总理在机构中的部门签署网络安全审计
2021-03-22
一些联邦政府最强大的部门是仍然未能充分实施强制网络安全控制的人,使他们“脆弱”攻击,国家审计员已透露。 少数机构也是如此继续评估自己对政府的保护安全政策框架(PSPF)

一些联邦政府最强大的部门是仍然未能充分实施强制网络安全控制的人,使他们“脆弱”攻击,国家审计员已透露。

少数机构也是如此继续评估自己对政府的保护安全政策框架(PSPF)的评估,提高了对自我评估的有用性的进一步担忧。

在其最新的网络恢复力审查中,澳大利亚国家审计发布了[PDF]办公室(anao)发现它没有一个被检查的机构没有“全面实施的所有强制性前四大缓解战略”。

审计

看着律师将军(AGD);总理和内阁(PM&C);张健康的艺术;教育,技能和就业部(DES);未来的基金管理机构;知识产权澳大利亚;和澳大利亚人。

政府还是另一个糟糕的成绩,这继续争取低遵守情况,因为2013年4月的非公司英联邦实体强制成为非企业联邦实体。

在审查的七个机构中,三下午3点和C,AGD和未来的基金管理机构 - 自我评估为2018-19 PSPF自我评估中全面实施的一项或多项控制权。

PM&C据报道,全面实施了所有前四个,这是“管理” - 或基线 - 成熟度评级,而AGD和未来的基金报告了“发展”评级 - 在“临时”之后可实现的第二次最低评级。

但审计透露,PM&C和AGD错误地自我评估,以完全符合其自我评估的控制,而是认为在框架下的网络攻击是“脆弱”。

发现PM&C未实施限制行政特权缓解策略,特别是围绕特权用户访问的验证。

“虽然PM&C具有每年验证特权访问的过程,但它没有报告称,充分确保特权获取限于要求其承担职责的人员。

“PM&C的验证流程的弱点增加了网络入侵可能导致对抗的敌人获取的风险它的系统随后,随后改变和绕过其他安全措施来损害系统。“

在对审计的回应中,PM&C表示”不同意Anao的评估“,但接受了它加强其验证的建议特权用户访问和提高安全配置的测试。另一方面,AGD被发现不实现修补操作系统策略 - 这两个前四个控件中的一个是已有完全实现的。

审计说,虽然AGD“大大”实施了修补操作系统的要求,但在信息安全手册(ISM)时间帧中,某些在服务器上的操作系统贴片尚未应用。

它建议agd执行和文件对于未实施的任何补丁的任何补丁的风险评估和改进该部门同意的风险评估和监测网络安全事件的过程。

未来的基金管理机构,与PM&C和AGD正确自我评估,被发现是内部有弹性的,这意味着它有一些措施来检测,从网络安全事件中检测,管理和恢复。

作为审查的一部分评估的剩余的四个机构 - 健康,设计师,知识产权澳大利亚和澳大利亚 - 所有自我评估为2018 - 19年的“临时”或“开发评级”,这意味着他们没有完全实施前四个。

临时和发展评级占73%根据GOV的数据,2018-19 2018-19 PSPF报告中的所有自我评估Ernment的第一个网络安全姿势报告去年发布。

健康表示,它打算“在2021年12月20日至12月20日提升其必要八个缓解策略的成熟度水平”,开始了一项劳动计划,以改善其在2018年的立场 - 19.

DESE未设定时间框架以改善其成熟度,尽管在2020年的前四个缓解策略中的两种预期成熟模型下计划“目标”成熟度二级“。

审计还指出,虽然民政事务部,澳大利亚信号司司长和司法部长的部门对各机构的支持增加了,但需要进一步的工作。

”额外的持续工作将需要协助实体在实现更成熟和恢复力方面,“它说,添加了以下是“进一步提高实体的PSPF政策准确性10评估的范围”。

PSPF策略10要求机构要求从网络威胁中保护信息。

审计师呼吁AGD审查“PSPF成熟度评估模型的现有成熟度水平,以确定他们的到期水平是适合目的的”,该部门已经处于执行过程中。

据ITNews报道,去年举行透露我们考虑进一步改善框架以推动合规性。

关键词2官网(www.ynmzfc.com)。