Il governo australiano ha segnalato la sua intenzione di imporre le strategie di mitigazione degli otto essenziali, nonostante molte entità non si siano completamente accorte delle prime quattro.
Dal 2013, alle entità non aziendali del Commonwealth (NCCE) è stato richiesto di intraprendere un'autovalutazione annuale rispetto alle quattro strategie principali, che sono incaricate dal quadro di politica di sicurezza protettiva del Dipartimento del procuratore generale (AGD) (PSPF). Le entità segnalano ad AGD la loro conformità complessiva ai requisiti obbligatori.
Il Joint Committee of Public Accounts and Audit (JCPAA) lo scorso anno ha esaminato un paio di rapporti dell'Australian National Audit Office (ANAO). Un rapporto su questa indagine del JCPAA a dicembre ha chiesto ad AGD se fosse possibile conferire mandato agli Essential Eight, una chiamata fatta dal comitato nell'ottobre 2017, oltre a riferire sul motivo per cui alcune entità devono ancora implementare i primi quattro mandati ad aprile 2013.
Vedi anche: ASD Essential Otto controlli di sicurezza informatica non essenziali: Canberra
Nella sua risposta [PDF] al JCPAA, AGD ha affermato che rimane impegnato a mantenere solidi standard di sicurezza protettivi per garantire che il PSPF supporti le entità a gestire i propri rischi.
“Il dipartimento ha considerato attentamente … e ha tenuto dettagliati discussioni con l'[Australian Cyber Security Centre] sulle impostazioni di sicurezza informatica nel PSPF”, ha scritto AGD.
“Su questa base, il dipartimento raccomanderà un emendamento al PSPF per imporre l'Essential Eight.
“Ciò riflette il consiglio dell'ACSC secondo cui le entità dovrebbero progredire verso la maturità in tutte e otto le strategie… piuttosto che concentrare gli sforzi su un sottoinsieme più piccolo come le prime quattro, in quanto ciò fornisce un maggiore livello di protezione”. approccio è stato approvato dal Comitato per la sicurezza del governo, che è un comitato interdipartimentale che fornisce una supervisione strategica della politica di sicurezza protettiva.
Anche se desideroso di rendere essenziale l'Essential Eight, AGD ha affermato che ciò avrebbe un impatto sul entità necessarie per implementarli.
“Di conseguenza, il dipartimento ha avviato la consultazione con i 98 NCCE sulle implicazioni di questa proposta”, ha aggiunto. “Il dipartimento si aspetta risposte dall'NCCE entro la fine di giugno 2021.”
Sta inoltre preparando bozze di emendamento al PSPF e ha affermato che attualmente sta valutando i tempi per l'attuazione.
Un altro delle raccomandazioni del JCPAA era che AGD aggiornasse il comitato sul suo processo di benchmarking per la conformità segnalata delle entità del Commonwealth ai requisiti di sicurezza informatica.
Vedi anche: I laburisti vogliono denunciare e svergognare la cattiva postura informatica dell'entità del Commonwealth
ANAO a marzo ha pubblicato i risultati di un'indagine sull'efficacia delle strategie di mitigazione del rischio di sicurezza informatica attuate da sette entità governative e ha dichiarato che nessuna è stata pienamente attuata tutti i benchmark obbligatori e che l'autodichiarazione era debole.
AGD ha detto al JCPAA che sta “esplorando opzioni, inclusa la moderazione, per supportare ulteriormente le entità a migliorare l'accuratezza delle loro autovalutazioni”.
“Inoltre, il dipartimento sta anche rivedendo il modello di maturità esistente per assicurarsi che sia adatto allo scopo”, ha affermato.
HERE'S MORE
ANAO rileva che due dipartimenti governativi hanno autodichiarato in modo impreciso la conformità informatica Cybersecurity il responsabilità delle agenzie, non di noi, affermano AGD e ASD Il comitato incontra un ostacolo nel sondare le prestazioni della sicurezza informatica del Commonwealth La delusione della nuova strategia di sicurezza informatica australiana Il cyber deve essere parte della resilienza nazionale a tutti i rischi: capo degli affari interni
Argomenti correlati:
Australia Security TV Data Management CXO Data Center 