חבר את תקנת הכספים המחייבת של אוסטרליה עם ISO 27001
CPS 234 היא תקנת אבטחת מידע שהונפקה על ידי הרשות האוסטרלית לתקנות זהירות (APRA) לארגוני ביטוח ופיננסים כדי להגן מפני התקפות סייבר.
אל האני הרשות האוסטרלית לתקנות זהירות (APRA) הוקמה בשנת 1998 על ידי ממשלת אוסטרליה.
APRA מפקחת על ביטוחי בריאות פרטיים, ביטוח כללי וחיים, קרנות פנסיה, אגודות ידידותיות, חברות ביטוח משנה ומוסדות פיננסיים המורשים לקחת פיקדונות כמו אגודות בניין, בנקים ואיגודי אשראי.
CPS 234 היא תקנת אבטחת מידע שהוצאה לראשונה על ידי APRA ב-1 ביולי 2019. התקנה נועדה לסייע לארגונים להגן על עצמם ועל לקוחותיהם מפני התקפות סייבר על ידי חיזוק מסגרת אבטחת המידע שלהם.
CPS 234 קובע דרישות לגבי זיהוי וסיווג נכסי מידע, תפקידים ואחריות של אבטחת מידע, יישום ובדיקה של בקרות אבטחת מידע, ניהול תקריות, ביקורת פנימית והתראה על הפרה.
CPS 234 קובע כי ישויות מפוקחות חייבות לשמור על מערכות אבטחת מידע ופרקטיקות המתאימות לאיומים העומדים בפניהם.
מוסדות פיננסיים הם יעד פופולרי להתקפות סייבר מכיוון שהם מחזיקים מידע המאפשר זיהוי אישי (PII) ו מידע בריאותי מוגן (PHI) של תושבי אוסטרליה.
ישויות בפיקוח APRA נדרשות לפעול לפי CPS 234. התקן נופל תחת החוקים הבאים:
CPS 234 מכסה את כל הישויות בפיקוח APRA, כגון:
ישויות שהוזכרו לעיל מחזיקות במידע חשוב מזהה אישי ומידע בריאותי מוגן שהתקפות סייבר יתמקדו בהן במהלך התקפה.
תחת CPS 234, יש לך דרישות של יכולת אבטחת מידע שאתה צריך לעמוד בהן.
זה דורש:
כדי לעמוד בדרישות אלה, גופים מפוקחים בדרך כלל בודקים את נאותות המשאבים, לרבות משאבי מימון ואיוש וגישה בזמן למערך הכישורים הדרושים.
גופים המוסדרים על ידי APRA חייבים לשמור על מסגרת מדיניות אבטחת מידע המשקפת את חשיפתם לפגיעויות ואיומים. האחריות של כל הצדדים שיש להם מחויבות לשמור על אבטחת מידע ונתונים צריכה לקבל הנחיות על ידי המדיניות של הארגון שלך.
המסגרת בנויה בדרך כלל כהיררכיה עם מדיניות ברמה גבוהה יותר הנתמכת על ידי הנחיות ונהלים.
ישנם תחומים משותפים רבים המטופלים במסגרת המדיניות, כגון:
מסגרת זו תהיה בדרך כלל עקבית עם מסגרות ישויות אחרות, כגון ניהול סיכונים וניהול ספקי שירותים.
גופים בפיקוח APRA מחויבים לסווג נכסי מידע, לרבות אלה המנוהלים על ידי צדדים קשורים וצדדים שלישיים.
זה כולל תשתית ומערכות נלוות, כגון מערכות בקרת סביבה ומערכות בקרת גישה פיזית. הוא כולל גם נכסי מידע המנוהלים על ידי צדדים שלישיים או צדדים קשורים.
היחסים בין נכסי מידע רגישים או קריטיים לבין נכסים אחרים שעשויים להיות בעלי משמעות פחותה אך ניתן להשתמש בהם כדי להפר את האבטחה של נכסים אלה.
בנוסף, זה צריך לשקף את המידה שבה יש לאירועי אבטחת מידע פוטנציאל להשפיע - פיננסית או אחרת - על ישות או על לקוחותיה.
לחברות חייבות להיות מתודולוגיית סיווג כדי לתייג מה מהווה נכס מידע כדי להבטיח שבעלי העניין יהיו מודעים ומודעים. שיטה זו מספקת גם הקשר לגבי שיקולי פירוט וכיצד נכסים מדורגים בהתאם לקריטיות או רגישותם. שימו לב שניתן לתת לנכסים דירוגים שונים עבור קריטיות ורגישות.
נהוג שישויות ממנפות את ניתוחי ההשפעה ההמשכיות העסקית הקיימים שלהן - אשר בדרך כלל מעריכים קריטיות ותהליכים רגישים אחרים - כדי לבצע את ניתוח הרגישות.
כדי לציית ל-CPS 234, ישויות בפיקוח APRA חייבות ליישם בקרות אבטחת מידע כדי להגן על נכסי הנתונים שלהם באופן מיידי ובפרופורציונלי לאיום שהם מתמודדים איתו, בהתאם ל:
לפי CPS 234, כל הגופים המוסדרים על ידי APRA חייבים להיות בעלי מנגנונים חזקים כדי לזהות ולהגיב לאירועי אבטחת מידע בהקדם האפשרי.
ישנם מנגנוני זיהוי רבים לאבטחת מידע, לרבות פתרונות סריקה, חישה, ניטור ורישום. בקרות אבטחה אלו יהיו חזקות יותר ומגוונות יותר בהתאם להשפעה של אירוע אבטחה פוטנציאלי, ובדרך כלל מכסים את הקטגוריות הרחבות הללו:
הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך
CPS 234 מחייב גורמים מפוקחים לבצע בדיקות שיטתיות של בקרות אבטחת מידע בעלות אופי ותדירות התואמים:
בקרות האבטחה צריכות להיבדק לפחות מדי שנה או בכל פעם שיש שינוי מהותי בנכסי המידע או בסביבה העסקית כדי שתוכל לדעת אם הם עדיין יעילים ותקפים. כדי להבטיח שהבדיקות יצליחו, חיוני להגדיר את הקריטריונים להצלחה בבירור ומתי יהיה צורך בבדיקה חוזרת.
הבדיקה צריכה להיעשות על ידי מומחים מיומנים ובלתי תלויים, שאין להם ניגודי עניינים כלשהם ויכולים לספק הערכה הוגנת.
אבטחת בקרת אבטחת מידע מהימנה חייבת להינתן על ידי צוות מיומן. בנוסף, פונקציית הביקורת הפנימית צריכה להעריך את הבטחת בקרת אבטחת המידע הניתנת על ידי צדדים קשורים או שלישיים במקרים שבהם:
אם ההערכה מגלה ליקוי או אם אין הבטחה לעמידה בדרישות, הנושא מועלה בדרך כלל לדיון במועצה.
יש ליידע את APRA בהקדם האפשרי ולא יאוחר מ-72 שעות לאחר שנודע לישות על אירוע ביטחוני.
אלו הם אירועים ש:
כאשר מודיעים ל-APRA, הם מצפים שיסופק מידע, כגון:
יש ליידע את APRA בהקדם האפשרי ולא יאוחר מעשרה ימי עסקים לאחר שנודע לך על חולשת בקרת אבטחת מידע שהחברה לא יכולה לתקן בזמן.
הבדל מרכזי אחד בין שני התקנים הוא האופן שבו הם נאכפים. ארגונים המגיעים להסמכת ISO 27001 חייבים לחדש את ההסמכה שלהם כל שלוש שנים, עם ביקורות מעקב שוטפות במהלך תקופה זו. ל-CPS 234 אין תעודה; במקום זאת, ל-APRA יש כלי אכיפה פורמליים ובלתי פורמליים רבים.
גישות לא רשמיות כוללות עבודה עם חברות כדי לזהות ולטפל בבעיות לפני שהן מאיימות על יכולתן לעמוד בהבטחותיהן.
עם זאת, APRA מוכנה לנקוט בפעולות אכיפה כאשר הדבר מתאים - זה יכול לכלול פעולה מבוססת בית משפט או הנחיה לחברות לנקוט או להפסיק פעולות מסוימות.
בעוד ש-ISO 27001 מוכר ברחבי העולם, APRA יצרה את תקן CPS 234 כדי לענות על הצורך הגובר באבטחת סייבר בקרב גופים בתעשיית השירותים הפיננסיים. ISO 27001 הוא תקן אבטחת מידע הרבה יותר מקיף, והוא חל על עסקים במגזרים שונים ללא קשר לגודלם, סוגם או מיקומם.
CPS 234 נוצר כדי לעבוד יחד עם ISO/IEC 27001, עם דרישות המתואמות לסעיפים ובקרות אבטחה המתוארות ב-ISO 27001. שני התקנים נועדו להגביר את אבטחת המידע של ארגון. לכל עסק או ארגון שהוסמך לתקן ISO 27001 יהיה קל יותר לעמוד בדרישות CPS 234.
כפי שאתה יכול לראות, יש הרבה מה לעשות כדי להבטיח ציות. הדרישה הניתנת לניהול למלא היא להבטיח שלכל צוות אבטחת הסייבר יש תחומי אחריות מוגדרים, ניסוחים ותקשורים בכל הארגון.
אחד האתגרים הגדולים ביותר לעמידה ב-CPS 234 יכול להיות העדר הנחיות ויישום מעשי כשמדובר בצדדים שלישיים.
הפלטפורמה שלנו מגיעה עם מסגרות שונות מובנות מראש שתוכלו לאמץ, להתאים או להוסיף אליהן, בהתאם לצרכים הייחודיים של הארגון שלכם. לחלופין, אתה יכול בקלות לבנות משלך עבור פרויקטי תאימות מותאמים אישית.
הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך