Den australske regering har markeret sin hensigt om at give mandat til Essential Eight-afbødningsstrategierne, på trods af at mange enheder ikke fuldt ud vikler hovedet omkring de top fire.
Siden 2013 har Commonwealth-enheder (NCCE'er), der ikke er erhvervsmæssige, været forpligtet til at foretage en årlig egenvurdering i forhold til de fire bedste strategier, som er mandat af den beskyttende sikkerhedspolitiske ramme for justitsadvokatens afdeling (AGD) (PSPF). Enheder rapporterer deres overordnede overholdelse af obligatoriske krav til AGD.
Det Blandede Udvalg for Offentlige Regnskaber og Revision (JCPAA) gennemgik sidste år et par rapporter fra det australske nationale revisionskontor (ANAO). En rapport om denne sonde fra JCPAA i december spurgte AGD, om det var muligt at give mandat til Essential Eight, et opkald, som komiteen foretog i oktober 2017, samt en rapport om, hvorfor nogen enheder endnu ikke har implementeret de top fire mandater i april 2013.
Se også: ASD Essential Otte cybersikkerhedskontroller er ikke essentielle: Canberra
I sit svar [PDF] til JCPAA sagde AGD, at det fortsat er forpligtet til at opretholde robuste beskyttende sikkerhedsstandarder for at sikre, at PSPF støtter enheder til at styre deres risici.
“Afdelingen har nøje overvejet … og har holdt detaljerede drøftelser med [det australske cybersikkerhedscenter] om cybersikkerhedsindstillinger i PSPF, “skrev AGD.
” På dette grundlag vil afdelingen anbefale en ændring af PSPF for at give Essential Eight mandat.
“Dette afspejler ACSC's råd om, at enheder skal udvikle modenhed på tværs af alle otte strategier … snarere end at fokusere indsatsen på en mindre delmængde som de top fire, da dette giver et større beskyttelsesniveau.”
AGD sagde en sådan tilgang er blevet godkendt af regeringens sikkerhedskomité, som er et tværdepartementalt udvalg, der sørger for strategisk tilsyn med beskyttende sikkerhedspolitik.
Selvom det er ivrig efter at gøre Essential Eight afgørende, sagde AGD, at dette ville have en indvirkning på enheder, der kræves for at implementere dem.
“Som et resultat har afdelingen påbegyndt konsultation med de 98 NCCE'er om konsekvenserne af dette forslag,” tilføjede det. “Afdelingen forventer svar fra NCCE'er inden udgangen af juni 2021.”
Den forbereder også udkast til ændringer til PSPF og sagde, at den i øjeblikket overvejer tidsrammer for implementering.
En anden af JCPAA's anbefalinger var, at AGD opdaterede udvalget om sin benchmarkingproces for Commonwealth-enheders rapporterede overholdelse af kravene til cybersikkerhed.
Se også: Labour ønsker at navngive og skamme dårlig Commonwealth-enhed cyberposition
ANAO offentliggjorde i marts resultaterne af en undersøgelse af effektiviteten af cybersikkerhedsrisikoreducerende strategier implementeret af syv regeringsenheder og erklærede, at ingen har fuldt ud implementeret alle de obligatoriske benchmarks, og at selvrapportering var svag.
AGD fortalte JCPAA, at det “udforsker muligheder, herunder moderering, for yderligere at støtte enheder for at forbedre nøjagtigheden af deres selvvurderinger”.
“Derudover gennemgår afdelingen også den eksisterende modenhedsmodel for at sikre, at den er egnet til formålet,” sagde den.
HER ER MERE
ANAO finder to regeringsafdelinger, der ukorrekt selvrapporterede cyberoverensstemmelse. Cybersikkerhed agenturernes ansvar, ikke os, AGD og ASD siger Komité rammer vejspærring i sondering Commonwealths cybersikkerhedspræstation Skuffelsen over Australiens nye cybersikkerhedsstrategi Cyber skal være en del af alle risici national modstandsdygtighed: chef for indenrigsministeriet
Relaterede emner:
Australien Security TV CXO-datacentre til datastyring 