Cyber ​​Security NSW принимает оценки зрелости за чистую монету

341

Cyber ​​Security NSW, общегосударственное управление кибербезопасности штата, еще не провело аудит зрелости системы безопасности по собственной оценке одного агентства.

Каждый год агентства Нового Южного Уэльса должны проводить самооценку и сообщать о своей зрелости «в соответствии со всеми обязательными требованиями» в политике кибербезопасности Нового Южного Уэльса и в соответствии с Essential Eight Австралийского центра кибербезопасности. [pdf]

Затем отчеты отправляются в Cyber ​​Security NSW, который должен был проводить аудит самооценки кибербезопасности кластеров и агентств, «начиная с 2020–2021 годов», согласно данным опубликованный циркуляр.

Но генеральный аудитор Нового Южного Уэльса сказал сегодня [pdf] что на сегодняшний день Cyber ​​Security NSW не проверял ни одну самооценку агентства.

«Эти самооценки обеспечивают единственную меру зрелости кибербезопасности правительства Нового Южного Уэльса», — сказал генеральный аудитор.

«Cyber ​​Security NSW не проводил аудит артефактов, которые поддерживают самооценку агентства.

«Не проводя целевые проверки, Cyber ​​Security NSW не обеспечивает уровень гарантии, которого имплицитно ожидает правительство NSW при принятии [cyber security] политики, что самооценки агентств являются последовательными и обоснованными».

Генеральный аудитор заявил, что не ожидает, что Cyber ​​Security NSW будет проверять каждую полученную самооценку.

Но генеральный аудитор сказал, что «подход, основанный на оценке риска, может иметь как образовательную пользу для агентств, так и гарантировать, что агентства будут внимательны и учтены в своих оценках».

«Как предположил один высокопоставленный представитель агентства, агентства с большей вероятностью будут соблюдать политику, если «…кто-то может оглядываться через плечо», — сказал генеральный аудитор.

«Другая заинтересованная сторона выразила обеспокоенность по поводу способности агентств проводить свои самооценки единообразно, утверждая, что это оставляет открытой необходимость в «базовой гарантии и выборочной проверке» со стороны Cyber ​​Security NSW».

Генеральный аудитор ранее обнаружил, что агентства, как правило, «переоценивают свою зрелость в области кибербезопасности» и что некоторые из них не могут «подкрепить все свои самооценки доказательствами».

Сообщается также, что внешний аудит, проведенный по заказу Cyber ​​Security NSW, «обнаружил разные подходы к тому, как агентства проводят самооценку зрелости», но не привел к завершению работы по обеспечению уверенности.

«Кибербезопасность Нового Южного Уэльса уполномочена проводить проверки самооценки агентств, но она не проводила эти проверки и не стремится к собственной уверенности в результатах этой самооценки», — сказал генеральный аудитор.

«Это недостаточно для устранения ранее выявленных несоответствий и неточностей в том, как эти самооценки выполняются и сообщаются».

Читать полную новость на сайте