Как выяснил генеральный аудитор штата, несколько крупнейших агентств правительства Нового Южного Уэльса до сих пор не имеют планов аварийного восстановления всех своих ИТ-систем и инфраструктуры.
В ежегодном обзоре [pdf] внутреннего контроля и управления ревизионное управление Нового Южного Уэльса выявило недостатки в планировании аварийного восстановления и обеспечения непрерывности бизнеса, а также в целом в области ИТ-контроля.
Аудит оценил 40 крупнейших агентств в государственном секторе Нового Южного Уэльса, которые отвечают за наиболее важные ИТ – системы штата и около 85 процентов всех расходов – до пандемии.
В то время как большинство агентств имели планы аварийного восстановления “некоторых или всех своих критических ИТ-систем” в течение 2019 года, 19 процентов все еще не имеют таких планов для всех ключевых ИТ-систем.
Как 40 крупнейших агентств в штате, аудит отмечает, что это означает, что “нет никакого плана по восстановлению некоторых ключевых ИТ-систем и инфраструктуры, поддерживающих важнейшие функции агентства”.
Аудит также показал, что 43 процента агентств “не разработали и не протестировали свои планы аварийного восстановления” в течение 2019 года.
Ревизия отмечает, что в настоящее время “нет конкретного правительственного направления Нового Южного Уэльса, которое требовало бы от агентств поддерживать непрерывность бизнеса и механизмы планирования аварийного восстановления”.
Однако существуют требования к структуре управления рисками в соответствии с политикой внутреннего аудита и управления рисками и утвержденным планом кибербезопасности в соответствии с политикой кибербезопасности Нового Южного Уэльса.
Было также установлено, что еще 23 процента агентств не проводили анализ влияния на бизнес (BIA), в то время как 20 процентов из тех, кто проводил его, выполняли его только на разовой основе.
BIA “помогает агентствам определить критические бизнес-функции, которые поддерживают бизнес-цели агентства, включая целевые сроки восстановления”, — поясняется в аудите.
Около 10 процентов проведенных опросов “не включали цели по времени восстановления”, а шесть процентов “не определяли ключевые ИТ-системы, поддерживающие критически важные бизнес-функции”.
“Без современного и всеобъемлющего BIA существует риск того, что агентства не смогут восстановить критические бизнес-функции в приемлемые сроки”,-говорится в отчете аудита.
“Агентства также могут не знать, что делать в случае сбоя, если ключевые системы, зависимости и взаимозависимости не были выявлены, что еще больше повышает риск.”
ОН контролирует недостатки подъема
Аудит также подчеркивает, что количество недостатков в области ИТ-контроля увеличилось на 11 процентов в период с 2019 по 2020 год.
“Значительное число” недостатков ИТ-контроля связано с нерешенными трудностями ИТ-контроля с прошлого года.
“В 2019-20 годах повторные выводы увеличились на 13 процентов — с 69 в 2018-19 годах до 78 в 2019-20 годах”, — говорится в отчете аудита.
“Кроме того, новые недостатки ИТ-контроля немного увеличились с 83 в 2018-19 годах до 92 в 2019-20 годах.”
В настоящее время ревизионное управление Нового Южного Уэльса планирует провести аудит эффективности работы по обеспечению непрерывности бизнеса и планированию аварийного восстановления с особым упором на пандемию.
Кроме того, в настоящее время он проводит обзор соблюдения агентством политики кибербезопасности Нового Южного Уэльса после того, как обнаружил низкий уровень зрелости в рамках модели Essential Eight во всем правительстве.
