美联储机关警察质量未能在核心系统的网络审查
2020-05-30
只有联邦政府最大的机构之一,已全面应用在澳大利亚信号理事会的必备八到它的一些最重要的制度,国家审计发现。 发现包含在2019年中期财务控制主要实体,回顾现在被认为是网络

只有联邦政府最大的机构之一,已全面应用在澳大利亚信号理事会的必备八到它的一些最重要的制度,国家审计发现。

发现包含在2019年中期财务控制主要实体,回顾现在被认为是网络弹性基线控制的执行情况审计。

澳大利亚国家审计署的审查的重点是18个机构,包括国防部,服务澳大利亚,家庭的财务和人力资源系统事务和税务机关。

“的审查,以确认报告和身份的网络安全隐患的准确性可能对财务报表的编制产生影响,”审计师说[PDF]

[ 123]“审查consiSTED政策和程序文件的分析,减灾战略具体到FMIS和HRMIS,冲刺评估的结果,并采访了实体人员的测试。”

由此可见自2013年起由审计人员进行了一系列目标审计已经发现严重的网络弹性的缺点,特别是围绕前四的实施。

但与以往审核,审查发现下保护安全政策10“对于大多数实体成熟度水平显著低于”的要求策略框架(PSPF)。

政策10需要的实体来实现的成熟水平“管理”,其ANAO所述等同于基本8个成熟三​​级。

“18个实体的评估中,只有一个被评为因为在所有8个控制实现管理成熟度等级,”审计师说,

来源:ANAO

审查发现合规相关的应用硬化的最低水平,宏观调控和多因素认证控制 - 所有非下的基本8 -mandatory。

“实现为应用硬化管理水平通过实体观察难以由于应用在实体的系统的数量和识别的所有适用硬化控制的难度,”审计人员说。

但它也承认,大多数机构的计划,以解决七月这些问题。

“实体有执行计划的重点是减少在其环境中的应用程序数量,以目标降低THEI[R攻击面和风险最小化”的ANAO说。

‘这些计划的实施情况目前被广大实体付诸行动,’与完工七月年,大部分计划。

限制宏也是机构之间大不相同,用“由于用户严重依赖于宏来进行商业活动的”,一些依靠“额外缓解”到地址关注机构报告控制困难。

对于多因素认证,代理机构“发现组织的过程/分发多因素认证令牌对所有用户是一项繁重的一个”,与大部分而不是接受的风险,并着眼于实现较小的成熟度。

“实体用于远程访问和Privi酒店优先多因素的控制leged用户,而不是所有的用户,”审计师说。

ANAO还发现,四个机构有不正确的自我评估,该机构指责他们的要求缺乏了解。

“在实体归因于不准确的评估自己的需求范围的解释,并表示,他们发现它具有挑战性,以确定它们是否满足减灾战略,意图”报告指出。

大多数实体也发现有“在一个系统或环境水平进行自我评估,并没有专门评估控制要求,以尽量减少网络风险给他们的FMIS或HRMIS应用。”

ANAO评估不是指参学院的恶化[ 123]

指参学院最近的网络安全态势回购RT议会发现,大多数政府机构仍在努力实现本质8所网络安全控制。

它说,机构73%的低于成熟的基线水平与强制性前四名控制,去年,包括13%的谁报道成熟的特设水平。

特设被认为是得分指标下可能的最低分数,表示只有“部分或基本实现和管理”前四。

但是,审计报告表明,事情实际上比这更糟糕的。

“ANAO发现,控制76%是一个特设或开发成熟度级别,”报告指出。

“这与ACSC结果一致,其中指出,非企业联合体的实体'73%的报告特设或发展成熟的”的水平。”

因此,审计师强调‘审查大多数实体都不能满足所需的政策10成熟水平’,并表示‘显著进展,仍需要’。[ 123]

ANAO也倒在任何建议,即在2018年更改PSPF导致了网络弹性任何真正的改善冷水。

尽管这是在2019年政府的网络隆起,其评估25机构对反对国会大厦国家支持的网络攻击之后 - 澳大利亚的“首届全国网络危机”

“的监管框架,迄今自我评估没有推动网络安全标准的实现由政府的政策要求,”审核员说。

“策略10要求设计。自2013年经济需求,也非企业联合体的实体实施强制性ASD战略以减轻网络安全事件(前四名),已全部到位

“实体不能满足这些要求表明在实施弱点和保持了良好的安全控制一段时间。

“由ANAO网络安全的前审核,以评估对政策执行的进度10项要求没有找到符合随时间的控制程度的改善。[123 ]

“因为这审查的一部分进行的工作表明,这种模式继续,具有有限的改进。”

关注菲娱2官网(www.ynmzfcw.com)。