APRA Prudentiële norm CPS 234 RICHTLIJNEN VOOR UITBESTEDING
De Australian Prudential Regulation Authority ("APRA") heeft APRA Prudentiële norm CPS 234 Informatiebeveiliging ("CPS 234") uitgegeven om ervoor te zorgen dat door de APRA gereguleerde entiteiten – waaronder pensioenfondsen, banken en verzekeringsmaatschappijen – voldoen aan bepaalde minimumnormen om hun capaciteiten op het gebied van informatiebeveiliging te ontwikkelen en te behouden. CPS 234 vereist dat door APRA gereguleerde entiteiten:
- duidelijk de rollen en verantwoordelijkheden met betrekking tot informatiebeveiliging definiëren;
- een informatiebeveiligingscapaciteit handhaven die in verhouding staat tot de grootte en het bereik van de bedreigingen voor hun informatiebronnen;
- controles uitvoeren om informatiebronnen te beschermen en regelmatig tests uit te voeren om de doeltreffendheid van de controles te waarborgen; en
- APRA onmiddellijk op de hoogte brengen van incidenten op het gebied van materiële informatiebeveiliging.
CPS 234 beschrijft ook bepaalde due diligence-verplichtingen voor een door de APRA gereguleerde entiteit waarbij de entiteit het beheer van haar informatiebronnen uitbesteedt aan een derde partij. Deze pagina beschrijft alle relevante wettelijke verplichtingen van CPS 234 en bevat commentaar om door APRA gereguleerde entiteiten te helpen bij het beoordelen en evalueren van elke CPS 234-vereiste in de context van Atlassian's cloudproducten en om ervoor te zorgen dat ze voldoen aan hun verplichtingen volgens CPS 234.
| Referentiekader | Atlassian-opmerkingen | |
---|---|---|---|
1. | Referentiekader Informatiebeveiligingscapaciteiten | ||
2. | Referentiekader 15. Een door de APRA gereguleerde entiteit moet beschikken over een informatiebeveiligingscapaciteit evenredig aan de grootte en het bereik van de bedreigingen voor haar informatiebronnen, zodat de entiteit gezond kan blijven functioneren | Atlassian-opmerkingen Dit is een overweging van de klant. Zie rij 3 voor informatie over de beveiligingscapaciteiten van Atlassian. | |
3. | Referentiekader 16. Wanneer informatiebronnen worden beheerd door een verbonden of externe partij, moet de door APRA gereguleerde entiteit de informatiebeveiligingscapaciteit van die partij beoordelen in verhouding tot de mogelijke gevolgen van een informatiebeveiligingsincident met betrekking tot die assets. | Atlassian-opmerkingen Als leverancier van cloudproducten aan door de APRA gereguleerde entiteiten hanteert Atlassian een robuust informatiebeveiligingsprogramma dat past bij de grootte en het bereik van de bedreigingen waarmee we worden geconfronteerd. We hebben verschillende bronnen beschikbaar gesteld met informatie over het ontwerp, de implementatie en de werking van de informatiebeveiligingsafdeling van Atlassian. Uiteindelijk is het aan de APRA gereguleerde entiteiten om deze informatie te gebruiken om te beoordelen of de producten van Atlassian aan hun vereisten voldoen:
Een uitgebreide beschrijving van hoe we dit hebben gebouwd is te vinden op onze pagina Atlassian Cloud-architectuur en operationele praktijken. Zoals vermeld in onze whitepaper over gedeelde verantwoordelijkheden van Atlassian Cloud Security, kunnen klanten bovendien onze STAR-vragenlijst van de Cloud Security Alliance (CSA) bekijken, die antwoorden bevat op meer dan 300 vragen die zijn opgenomen in de Consensus Assessments Initiative Questionnaire (CAIQ). Een uitgebreide beschrijving van hoe we beveiligingsproblemen detecteren en erop reageren kun je vinden in Onze aanpak van kwetsbaarheidsbeheer. Atlassian volgt de kwetsbaarheidsbeheerprocessen zoals beschreven in ISO 27001 en de Cloud Security Alliance (SCA). Bij het beoordelen van kwetsbaarheden maken we gebruik van het Common Vulnerability Scoring System, waardoor we de ernst van kwetsbaarheden kunnen communiceren richting onze klanten. Naast andere processen doet Atlassian ook het volgende:
Entiteiten die door de APRA worden gereguleerd, kunnen deze informatie gebruiken om onze capaciteiten op het gebied van informatiebeveiliging te evalueren in overeenstemming met hun informatiebronnen die zijn opgeslagen in de producten en platforms van Atlassian. | |
4. | Referentiekader 17. Een door de APRA gereguleerde entiteit moet de informatiebeveiligingscapaciteiten actief in stand houden met betrekking tot veranderingen in kwetsbaarheden en bedreigingen, waaronder die het gevolg zijn van veranderingen in informatiebronnen of de bedrijfsomgeving. | Atlassian-opmerkingen Entiteiten die door de APRA worden gereguleerd, kunnen de bronnen en informatie in rij 3 gebruiken om onze capaciteiten op het gebied van informatiebeveiliging te evalueren in overeenstemming met hun informatiebronnen die zijn opgeslagen in de producten en platforms van Atlassian. | |
5. | Referentiekader Beleidskader | ||
6. | Referentiekader 18. Een door de APRA gereguleerde entiteit moet een beleidskader voor informatiebeveiliging handhaven dat in verhouding staat tot haar blootstelling aan kwetsbaarheden en bedreigingen. | Atlassian-opmerkingen Dit is een overweging van de klant. Atlassian heeft van zijn kant een beleidskader voor informatiebeveiliging gedocumenteerd dat zó is gestructureerd dat het de domeinen omvat die zijn opgenomen in zowel de ISO27001-norm als de Cloud Security Alliance (CSA) Cloud Controls Matrix (CCM). | |
7. | Referentiekader 19. Het beleidskader voor informatiebeveiliging van een door APRA gereguleerde entiteit moet aanwijzingen geven over de verantwoordelijkheden van alle partijen die verplicht zijn om de informatiebeveiliging te handhaven. | Atlassian-opmerkingen Ons Personeelsbeveiligingsbeleid bevat de algemene principes en richtlijnen voor het beheren van persoonlijke veiligheid bij Atlassian. Het beleid benadrukt dat veiligheidsverantwoordelijkheden worden beschreven in taakomschrijvingen. Bovendien omvat elk beleid in onze suite met beveiligingsbeleid gedetailleerdere aspecten van verantwoordelijkheden die van toepassing zijn op bepaalde functies of teams. | |
8. | Referentiekader Identificatie en classificatie van informatiebronnen | ||
9. | Referentiekader 20. Een door de APRA gereguleerde entiteit moet haar informatiebronnen, waaronder die beheerd door verbonden en derde partijen, classificeren op basis van belang en gevoeligheid. Deze classificatie moet een weerspiegeling zijn van de mate waarin een informatiebeveiligingsincident dat gevolgen heeft voor een informatiebron, financieel of niet-financieel gevolgen kan hebben voor de entiteit of de belangen van depositeurs, polishouders, begunstigden of andere klanten. | Atlassian-opmerkingen Aangezien klanten verantwoordelijk zijn om te bepalen welke Atlassian-producten ze moeten gebruiken en voor welke doeleinden, is het de verantwoordelijkheid van de klant om te bepalen welke informatiebronnen door Atlassian worden beheerd en om dergelijke informatiebronnen te classificeren. Atlassian behandelt informatieclassificatie van zijn kant als volgt en zoals wordt beschreven in onze Gegevensclassificatienorm:
| |
10. | Referentiekader Implementatie van controles | ||
11. | Referentiekader 21. Een door de APRA gereguleerde entiteit moet beschikken over informatiebeveiligingsmaatregelen om haar informatiebronnen te beschermen, waaronder die beheerd door verbonden en derde partijen, die tijdig worden geïmplementeerd en die in verhouding staan tot: (a) kwetsbaarheden en bedreigingen voor de informatiebronnen; (b) de ernst en gevoeligheid van de informatiebronnen; (c) de fase waarin de informatiebronnen zich binnen hun levenscyclus bevinden; en (d) de mogelijke gevolgen van een informatiebeveiligingsincident | Atlassian-opmerkingen Onze beveiligingspraktijken beschrijven Atlassians benadering van beveiliging. We verstrekken informatie over onze aanpak door:
| |
12. | Referentiekader 22. Wanneer de informatiebronnen van een door APRA gereguleerde entiteit worden beheerd door een verbonden of externe partij, moet de door APRA gereguleerde entiteit het ontwerp evalueren van de informatiebeveiligingsmaatregelen van die partij die de informatiebronnen van de door APRA gereguleerde entiteit beschermen. | Atlassian-opmerkingen Ons programma voor kwetsbaarheidsbeheer beschrijft de aanpak van Atlassian voor het opsporen en behandelen van beveiligingsproblemen in onze producten, waaronder de belangrijkste controles die we hebben ingevoerd om de informatie van onze klanten te beschermen. | |
13. | Referentiekader Incidentmanagement | ||
14. | Referentiekader 23. Een door de APRA gereguleerde entiteit moet beschikken over robuuste mechanismen om incidenten op het gebied van informatiebeveiliging tijdig op te sporen en erop te reageren. | Atlassian-opmerkingen Hoewel de verplichtingen in CPS 234 met betrekking tot het beheer van beveiligingsincidenten worden opgelegd aan door de APRA gereguleerde entiteiten, erkent Atlassian dat, wanneer een dergelijke entiteit Atlassian-producten gebruikt met betrekking tot sommige of al haar informatiebronnen, de aanpak van Atlassian ten aanzien van het beheer van beveiligingsincidenten ook een belangrijke overweging is.
Atlassian heeft een goede staat van dienst op het gebied van tijdige en proactieve meldingen van beveiligingsincidenten en samenwerking met onze klanten aan de nodige maatregelen. In onze gegevensbeschermingsverklaring (DPA) verbinden we ons ertoe om een klant zonder onnodige vertraging op de hoogte te stellen van elk beveiligingsincident en om tijdig informatie te verstrekken over het beveiligingsincident zodra dit bekend wordt of waar de klanten redelijkerwijs om vragen, zodat ze kunnen voldoen aan hun meldingsplicht voor datalekken op grond van de toepasselijke wetgeving inzake gegevensbescherming (zoals gedefinieerd in de DPA). Voor zover klanten deze melding nodig hebben voor compliancedoeleinden, raden we ze aan om de DPA die zich hier bevindt, te ondertekenen en in te dienen. | |
15. | Referentiekader 24. Een door de APRA gereguleerde entiteit moet plannen hebben om te reageren op informatiebeveiligingsincidenten die volgens de entiteit aannemelijk kunnen zijn (responsplannen voor informatiebeveiliging). | ||
16. | Referentiekader 25. De responsplannen voor informatiebeveiliging van een door APRA gereguleerde entiteit moeten de bestaande mechanismen omvatten voor (a) het beheren van alle relevante fasen van een incident, van detectie tot beoordeling na een incident; en (b) escalatie en rapportage van informatiebeveiligingsincidenten aan de raad van bestuur, andere bestuursorganen en personen die verantwoordelijk zijn voor het beheer en toezicht op informatiebeveiligingsincidenten, indien van toepassing. | ||
17. | Referentiekader 26. Een door de APRA gereguleerde entiteit moet jaarlijks haar responsplannen voor informatiebeveiliging herzien en testen om ervoor te zorgen dat ze effectief en geschikt blijven voor het beoogde doel. | ||
18. | Referentiekader Effectiviteit van controle en interne audit testen | ||
19. | Referentiekader 27. Een door de APRA gereguleerde entiteit moet de effectiviteit van haar informatiebeveiligingscontroles testen door middel van een systematisch testprogramma. De aard en frequentie van de systematische tests moeten in verhouding staan tot: (a) de snelheid waarmee de kwetsbaarheden en bedreigingen veranderen; (b) het belang en de gevoeligheid van het informatiehulpmiddel; (c) de gevolgen van een informatiebeveiligingsincident; (d) de risico's die verbonden zijn aan blootstelling aan omgevingen waar de door APRA gereguleerde entiteit niet in staat is toe te zien op de naleving van haar informatiebeveiligingsbeleid; en (e) de materialiteit en frequentie van wijzigingen in informatiebronnen | Atlassian-opmerkingen De effectiviteit van onze beveiligingscontroles wordt getest door middel van meerdere externe audits en verificaties die we uitvoeren. Hoewel elke klant verantwoordelijk is voor het testen van de effectiviteit van de eigen informatiebeveiligingscontroles en voor het escaleren van eventuele tekortkomingen in de beveiligingscontrole die tijdens de interne beoordeling ontdekt worden, biedt Atlassian verschillende bronnen met betrekking tot Atlassian's eigen testprogramma om klanten te helpen bepalen of er aan hun CPS 234-verplichtingen is voldaan. | |
20. | Referentiekader 28. Wanneer de informatiebronnen van een door APRA gereguleerde entiteit worden beheerd door een verbonden of externe partij en de door APRA gereguleerde entiteit afhankelijk is van de informatiebeveiligingscontroletests van die partij, moet de door APRA gereguleerde entiteit beoordelen of de aard en frequentie van het testen van controles met betrekking tot deze informatiebronnen in overeenstemming zijn met de paragrafen 27(a) tot en met 27(e) van deze prudentiële norm. | ||
21. | Referentiekader 29. Een door de APRA gereguleerde entiteit moet alle testresultaten die tekortkomingen in de informatiebeveiliging aan het licht brengen die niet tijdig kunnen worden verholpen, escaleren naar en rapporteren aan de raad of het hoger management. | ||
22. | Referentiekader 30. Een door de APRA gereguleerde entiteit moet ervoor zorgen dat de tests worden uitgevoerd door goed opgeleide en functioneel onafhankelijke specialisten. | ||
23. | Referentiekader 31. Een door de APRA gereguleerde entiteit moet de toereikendheid van het testprogramma ten minste jaarlijks beoordelen of wanneer er sprake is van een wezenlijke verandering in informatiebronnen of de bedrijfsomgeving. | ||
24. | Referentiekader 32. De interne auditactiviteiten van een door APRA gereguleerde entiteit moeten een beoordeling omvatten van het ontwerp en de operationele effectiviteit van informatiebeveiligingscontroles, waaronder controles die worden beheerd door verbonden partijen en derden (garantie van informatiebeveiligingscontrole). | ||
25. | Referentiekader 33. Een door de APRA gereguleerde entiteit moet ervoor zorgen dat de informatiebeveiliging wordt gewaarborgd door personeel dat voldoende bekwaam is om dergelijke zekerheid te bieden | ||
26. | Referentiekader 34. De interne auditfunctie van een door APRA gereguleerde entiteit moet de informatiebeveiligingscontrole beoordelen die wordt geboden door een verbonden of externe partij wanneer: (a) een informatiebeveiligingsincident dat van invloed is op de informatiebronnen financiële of niet-financiële gevolgen kan hebben voor de entiteit of de belangen van depositeuren, polishouders, begunstigden of andere klanten; en (b) de interne audit is bedoeld om te vertrouwen op de informatiebeveiligingscontrole van de verbonden of externe partij. | ||
27. | Referentiekader APRA-melding | ||
28. | Referentiekader 35. Een door de APRA gereguleerde entiteit moet APRA zo snel mogelijk op de hoogte stellen en in ieder geval niet later dan 72 uur nadat zij kennis heeft genomen van een informatiebeveiligingsincident dat: (a) de entiteit of de belangen van depositeurs, polishouders, begunstigden of andere klanten materieel heeft getroffen of zou kunnen treffen, of (b) aan andere klanten, in Australië of andere rechtsgebieden, is bekendgemaakt. | Atlassian-opmerkingen Atlassian begrijpt hoe belangrijk het is dat je onmiddellijk op de hoogte wordt gebracht van een datalek. Daarom heeft Atlassian een uitgebreid multifunctioneel team en proces samengesteld om beveiligingsincidenten af te handelen, zoals beschreven op onze pagina Beveiligingsincidentmanagement. | |
29. | Referentiekader 36. Een door de APRA gereguleerde entiteit moet APRA zo snel mogelijk en in ieder geval niet later dan 10 werkdagen nadat zij kennis heeft genomen van een belangrijk zwak punt in de informatiebeveiligingscontrole die de entiteit naar verwachting niet tijdig kan verhelpen, op de hoogte stellen. |