Кибер устойчивости федерального правительства практически не улучшилось за последние три года, с десятками агентств еще прислушаться к австралийской сигналы якобы обязательной информации Дирекции по обеспечению безопасности.

Последний защитный рамках политики безопасности правительства (PSPF) отчет о соответствии, спокойно, опубликованном во вторник, показывает, почти 40 процентов агентств по-прежнему, чтобы полностью реализовать четыре основные стратегии смягчения последствий кибер АСД в 2017-18.

Стратегии, которые считаются наилучшим способом избежать не менее 85% от кибер-атаки, были обязательными для некорпоративных Содружества лиц (NCCEs) с апреля 2013 года, хотя более исчерпывающий список, содержащий дополнительные добровольные меры контроля были выданы.

Отчет от Генеральной прокуратуры, которое показывает количество агентств, совместимый с ИБ-4 четверку или практически не улучшилась за последние три года, поднявшись всего на три очка между 2015-16 и 2017-18.

Чуть менее 62% в 2017-18, четверку соблюдения 94 NCCEs необходимо самостоятельно определить в отношении PSPF называется в докладе как “наименьшее из всех 36 обязательных требований”.

“Уровень соответствия ИБ-4, связанных с кибер и ИКТ системы безопасности, в том числе АСД стратегий для смягчения целевых кибер-инцидентов, остаются относительно стабильными, но продолжают представлять собой зону риска для австралийского правительства с уровнем соответствия на 61.70 процентов”, – говорится в [в формате PDF] государства.

Результат представляет собой “незначительное” улучшение на 2016-17 соответствие уровень, который сидел за чуть более 60 процентов. Как показал сайт ITnews в 2017 году, соответствие уровней были чуть более 59% в 2015-16 и 48% в 2014-15.

За это время ряд крупных агентств Канберры предоставления услуг полностью соответствует четверке, в том числе услуг, Австралия (ранее Департамент социальных служб) и австралийским налоговым управлением.

Последний доклад также подтверждает кибер устойчивости улучшений на австралийском государственном секторе замедлился, поскольку правительство уделяет повышенное внимание укреплению кибербезопасности был вызван в 2016 стратегии кибербезопасности.

Отсутствие улучшений привел целый ряд агентств, чтобы усомниться в эффективности подхода правительства к кибербезопасности, который – в то время как императивные нормы остаются неисполненными – это создать ‘лоскутное одеяло’ жизнестойкости.

Это несмотря на недавние усилия АСД для поднятия кибер осанки из 25 агентств , в результате спонсируемых государством кибер-нападение на здание парламента, который был назван первый в Австралии “первый национальный кибер-кризиса”.

Массовый подъем последовал за неназванную сумму финансирования в 2019 бюджет для создания нового кибер-спринт команды в рамках АКМП для “смягчения потенциальных кибер-угроз за счет усиления контроля и реагирования”.

Да, но по крайней мере он не пошел назад

В то время как возросшее внимание кибербезопасности не обязательно в результате каких-либо реальных перемен в уровнях соответствия с момента выхода Стратегии кибербезопасности государства, есть некоторые предположения, что это привело к более точной отчетности.

Это касается проведено Австралийским национальным контрольно-ревизионным управлением в 2017 кибербезопасности аудита, которые нашли некоторые агентства не соответствуют некоторые элементы управления, несмотря на собственн-отчетности на соответствие.

“С увеличением осведомленности о рисках безопасности и усилия кибер выделяя соответствующие стратегии смягчения рисков в 2016-17, лица были более взвешенными в своих оценках в отношении требования информационной безопасности записи никаких существенных улучшений в соответствии НКГВ с требованиями информационной безопасности в 2017-18,” последний доклад сказал.

Это может объяснить, почему другим требования информационной безопасности PSPF, обязующий лиц “осуществлять политику и процедуры для классификации безопасности и защитный контроль информационных активов” фактически пошел назад в 2017-18.

Уровень соблюдения требования, озвученные ИБ-3, удалось снизить более чем на пять процентов, что в отчете проставляются пробелы в подходах агентств.

“Это изменение связано с некоторыми структурами для выявления пробелов в своих подходах после анализа их стратегий и мер безопасности в отношении надлежащего уровня защиты информационных активов,” там, говорится в докладе.

“Кроме того, с внедрением новых информационных активов, таких как информационных платформ (Windows-планшетов с голосовыми и возможностей видеоконференцсвязи), эти люди пересматривают свою политику и процедуры в отношении секретности и защиты управления новых информационных активов.”

Тем не менее, в докладе отмечается, что соответствующие органы “действуют меры, направленные на снижение рисков и последствий от их несоблюдения”.

Как ИНФОСЕК-3 и ИБ-4 является главным источником информации продолжает безопасности ключевым риском для агентств из всех четырех требований PSPF.

“Новые достижения в области технологии способствуют динамичной среде информационной безопасности, а также различных угроз, с которыми сталкивается правительство Австралии в обеспечении своей информации”, – говорится в докладе.

“Таким образом, меры по обеспечению информационной безопасности являются важным элементом эффективной организации режима безопасности, а особенно сложным.

“Соблюдение требований информационной безопасности остается в центре внимания всех NCCEs”.

Соответствие труднее место в следующем году

Отчет 2017-18 будет последним для оценки соответствия старых рамках PSPF, который был заменен в октябре прошлого года после рассмотрения, что нашли это способствовало ’галочки культуры’ соответствие’.

Новый PSPF зрелости модель объединила в настоящее время набор из 36 требований до 16 основных требования, которые не требуют да/нет ответ, который правительство говорит “увеличьте четкость, уменьшите ненужной волокиты и способствовать укреплению культуры безопасности”.

“От 2018-19, организации будут представлять доклады об их осуществлении PSPF с использованием модели зрелости безопасности для оценки зрелости их практики обеспечения безопасности, а не модель соответствия”, – отмечается в сообщении.

“Модель зрелости безопасности направлена для размещения более сильной культуры безопасности путем поощрения предприятий, чтобы постоянно участвовать в выявлении и оценке рисков, присутствующих в их безопасности.

“Она также предоставляет предприятиям средства для оценки их работы безопасности в более дифференцированный и соответствующим образом, в том числе, насколько эффективно они управляют основных рисков и уязвимости”.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here