Fra starten af det nye regnskabsår, finansielle institutioner er reguleret i henhold til den Australske tilsyn Myndighed (APRA) vil have en ild lit under dem til at tage cybersecurity en lille smule mere alvorligt.
Den nye instruktion kommer i form af APRA ‘ s CPS-234 Information Security standard [PDF] og vil kræve, at bestyrelserne i APRA-regulerede enheder i sidste instans være ansvarlig for at sikre, at virksomheden fastholder sin informationssikkerhed.
“Dette Tilsynsmæssige Standard har til formål at sikre, at en APRA-regulerede enhed, som træffer foranstaltninger til at være modstandsdygtig mod it-sikkerheden (herunder cyberangreb) ved at opretholde en informationssikkerhed kapacitet, der står mål med informationssikkerhed sårbarheder og trusler,” standard forklarer.
Se også: APRA rådgiver regulerede enheder til at styre risici, der er ved vedtagelsen af cloud
I henhold til det nye direktiv, en APRA-regulerede enhed, som skal klart definere de oplysninger, sikkerheds-relaterede roller og ansvar for bestyrelsen, den øverste ledelse, styrende organer, og enkeltpersoner.
De skal også holde og vedligeholde en log, der viser detaljer om størrelsen og omfanget af trusler mod sine oplysninger aktiver, samt gennemføre kontrol for at beskytte sine informationer aktiver log og foretage “systematisk test og kvalitetssikring vedrørende effektiviteten af kontrollerne”.
Derudover, den enhed, der skal underrette APRA af “materiale” it-sikkerheden.
En APRA-regulerede enhed, som skal advisere APRA så hurtigt som muligt og i alle tilfælde ikke senere end 72 timer, efter du er blevet opmærksom på et information security incident.
Hvad der udgør en hændelse er, hvis det væsentligt påvirket, eller havde potentiale til at påvirke, økonomisk eller ikke-økonomisk enhed, eller interesserne for indskydere, forsikringstagere, begunstigede, eller andre kunder, eller har været anmeldt til andre myndigheder, enten i Australien eller andre jurisdiktioner.
Har brug for at give en brud? Læs dette: Anmeldelsespligtig Brud på datasikkerheden ordning: Få klar til at afsløre et brud på datasikkerheden i Australien
Derudover en APRA-regulerede enhed, som skal advisere APRA så hurtigt som muligt og i alle tilfælde senest 10 hverdage efter, at den bliver opmærksom på et materiale, information security kontrol svaghed, som virksomheden forventer, at det vil ikke være i stand til at rette op i tide.
“Bestyrelsen for en APRA-regulerede enhed, som er i sidste ende ansvarlig for sikkerheden af den enhed. Bestyrelsen skal sikre, at virksomheden fastholder informationssikkerhed på en måde, der står mål med størrelsen og omfanget af trusler mod sine oplysninger aktiver, og som muliggør en fortsat forsvarlig drift af virksomheden,” APRA sagde.
I henhold til den nye standard, en APRA-regulerede enhed, som skal klassificere sine oplysninger aktiver, herunder dem, der forvaltes af nærtstående parter og tredjeparter, ved kritikalitet og følsomhed.
“Hvor oplysninger aktiverne forvaltes af en nærtstående part eller hos tredjemand, APRA-regulerede enhed, som skal vurdere de oplysninger, sikkerhed, evne til at part, der står mål med de potentielle konsekvenser af en informationssikkerhed hændelse, der påvirker de aktiver,” regulator tilføjet.
Den er lavet i standard i henhold til § 11AF af bankloven 1959, § 32 i Insurance Act 1973, afsnit 230A af Life Insurance Act 1995, § 92 i den Private sygeforsikring (Tilsyn) Act 2015, og afsnit 34C af Pensionsindbetalinger Industri (Tilsyn) Act 1993 (SIS).
Som sådan, det gælder for alle APRA-regulerede enheder, der er defineret godkendt indskud institutioner (ADIs), herunder udenlandske ADIs, og ikke i drift holdingselskaber godkendt i henhold til Lov om Bankvirksomhed; generelt forsikringsselskaber, ikke-drift holding selskaber med tilladelse i henhold til Forsikring Handle, og forælder enheder af Niveau 2-forsikring grupper; livet virksomheder, herunder venligt samfund, kvalificerede udenlandske livsforsikringsselskaber, og ikke i drift holding selskaber, der er registreret under Life Insurance Act; private sygeforsikringer, der er registreret under PHIPS Loven; og RSE licenstagere under SIS Lov i forbindelse med deres forretningsaktiviteter.
Se også: Tips til at opbygge og udvikle dit lederskab karriere (gratis PDF) (TechRepublic)
At tale med ZDNet om den truende mandat, Holdbart ANZ country manager, Han Hackney sagde den nye standard var en passende mekanisme til at gøre de finansielle institutioner i Australien opmærksom på de trusler, de udsættes for.
“Den ekstra fokus og opmærksomhed på cybersecurity i banksektoren er helt sikkert velkommen,” sagde han. “Bankerne er blevet et attraktivt mål for dårlig aktører søger at tjene penge på deres indsats. Og det stigende antal af enheder, tingenes internet, offentlige cloud-tjenester, og midlertidige programmer er hastigt voksende angreb overfladen.
“Det er vigtigt, at tilsynsmyndighederne, bestyrelser, ledere og organisationer overalt fortsat prioriterer cybersikkerhed nu og i fremtiden.”
Det nye mandat størkner tanken om cybersecurity være en bestyrelse-niveau problem, men det betyder også, at bestyrelserne bliver nødt til at vikle hovedet rundt om et nyt domæne af teknologi.
“Bestyrelser, vil blive holdt ansvarlige følgende hændelser, så det er vigtigt, at de forstår, hvor organisationen er udsat for, og hvilken udstrækning de har en effektiv oprydning processer på plads,” Hackney fortsatte.
“Det er dog ikke alle ledere er velbevandret i IT-sikkerhed jargon. CISOs og deres sikkerhed hold skal klart kommunikere organisationens sikkerhedssituation i forretningsmæssige hensyn, tilkobling bestyrelsen og øvrige kontaktpersoner med handlingsrettet indsigt om, hvordan man bedst til at reducere risikoen. Samarbejde og engagement er centrale.”
RELATEREDE DÆKNING
Cyber-sikkerhed: Din chef er ligeglad og det er ikke OK anymoreThis er, hvordan det føles at stå over for en større cyber attackCulture the missing link for cybersecurity ‘ s svageste linkWhy et digitalt-kyndige vil bestyrelsen øge din indtjening (TechRepublic)Hvordan CISOs kan forbedre deres kommunikation med bestyrelsen (TechRepublic)3 ting, du har brug for i en cybersecurity bevidsthed uddannelsesplan (TechRepublic)
Relaterede Emner:
Australien
Sikkerhed-TV
Data Management
CXO
Datacentre