CPS 234 Compliance-Lösung

Wer sollte CPS 234 einhalten?

CPS 234 deckt alle APRA-regulierten Unternehmen ab, wie zum Beispiel:

• Banken, Kreditgenossenschaften und andere autorisierte Einlageninstitute (ADIs)
• Lebensversicherungsgesellschaften
• Rentenfonds
• Allgemeine Versicherer
• Freundliche Gesellschaften
• Private Krankenversicherer
• Nicht operative Holdinggesellschaften

Die oben genannten Unternehmen verfügen über wichtige persönlich identifizierbare Informationen und geschützte Gesundheitsinformationen, auf die Cyberangriffe bei einem Angriff abzielen würden.

Anforderungen an die Informationssicherheitsfähigkeit von CPS 234

Gemäß CPS 234 haben Sie Anforderungen an die Informationssicherheitsfähigkeit, die Sie erfüllen müssen.

Dafür braucht man:

• Ihr Unternehmen verfügt über eine Informationssicherheitskapazität, die der Größe und dem Ausmaß der Bedrohungen Ihrer Informationsressourcen entspricht
• Bewerten Sie die Informationssicherheitsfähigkeiten verbundener Unternehmen oder Dritter, die Informationsbestände im Namen der Organisation verwalten
• Stellen Sie sicher, dass Ihr Unternehmen seine Fähigkeit zur Informationssicherheit aufrechterhält und Schwachstellen und Bedrohungen aktualisiert, die sich aus Änderungen an Vermögenswerten oder der Umgebung ergeben

Um diese Anforderungen zu erfüllen, überprüfen regulierte Unternehmen in der Regel die Angemessenheit der Ressourcen, einschließlich der Finanzierungs- und Personalressourcen und des rechtzeitigen Zugangs zu den erforderlichen Fähigkeiten.

Anforderungen der Informationssicherheitsrichtlinie von CPS 234

Von der APRA regulierte Unternehmen müssen einen Rahmen für Informationssicherheitsrichtlinien einhalten, der ihre Gefährdung durch Schwachstellen und Bedrohungen widerspiegelt. Die Verantwortlichkeiten aller Parteien, die zur Aufrechterhaltung der Informations- und Datensicherheit verpflichtet sind, sollten in den Richtlinien Ihrer Organisation festgelegt werden.

Das Framework ist typischerweise als Hierarchie mit übergeordneten Richtlinien strukturiert, die durch Richtlinien und Verfahren unterstützt werden.

Es gibt viele gemeinsame Bereiche, die im politischen Rahmen angesprochen werden, wie zum Beispiel:

• Identifizierung, Autorisierung und Gewährung des Zugriffs auf Datenbestände
• Anforderungen an die Informationssicherheit sollten in jeder Phase des Lebenszyklus eines Vermögenswerts berücksichtigt werden (vom Erwerb bis zur Stilllegung und Zerstörung).
• Das Management von Informationssicherheitstechnologie, einschließlich Firewalls, Anti-Malware-Software, Intrusion Detection, Intrusion Prevention-Software, kryptografischen Systemen und Überwachungstools
• Eine übergreifende Informationssicherheitsarchitektur wird entworfen, indem der Ansatz für die Erstellung Ihrer IT-Umgebung unter Sicherheitsgesichtspunkten ermittelt wird
• Bei der Überwachung und dem Vorfallmanagement geht es darum, Vorfälle zu identifizieren, zu klassifizieren, zu melden und zu eskalieren. Dazu gehört auch die Sicherung von Beweismitteln zu Ermittlungszwecken
• Erwartungen bei der Nutzung Dritter und verbundener Parteien zur Aufrechterhaltung der Informationssicherheit
• Akzeptable Nutzung von Informationsressourcen, die den Verantwortlichkeiten der Endbenutzer, einschließlich Mitarbeitern, Dritten, Partnern und Kunden, entspricht
• Rekrutierung und Überprüfung von Mitarbeitern und Auftragnehmern
• Mechanismen zur Bewertung und Messung der Einhaltung und der laufenden Wirksamkeit des Informationssicherheitsrichtlinienrahmens

Dieses Rahmenwerk würde in der Regel mit anderen Unternehmensrahmenwerken wie Risikomanagement und Dienstanbietermanagement konsistent sein.

CPS 234-Anforderungen zur Identifizierung und Klassifizierung von Informationsressourcen

APRA-regulierte Unternehmen sind verpflichtet, Informationsbestände zu klassifizieren, einschließlich derjenigen, die von verbundenen Parteien und Dritten verwaltet werden.

Dazu gehören Infrastruktur- und Nebensysteme wie Umgebungskontrollsysteme und physische Zugangskontrollsysteme. Es umfasst auch Informationsbestände, die von Dritten oder verbundenen Parteien verwaltet werden.

Die Beziehungen zwischen sensiblen oder kritischen Informationsressourcen und anderen Vermögenswerten, die möglicherweise von geringerer Bedeutung sind, aber zur Verletzung der Sicherheit dieser Vermögenswerte genutzt werden können.

Darüber hinaus sollte dies das Ausmaß widerspiegeln, in dem Informationssicherheitsvorfälle potenziell finanzielle oder sonstige Auswirkungen auf ein Unternehmen oder seine Kunden haben können.

Unternehmen müssen über eine Klassifizierungsmethode verfügen, um zu kennzeichnen, was einen Informationswert darstellt, um sicherzustellen, dass die Stakeholder informiert und informiert sind. Diese Methode liefert auch Kontext zu Überlegungen zur Granularität und zur Bewertung von Vermögenswerten in Abhängigkeit von ihrer Kritikalität oder Sensibilität. Beachten Sie, dass Assets unterschiedliche Bewertungen für Kritikalität und Sensibilität erhalten können.

Für die Durchführung der Sensitivitätsanalyse nutzen Unternehmen häufig ihre bestehenden Analysen zur Auswirkung auf die Geschäftskontinuität – die in der Regel die Kritikalität und andere sensible Prozesse bewerten.

Anforderungen an die Informationssicherheitskontrolle von CPS 234

Um CPS 234 einzuhalten, müssen APRA-regulierte Unternehmen Informationssicherheitskontrollen implementieren, um ihre Datenbestände umgehend und in einem angemessenen Verhältnis zur Bedrohung, der sie ausgesetzt sind, zu schützen, entsprechend:

• Identifizieren Sie bestehende und zunehmende Schwachstellen und Bedrohungen, die für wichtige Datenbestände von entscheidender Bedeutung sein könnten
• Die Lebenszyklusphase eines Informationsassets
• Die möglichen Folgen eines Datensicherheitsvorfalls

Was sind die Incident-Management-Anforderungen von CPS 234?

Gemäß CPS 234 müssen alle APRA-regulierten Unternehmen über robuste Mechanismen verfügen, um Informationssicherheitsvorfälle so schnell wie möglich zu erkennen und darauf zu reagieren.

Es gibt viele Erkennungsmechanismen für die Informationssicherheit, darunter Scan-, Erkennungs-, Überwachungs- und Protokollierungslösungen. Diese Sicherheitskontrollen werden je nach den Auswirkungen eines potenziellen Sicherheitsvorfalls robuster und vielfältiger sein und decken in der Regel die folgenden großen Kategorien ab:

• Physische Hardware
• Aktivitäten auf höherer Ebene wie Zahlungen
• Änderungen am Benutzerzugriff

Was sind die Kontrolltestanforderungen von CPS 234?

Gemäß CPS 234 müssen regulierte Unternehmen systematische Tests zu Informationssicherheitskontrollen durchführen, deren Art und Häufigkeit Folgendem entspricht:

• Die Geschwindigkeit, mit der neue Schwachstellen und Bedrohungen entstehen
• Die Risiken, die damit verbunden sind, Umgebungen ausgesetzt zu sein, in denen das Unternehmen seine Informationssicherheitsrichtlinien nicht durchsetzen kann
• Die Bedeutung und Sensibilität der Informationsressourcen
• Die Folgen eines Datensicherheitsvorfalls
• Die Bedeutung und Häufigkeit von Änderungen an Informationsressourcen

Sicherheitskontrollen müssen mindestens einmal jährlich oder bei jeder wesentlichen Änderung der Informationsbestände oder der Geschäftsumgebung getestet werden, damit Sie wissen, ob sie noch wirksam und gültig sind. Um sicherzustellen, dass Tests erfolgreich sind, ist es wichtig, die Erfolgskriterien klar zu definieren und festzulegen, wann erneute Tests erforderlich sind.

Die Tests sollten von entsprechend qualifizierten, unabhängigen Spezialisten durchgeführt werden, bei denen es keine Interessenkonflikte gibt und die eine faire Bewertung abgeben können.

Was sind die internen Auditanforderungen von CPS 234?

Eine zuverlässige Gewährleistung der Informationssicherheitskontrolle muss durch qualifiziertes Personal erfolgen. Darüber hinaus muss die interne Revisionsfunktion die von verbundenen Parteien oder Dritten bereitgestellte Kontrollgarantie für die Informationssicherheit bewerten, wenn:

• Ein Informationssicherheitsvorfall, der sich auf die Informationsbestände eines Unternehmens auswirkt, kann langfristige finanzielle Auswirkungen haben und möglicherweise Kunden schaden
• Interne Audits zielen darauf ab, sich auf die von der verbundenen Partei oder einem Dritten bereitgestellten Kontrollzusicherungen für die Informationssicherheit zu verlassen

Wenn die Beurteilung einen Mangel aufdeckt oder keine Gewähr für die Erfüllung der Anforderungen besteht, wird das Problem üblicherweise dem Vorstand zur Prüfung vorgelegt.

Wann muss APRA gemäß CPS 234 benachrichtigt werden?

APRA muss so schnell wie möglich und spätestens 72 Stunden, nachdem das Unternehmen von einem Sicherheitsvorfall Kenntnis erlangt hat, informiert werden.

Dies sind Vorfälle, die:

1. Könnte erhebliche Auswirkungen auf die Interessen von Einlegern, Versicherungsnehmern, Begünstigten und anderen Kunden gehabt haben oder diese finanziell oder nichtfinanziell erheblich beeinträchtigen
2. Sie haben andere Aufsichtsbehörden in Australien oder anderen Gerichtsbarkeiten informiert

Bei der Benachrichtigung der APRA erwarten sie die Bereitstellung von Informationen wie:

• Name des regulierten Unternehmens
• Datum und Uhrzeit des Vorfalls
• Als der Vorfall als wesentlich eingestuft wurde
• Art des Vorfalls
• Beschreibung des Vorfalls
• Wie der aktuelle Stand ist
• Getroffene oder geplante Maßnahmen

APRA muss so schnell wie möglich, spätestens jedoch zehn Werktage, nachdem Ihnen eine Schwachstelle bei der Informationssicherheitskontrolle bekannt wird, die das Unternehmen nicht rechtzeitig beheben kann, informiert werden.

Welche Unterschiede gibt es zwischen CPS 234 und ISO 27001?

Ein wesentlicher Unterschied zwischen den beiden Standards besteht in der Art und Weise, wie sie durchgesetzt werden. Organisationen, die eine ISO 27001-Zertifizierung erreichen, müssen ihre Zertifizierung alle drei Jahre erneuern und in diesem Zeitraum regelmäßige Überwachungsaudits durchführen. CPS 234 verfügt über kein Zertifikat; Stattdessen verfügt APRA über zahlreiche formelle und informelle Durchsetzungsinstrumente.

Zu den nicht formalen Ansätzen gehört die Zusammenarbeit mit Unternehmen, um Probleme zu erkennen und anzugehen, bevor sie ihre Fähigkeit, ihre Versprechen einzuhalten, gefährden.

Dennoch ist APRA bereit, bei Bedarf Durchsetzungsmaßnahmen zu ergreifen – dazu können gerichtliche Maßnahmen oder die Anweisung an Unternehmen gehören, bestimmte Maßnahmen zu ergreifen oder zu stoppen.

Während ISO 27001 weltweit anerkannt ist, hat APRA den CPS 234-Standard entwickelt, um dem wachsenden Bedarf an Cybersicherheit bei Unternehmen in der Finanzdienstleistungsbranche gerecht zu werden. ISO 27001 ist ein viel umfassenderer Informationssicherheitsstandard und gilt für Unternehmen in verschiedenen Branchen, unabhängig von ihrer Größe, Art oder Standort.

CPS 234 wurde im Einklang mit ISO/IEC 27001 entwickelt, wobei die Anforderungen an die in ISO 27001 beschriebenen Klauseln und Sicherheitskontrollen angepasst sind. Beide Standards sollen die Informationssicherheit einer Organisation erhöhen. Jedes Unternehmen oder jede Organisation, die nach ISO 27001 akkreditiert ist, sollte es leichter haben, die Anforderungen von CPS 234 zu erfüllen.

Wie können Unternehmen auf Audits nach CPS 234 vorbereitet werden?

Wie Sie sehen, gibt es viel zu tun, um die Einhaltung sicherzustellen. Die am einfachsten zu erfüllende Anforderung besteht darin, sicherzustellen, dass alle Cybersicherheitsmitarbeiter im gesamten Unternehmen klar definierte, artikulierte und kommunizierte Verantwortlichkeiten haben.

Eine der größten Herausforderungen bei der Einhaltung von CPS 234 kann möglicherweise der Mangel an Richtlinien und praktischer Anwendung gegenüber Dritten sein.

Wie ISMS.online hilft

Unsere Plattform verfügt über verschiedene vorgefertigte Frameworks, die Sie je nach den individuellen Anforderungen Ihres Unternehmens übernehmen, anpassen oder ergänzen können. Oder Sie können ganz einfach Ihre eigene Lösung für maßgeschneiderte Compliance-Projekte erstellen.