Австралийский орган по пруденциальному регулированию (APRA)
Обзор APRA
Австралийское управление пруденциального регулирования (APRA) контролирует банки, кредитные союзы, страховые компании и другие учреждения финансовых услуг в Австралии. Признавая импульс к облачным вычислениям, APRA призвал регулируемые организации реализовать продуманную стратегию внедрения облака с эффективным управлением, тщательной оценкой рисков и регулярными процессами контроля. Регулируемые учреждения должны соответствовать пруденциальному стандарту APRA CPS 231 Аутсорсинг при аутсорсинге материальной бизнес-деятельности — любой деятельности, которая в случае нарушения может оказать значительное влияние на бизнес-операции финансового учреждения или способность эффективно управлять своими рисками. Основываясь на обзоре механизмов аутсорсинга с участием облачных служб вычислений, представленных в APRA, APRA опубликовала конкретное, подробное руководство в своем информационном документе Аутсорсинг с использованием облачных вычислений, чтобы помочь регулируемым организациям более эффективно оценивать поставщиков облачных служб и направлять их через нормативные вопросы аутсорсинга в облако. При аутсорсинге, в том числе в облачную службу, регулируемые учреждения также должны проверить и рассмотреть их текущее соответствие стандарту APRA Prudential CPS 234 Information Security.
Microsoft и APRA
Для финансовых учреждений в Австралии, которые оценивают поставщиков облачных служб и их услуги, корпорация Майкрософт опубликовала следующее:
- Ответ Корпорации Майкрософт на информационный документ APRA в облаке
- Облачные службы Майкрософт: контрольный список соответствия для финансовых учреждений в Австралии
- Облачные службы Майкрософт: соответствие требованиям APRA Prudential Standard CPS 234
Вместе они демонстрируют, как финансовые фирмы могут перемещать данные и рабочие нагрузки в Microsoft Azure с уверенностью в том, что они соблюдают правила и рекомендации Австралийского органа пруденциального регулирования (APRA).
Чтобы узнать о преимуществах финансовых услуг, совместимых с APRA, в Azure, ознакомьтесь со статьей Regtech meets Fintech: Perpetual и Microsoft transform the finance sector .
Ответ Корпорации Майкрософт на информационный документ APRA в облаке
В этом документе Майкрософт содержатся подробные рекомендации по финансовым услугам с подробным ответом на каждый вопрос, поднятый в документе APRA Information Paper Outsourcing с использованием облачных вычислений. В рекомендациях APRA определяются три категории риска, в которые обычно падает использование облака: низкий, повышенный и экстремальный риск, и выделяются ключевые проблемы, которые регулируемые организации должны учитывать в рамках оценки рисков.
В ответе Майкрософт основное внимание уделяется двум самым высоким категориям риска. Хотя облачные службы не запрещены какой-либо категорией риска, APRA ожидает, что вы будете выполнять соизмеримо более высокий уровень осмотрительности, и вы должны ожидать увеличения уровня контроля APRA по мере продвижения по категориям риска. APRA перечисляет ряд факторов, которые обычно указывают на высокий или экстремальный риск, связанный с облачным аутсорсингом. Корпорация Майкрософт подробно рассматривает каждый из этих факторов, предоставляя сведения и средства, которые помогут вам оценить риск перемещения данных и рабочих нагрузок в Azure и управлять ими.
Корпорация Майкрософт также учитывает все аспекты управления рисками APRA: стратегия, управление, процесс выбора решений, доступ и способность к действиям APRA, подход к переходу, оценки рисков и безопасности, текущий надзор, нарушение работы бизнеса, аудит и обеспечение безопасности. Мы даем советы и предлагаем средства, которые помогут вам ответить на каждую проблему при развертывании Azure.
Получите практическую поддержку для перемещения данных и рабочих нагрузок в Azure в соответствии с правилами APRA. Скачайте ответ Майкрософт на информационный документ APRA в облаке.
Ответ Корпорации Майкрософт на APRA CPS 234 по информационной безопасности
Apra Prudential Standard CPS 234 Information Security требует, чтобы регулируемые учреждения:
- четко определить роли и обязанности, связанные с информационной безопасностью;
- поддерживать возможности информационной безопасности, соизмеримые с размером и степенью угроз для своих информационных ресурсов;
- внедрить средства контроля для защиты информационных активов и проводить регулярное тестирование и обеспечение эффективности средств контроля; И
- оперативно уведомлять APRA о существенных инцидентах информационной безопасности.
CPS 234 точно отражает базовую платформу безопасности Майкрософт: защиту, обнаружение и реагирование.
Облачные службы Майкрософт: соответствие требованиям APRA Prudential Standard CPS 234 Information Security устанавливает каждое из соответствующих нормативных обязательств CPS 234 и сопоставляет с ним элементы управления, возможности, функции, обязательства по контрактам и вспомогательные сведения, чтобы ваша организация, регулируется APRA, соблюдала свои нормативные обязательства в соответствии с CPS 234.
Переход в облако: контрольный список соответствия для финансовых учреждений в Австралии
Этот контрольный список Майкрософт вводит нормативные требования APRA, которые финансовые фирмы должны соблюдать при переходе в облако. Он сопоставляет Azure не только с пруденциальным стандартом CPS 231 Аутсорсинг, но и с другими соответствующими стандартами APRA, такими как непрерывность бизнес-процессов и управление рисками. Заполнение этого контрольного списка поможет учреждениям финансовых услуг внедрить Azure с уверенностью в том, что он соответствует соответствующим требованиям APRA.
Опираясь на наш комплексный подход к обеспечению безопасности рисков в облаке, мы уверены, что австралийские финансовые организации могут перейти на облачные службы Майкрософт способом, который не только соответствует рекомендациям APRA, но может предоставить клиентам более сложный профиль управления рисками безопасности, чем локальные или другие размещенные решения.
Получите практическую поддержку для перемещения данных и рабочих нагрузок в Azure в соответствии с правилами APRA. Скачайте облачные службы Майкрософт: контрольный список соответствия для финансовых учреждений в Австралии.
Затрагиваемые облачные платформы и службы Майкрософт
- Azure
- Dynamics 365
- Office 365
Office 365 и APRA
Office 365 среды
Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.
В этом разделе рассматриваются следующие Office 365 среды:
- Клиентское программное обеспечение (клиент). Коммерческое клиентское программное обеспечение, работающее на устройствах пользователей.
- Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
- Облако сообщества Office 365 для государственных организаций (GCC). Облачная служба Office 365 GCC доступна для государственных организаций США федерального уровня, уровня штатов, местного и племенного уровня, а также для подрядчиков, хранящих или обрабатывающих данные от имени правительства США.
- Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
- Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.
Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.
Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.
Применимость Office 365 и затрагиваемые службы
Чтобы определить применимость изменений к вашим службам и подписке Office 365, воспользуйтесь следующей таблицей.
| Применимость | Затрагиваемые службы |
|---|---|
| Коммерческий сектор | Exchange Online Protection, Exchange Online, портал клиентов Office 365, Office Online, инфраструктура служб Office, OneDrive для бизнеса, SharePoint Online, Skype для бизнеса |
Вопросы и ответы
Требуются ли финансовые учреждения утверждения APRA перед аутсорсингом материальной бизнес-деятельности?
Нет. Тем не менее, большинство регулируемых финансовых организаций должны уведомить APRA после заключения соглашений об аутсорсинге материальной деловой деятельности в Австралии или проконсультироваться с APRA перед аутсорсингом этой деятельности за пределами Австралии.
Кроме того, если облачные службы считаются "повышенными или экстремальными рисками", как описано в информационном документе APRA об облаках, финансовому учреждению рекомендуется (но не обязательно) консультироваться с APRA, независимо от того, предоставляется ли эта услуга в Пределах Или за пределами Австралии.
Разрешена ли передача данных за пределы Австралии?
Да. Общее законодательство о конфиденциальности (которое применяется во всех секторах, а не только к финансовым учреждениям) разрешает переводы за пределы Австралии при определенных условиях. Корпорация Майкрософт соглашается с условиями договора в соответствии с австралийскими принципами конфиденциальности, чтобы передача данных за пределы Австралии разрешалась при использовании облачных служб Майкрософт. Тем не менее, многие из наших клиентов австралийских финансовых услуг пользуются преимуществами облачных служб, доступных в наших австралийских центрах обработки данных, для которых мы берем на себя определенные договорные обязательства по хранению категорий данных в неактивных регионах Австралии. Эти обязательства описаны далее в контрольном списке соответствия.
Использование Microsoft Purview Compliance Manager для оценки риска
Microsoft Purview Compliance Manager — это функция в Портал соответствия требованиям Microsoft Purview, которая помогает понять состояние соответствия требованиям вашей организации и принять меры для снижения рисков. Диспетчер соответствия требованиям предоставляет премиум-шаблон для оценки этих нормативных требований. Шаблон находится на странице шаблонов оценки в диспетчере соответствия требованиям. См. Создание оценки в диспетчере соответствия требованиям.
Ресурсы
- Австралийский орган по пруденциальному регулированию
- Аутсорсинг информационных документов APRA с использованием служб облачных вычислений
- Аутсорсинг по стандарту Prudential CPS 231
- Prudential Standard CPS 234 Information Security
- Ответ Корпорации Майкрософт на информационный документ APRA в облаке
- Облачные службы Майкрософт: контрольный список соответствия для финансовых учреждений в Австралии
- Облачные службы Майкрософт: соответствие требованиям APRA Prudential Standard CPS 234
- Microsoft Cloud Financial Services
- Финансовые службы на портале service Trust Portal
- Облачные службы Майкрософт для бизнеса и финансовые услуги
- Соответствие требованиям в центре управления безопасностью Майкрософт
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по