Спонсируемая правительством Нового Южного Уэльса целевая группа лидеров отрасли призвала федеральные, государственные и местные органы власти по всей Австралии принять международно признанные стандарты кибербезопасности для облачных сервисов.
Он также настоятельно призвал правительства более благоприятно оценивать предложения или тендерные предложения компаний, которые принимают стандарты кибербезопасности и других рисков для телекоммуникаций и Интернета вещей (IoT).
Целевая группа по гармонизации стандартов кибербезопасности Нового Южного Уэльса сделала эти рекомендации наряду с 22 другими в 16-страничном отчете [pdf], опубликованном в четверг.
Это следует за шестимесячной работой целевой группы, состоящей из представителей всех секторов обороны, энергетики, здравоохранения и финансовых услуг, по стимулированию принятия стандартов.
В докладе рекомендации по разработке и внедрению стандартов разделены на семь ключевых областей: облачные технологии, оборона, образование, энергетика, финансовые услуги, здравоохранение, телекоммуникации и Интернет Вещей.
Целевая группа обнаружила, что, как правило, существует множество стандартов кибербезопасности, из которых можно выбирать, причем некоторые из них встроены в политику, а другие-нет.
В области облачных технологий в докладе содержится призыв к правительствам “принять и использовать признанные стандарты ИСО и/или МЭК в качестве базовых требований к информационной безопасности (например, серия ИСО/МЭК 27000)”.
Правительства, стремящиеся внедрить новые облачные сервисы на защищенном уровне или ниже, также должны рассмотреть “ISO/IEC 27001, SOC 2 и потенциально FedRAMP как часть единой базовой линии безопасности”.
ISO/IEC 27000-это семейство стандартов, используемых для обеспечения безопасности информационных активов, в то время как FedRAMP-это американская программа, предоставляющая стандартизированный подход к оценке облачной безопасности.
В докладе говорится, что стандарты могут быть встроены в “любые нормативные рамки или модели закупок, предлагаемые в связи с кибербезопасностью”.
Правительствам также было настоятельно рекомендовано принять стандарты в области защитной безопасности, безопасности цепочек поставок и управления рисками, а именно ИСО 28001, ИСО 31000 и предстоящий ИСО 22340.
Чтобы помочь этому, в докладе рекомендуется, чтобы предприятия и правительства разработали материал, который “четко сообщает о любых выгодах для бизнеса, связанных с принятием стандартов”.
В докладе также указывается, что международные стандарты должны соблюдаться в том случае, если вместо этого будет принят основанный на принципах подход.
Стандарты в рамках тендеров, государственная политика
Правительствам также было настоятельно рекомендовано “изучить механизмы рассмотрения и взвешивания предложений или тендерных заявок”, когда компания демонстрирует принятие стандартов для телекоммуникаций и интернета Вещей.
В докладе говорится о стандартах, касающихся кибербезопасности, в том числе безопасности интернета вещей, в частности, и управления рисками.
“Это может произойти, например, через процессы обеспечения гарантий с рутинной отчетностью о проценте поставщиков, которые продемонстрировали, что они соответствуют требованиям конкретных стандартов”, — говорится в докладе.
“Это может также включать определение приоритетов предложений или тендерных предложений, которые демонстрируют соответствие признанным международным стандартам или кодексам.”
Новые правительственные документы и директивы по цифровой политике также должны “явно учитывать соображения кибербезопасности, включая признанные стандарты”.
“Это может быть, например, до рассмотрения кабинетом министров или комитетом по обзору расходов”, — говорится в докладе.
Другие рекомендации включают:
После выхода доклада генеральный директор Standards Australia Адриан О’Коннелл заявил, что правительства и бизнес “теперь начнут коллективно работать над реализацией этих ключевых рекомендаций”.
В настоящее время целевая группа занимается разработкой общедоступного перечня стандартов кибербезопасности по семи приоритетным направлениям доклада.
Генеральный директор AustCyber Мишель Прайс сказала, что, хотя стандарты не являются панцеей, когда они “сочетаются с последними достижениями в области технологий и встроены в глобальные цепочки поставок, они могут помочь в определении базовых требований кибербезопасности”.
“Это поможет повысить конкурентоспособность малых и средних предприятий (МСП), организаций и государственных учреждений на австралийском рынке и на международном уровне”, — сказала она.
Министр обслуживания клиентов Нового Южного Уэльса Виктор Доминелло приветствовал этот доклад, который, по его словам, стал результатом первого в Австралии сотрудничества между правительством Нового Южного Уэльса, AustCyber и Standards Australia.
“Мы собрали вместе некоторые из лучших и самых ярких кибер-умов страны, чтобы гарантировать, что у нас есть самые высокие стандарты и мы остаемся впереди всех”, — сказал он в своем заявлении.