPS 234:ää?

CPS 234 kattaa kaikki APRA:n säännellyt yhteisöt, kuten:

• Pankit, luotto-osuudet ja muut valtuutetut talletuksia vastaanottavat laitokset (ADI)
• Henkivakuutusyhtiöt
• Eläkerahastot
• Yleiset vakuutusyhtiöt
• Ystävälliset seurat
• Yksityiset sairausvakuutusyhtiöt
• Toimimattomat holdingyhtiöt

Yllä mainituilla yksiköillä on tärkeitä henkilökohtaisia ​​tunnistetietoja ja suojattuja terveystietoja, joihin kyberhyökkäykset kohdistuvat hyökkäyksen aikana.

CPS 234:n tietoturvakyvyn vaatimukset

CPS 234:ssä sinulla on tietoturvaominaisuuksia koskevia vaatimuksia, jotka sinun on täytettävä.

Tämä edellyttää:

• Organisaatiosi ylläpitää tietoturvakykyäsi, joka vastaa tietovarannon kokoa ja uhkien laajuutta
• Arvioi organisaation puolesta tietoresursseja hallinnoivien toisiinsa liittyvien tahojen tai kolmansien osapuolten tietoturvavalmiuksia
• Varmista, että organisaatiosi ylläpitää tietoturvakykyään ja päivittää omaisuuden tai ympäristön muutoksista johtuvat haavoittuvuudet ja uhat

Täyttääkseen nämä vaatimukset säännellyt yhteisöt tarkastelevat yleensä resurssien riittävyyttä, mukaan lukien rahoitus- ja henkilöstöresurssit sekä tarvittavien taitojen oikea-aikainen saatavuus.

CPS 234:n tietoturvapolitiikan vaatimukset

APRA:n sääntelemien tahojen on ylläpidettävä tietoturvapolitiikkaa, joka kuvastaa niiden altistumista haavoittuvuuksille ja uhille. Kaikkien tieto- ja tietoturvan ylläpitovelvollisten osapuolten vastuut tulee ohjata organisaatiosi politiikassa.

Viitekehys on tyypillisesti rakennettu hierarkiaksi, jossa on korkeamman tason politiikkaa, jota tukevat ohjeet ja menettelyt.

Politiikkakehyksessä käsitellään monia yhteisiä alueita, kuten:

• Tietoresurssien tunnistaminen, valtuuttaminen ja pääsyn myöntäminen
• Tietoturvavaatimukset tulee ottaa huomioon omaisuuden elinkaaren jokaisessa vaiheessa (hankinnasta käytöstä poistamiseen ja tuhoamiseen).
• Tietoturvateknologian hallinta, mukaan lukien palomuurit, haittaohjelmien torjuntaohjelmistot, tunkeutumisen havainnointi, tunkeutumisenestoohjelmistot, salausjärjestelmät ja valvontatyökalut
• Kattava tietoturva-arkkitehtuuri on suunniteltu tunnistamalla lähestymistapa IT-ympäristösi luomiseen tietoturvanäkökulmasta
• Seuranta ja tapausten hallinta sisältää tapausten tunnistamisen, luokittelun, raportoinnin ja eskaloinnin. Se sisältää myös todisteiden säilyttämisen tutkintatarkoituksiin
• Odotukset käytettäessä kolmansia osapuolia ja lähipiiriin kuuluvia osapuolia tietoturvan ylläpitämiseen
• Tietojen hyväksyttävä käyttö, joka noudattaa loppukäyttäjän velvollisuuksia, mukaan lukien henkilöstön jäsenet, kolmannet osapuolet, yhteistyökumppanit ja asiakkaat
• Henkilöstön ja urakoitsijoiden rekrytointi ja seulonta
• Mekanismit tietoturvapolitiikan puitteiden noudattamisen ja jatkuvan tehokkuuden arvioimiseksi ja mittaamiseksi

Tämä viitekehys olisi tyypillisesti yhdenmukainen muiden kokonaisuuskehysten, kuten riskienhallinnan ja palveluntarjoajien hallinnan, kanssa.

CPS 234:n tietoresurssien tunnistus- ja luokitusvaatimukset

APRA:n säännellyillä yhteisöillä on velvollisuus luokitella tietovarat, mukaan lukien lähipiirin ja kolmansien osapuolten hallinnoimat tietovarat.

Tämä sisältää infrastruktuurin ja oheisjärjestelmät, kuten ympäristönvalvontajärjestelmät ja fyysiset kulunvalvontajärjestelmät. Se kattaa myös kolmansien osapuolten tai lähipiiriin kuuluvien osapuolten hallinnoimat tietovarat.

Arkaluonteisten tai kriittisten tietoresurssien ja muiden resurssien väliset suhteet, joilla voi olla vähemmän merkitystä, mutta joita voidaan käyttää näiden resurssien turvallisuuden loukkaamiseen.

Lisäksi tämän tulee kuvastaa sitä, missä määrin tietoturvaloukkaukset voivat vaikuttaa – taloudellisesti tai muuten – yhteisöön tai sen asiakkaisiin.

Yrityksillä on oltava luokittelumenetelmät sen merkitsemiseksi, mikä on tietovaraa, jotta sidosryhmät ovat perillä ja tietoisia. Tämä menetelmä tarjoaa myös kontekstin tarkkuutta koskeviin näkökohtiin ja siihen, miten resurssit luokitellaan niiden kriittisyyden tai herkkyyden mukaan. Huomaa, että omaisuudelle voidaan antaa eri luokituksia kriittisyyden ja herkkyyden suhteen.

On tavallista, että yhteisöt käyttävät olemassa olevia liiketoiminnan jatkuvuuden vaikutusanalyysejaan – jotka tyypillisesti arvioivat kriittisyyttä ja muita herkkiä prosesseja – herkkyysanalyysin tekemiseen.

CPS 234:n tietoturvallisuuden valvontavaatimukset

CPS 234:n noudattamiseksi APRA:n säänneltyjen yksiköiden on otettava käyttöön tietoturvavalvontatoimenpiteitä suojatakseen tietoomaisuutensa nopeasti ja oikeasuhteisesti niiden kohtaamaan uhkaan, mikä vastaa:

• Tunnista nykyiset ja kasvavat haavoittuvuudet ja uhat, jotka voivat olla kriittisiä olennaisille tietoresursseille
• Tietovaran elinkaarivaihe
• Tietoturvaloukkauksen mahdolliset seuraukset

Mitkä ovat CPS 234:n vaaratilanteiden hallintavaatimukset?

CPS 234:n mukaan kaikilla APRA:n säännellyillä yksiköillä on oltava vankat mekanismit tietoturvaloukkausten havaitsemiseksi ja niihin reagoimiseksi mahdollisimman pian.

Tietoturvaan on olemassa monia tunnistusmekanismeja, mukaan lukien skannaus-, tunnistus-, valvonta- ja lokiratkaisut. Nämä turvatarkastukset ovat vankempia ja monipuolisempia mahdollisen tietoturvavälikohtauksen vaikutuksista riippuen, ja ne kattavat tyypillisesti seuraavat laajat luokat:

• Fyysinen laitteisto
• Korkeamman tason toiminnot, kuten maksut
• Muutoksia käyttöoikeuksiin

Mitkä ovat CPS 234:n ohjaustestauksen vaatimukset?

CPS 234 edellyttää säänneltyjen yksiköiden suorittavan järjestelmällistä testausta tietoturvaohjauksille, joiden luonne ja tiheys vastaavat:

• Nopeus, jolla uusia haavoittuvuuksia ja uhkia syntyy
• Riskit, jotka liittyvät altistumiseen ympäristöihin, joissa yhteisö ei voi valvoa tietoturvapolitiikkaansa
• Tietoresurssien tärkeys ja herkkyys
• Tietoturvaloukkauksen seuraukset
• Tietovarallisuuden muutosten merkitys ja tiheys

Turvavalvontatoimenpiteet on testattava vähintään kerran vuodessa tai aina, kun tietovaroissa tai liiketoimintaympäristössä tapahtuu olennainen muutos, jotta voit tietää, ovatko ne edelleen tehokkaita ja voimassa. Testien onnistumisen varmistamiseksi on tärkeää määritellä selkeästi onnistumisen kriteerit ja milloin uusintatestaus on tarpeen.

Testauksen tulee tehdä asianmukaisesti koulutettujen, riippumattomien asiantuntijoiden toimesta, joilla ei ole eturistiriitoja ja jotka voivat antaa oikeudenmukaisen arvion.

Mitkä ovat CPS 234:n sisäisen tarkastuksen vaatimukset?

Luotettava tietoturvan valvonta on varmistettava ammattitaitoisen henkilöstön toimesta. Lisäksi sisäisen tarkastuksen on arvioitava lähipiirin tai kolmansien osapuolien antamaa tietoturvallisuuden valvontatakuuta tapauksissa, joissa:

• Tietoturvaloukkauksella, joka vaikuttaa yhteisön tietovaroihin, voi olla pitkäaikainen taloudellinen vaikutus ja kyky vahingoittaa asiakkaita.
• Sisäisten tarkastusten tarkoituksena on luottaa lähipiirin tai kolmannen osapuolen antamaan tietoturvan valvontavarmuuteen

Jos arvioinnissa ilmenee puutteita tai jos vaatimusten täyttämisestä ei ole varmuutta, asia viedään yleisesti hallituksen käsiteltäväksi.

Milloin APRA:lle on ilmoitettava CPS 234:n mukaisesti?

APRA:lle on ilmoitettava mahdollisimman pian ja viimeistään 72 tunnin kuluessa siitä, kun yhteisö on saanut tietoonsa turvallisuushäiriöstä.

Nämä ovat tapahtumia, jotka:

1. Olisi voinut vaikuttaa merkittävästi tallettajien, vakuutuksenottajien, edunsaajien ja muiden asiakkaiden etuihin tai se voisi vaikuttaa merkittävästi taloudellisesti tai ei-taloudellisesti
2. on ilmoittanut muille sääntelyviranomaisille Australiassa tai muilla lainkäyttöalueilla

Ilmoittaessaan APRA:lle he odottavat, että toimitetaan tietoja, kuten:

• Säännellyn yksikön nimi
• Tapahtuman päivämäärä ja aika
• Kun tapaus arvioitiin aineelliseksi
• Tapahtuman tyyppi
• Tapahtuman kuvaus
• Mikä on tämänhetkinen tila
• Toteutetut tai suunnitellut toimet

APRA:lle tulee ilmoittaa mahdollisimman pian ja viimeistään kymmenen arkipäivän kuluttua tietoturvan hallinnan puutteesta, jota yritys ei pysty korjaamaan ajoissa.

Mitä eroja CPS 234:n ja ISO 27001:n välillä on?

Yksi keskeinen ero näiden kahden standardin välillä on se, miten ne pannaan täytäntöön. ISO 27001 -sertifikaatin saaneiden organisaatioiden on uusittava sertifiointinsa kolmen vuoden välein ja säännöllisiä valvontaauditointeja tänä aikana. CPS 234:llä ei ole sertifikaattia; Sen sijaan APRAlla on monia virallisia ja epävirallisia täytäntöönpanovälineitä.

Epävirallisiin lähestymistapoihin kuuluu työskentely yritysten kanssa ongelmien tunnistamiseksi ja ratkaisemiseksi ennen kuin ne uhkaavat niiden kykyä lunastaa lupauksensa.

Siitä huolimatta APRA on valmis ryhtymään täytäntöönpanotoimiin, kun se on tarkoituksenmukaista – tämä voi sisältää oikeudenkäynnin tai yritysten ohjeistamisen ryhtymään tai lopettamaan tiettyjä toimia.

Vaikka ISO 27001 on maailmanlaajuisesti tunnustettu, APRA loi CPS 234 -standardin vastatakseen kasvavaan kyberturvallisuuden tarpeeseen rahoituspalvelualan toimijoiden keskuudessa. ISO 27001 on paljon kattavampi tietoturvastandardi, ja se koskee eri alojen yrityksiä niiden koosta, tyypistä tai sijainnista riippumatta.

CPS 234 luotiin toimimaan sopusoinnussa ISO/IEC 27001 -standardin kanssa, ja vaatimukset on kohdistettu ISO 27001 -standardin lausekkeisiin ja turvatoimiin. Molemmat standardit on suunniteltu parantamaan organisaation tietoturvaa. Jokaisen yrityksen tai organisaation, jolla on ISO 27001 -akkreditointi, pitäisi olla helpompi täyttää CPS 234 -vaatimukset.

Kuinka yritykset voivat valmistautua CPS 234:n auditointeihin?

Kuten näet, on paljon tehtävää noudattamisen varmistamiseksi. Hallittavin vaatimus täytettävänä on varmistaa, että kaikilla kyberturvallisuushenkilöstöllä on selkeästi määritellyt, jäsennellyt ja kommunikoidut vastuut koko organisaatiossa.

Yksi CPS 234 -yhteensopivuuden suurimmista haasteista voi mahdollisesti olla ohjeiden ja käytännön soveltamisen puute kolmansien osapuolten osalta.

Miten ISMS.online Ohje

Alustamme sisältää erilaisia ​​valmiita puitteita, joita voit ottaa käyttöön, mukauttaa tai lisätä organisaatiosi ainutlaatuisten tarpeiden mukaan. Tai voit helposti rakentaa oman räätälöityjä vaatimustenmukaisuusprojekteja varten.