Den australske regjeringen har flagget sin intensjon om å gi mandat til Essential Eight-avbøtningsstrategiene, til tross for at mange enheter ikke fullt ut har hodet rundt topp fire.
Siden 2013 har Commonwealth-enheter (NCCEer) som ikke er foretak, blitt pålagt å foreta en årlig egenvurdering mot de fire beste strategiene, som er mandat fra Riksadvokatens avdeling (AGD) Protective Security Policy Framework (PSPF). Enheter rapporterer overordnet overholdelse av obligatoriske krav til AGD.
Joint Committee of Public Accounts and Audit (JCPAA) gjennomgikk i fjor et par rapporter fra Australian National Audit Office (ANAO). En rapport om denne sonden fra JCPAA i desember spurte AGD om det var mulig å gi mandat til Essential Eight, en samtale komiteen ringte i oktober 2017, samt rapportere om hvorfor noen enheter ennå ikke har implementert de fire beste mandatene i april. 2013.
Se også: ASD Essential Eight cybersecurity controls not essential: Canberra
I sitt svar [PDF] til JCPAA sa AGD at det fortsatt er forpliktet til å opprettholde robuste beskyttende sikkerhetsstandarder for å sikre at PSPF støtter enheter til å håndtere risikoen.
“Avdelingen har nøye vurdert … og har holdt detaljert diskusjoner med [Australian Cyber Security Center] om cybersikkerhetsinnstillingene i PSPF, “skrev AGD.
” På dette grunnlaget vil avdelingen anbefale en endring i PSPF for å gi mandat til Essential Eight.
“Dette gjenspeiler ACSCs råd om at enheter skal utvikle modenhet på tvers av alle åtte strategiene … i stedet for å fokusere innsatsen på en mindre delmengde som de fire øverste, da dette gir et større beskyttelsesnivå.”
AGD sa en slik tilnærmingen har blitt godkjent av Government Security Committee, som er en tverrdepartemental komité som sørger for strategisk tilsyn med beskyttende sikkerhetspolitikk. enheter som kreves for å implementere dem.
“Som et resultat har avdelingen startet konsultasjon med 98 NCCE om implikasjonene av dette forslaget,” la det til. “Avdelingen forventer svar fra NCCEer innen utgangen av juni 2021.”
Den forbereder også utkast til endringer til PSPF og sa at den for øyeblikket vurderer tidsrammer for gjennomføring.
En annen av JCPAAs anbefalinger var at AGD oppdaterte komiteen om sin referanseprosess for Commonwealth-enheters rapporterte samsvar med cybersikkerhetskrav.
Se også: Labour ønsker å nevne og skamme dårlig Commonwealth-enhet cyberstilling
ANAO i mars publiserte funn av en undersøkelse av effektiviteten av cybersikkerhetsrisikoreduserende strategier implementert av syv regjeringsenheter, og erklærte at ingen har fullført alle obligatoriske referanseverdier og at egenrapportering var svak.
AGD sa til JCPAA at det er “å utforske alternativer, inkludert moderering, for å ytterligere støtte enheter for å forbedre nøyaktigheten av deres egenvurderinger”.
“I tillegg vurderer avdelingen også den eksisterende modenhetsmodellen for å sikre at den er egnet for formålet,” sa den. ansvaret til byråer, ikke oss, AGD og ASD sier Komiteen treffer veisperring i sondering Commonwealth cybersikkerhetsytelse Skuffelsen over Australias nye cybersikkerhetsstrategi Cyber må være en del av alle farer nasjonal motstandsdyktighet: Innenrikssjef
Relaterte emner:
Australia Security TV Databehandling CXO datasentre 