Только одно из крупнейших агентств федерального правительства в полной мере применил австралийский сигналов эфирного Дирекции по восемь, чтобы некоторые из его наиболее важных систем, Национальный Ревизор нашли.

Вывод содержится в 2019 промежуточной ревизии финансового контроля крупных организаций, на котором были рассмотрены осуществления контроля теперь является базовым для кибер-устойчивости.

Обзор Австралийского национального финансово-ревизионного управления, ориентированные на финансовые и HR-систем 18 учреждений, в том числе обороны, служб Австралии, внутренних дел и налоговую инспекцию.

“Этот обзор был проведен, чтобы подтвердить достоверность отчетности и личность кибер-угроз безопасности, которые могут повлиять на подготовку финансовой отчетности” аудитор сказал [в формате PDF].

“Обзор состоял из анализа политики и методической документации, тестирование стратегий смягчения последствий, характерных для ИФР и управления кадрами, результаты спринта оценок и интервью с объекта персонала”.

Следует провести ряд целевых проверок, проводимых аудитором, с 2013 года, которые вскрыли серьезные недостатки кибер устойчивости, особенно вокруг реализации четверку.

Но, как и в ходе предыдущих проверок, в ходе обзора было установлено “уровней зрелости для большинства лиц были значительно ниже” требования по политике 10 рамок защитный политики безопасности (PSPF).

Политика 10 требует от компаний для достижения управление уровнем зрелости‘, которые ANAO сказал равносильно тому восемь три уровня зрелости.

“Из 18 оцениваемых лиц, только одна была оценена как достижение управлении уровень зрелости по всем восьми контролирует”, – пояснил аудитор.

Источник: ANAO

Этот обзор показал, что самый низкий уровень соответствия, связанные с твердеющей приложений, макросов управления и многофакторную аутентификацию, управление – все несущественные по тому восемь.

“Достижение уровня управления для упрочнения заявка рассматривается лиц быть трудным из-за ряда применений в системах образований и трудности в выявлении всех действующих органов управления закаливание,” – пояснил аудитор.

Но он также признал, что большинство агентств планируют решать эти проблемы в июле.

“Субъекты реализации планов, направленных на снижение количество приложений в средах, с целью снижения их атак и минимизации рисков”, ANAO сказал.

“Реализация этих планов в настоящее время осуществляется большинством субъектов, с большинством планов, которые планируется завершить к июлю 2020”.

Ограничение макросы также отличаются широко между учреждениями, с учреждениями отчетности управления как трудно “из-за пользователей, полагаясь на макросы для выполнения бизнес-деятельности”, с опорой на “дополнительная защита” для решения проблем.

Для многофакторной аутентификации, учреждений “найден организация/распределение многофакторной проверки подлинности маркеров для всех пользователей, чтобы быть довольно обременительной”, с Большинство вместо того, чтобы идти на риск и ориентация на достижение меньшего уровня зрелости.

“Субъекты приоритетных многофакторной управления для удаленного доступа и привилегированных пользователей, а не всех пользователей”, – пояснил аудитор.

В ANAO также обнаружили, что четыре учреждения были неправильно самооценка, которую органы списывают на плохое понимание своих требований.

“Сущностей приписывали неточности в своих оценках к их интерпретации объема требования и указали, что они нашли его сложно определить, действительно ли они встретили намерение стратегии по смягчению их последствий”, говорится в докладе.

Большинство лиц были также обнаружены “проводили свои самооценки в системе или на уровне окружающей среды, а не конкретно оценить элементы управления, необходимые для минимизации киберрисков их ИСФМ или применения АИС”.

Оценка ANAO хуже, чем АКМП по

СТСК недавних кибер-безопасности доклад парламенту нашли самое правительственные учреждения изо всех сил стараются выполнить необходимые восемь информационной безопасности управления.

Он сказал, что 73 процента из учреждений, приведенных ниже базовых уровней зрелости с обязательным четверку элементы управления в прошлом году, в том числе 13 процентов, кто сообщил о специальной уровней зрелости.

Специальной является самой низкой возможных баллов в соответствии с балльной метрики, а указывает лишь на “частичное или базовая реализация и управление” четверку.

Но аудиторское заключение свидетельствует о том, что вещи на самом деле еще хуже, чем этот.

“ANAO установил, что 76% от контроля специальной или развивающиеся уровня зрелости”, – отмечает он.

“Это согласуется с выводами АКМП, который отметил, что 73 процента не-корпоративных структур Содружества отчетности специальной или развивающихся уровней зрелости’.”

Как таковой, аудитор подчеркнул, что “большинство организаций, рассмотрены не выполняют требуемые указание 10 уровня зрелости” и сказал: “по-прежнему требуется значительный прогресс”.

В ANAO также льет холодную воду на любое предложение, что изменения в PSPF в 2018 году привело к каким-либо реальным улучшениям в кибер-устойчивости.

И это несмотря на правительственные кибер подъем в 2019 году, который оценил 25 учреждений, в результате спонсируемых государством кибер-нападение на здание парламента – Австралия “первый национальный кибер-кризиса”.

“Нормативная база и самооценки до сих пор не везут достижение уровня кибербезопасности требует государственной политики”, – пояснил аудитор.

“Политика 10 требований, что не-корпоративных структур Содружества осуществления обязательного стратегии АСД для смягчения последствий инцидентов информационной безопасности (четыре), были в месте с 2013 года.

“Неспособность лиц для удовлетворения этих требований указывает на слабость при внедрении и поддержании строгий контроль безопасности в течение долгого времени.

Предыдущие аудиты информационной безопасности в ANAO, чтобы оценить прогресс в реализации политики в отношении 10 требования не обнаружили повышения уровня соблюдения контроля над временем.

“Работа, осуществляемая в рамках данного обзора, показывает, что эта тенденция продолжится, с незначительным улучшениям”.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here