Законы Австралии о критической инфраструктуре

Законы Австралии о критической инфраструктуре могут быть оспорены

А что и так оказывается можно было?

Министерство внутренних дел Австралии уступило давлению со стороны промышленности и штатов и приняло решение не опубликовывать проект законопроекта, который подкрепляет план прямого контроля в кибербезопасность критически важной инфраструктуры страны.

Проект закона «Critical Infrastructure» дает австралийскому правительству беспрецедентные полномочия в части безопасности активов, находящихся в собственности и управлении частными компаниями и государственными органами власти.

В состав критической инфраструктуры входят все операторы связи и интернет-провайдеры, оборонная и космическая промышленность, морские порты, электроэнергетика, водоканалы, грузовые и пассажирские перевозки, операторы оборудования для передачи вещания и подводных кабелей, регистраторы доменов, банки, страховщики, торговые, брокерские и платежные компании, продуктовые компании и сотни больниц, университетов и исследовательских организаций.

В состав входят 30 поставщиков облачных услуг и не менее 100 поставщиков центров обработки данных, в зависимости от того, являются ли их клиенты государственными или критически важными инфраструктурными системами или хранят ли они значительные объемы данных.

Все они должны будут:

  • Вести и предоставлять регулирующему органу актуальный реестр критических активов;
  • Сообщать об инцидентах безопасности в течение 24 часов после обнаружения;
  • Сообщать об инцидентах, которые считаются «критическими», в течение 12 часов после обнаружения;
  • Действовать в соответствии с требованиями министра во время инцидента, связанного с национальной безопасностью.
  • В крайних случаях предоставлять прямой доступ и разрешать удалять / изменять файлы и устанавливать сенсоры для сбора данных.

По усмотрению министра, организации также могут попросить выполнить текущие «повышенные обязательства по обеспечению безопасности», включая:

  • Предоставление отчетов по внешним оценкам уязвимостей;
  • Обеспечение доступа по запросу к системным журналам;
  • Ведение и представление планов реагирования на инциденты;
  • Участие в учениях под руководством правительства.