Solution de conformité CPS 234

Qui doit se conformer à la CPS 234 ?

CPS 234 couvre toutes les entités réglementées par l'APRA, telles que :

• Banques, coopératives de crédit et autres institutions de dépôt autorisées (ADI)
• Les compagnies d'assurance-vie
• Caisses de retraite
• Assureurs généraux
• Sociétés amicales
• Assureurs-maladie privés
• Sociétés holding non opérationnelles

Les entités mentionnées ci-dessus détiennent des informations personnelles importantes et des informations de santé protégées que les cyberattaques cibleraient lors d'une attaque.

Exigences en matière de capacité de sécurité de l'information du CPS 234

Dans le cadre de la CPS 234, vous devez respecter des exigences en matière de capacité de sécurité des informations.

Cela nécessite:

• Votre organisation dispose d'une capacité de sécurité des informations correspondant à la taille de vos actifs informationnels et à l'étendue des menaces.
• Évaluer les capacités de sécurité de l'information des entités liées ou des tiers qui gèrent les actifs informationnels au nom de l'organisation
• Assurez-vous que votre organisation maintient ses capacités de sécurité des informations et met à jour les vulnérabilités et les menaces résultant de modifications apportées aux actifs ou à l'environnement.

Pour répondre à ces exigences, les entités réglementées examinent généralement le caractère adéquat des ressources, y compris les ressources en financement et en personnel et l'accès en temps opportun aux compétences nécessaires.

Exigences de la politique de sécurité de l'information de la CPS 234

Les entités réglementées par l'APRA doivent maintenir un cadre politique de sécurité de l'information qui reflète leur exposition aux vulnérabilités et aux menaces. Les responsabilités de toutes les parties qui ont l'obligation de maintenir la sécurité des informations et des données doivent être orientées par la politique de votre organisation.

Le cadre est généralement structuré sous forme de hiérarchie avec des politiques de niveau supérieur soutenues par des lignes directrices et des procédures.

De nombreux domaines communs sont abordés dans le cadre politique, tels que :

• Identification, autorisation et octroi d'accès aux actifs de données
• Les exigences en matière de sécurité de l'information doivent être prises en compte à chaque étape du cycle de vie d'un actif (de l'acquisition au déclassement et à la destruction).
• La gestion des technologies de sécurité de l'information, y compris les pare-feu, les logiciels anti-malware, les logiciels de détection et de prévention des intrusions, les systèmes cryptographiques et les outils de surveillance.
• Une architecture globale de sécurité des informations est conçue en identifiant l'approche de création de votre environnement informatique du point de vue de la sécurité.
• La surveillance et la gestion des incidents impliquent l'identification, la classification, le signalement et la remontée des incidents. Cela comprend également la conservation des preuves à des fins d'enquête.
• Attentes liées au recours à des tiers et à des parties liées pour maintenir la sécurité des informations
• Utilisation acceptable des actifs informationnels conformes aux responsabilités de l'utilisateur final, y compris les membres du personnel, les tiers, les associés et les clients
• Recrutement et sélection des membres du personnel et des sous-traitants
• Mécanismes pour évaluer et mesurer la conformité et l’efficacité continue du cadre politique de sécurité de l’information

Ce cadre serait généralement cohérent avec d'autres cadres d'entités, tels que la gestion des risques et la gestion des prestataires de services.

Exigences d'identification et de classification des actifs informationnels de la CPS 234

Les entités réglementées par l'APRA sont tenues de classer les actifs informationnels, y compris ceux gérés par des parties liées et des tiers.

Cela inclut les infrastructures et les systèmes auxiliaires, tels que les systèmes de contrôle environnemental et les systèmes de contrôle d'accès physique. Cela englobe également les actifs informationnels gérés par des tiers ou des parties liées.

Les relations entre les actifs informationnels sensibles ou critiques et d'autres actifs qui peuvent avoir moins d'importance mais peuvent être utilisés pour violer la sécurité de ces actifs.

En outre, cela doit refléter la mesure dans laquelle les incidents de sécurité de l’information sont susceptibles d’affecter – financièrement ou autrement – ​​une entité ou ses clients.

Les entreprises doivent disposer d'une méthodologie de classification pour étiqueter ce qui constitue un actif informationnel afin de garantir que les parties prenantes sont informées et conscientes. Cette méthode fournit également un contexte sur les considérations de granularité et sur la manière dont les actifs sont notés en fonction de leur criticité ou de leur sensibilité. Notez que les actifs peuvent recevoir différentes notes en termes de criticité et de sensibilité.

Il est courant que les entités exploitent leurs analyses d'impact sur la continuité des activités existantes – qui évaluent généralement la criticité et d'autres processus sensibles – pour effectuer l'analyse de sensibilité.

Exigences de contrôle de la sécurité de l'information de la CPS 234

Pour se conformer à la CPS 234, les entités réglementées par l'APRA doivent mettre en œuvre des contrôles de sécurité des informations pour protéger leurs actifs de données rapidement et proportionnellement à la menace à laquelle elles sont confrontées, correspondant à :

• Identifiez les vulnérabilités et les menaces existantes et croissantes qui pourraient être critiques pour les actifs de données essentiels
• L’étape du cycle de vie d’un actif informationnel
• Les conséquences potentielles d’un incident de sécurité des données

Quelles sont les exigences de gestion des incidents de la CPS 234 ?

Selon le CPS 234, toutes les entités réglementées par l'APRA doivent disposer de mécanismes robustes pour détecter et répondre aux incidents de sécurité des informations dans les plus brefs délais.

Il existe de nombreux mécanismes de détection pour la sécurité des informations, notamment des solutions d'analyse, de détection, de surveillance et de journalisation. Ces contrôles de sécurité seront plus robustes et plus variés en fonction de l'impact d'un incident de sécurité potentiel, couvrant généralement ces grandes catégories :

• Matériel physique
• Activités de niveau supérieur comme les paiements
• Modifications de l'accès des utilisateurs

Quelles sont les exigences en matière de tests de contrôle de la CPS 234 ?

La CPS 234 exige que les entités réglementées effectuent des tests systématiques sur les contrôles de sécurité de l'information d'une nature et d'une fréquence correspondant à :

• La vitesse à laquelle de nouvelles vulnérabilités et menaces apparaissent
• Les risques associés à l'exposition à des environnements dans lesquels l'entité ne peut pas appliquer ses politiques de sécurité de l'information
• L’importance et la sensibilité du ou des actifs informationnels
• Les conséquences d'un incident de sécurité des données
• L'importance et la fréquence des modifications apportées aux actifs informationnels

Les contrôles de sécurité doivent être testés au moins une fois par an ou chaque fois qu'il y a un changement important dans les actifs informationnels ou dans l'environnement commercial afin que vous puissiez savoir s'ils sont toujours efficaces et valides. Pour garantir la réussite des tests, il est essentiel de définir clairement les critères de réussite et le moment où de nouveaux tests seront nécessaires.

Les tests doivent être effectués par des spécialistes indépendants et dûment qualifiés, qui n'ont aucun conflit d'intérêts et peuvent fournir une évaluation équitable.

Quelles sont les exigences en matière d'audit interne de la CPS 234 ?

Une assurance fiable du contrôle de la sécurité des informations doit être fournie par un personnel qualifié. En outre, la fonction d'audit interne doit évaluer l'assurance du contrôle de la sécurité de l'information fournie par des parties liées ou des tiers dans les cas où :

• Un incident de sécurité de l'information qui affecte les actifs informationnels d'une entité peut avoir un impact financier à long terme et être susceptible de nuire aux clients.
• Les audits internes visent à s'appuyer sur l'assurance du contrôle de la sécurité de l'information fournie par la partie liée ou un tiers.

Si l'évaluation révèle une lacune ou s'il n'y a aucune garantie de respecter les exigences, la question est généralement soumise au Conseil pour examen.

Quand l’APRA doit-elle être notifiée en vertu du CPS 234 ?

L'APRA doit être informée le plus tôt possible et au plus tard 72 heures après que l'entité a eu connaissance d'un incident de sécurité.

Il s'agit d'incidents qui :

1. Pourrait avoir un impact substantiel sur ou pourrait affecter substantiellement, financièrement ou non financièrement, les intérêts des déposants, des assurés, des bénéficiaires et d'autres clients.
2. Avoir informé d'autres régulateurs en Australie ou dans d'autres juridictions

Lors de la notification à l'APRA, ils s'attendent à ce que des informations soient fournies, telles que :

• Nom de l'entité réglementée
• Date et heure de l'incident
• Quand l’incident a été jugé important
• Type d'incident
• Description de l'incident
• Quel est l'état actuel
• Actions entreprises ou prévues

L'APRA doit être informée le plus tôt possible et au plus tard dix jours ouvrables après que vous ayez pris connaissance d'une faiblesse du contrôle de la sécurité de l'information que l'entreprise ne peut pas corriger à temps.

Quelles différences existe-t-il entre la CPS 234 et la norme ISO 27001 ?

Une différence essentielle entre les deux normes réside dans la manière dont elles sont appliquées. Les organisations obtenant la certification ISO 27001 doivent renouveler leur certification tous les trois ans, avec des audits de surveillance réguliers pendant cette période. Le CPS 234 n'a pas de certificat ; au lieu de cela, l’APRA dispose de nombreux outils d’application formels et informels.

Les approches non formelles consistent notamment à travailler avec les entreprises pour identifier et résoudre les problèmes avant qu’ils ne menacent leur capacité à tenir leurs promesses.

Néanmoins, l'APRA est prête à prendre des mesures coercitives lorsque cela est approprié – cela peut inclure une action en justice ou demander aux entreprises de prendre ou d'arrêter des actions particulières.

Alors que la norme ISO 27001 est reconnue mondialement, l'APRA a créé la norme CPS 234 pour répondre au besoin croissant de cybersécurité des entités du secteur des services financiers. ISO 27001 est une norme de sécurité de l’information beaucoup plus complète et s’applique aux entreprises de divers secteurs, quels que soient leur taille, leur type ou leur emplacement.

La CPS 234 a été créée pour fonctionner à l'unisson avec la norme ISO/IEC 27001, avec des exigences alignées sur les clauses et les contrôles de sécurité décrits dans la norme ISO 27001. Les deux normes sont conçues pour renforcer la sécurité des informations d'une organisation. Toute entreprise ou organisation accréditée ISO 27001 devrait avoir plus de facilité à répondre aux exigences de la CPS 234.

Comment les entreprises peuvent-elles se préparer aux audits de la CPS 234 ?

Comme vous pouvez le constater, il y a beaucoup à faire pour garantir la conformité. L’exigence la plus facile à remplir est de s’assurer que tout le personnel de cybersécurité ait des responsabilités clairement définies, articulées et communiquées au sein de l’organisation.

L'un des plus grands défis en matière de conformité à la CPS 234 peut potentiellement être le manque de lignes directrices et d'application pratique lorsqu'il s'agit de tiers.

Comment l'aide d'ISMS.online

Notre plateforme est livrée avec divers cadres prédéfinis que vous pouvez adopter, adapter ou compléter, en fonction des besoins uniques de votre organisation. Ou vous pouvez facilement créer le vôtre pour des projets de conformité sur mesure.