Datensicherheit gemäß den ASIC-Marktintegritätsregeln in Australien

Überblick über die Bestimmungen

Die Regeln für die technologische und operationale Resilienz gemäß dem ASIC Market Integrity Rules (Securities Markets and Futures Markets) Amendment Instrument 2022/74 sind seit dem 10. März 2023 in Kraft. Sie legen Mindesterwartungen und Kontrollen fest, um technologische Risiken zu mindern und die Integrität und Resilienz der australischen Märkte zu sichern. Die Regeln beinhalten außerdem Folgendes:

• Einführung zusätzlicher Verpflichtungen für Marktteilnehmer und Betreiber in Bezug auf die technologische und operationale Resilienz
• Intensivierung der umfassenderen aufsichtsrechtlichen Ausrichtung auf die Verhinderung unzureichender Systeme und operationaler Governance und Kontrollen
• Stärkere Angleichung an internationale Standards und andere nationale Standards
• Ergänzung der bestehenden Anforderungen an Unternehmen in Bezug auf Informationssicherheit und betriebliche Ausfallsicherheit, wie z. B. des Prudential Standard CPS 234: Information Security der APRA.

Für wen gelten die ASIC-Marktintegritätsregeln?

• Wertpapiermärkte: ASX, Chi-X, NSXA, SSX und ihre Teilnehmer
• Futures-Märkte: ASX 24, FEX und ihre Teilnehmer

Thales unterstützt die Marktteilnehmer bei der Erfüllung der Informationssicherheitsanforderungen der geänderten ASIC Integrity Rules.

• Die Identitäts- und Zugriffsmanagementprodukte und -lösungen von Thales OneWelcome beschränken den Zugriff interner und externer Benutzer auf der Grundlage ihrer Rollen und ihres Kontexts mit starker Authentifizierung (MFA), granularen Zugriffsrichtlinien und fein abgestuften Autorisierungsrichtlinien.
• SafeNet IDPrime Smartcards können für die Realisierung des physischen Zugangs zu sensiblen Einrichtungen genutzt werden. Diese Smartcards können auch als Ergänzung zu passwortlosen Authentifizierungsinitiativen dienen, die auf PKI- und FIDO-Technologie basieren.
• SafeNet Trusted Access versetzt Unternehmen in die Lage, auf Risiken zu reagieren und diese zu mindern, indem es einen sofortigen, aktuellen Audit-Trail für alle Zugriffsereignisse auf alle Systeme bereitstellt, der die Protokolle automatisch an externe SIEM-Systeme weiterleitet.
• CipherTrust Data Discovery and Classification identifiziert sowohl strukturierte als auch unstrukturierte sensible Daten auf effiziente Weise und bietet integrierte Vorlagen, die eine schnelle Identifizierung von regulierten Daten ermöglichen, Sicherheitsrisiken aufzeigen und dabei helfen, Compliance-Lücken aufzudecken.
• CipherTrust Data Security Platform kann sehr granulare Zugriffsverwaltungsrichtlinien nach dem Least-Privilege-Prinzip durchsetzen und ermöglicht so den Schutz der Daten vor unbefugtem Zugriff durch privilegierte Benutzer oder Angreifer.
• CipherTrust Transparent Encryption schützt Daten, indem es Data-at-Rest auf Datei- und Volume-Ebene verschlüsselt und den Zugriff auf die Daten kontrolliert und protokolliert, ohne dass Veränderungen an Anwendungen, Datenbanken oder Infrastrukturen erforderlich sind. MFA für CipherTrust Transparent Encryption fordert Systemadministratoren und privilegierte Benutzer auf, neben dem Passwort zusätzliche Faktoren nachzuweisen, bevor sie Zugang zu sensiblen Daten erhalten, um die Wahrscheinlichkeit zu minimieren, dass ein betrügerischer Benutzer sich Zugang verschafft.
• CipherTrust Transparent Encryption Ransomware Protection (CTE-RWP) überwacht Prozesse kontinuierlich auf abnormale I/O-Aktivitäten und warnt vor oder blockiert schädliche Aktivitäten, bevor Ransomware Ihre Endpunkte und Server vollständig übernehmen kann. Es überwacht aktive Prozesse, um Ransomware zu erkennen. Dabei werden Aktivitäten wie übermäßiger Datenzugriff, Exfiltration, nicht autorisierte Verschlüsselung oder die schädliche Identifizierung eines Benutzers identifiziert und Warnmeldung herausgegeben bzw. Sperrungen vorgenommen, wenn derartige Aktivitäten erkannt werden.