Datensicherheit gemäß dem APRA Prudential
Standard CPS234 in Australien

Überblick über die Bestimmungen

Die Aufgabe der Australian Prudential Regulation Authority (APRA) ist es, die finanziellen Interessen der Australier zu schützen und ein stabiles, wettbewerbsfähiges und effizientes Finanzsystem zu gewährleisten. Diese Prudential Practice Guideline (PPG) zielt auf Bereiche ab, in denen im Rahmen der laufenden Aufsichtstätigkeit der APRA weiterhin Schwächen im Informationssicherheitsmanagement festgestellt werden. Darüber hinaus soll sie als Orientierungshilfe für die Umsetzung des Prudential Standard CPS 234 Information Security dienen, dessen wichtigste Abschnitte wir hier vorstellen:

• Überlegungen für den Vorstand
• Rollen und Verantwortlichkeiten
• Fähigkeiten in Bezug auf die Informationssicherheit
• Richtlinienrahmen
• Identifizierung und Klassifizierung von Informationswerten
• Implementierung von Kontrollen
• Vorfallsmanagement
• Prüfung der Wirksamkeit von Kontrollen
• Interne Prüfung

Für wen gilt CPS234?
CPS234 gilt für APRA-regulierte Unternehmen, darunter:

• Zugelassene Einlageninstitute (Authorized Deposit-Taking Institutions, ADI), einschließlich ausländischer ADI, Kreditgenossenschaften und Banken
• Allgemeine Versicherer
• Lebensversicherungsgesellschaften und Versicherungsvereine auf Gegenseitigkeit („Friendly Societies“)
• Private Krankenversicherungsunternehmen
• Nicht operative Holdinggesellschaften
• Rentenkassen

Thales hilft Unternehmen bei der Einhaltung von CPS234 durch die der Umsetzung der APRA Prudential Practice Guidelines (PPG) in den Bereichen Fähigkeiten in Bezug auf die Informationssicherheit, Richtlinienrahmen, Identifizierung und Klassifizierung von Informationswerten, Implementierung von Kontrollen und Vorfallsmanagement.

FÄHIGKEITEN ZUR INFORMATIONSSICHERHEIT
Guidelines 18: Fähigkeiten von Dritten und verbundenen Unternehmen

• Die CipherTrust Data Security Platform (CDSP) ermöglicht es Administratoren, eine strikte Aufgabentrennung zwischen privilegierten Administratoren und Dateneigentümern zu schaffen und sehr granulare Zugriffsverwaltungsrichtlinien nach dem Least-Privileged-User-Prinzip durchzusetzen, um Daten vor Missbrauch durch privilegierte Benutzer zu schützen.
• CipherTrust Transparent Encryption bietet eine vollständige Trennung der administrativen Rollen, sodass nur autorisierte Nutzer und Prozesse unverschlüsselte Daten einsehen können.
• Die fein abgestufte Autorisierungsfunktion der Thales OneWelcome Identity-Plattform unterstützt Unternehmen dabei, den richtigen Personen zur richtigen Zeit den richtigen Zugang zu gewähren.

RICHTLINIENRAHMEN
Guidelines 21 – eine Richtlinienhierarchie, die auf einer Reihe von wichtigen Grundsätzen beruht

• Thales OneWelcome Identity Platform ermöglicht es Unternehmen, Geräte und andere digitale Identitäten mit primären Konten zu verknüpfen und Informationen über externe und interne Identitäten aus einer Vielzahl von Domänen zu authentifizieren, zu autorisieren, zu sammeln und zu speichern.
• SafeNet IDPrime Smartcards können für die Realisierung des physischen Zugangs zu sensiblen Einrichtungen genutzt werden. Diese Smartcards können auch als Ergänzung zu passwortlosen Authentifizierungsinitiativen dienen, die auf PKI- und FIDO-Technologie basieren.
• CipherTrust Transparent Encryption schützt Daten, indem es Data-at-Rest auf Datei- und Volume-Ebene verschlüsselt und den Zugriff auf die Daten kontrolliert und protokolliert, ohne dass Veränderungen an Anwendungen, Datenbanken oder Infrastrukturen erforderlich sind. Eine MFA-Funktion schränkt die sensiblen Daten privilegierter Benutzer ein.
• Die Luna-Hardware-Sicherheitsmodule (HSMS) von Thales bieten höchste Verschlüsselungssicherheit und speichern die kryptografischen Schlüssel stets in Hardware.
• CipherTrust Manager verwaltet Lifecycle-Aufgaben für Schlüssel, einschließlich Erstellung, Rotation, Zerstörung, Import und Export, ermöglicht rollenbasierte Zugriffskontrolle auf Schlüssel und Richtlinien, unterstützt robustes Auditing und Reporting und bietet eine entwicklerfreundliche REST API. Er unterstützt Zwei-Faktor-Authentifizierung für Administratorzugriffe.
• Der Audit-Trail von CipherTrust Data Security Platform ermöglicht es Risikoverantwortlichen und Prüfern, die Einhaltung der Informationssicherheitsrichtlinien zu bewerten und nachzuweisen. CipherTrust Transparent Encryption (CTE) bietet detaillierte Prüfprotokolle für den Datenzugriff und CipherTrust Security Intelligence (CSI) bietet Protokolle und Berichte, um die Compliance-Berichterstattung zu optimieren und die Erkennung von Bedrohungen durch führende SIEM-Systeme (Security Information and Event Management) zu beschleunigen.

IDENTIFIZIERUNG UND KLASSIFIZIERUNG VON INFORMATIONSWERTEN
Guidelines 26 – Klassifizierung aller Informationswerte nach Kritikalität und Sensibilität

• Klassifizieren Sie alle Informationswerte nach Kritikalität und Sensibilität mit CipherTrust Data Discovery and Classification, die Ihr Unternehmen durch effiziente Datenerkennung, Klassifizierung und Risikoanalyse in heterogenen Datenspeichern dabei unterstützt, einen vollständigen Überblick über Ihre sensiblen Daten zu erhalten – in der Cloud, in Big-Data- und in traditionellen Umgebungen.

Implementierung von Kontrollen
Guidelines 36 – Implementierung von Informationssicherheitskontrollen in allen Phasen

• Die Identitäts- und Zugriffsmanagementprodukte und -lösungen von Thales OneWelcome beschränken den Zugriff interner und externer Benutzer auf der Grundlage ihrer Rollen und ihres Kontexts mit starker Authentifizierung (MFA), granularen Zugriffsrichtlinien und fein abgestuften Autorisierungsrichtlinien. Außerdem vereinfacht die Lösung die Verwaltung der Identität externer IoT-Geräte über die OAuth2 Device Flow-Spezifikation. Über das Internet verbundene Geräte mit Benutzereingabebeschränkung können mit Benutzeridentitätskonten verknüpft werden, die von OneWelcome-Tenants verwaltet werden.
• SafeNet IDPrime Smartcards können für die Realisierung des physischen Zugangs zu sensiblen Einrichtungen genutzt werden. Diese Smartcards können auch als Ergänzung zu passwortlosen Authentifizierungsinitiativen dienen, die auf PKI- und FIDO-Technologie basieren.
• Digital Signing für eine Vielzahl von Anwendungen mit Hardware-Sicherheitsmodulen (HSMs) schützt die privaten Schlüssel, die für sichere elektronische Signaturen verwendet werden. Es erhöht die Sicherheit und gewährleistet die Einhaltung der Vorschriften.
• CipherTrust Data Security Platform bietet mehrere Funktionen zum Schutz von Data-at-Rest in Dateien, Volumes und Datenbanken durch CipherTrust Transparent Encryption und CipherTrust Tokenization.
• CipherTrust Transparent Encryption verschlüsselt sensible Daten und gewährleistet granulare Richtlinien für die Verwaltung des privilegierten Benutzerzugriffs, die nach Benutzer, Prozess, Dateityp, Tageszeit und anderen Parametern angewendet werden können.
• CipherTrust Manager verwaltet Verschlüsselungsschlüssel zentral und konfiguriert Sicherheitsrichtlinien, sodass Unternehmen sensible Daten unter Einhaltung der Aufgabentrennung kontrollieren und schützen können. Er rationalisiert und stärkt die Schlüsselverwaltung in Cloud- und Unternehmensumgebungen für eine Vielzahl von Anwendungsfällen. 

Guideline 44 – MINIMIERUNG DER EXPOSITION GEGENÜBER PLAUSIBLEN WORST-CASE-SZENARIEN

• Hardware-Sicherheitsmodule (HSMs) schützen die kryptografischen Schlüssel, die zur Sicherung von Anwendungen und sensiblen Daten verwendet werden, erhöhen die Sicherheit und gewährleisten die Einhaltung der Vorschriften.
• CipherTrust Data Security Platform kann sehr granulare Zugriffsverwaltungsrichtlinien nach dem Least-Privilege-Prinzip durchsetzen und ermöglicht so den Schutz der Daten vor Missbrauch durch privilegierte Benutzer und Angreifer.
  • CipherTrust Transparent Encryption verschlüsselt Dateien, ohne die Metadaten zu berühren. So können IT-Administratoren ihre Systemadministrationsaufgaben durchführen, ohne privilegierten Zugriff auf die sensiblen Daten zu erhalten, die sich auf den von ihnen verwalteten Systemen befinden.
  • CipherTrust Transparent Encryption Ransomware Protection (CTE-RWP) überwacht Prozesse kontinuierlich auf abnormale I/O-Aktivitäten und warnt vor oder blockiert schädliche Aktivitäten, bevor Ransomware Ihre Endpunkte und Server vollständig übernehmen kann.
  • CipherTrust Manager bietet eine zentralisierte Verwaltung und Zugriffskontrolle, die Schlüsselverwaltungsvorgänge mit rollenbasierten Zugriffskontrollen vereinheitlicht, damit unbefugte Kennwortänderungen und Warnungen bei gleichzeitigen Anmeldungen durch denselben Benutzer verhindert werden.
• Thales OneWelcome Identity Platform ermöglicht es Unternehmen, den Zugriff auf vertrauliche Ressourcen durch den Einsatz von MFA (einschließlich phishing-resistenter Authentifizierung) und granularen Zugriffsrichtlinien virtuell (oder logisch) zu beschränken. SafeNet IDPrime Smartcards können für die Realisierung des physischen Zugangs zu sensiblen Einrichtungen genutzt werden.

Guidelines 46 (b) – PHYSISCHE UND UMWELTKONTROLLEN

• SafeNet IDPrime Smartcards können für die Realisierung des physischen Zugangs zu sensiblen Einrichtungen genutzt werden. Diese Smartcards können auch als Ergänzung zu passwortlosen Authentifizierungsinitiativen dienen, die auf PKI- und FIDO-Technologie basieren.

Guidelines 54 – KRYPTOGRAFISCHE VERFAHREN FÜR DIE ZUGRIFFSBESCHRÄNKUNG; Guidelines 56 – LÖSUNGEN FÜR INFORMATIONSSICHERHEITSTECHNOLOGIE und GUIDELINES 58 – VOM ENDNUTZER ENTWICKELTE/KONFIGURIERTE SOFTWARE

• Hardware-Sicherheitsmodule (HSMs) bieten ein Höchstmaß an Verschlüsselungssicherheit, indem sie kryptografische Schlüssel immer in Hardware speichern und starke Zugriffskontrollen bieten, die verhindern, dass unbefugte Benutzer auf sensibles kryptografisches Material zugreifen können.
• Die zertifikatbasierten Formfaktoren für die Authentifizierung von Thales bieten starke Multi-Faktor-Authentifizierung und unterstützen Unternehmen dabei, Ihre PKI-Sicherheitsanforderungen zu erfüllen.

Schutz von Data-in-Motion/-Transit

• Die High Speed Encryptors (HSE) von Thales bieten eine netzwerkunabhängige Verschlüsselung für Data-in-Transit/-Motion (Layer 2, 3 und 4), die die Sicherheit der Daten auf dem Weg von Standort zu Standort oder von on-premises zur Cloud und zurück gewährleistet.
• CipherTrust Manager verwaltet Verschlüsselungsschlüssel zentral und konfiguriert Sicherheitsrichtlinien, sodass Unternehmen sensible Daten unter Einhaltung der Aufgabentrennung kontrollieren und schützen können.

Schutz von Data-in-Use

• CipherTrust Vaultless Tokenization schützt Data-at-Rest, während die richtlinienbasierte Funktion Dynamic Data Masking Data-in-Use schützt. Eine RESTful-API in Kombination mit zentraler Verwaltung und entsprechenden Diensten ermöglicht die Implementierung der Tokenisierung mit einer einzigen Zeile Code pro Feld.

Schutz von Data-at-Rest

• CipherTrust Data Security Platform schützt die Integrität der Datensätze und Informationen von Kunden vor den unterschiedlichsten Bedrohungen und prüft sie. Schutz von Data-at-Rest durch den Einsatz von CipherTrust Transparent Encryption für die Verschlüsselung von Dateien und Volumes, CipherTrust Tokenization für die Tokenisierung von Datenbanken und die Sicherheit dynamischer Anzeigen sowie CipherTrust Application Data Protection.

VORFALLMANAGEMENT – ERKENNUNG VON SICHERHEITSKOMPROMITTIERUNGEN
Guidelines 69

• Mit der CipherTrust Data Security Platform können Unternehmen eine starke Aufgabentrennung zwischen privilegierten Administratoren und Dateneigentümern schaffen.Darüber hinaus unterstützt der CipherTrust Manager Zwei-Faktor-Authentifizierung für Administratorzugriffe.
• Thales OneWelcome Identity Platform ermöglicht es Unternehmen, den Zugriff auf vertrauliche Ressourcen durch den Einsatz von MFA (einschließlich phishing-resistenter Authentifizierung) und granularen Zugriffsrichtlinien mit Analytikberichten virtuell (oder logisch) zu beschränken. Die Lösung verfolgt Identitätsereignisse und liefert Analyseberichte.

Anlage A: Sicherheitsgrundsätze 1. (a)

• CipherTrust Manager bietet eine zentralisierte Verwaltung und Zugriffskontrolle, die Schlüsselverwaltungsvorgänge mit rollenbasierten Zugriffskontrollen vereinheitlicht.
• Hardware-Sicherheitsmodule (HSMs) schützen die kryptografischen Schlüssel, die zur Sicherung von Anwendungen und sensiblen Daten verwendet werden, erhöhen die Sicherheit und gewährleisten die Einhaltung der Vorschriften mit einer zusätzlichen Schutzebene.

Anlage A: Sicherheitsgrundsätze 1. (e)

• Die Identitätsplattform Thales OneWelcome ermöglicht es Unternehmen, interne und externe Benutzer zu identifizieren und zu authentifizieren, die Identität von Drittanbietern mit ihrer Delegationsmanagementfunktion effizient zu verwalten und Drittanbieterrisken zu mindern sowie einen sofortigen und aktuellen Audit-Trail für alle Zugriffsereignisse auf alle Systeme zu erstellen.
• Nachdem ein Benutzer identifiziert wurde, können Sie mit der CipherTrust Enterprise Key Management Solution kontrollieren und koordinieren, wie Benutzer Zugang zu Assets erhalten und was sie mit diesen Assets tun können.

Anlage C: Identität und Zugriff

• Die Identitäts- und Zugriffsmanagementlösungen von Thales OneWelcome beschränken den Zugriff interner und externer Benutzer auf der Grundlage ihrer Rollen und ihres Kontexts.
• SafeNet IDPrime Smartcards können für die Realisierung des physischen Zugangs zu sensiblen Einrichtungen genutzt werden.

Anlage E: kryptografische Verfahren

• Luna-HSMs von Thales bieten eine gehärtete, manipulationssichere Umgebung unter anderem für sichere kryptografische Verarbeitung, Schlüsselerstellung und -schutz sowie Verschlüsselung.
• CipherTrust Data Security Platform kann sehr granulare Zugriffsverwaltungsrichtlinien nach dem Least-Privilege-Prinzip durchsetzen und ermöglicht so den Schutz der Daten vor Missbrauch durch privilegierte Benutzer und Angreifer.