Från och med starten av det nya budgetåret, finansiella institut som regleras av Australiska Prudential regulation Authority (APRA) kommer att ha en brasa som tänds under dem för att ta it-säkerhet lite mer på allvar.
Den nya föreskriften kommer genom APRA: s CPS-234 Information Security standard [PDF] och kommer att kräva styrelser APRA-reglerade enheter att vara ytterst ansvarig för att säkerställa att företaget upprätthåller sin informationssäkerhet.
“Denna Tillsyn-Standarden syftar till att säkerställa att en APRA-reglerad enhet vidtar åtgärder för att vara motståndskraftig mot it-incidenter (inklusive it-angrepp) genom att upprätthålla ett information security kapacitet som står i proportion med information om sårbarheter och hot,” standard förklarar.
Se även: APRA råder reglerade enheter för att hantera risker när det antar moln
Enligt det nya direktivet, APRA-reglerad enhet måste tydligt ange den information som säkerhet-relaterade roller och ansvar för styrelse, ledande, styrande organ, och enskilda personer.
De måste också hålla och föra en logg som beskriver storleken och omfattningen av hot mot sin information tillgångar, samt genomföra kontroller för att skydda sin information tillgångar logga in och genomföra en “systematisk testning och kvalitetssäkring när det gäller effektiviteten i dessa kontroller”.
Dessutom enhet måste anmäla APRA av “väsentlig” information-incidenter.
En APRA-reglerad enhet måste anmäla APRA så snart som möjligt och i varje fall inte senare än 72 timmar efter att bli medveten om en av informationssäkerhet.
Vad som utgör en incident är om det väsentligt påverkat eller skulle kunna påverka, ekonomiskt eller icke-ekonomiskt, enhet eller för insättare, försäkringstagare, förmånstagare, eller andra kunder, eller har anmälts till andra tillsynsmyndigheter, antingen i Australien eller andra länder.
Behovet att avslöja ett brott? Läs detta: Anmälningspliktig dataintrång system: redo att lämna ut ett dataintrång i Australien
Dessutom, en APRA-reglerad enhet måste anmäla APRA så snart som möjligt och i varje fall inte senare än 10 arbetsdagar efter det blir medveten om ett material för styrning av informationssäkerhet svaghet som person förväntar sig att det inte kommer att kunna åtgärda i god tid.
“Styrelsen i en APRA-reglerade enhet som är ytterst ansvarig för informationssäkerheten i enheten. Styrelsen ska säkerställa att företaget upprätthåller informationssäkerheten på ett sätt som står i proportion till storleken och omfattningen av hot mot sin information tillgångar, och som möjliggör fortsatt väl fungerande enhet,” APRA sagt.
Enligt den nya standarden, en APRA-reglerad enhet måste klassificera sin information tillgångar, inklusive dem som förvaltas av närstående parter och tredje man, genom att kriticitet och känslighet.
“Där information tillgångar förvaltas av en närstående part eller tredje part, APRA-reglerad enhet måste bedöma den information som säkerhet förmåga att part, som står i proportion med de potentiella konsekvenserna av en av informationssäkerhet påverkar dessa tillgångar,” tillsynsmyndigheten lagt till.
Standarden har gjorts under avsnitt 11AF av Bank Act 1959, 32 § Lagen 1973, avsnitt 230A av Life Insurance Act från 1995, artikel 92 i den Privata sjukförsäkringar (Tillsyn) Act 2015, och avsnitt 34C av Pensionsrätter Industrin (Tillsyn) Act 1993 (SIS).
Som sådan, det gäller alla APRA-reglerade enheter, definieras tillstånd att ta emot inlåning kreditinstitut (Adi), inklusive utländska ADIs, och icke-operativt innehav företag med tillstånd enligt banklagen, allmänna försäkringsbolag, icke-operativa holdingföretag som är tillåtna enligt Lagen, och överordnade enheter för Nivå 2 försäkringen grupper; livets företag, inklusive vänliga samhällen, behöriga utländska livförsäkringsbolag, och icke-operativt innehav företag som är registrerade enligt Life-Insurance Act, privata försäkringsbolag som är registrerade enligt PHIPS Agera. och RSE licenstagare enligt SIS Rättsakten i fråga om sin verksamhet.
Se även: Tips för att bygga och vidareutveckla ditt ledarskap karriär (gratis PDF) (TechRepublic)
Tala med ZDNet om den hotande mandat, Hållbart ANZ country manager Bede Hackney sade att den nya standarden var en lämplig mekanism för att göra finansiella institutioner i Australien medvetna om de hot de står inför.
“Den extra fokus och uppmärksamhet på it-säkerhet i banksektorn är verkligen välkommen,” sade han. “Bankerna har blivit ett attraktivt mål för dåliga aktörer som vill tjäna pengar på deras arbete. Och det ökande antalet av sakernas internet enheter, offentliga molntjänster, och tillfälliga applikationer är en snabbt växande attacken yta.
“Det är viktigt att tillsynsmyndigheterna, styrelser, chefer och organisationer överallt fortsätta att prioritera it-säkerhet nu och i framtiden.”
Det nya mandatet stelnar tanken på att cybersäkerhet är en styrelse-nivå problem, men det innebär också styrelser kommer att behöva svepa huvudet runt en ny domän av teknik.
“Styrelser som kommer att hållas ansvarig följande it-incidenter, så det är viktigt att de förstår att där organisationen är utsatt och i vilken utsträckning de har en effektiv sanering processer på plats,” Hackney fortsatte.
“Det är dock inte alla chefer är väl insatt i IT-säkerhet jargong. CISOs och deras säkerhet team måste tydligt kommunicera organisationens säkerhet hållning i termer verksamhet, bemanning styrelsen och andra befattningshavare med värdefull insikt om hur man bäst för att minska risken. Samarbete och engagemang är nyckeln.”
RELATERADE TÄCKNING
It-säkerhet: Din chef inte bryr sig och det är inte OK anymoreThis är hur det känns att möta ett större it-attackCulture den felande länken för cybersäkerhet svagaste linkWhy ett digitalt kunniga styrelsen kommer att öka dina intäkter (TechRepublic)Hur CISOs kan förbättra sin kommunikation med styrelsen (TechRepublic)3 saker du behöver i en it-säkerhet medvetenhet utbildningsplan (TechRepublic)
Relaterade Ämnen:
Australien
Säkerhet-TV
Hantering Av Data
CXO
Datacenter