Приглашаем всех желающих посетить бесплатные пробные занятия по курсам МВА и профессиональной подготовки. Занятия проходят в реальных группах, никаких постановочных занятий. Ознакомиться с расписанием пробных занятий, выбрать заинтересовавшее и зарегистрироваться на него можно здесь
Модель зрелости как инструмент развития процесса безопасности в организации
А.В. Баскаков
Слушатель группы MBA 32А CSO-01
Школы IT-менеджмента
РАНХиГС при Президенте РФ
Постановка задачи по внедрению и продвижению любого процесса управления в организации должна соответствовать уровню организационного и технологического развития, и в частности, процессов обеспечения безопасности. Требования к реализации мероприятий по безопасности должны формулироваться с учетом уровня зрелости этих процессов в конкретной организации. Проще говоря, не пытайтесь требовать внедрить мощную современную технологию, если уровень организации не соответствует уровню технологии. Этот вывод относится и к использованию нового оборудования. Практически всегда современные технические средства требуют чрезвычайно высокого уровня обслуживания. Если персонал в целом не обладает необходимой производственной и корпоративной культурой, то очень быстро это оборудование потеряет свои параметры, либо просто будет испорчено.
Для определения стадии организационного и технологического развития организации и ее процессов в мировой практике существует понятие «модель зрелости». Модель зрелости используется как инструмент измерения состояния процесса на основе набора метрик, которые представляют собой определенные характеристики. Оценка этих метрик по оговоренной шкале позволяет понять состояние процессов организации, которая и будет характеризовать уровень зрелости. После получения оценки зрелости можно выработать необходимые мероприятия для повышения зрелости процессов и организации в целом.
В зарубежной практике применение моделей зрелости как инструмента управления широко развито, в том числе и для управления процессами безопасности. В российской практике не сложилась необходимость использования моделей зрелости, однако в этом, по мнению автора, существует необходимость. Иллюстрацией может служить серия стандартов по безопасности 27ххх, регулирующая вопросы безопасности. Например, в стандарте ISO 27001:2005 существует требования к наличию в организации процедуры анализа рисков. Всегда возникает вопрос как же выполнить это требования, в каком объеме и на каком уровне детализации для разных по величине компаний. Очень часто менеджеры по безопасности обращают внимание именно на размер организации и почти никогда на уровень ее организационного и технологического развития. Ответить на этот вопрос нам поможет модель зрелости, на основе оценки уровня зрелости процессов безопасности. Если уровень зрелости организации низкий, детальная проработка процедуры оценки рисков не имеет смысла, и может заключаться в экспертной оценки рисков и определении приоритетных направлений безопасности. Тогда как в организациях, где уровень зрелости процессов безопасности на высоком уровне, процедура оценки рисков должна не только функционировать, но и иметь детальную проработку методики, шкал, и т.д.
Целью данной работы является обзор существующих зарубежных моделей зрелости для формирования представления о возможности их применения в российской практике. Автор нашел более 10 моделей зрелости, в данной статье приведен обзор следующих моделей 1:
- Open Information Security Management Maturity Model (O-ISM3) – разработана независимым консорциумом The Open Group;
- Enterprise Information Management Maturity Model (EIM MM) – разработана Gartner, Inc;
- NISTIR-7358 методология PRISMA – разработана National Institute of Standards and Technology;
- Community Cyber Security Maturity Model (CCSMM) – разработана The Center for Infrastructure Assurance and Security The University of Texas.
1. Обзор мировых практик по формированию моделей зрелости
1.1. Модель Open Information Security Management Maturity Model
Модель «Open Information Security Management Maturity Model (O-ISM3)», разработана независимым консорциумом The Open Group (www.opengroup.org), полностью учитывает требования ISO / IEC 27000:2009, COBIT, ITIL.
Краткая характеристика модели
Модель О-ISM3 оценивает зрелость функционирования существующих процессов системы управления информационной безопасности (СУИБ) организации. Модель разрабатывалась как методика, которая поможет менеджерам информационной безопасности оценить свою собственную рабочую среду и запланировать процессы управления безопасностью.
Модель O-ISM3 требует, чтобы процессы СУИБ были задокументированы, измерялись и управлялись. O-ISM3 так же требует, чтобы были зафиксированы бизнес-цели организации, и на их основе определены цели и задачи безопасности. Отличительной особенностью модели O-ISM3 является то, что она основана на оценке зрелости каждого из применяемых в СУИБ контролей (мер безопасности). Т.е. чтобы управлять контролем (согласно процессному подходу) необходимо оценивать уровень его зрелости.
Модель O-ISM3 рассматривает 4 уровня управления СУИБ организации, по которым производится оценка зрелости:
- Базовый, для общего управления – 3 контроля;
- Стратегический (руководство и обеспечение), на котором устанавливаются стратегические цели, осуществляется координация деятельности и обеспечение ресурсами – 4 контроля;
- Тактический (внедрение и оптимизация), который имеет дело с разработкой и реализацией СУИБ, установкой специфических целей и управлением ресурсами – 12 контролей;
- Операционный (исполнение и отчетность), который имеет дело с достижением определенных целей посредством технических процессов – 26 контролей.
Уровни зрелости
В модели O-ISM3 процессы системы управления классифицируются по 5 уровням зрелости (см. табл. 1):
- Уровень зрелости 1 – Начальный (Initial);
- Уровень зрелости 2 – Управляемый (Managed);
- Уровень зрелости 3 – Описанный (Defined);
- Уровень зрелости 4 – Контролируемый (Controlled);
- Уровень зрелости 5 – Оптимизированный (Optimized).
Метрики подразделяются на семь возможных типов (Activity, Scope, Unavailability, Effectiveness, Load, Quality, Efficiency) и описывают затратность и эффективность выбранного метода управления. С точки зрения аудитора уровень, достигнутый процессом, зависит от документации, и метрики использованной для управления им.
Таблица 1.
Capability Level |
Initial
|
Managed |
Defined |
Controlled |
Optimized |
|||
Management Practices |
Audit, Certify |
Test |
Monitor |
Planning |
Benefits |
Assessment |
Optimization |
|
Documentation |
* |
* |
* |
* |
* |
* |
* |
|
Metric Type (Тип метрики) |
Activity |
|
* |
* |
* |
* |
* |
* |
Scope |
|
* |
* |
* |
* |
* |
* |
|
Unavailability |
|
* |
* |
* |
* |
* |
* |
|
Effectiveness |
|
* |
* |
* |
* |
* |
* |
|
Load |
|
|
* |
* |
* |
* |
* |
|
Quality |
|
|
|
|
|
* |
* |
|
Efficiency |
|
|
|
|
|
|
* |
Модель зрелости
Пример модели зрелости, в соответствии с описанными ранее 4-мя уровнями управления, приведены в таблицах 2-5.
Базовый уровень
Таблица 2.
Уровни зрелости |
Level 1 |
Level 2 |
Level 3 |
Level 4 |
Level 5 |
Процессы СУИБ |
|
||||
GP-1: Knowledge Management |
Managed |
Managed |
Managed |
Managed |
Optimized |
GP-2: ISMS and Business Audit |
Managed |
Managed |
Managed |
Managed |
Optimized |
GP-3: ISM Design and Evolution |
Managed |
Managed |
Managed |
Managed |
Optimized |
Стратегический
Таблица 3.
Уровни зрелости |
Level 1 |
Level 2 |
Level 3 |
Level 4 |
Level 5 |
Процессы СУИБ |
|
||||
SSP-1: Report to Stakeholders |
Managed |
Managed |
Managed |
Managed |
Optimized |
SSP-2: Coordination |
Managed |
Managed |
Managed |
Managed |
Optimized |
SSP-4: Define TPSRSR Rules |
|
|
|
Managed |
Optimized |
SSP-6: Allocate Resources for Information Security |
Managed |
Managed |
Managed |
Managed |
Optimized |
Тактический
Таблица 4.
Уровни зрелости |
Level 1 |
Level 2 |
Level 3 |
Level 4 |
Level 5 |
Процессы СУИБ |
|
||||
TSP-1: Report to Strategic Management |
Managed |
Managed |
Managed |
Managed |
Optimized |
TSP-2: Manage Allocated Resources |
Managed |
Managed |
Managed |
Managed |
Optimized |
TSP-3: Define Security Targets |
Managed |
Managed |
Managed |
Managed |
Optimized |
TSP-4: Service-Level Management |
|
|
Managed |
Managed |
Optimized |
TSP-6: Define Environments and Lifecycles |
|
Managed |
Managed |
Managed |
Optimized |
TSP-13: Insurance Management |
|
|
|
Managed |
Optimized |
TSP-7: Background Checks |
|
|
|
Managed |
Optimized |
TSP-8: Personnel Security |
|
|
|
Managed |
Optimized |
TSP-9 Security Personnel Training |
|
|
Managed |
Managed |
Optimized |
TSP-10: Disciplinary Process |
|
Managed |
Managed |
Managed |
Optimized |
TSP-11: Security Awareness |
|
Managed |
Managed |
Managed |
Optimized |
TSP-14: Information Operations |
|
|
|
|
Optimized |
Операционный
Таблица 5.
Уровни зрелости |
Level 1 |
Level 2 |
Level 3 |
Level 4 |
Level 5 |
Процессы СУИБ |
|
||||
OSP-1: Report to Tactical Management |
Managed |
Managed |
Managed |
Managed |
Optimized |
OSP-2: Security Procurement |
|
Managed |
Managed |
Managed |
Optimized |
OSP-3: Inventory Management |
|
|
Managed |
Managed |
Optimized |
OSP-4: Information Systems Environment Change Control |
|
Managed |
Managed |
Managed |
Optimized |
OSP-5: Environment Patching |
Managed |
Managed |
Managed |
Managed |
Optimized |
OSP-6: Environment Clearing |
|
Managed |
Managed |
Managed |
Optimized |
OSP-7: Environment Hardening |
|
Managed |
Managed |
Managed |
Optimized |
OSP-8: Software Development Lifecycle Control |
|
|
Managed |
Managed |
Optimized |
OSP-9: Security Measures Change Control |
|
Managed |
Managed |
Managed |
Optimized |
OSP-16: Segmentation and Filtering Management |
Managed |
Managed |
Managed |
Managed |
Optimized |
OSP-17: Malware Protection Management |
Managed |
Managed |
Managed |
Managed |
Optimized |
OSP-11: Access Control |
|
Managed |
Managed |
Managed |
Optimized |
OSP-12: User Registration |
|
Managed |
Managed |
Managed |
Optimized |
OSP-14: Physical Environment Protection Management |
|
Managed |
Managed |
Managed |
Optimized |
OSP-10: Backup Management |
Managed |
Managed |
Managed |
Managed |
Optimized |
OSP-26: Enhanced Reliability and Availability Management |
|
|
|
Managed |
Optimized |
OSP-15: Operations Continuity Management |
|
|
Managed |
Managed |
Optimized |
OSP-27: Archiving Management |
|
|
|
Managed |
Optimized |
OSP-19: Internal Technical Audit |
|
Managed |
Managed |
Managed |
Optimized |
OSP-20: Incident Emulation |
|
|
|
Managed |
Optimized |
OSP-21: Information Quality and Compliance Probing |
|
|
|
Managed |
Optimized |
OSP-22: Alerts Monitoring |
|
Managed |
Managed |
Managed |
Optimized |
OSP-28: External Events Detection and Analysis |
|
|
|
Managed |
Optimized |
OSP-23: Internal Events Detection and Analysis |
|
|
|
Managed |
Optimized |
OSP-24: Handling of Incidents and Near-incidents |
|
|
Managed |
Managed |
Optimized |
OSP-25: Forensics |
|
|
|
Managed |
Optimized |
Резюме
Модель O-ISM3 разработана для любых типов организаций, коммерческих фирм, неправительственных организаций, производственных предприятий:
- Применима к любой организации независимо от размера, контекста и ресурсов;
- Требует высокой квалификации менеджеров по безопасности и высокой детализации процессов безопасности;
- Позволяет организациям расположить по приоритетам и оптимизировать свои инвестиции в безопасность;
- Позволяет непрерывно улучшать СУИБ на основе использования метрик;
- Устанавливает ключевые метрики, которые могут быть отданы на аутсорсинг.
1.2. Модель зрелости BPM Maturity Model
Модель «Business Process Management Maturity Model (BPM MM)» предложена Gartner, Inc. (http://www.gartner.com/technology/home.jsp). («BPM Maturity Model Identifies Six Phases for Successful BPM Adoption».Michael James Melenovsky, Jim Sinur, Gartner, Inc.)
Краткая характеристика модели
У большинства компаний нет четкого представления о сквозных бизнес-процессах, а если оно и присутствует, то лишь в виде разрозненных идей, а не цельной стратегии. Модель из шести стадий зрелости, предложенная Gartner, призвана помочь преодолеть трудности на пути к реализации преимуществ BPM и сформировать корпоративную стратегию управления бизнес-процессами, которая будет отвечать бизнес-целям организации.
Уровни зрелости
Модель зрелости BPM определяет шесть ступеней (уровней зрелости) реализации преимуществ BPM организациями (см. табл.6).
Таблица 6.
Номер уровня |
Наименование уровня зрелости |
Описание уровней |
Уровень 0 |
Признание операционной неэффективности |
На начальной стадии в организации появляется понимание того, что определенных улучшений в бизнесе невозможно достичь традиционными методами. |
Уровень 1 |
Заинтересованность в процессах |
В поиске путей фундаментального улучшения своих операций компания становится озабоченной собственными процессами. |
Уровень 2 |
Локальное процессное управление и автоматизация |
Заинтересованность в управлении процессами приводит к тому, что компания берет под контроль и автоматизирует отдельные процессы. |
Уровень 3 |
Управление и автоматизация межпроцессорного взаимодействия (Interprocess Automation and Control) |
Границы управляемых процессов постепенно расширяются, что в итоге приводит к интеграции их сначала между собой, а затем с процессами заказчиков и партнеров. |
Уровень 4 |
Управление цепочкой добавленной стоимости |
Накопленная компетенция позволяет настраивать исполнение процессов в цепи бизнес-партнеров под стратегические цели организации. |
Уровень 5 |
Динамичная бизнес-структура |
Компания научилась перестраивать процессы в таком темпе, что продолжает оставаться лидером при изменениях условий бизнеса. |
Рис. 1. Модель зрелости BPM Maturity Model.
В дополнение к шести стадиям, модель зрелости рассматривает шесть организационных факторов (см. рис. 2), которые должны сбалансированно развиваться по мере перехода от стадии к стадии:
Рис. 2. Организационные факторы BPM Maturity Model.
- Стратегическая линия (Strategic Alignment) - неразрывная связь между приоритетами организации и ее процессами, обеспечивающая достижение целей бизнеса;
- Культура и лидерство (Culture and Leadership) – общие ценности и воззрения, формирующие правильное отношение к процессам;
- Персонал (People) – группы и индивидуумы, непрерывно развивающие и применяющие на практике навыки процессного управления;
- Руководство (Governance) – адекватные и прозрачные способы оценки, принятия решений и вознаграждения, способствующие процессному управлению;
- Методики (Methods) – подходы и приемы, позволяющие успешно реализовывать процессное управление;
- Информационные технологии (Information Technology) – программно-аппаратное обеспечение, обеспечивающее и поддерживающее процессное управление.
Резюме
Модель BPM Maturity Model является общей для всех бизнес-процессов организации и применима в частности и для процессов СУИБ:
- Применима к любой организации независимо от размера, контекста и ресурсов;
- Позволяет организациям определить мероприятия по последовательному повышению уровню зрелости бизнес-процессов;
- Модель является многомерной и позволяет выстроить процессы по нескольким направлениям – организационным факторам (Стратегическая линия, Культура и лидерство, Персонал, Руководство, Методики, Информационные технологии).
1.3. Модель NIST (NISTIR-7358) методология PRISMA
Модель зрелости NISTIR-7358 методология PRISMA, разработана National Institute of Standards and Technology (http://csrc.nist.gov), основана на Capability Maturity Model (CMM) Software Engineering Institute (SEI).
Краткая характеристика модели
Методология PRISMA разработана для проведения исследования и идентификации слабых мест безопасности, обеспечения рентабельности ИБ, оценки коммерческих технологий безопасности и возможность применения их в ИТ-системах Федеральными агентствами и ведомствами США (включая подрядчиков, региональные и местные органы власти, действующие от имени федеральных организаций). Модель представляет собой систематизированный подход, основанный на оценке рисков и оценке эффективности направления ИБ.
Отличительной особенностью модели PRISMA является то, что она основана на оценке документации ИБ по определенным 9-ти основным областям ИБ. В результате на выходе PRISMA получается оценочная таблица, которая оценивает зрелость этих областей ИБ:
- Информационное управление безопасностью и культура;
- Информационное планирование безопасности;
- Понимание безопасности, обучение и образование;
- Бюджет и ресурсы;
- Управление жизненным циклом безопасности;
- Сертификация и аккредитация;
- Защита критичной инфраструктуры;
- Инцидент и экстренное реагирование на них;
- Средства безопасности, контроли.
Уровни зрелости
PRISMA использует пять уровней зрелости, где пятый уровень зрелости представляет самый высокий уровень обеспечения информационной безопасности:
- Уровень зрелости 1– Политики (Policies);
- Уровень зрелости 2 – Процедуры (Procedures);
- Уровень зрелости 3 – Внедрение (Implementation);
- Уровень зрелости 4– Тестирование (Test);
- Уровень зрелости 5 – Интеграция (Integration);
Более высокий уровень зрелости может быть достигнут только, если предыдущий уровень зрелости уже достигнут. Поэтому, если осуществлено внедрение, но нет политики для определенного критерия, ни один из уровней зрелости не достигнут для этого критерия (см. табл. 7).
Таблица 7.
Номер уровня |
Наименование уровня зрелости |
Описание уровней |
Уровень 1 |
Политики |
• Существует формализованная и актуальная зарегистрированная политика, которая определяет требования «как должно быть» и которая легко доступна сотрудникам; |
Уровень 2
|
Процедуры |
• Формализованные, актуальные, зарегистрированные процедуры обеспечивают выполнение контролей безопасности, идентифицированные соответствующей политикой; |
Уровень 3 |
Внедрение |
• Процедуры доведены ответственным лицам, которые обязаны следить за их исполнением; |
Уровень 4 |
Тестирование |
• Регулярно проводятся тесты, чтобы оценить соответствие и эффективность всех внедрений; |
Уровень 5 |
Интеграция |
• Эффективное внедрение контролей безопасности, является вторичным и рассматриваются после реализации политик, процедур, внедрения и тесты все время рассматриваются, и улучшения сделаны. |
Модель зрелости
Определение зрелости информационной безопасности организации строится на рассмотрении документации по ИБ, интервьюирования персонала агентства и выполнения анализа расхождения каждой из 9 области ИБ.
Оценка каждой из 9 областей осуществляется по разработанным критериям, которые должны быть зафиксированы документально. Эти критерии и являются метриками модели. Для каждого критерия производится оценка на каждом из уровней зрелости (Политики (Policies) – Процедуры (Procedures) – Внедрение (Implementation)– Тестирование (Test) – Интеграция (Integration)). Оценка выполнения критерия, т.е. оценка метрики, может быть следующая: «Соответствующий», «Частично соответствующий», «Не соответствующий». Оценивание начинается с самого нижнего уровня (Политики (Policies)), если для всех рассмотренных документов критерия оценка «Не соответствующий», то весь уровень получает такую же оценку по указанному критерию. Если в критерии для некоторых документов оценка "Соответствующий", но оценка одного или более документа «Частично соответствующий»/«Не соответствующий», тогда общая оценка критерия для уровня будет «Частично соответствующий» (см. табл.8).
Таблица 8.
Subtopic Area Document 1 Document 2 |
Policy Maturity |
||
Criterion 1 |
Noncompliant |
Noncompliant |
Noncompliant |
Criterion 2 |
Compliant |
Noncompliant |
Partially Compliant |
Criterion 3 |
Noncompliant |
Partially Compliant |
Partially Compliant |
Criterion 4 |
Partially Compliant |
Partially Compliant |
Partially Compliant |
Такое оценивание проводится для всех критериев по всем уровням зрелости. Результаты оценки заносятся в модель зрелости (см. табл. 9).
Таблица 9.
STA 3.1 |
Maturity Level Evaluation Questions |
||||
Policy Procedures Implementation Test Integration |
|||||
Criterion |
Compliant |
Compliant |
Partially |
Partially |
Noncompliant |
Criterion |
Compliant |
Partially |
Noncompliant |
Noncompliant |
Noncompliant |
Criterion |
Compliant |
Partially |
Partially |
Noncompliant |
Noncompliant |
Criterion |
Compliant |
Partially |
Partially |
Noncompliant |
Noncompliant |
|
|
||||
Aggregate |
Compliant |
Partially |
Partially |
Partially |
Noncompliant |
Для получения понимания, как именно следует действовать, в случае развития и повышения уровня зрелости, получивших оценку «Частично соответствующий», вводится подсчет среднего значения по выполнению критериев. В таблице 10 представлен пример подсчета среднего значения для области «Понимание безопасности, обучение и образование Security Awareness, Training, and Education» по соответствующим критериям.
Таблица 10.
Резюме
Методология PRISMA применима для оценки процессов СУИБ:
- Применима к любой организации независимо от размера, контекста и ресурсов;
- Оценка уровня зрелости СУИБ организации основывается на утвержденных документах, т.е. если процессы не документированы, то для модели их использовать невозможно ;
- Уровень оценки «Частично соответствующий» определяются в проценте реализации.
1.4. Модель зрелости безопасности Community Cyber Security Maturity Model (CSMM)
Сообществу США (организациям государственным, коммерческим) требовалось разработать программу безопасности, которые позволит им совместно эффективно предупреждать, выявлять, реагировать и восстанавливать свои процессы после событий кибер-безопасности. Они должны не только знать, где они в настоящее время находятся в плане их подготовки, но они должны иметь дорожную карту, чтобы иметь возможность улучшить свое текущее состояние в соответствии с сообществом. Именно для этой цели была разработана общественная модель зрелости кибер-безопасности - Community Cyber Security Maturity Model.
Модель создана на основе опыта использования двух моделей зрелости Capability Maturity Model (CMM или SW-CMM) для программного обеспечения и инженерных систем безопасности Capability Maturity Model (SSE-CMM) для построения взаимодействия различных организаций сообщества между собой в направлении эффективного противодействия киберпреступности.
Краткая характеристика модели
Модель из набора различных элементов и учитывает не только метрики, но и технологии, уязвимости, тесты, которые могут быть использованы вместе с метриками для измерения текущее состояние уровня безопасности.
Уровни зрелости
Уровням зрелости в модели были присвоены названия, характеризующие типы угроз и деятельность, которые решаются на каждом из уровней (см. табл.11):
- Уровень зрелости 1– О безопасности известно (Security Aware);
- Уровень зрелости 2 – Развитие процессов (Process Development);
- Уровень зрелости 3 – Установлено информирование (Information Enabled);
- Уровень зрелости 4– Развитие тактики (Tactics Development);
- Уровень зрелости 5 – Полная безопасность эксплуатируемых возможностей (Full Security Operational Capability);
Таблица 11.
Номер уровня |
Наименование уровня зрелости |
Описание уровней |
Уровень 1 |
О безопасности известно |
Уровень зрелости предполагает, что отдельные лица и руководство организации осознает угрозы, проблемы и вопросы, связанные с безопасностью. |
Уровень 2
|
Развитие процессов |
Уровень зрелости предполагает, что элементы безопасности разработаны, есть необходимость в совершенствовании процессов безопасности. |
Уровень 3 |
Установлено информирование |
Уровень зрелости указывает, что все организации, в рамках сообщества, знакомы с вопросами, связанными с безопасностью и имеют процессы и механизмы, позволяющие идентифицировать безопасности соответствующих мероприятий. Целью на этом уровне, является улучшение механизмов обмена информацией в рамках сообщества для того, чтобы сообщество эффективно соотносило, разрозненные фрагменты информации. Поступая таким образом, может быть предусмотрено выявление фактов о готовящемся нападении. |
Уровень 4 |
Развитие тактики |
На этом уровне действия направленны на развитие, улучшение и проактивные методы обнаружения и реагирования на атаки. На этом уровне должны быть внедрены методы профилактики. |
Уровень 5 |
Полная безопасность эксплуатируемых возможностей |
Представляет собой наличие всех необходимых элементов безопасности, которые должны быть для оперативного решения любых типов киберугроз. Это не означает, что организация на этом уровне будет защищена от любой атаки, а означает, что служба безопасности сделала все, что могла, в целях предотвращения и обнаружения атак. Организация на этом уровне находятся в отличной форме, чтобы эффективно реагировать в случае, если она не смогла предотвратить нападение на первой итерации. Организация на этом уровне также должна быть "подключена к" соответствующим лицам других организаций, чтобы информировать об атаках и совместно реагировать на них. Это позволит всему сообществу, совместно работая, устранить угрозы кибербезопасности. |
Модель зрелости
Модель зрелости представлена в таблице 12. Определение уровня зрелости будет оцениваться по разработанным в модели критериям, а именно:
- Угрозы, которые следует рассматривать (The Threat Addressed);
- Метрики: Руководство, Производство, Граждане (Metrics: Government, Industry, Citizens);
- Информационный обмен (Information Sharing);
- Технологии безопасности (Technology);
- Обучение (Training);
- Тестирование (Test).
Таблица 12.
Уровень зрелости |
Уровень 1 |
Уровень 2 |
Уровень 3 |
Уровень 4 |
Уровень 5 |
Метрики (критерии) |
|
||||
Угрозы, которые следует рассматривать |
Не структурированы |
Не структурированы |
Структурированы |
Структурированы |
Высоко структурированы |
Метрики: |
Метрики: |
Метрики: |
Метрики: |
Метрики: |
Метрики: |
Информационный обмен |
Комитет по информационному обмену |
Общественный веб-ресурс по безопасности |
Центр корреляции событий |
Корреляция событий на уровне региона |
Всесторонне информационное обозрение |
Технологии безопасности |
Реестры, система оповещения, контроль доступа, шифрование |
Безопасность веб-ресурсов, сетевые экраны, резервные копии |
Системы корреляции событий, системы обнаружения/ |
24/7 обслуживание дежурной сменой |
Работа в автоматическом режиме |
Обучение |
1-но дневный общественный семинар |
Проведение обучение центром CCSE |
Оценки уязвимостей |
Эксплуатация |
Многопрофильное обучение с условным противником |
Тестирование |
(Dark Screen – EOC) |
(Community Dark Screen) |
(Operational Dark Screen) |
(Limited Black Demon) |
(Black Demon) |
- Угрозы, которые следует рассматривать (The Threat Addressed) – критерии, которые характеризуют угрозы, с точки зрения нарушителя реализующего угрозу, его движущий мотив, времени, необходимого для подготовки и проведения нападения. Существуют 3 категории угроз, идентифицированных в модели:
- Неструктурированные угрозы (аморфные нападения) – большинство нападений, с которыми сталкивается организация. Нарушители с низкой квалификацией, в числе которых могут быть рассерженные сотрудники или уволенные из этой организации. Нарушители не обладают достаточными ресурсами (деньги, технологии), имеют краткосрочные цели;
- Структурированные угрозы – запланированные, методичные атаки с использованием системных подходов реализуемые группой лиц. Целью являются нарушение информационной целостности или функционирование систем для похищения информации или получения влияния на операционную деятельность организации. Нарушители имеют финансирование и формируют долгосрочные цели. Категория нарушителей включает хакеров и сформированные преступные группы, в некоторых случаях конкурентов и инсайдеров;
- Высоко структурированные угрозы – наиболее серьезные угрозы, которые запланированы, методически проработаны, используют мульти-дисциплинарные атаки, направлены на нарушение или уничтожение информации или систем. Цель – получение информации и влияние на работу сектора экономики. Хорошо финансируются и технически подготовлены, имеют долгосрочные национальные цели. Атаки включают в себя согласованные методы физического, психологического воздействия в сочетании с кибер-атаками;
- Метрики: Руководство, Производство, Граждане (Metrics: Government, Industry, Citizens) – метрики могут включать факторы, которые влияют на безопасность, например среднюю пропускную способность сети. Могут включать нетехнические факторы, такие как количество сотрудников, получивших подготовку по вопросам безопасности, участие руководства в управлении безопасностью через количество регулярных совещаний по безопасности;
- Информационный обмен (Information Sharing) – важная составляющая для эффективной борьбы с кибер-атаками. Организациям сообщества придется определить тип и количество информации, которой они будут делиться между собой. На нижнем уровне информационный обмен может состоять из общения в рабочих группах, куда входят сотрудники разных организаций, чтобы обсудить последние события, которые влияют на сообщество. Обмен информации может осуществляться через простой веб-форму или на основе электронной почты. Для более высоких уровней обмен осуществляется через системы оповещения;
- Технологии безопасности (Technology) – в целях развития и функционирования эффективной программы по борьбе с кибер-угрозами, необходимо будет применять технологии. Это не только технологии, которые необходимы для защиты отдельных систем и сетей (брандмауэры и системы обнаружения вторжений), но технологии для осуществления программы обмена информацией. Важным аспектом является то, что технология не должна быть просто точечным продуктом для решения конкретной угрозы и уязвимости, без отношения к другим угрозам. Они должны быть интегрированы в общую программу так, чтобы вписывается в общую картину работая над общей целью;
- Обучение (Training) - Обучение является важным компонентом CCSMM. Многие администраторы имеют только самые основы из подготовки по вопросам безопасности. Нет общего понимания различных категорий угроз и того, что требуется для их решения. Некоторые программы обучения направлены на системных и сетевых администраторов, другие предназначены для групп быстрого реагирования, руководства или даже граждан в обществе. На более высоких уровнях обучение становится гораздо более техническим и практическим;
- Тестирование (Test) – после того, как сообщество приступило к реализации метрик и учебных программ ему необходимо будет рассмотреть вопрос о создании программ для проверки своих возможностей. По мере возрастания уровня зрелости, сложности тестов должны повышаться. Например, организации должны на регулярной основе проводить проверки планов резервного копирования, чтобы они были реальными и адекватными, для восстановления после катастроф любого типа.
2. Сравнение рассмотренных моделей зрелости
Еще раз повторим, что целью данной работы является обзор существующих зарубежных моделей зрелости для выработки понимания возможности их применения в российской практике. Все указанные модели зрелости разработаны и применяются в основном в США. В России же применение этих моделей затруднено в силу ряда причин. В частности, развитие информационной безопасности в российских организациях находится на низком уровне и часто требования, которые рассматриваются в указанных моделях не реализованы. Например, зарубежные модели не учитываю обеспеченность ресурсами для организации процессов безопасности. Так же, развитость и стабильность процессов управления зарубежных организаций и российских сильно различается. В таблице 13 приведены общие характеристики рассмотренных моделей.
Рассмотрев описанные выше модели зрелости, становится очевидным тот факт, что каждая из моделей разрабатывалась для решения конкретных задач и на основе какой-то постановки задачи (назовем ее базовой моделью). Иначе говоря, представленные модели зрелости решали некоторые определенные перед исполнителями задачи. А для этого проблематику требуется представить ее в виде модели, как это должно быть.
Цели моделей
В случае с моделью зрелости O-ISM3, она решала вопросы оценки состояния существующих процессов СУИБ, и хотя полностью совместима с требованиями ISO 27001, COBIT, ITIL нет четкого понимания какая базовая модель процесса использовалась. Такое же замечание выдвигается и к остальным моделям зрелости.
Модель Gartner, решает вопросы преодоления трудностей на пути к реализации преимуществ BPM и формировании единой корпоративной стратегии управления бизнес-процессами, которая будет отвечать бизнес-целям организации.
Модель NIST методология PRISMA разработана для проведения исследования и идентификации слабых мест безопасности, обеспечения рентабельности ИБ, оценки коммерческих технологий безопасности и возможность применения их в ИТ-системах Федеральными агентствами и ведомствами США (включая подрядчиков, региональные и местные органы власти, действующие от имени федеральных организаций).
Модель CCSMM разработана как общественная модель зрелости кибер-безопасности для построения взаимодействия различных организаций сообщества между собой в направлении эффективного противодействия кибер-преступности.
Таким образом, для понимания возможности применения любой из моделей зрелости на практике, без понимания базовой модели однозначно сказать можно ли ее применять для наших задач сложно. Видится, что для решения собственных задач по безопасности следует учесть опыт создания моделей зрелости и разработать собственную модель.
Уровни зрелости
В рассмотренных моделях количество уровней оценки зрелости составляет 5, за исключением модели Gartner, в которой уровней 6.
Именование уровней, говорит о развитии состояния организаций от начального состояния, на котором процессами не занимаются вообще или занимаются слабо, до верхнего уровня, где в бизнес полностью интегрированы и оптимизированы оцениваемые процессы. Интересным исключением является модель NIST методология PRISMA, в которой урони названы согласно общей теории стратегического управления, и отражают эволюцию управления в организации.
Метрики
Метрики в каждой модели свои, совпадений практически не выявлено. Это и понятно, каждая модель зрелости разрабатывалась под конкретные цели, решает конкретные задачи. Отсутствие совпадений может являться следствием того, что в основе лежат разные базовые модели.
Вывод
Рассмотрев несколько моделей зрелости можно сделать следующие выводы:
- единой трактовки понятия зрелости нет, каждая модель решает собственную проблематику;
- применение разработанных моделей зрелости без понимания базовой модели (т.е. для решения каких вопросов она разрабатывалась и на основе какой постановки задачи) – затруднительно;
- модель зрелости должна учитывать вполне конкретный набор метрик, через которые раскрывается уровень зрелости организации. Эта идея была продемонстрирована на основе анализа моделей зрелости;
- следует разрабатывать собственную модель зрелости, на основе собственной базовой модели (как мы ее видим) с необходимыми для нас метриками. А рассмотренные варианты моделей зрелости полезно использовать как образец.
Таблицы 13.
Модель |
Цель создания |
Количество уровней зрелости |
Метрики |
Плюсы |
Минусы |
Information Security Management Maturity Model |
Модель оценивает зрелость СУИБ на основе анализа интегрированных процессов. |
1 – Начальный (Initial); |
1 – Activity (Интенсивность деятельности), |
Максимальный охват направлений безопасности согласно стандарту ISO 27001 - модель идентифицирует 4 уровня управления СУИБ Базовый (Generic), Стратегический менеджмент (Strategic Management), Тактический менеджмент (Tactical Management), Операционный менеджмент (Operational Management), по которым производится оценка зрелости. |
Многочисленна я и сложная структура определения метрик может потребовать подготовки. Полный перечень направлений может потребовать от организации наличия всего спектра. Не рассматривает обеспеченность ресурсами для организации безопасности. |
Gartner’s Security Model |
Модель оценивает уровень реализации бизнес процессов организации, в частности процессов ИБ. |
0 – Признание операционной неэффективности (Acknowledge Operations Inefficiency); |
1 – Стратегическая линия (Strategic Alignment); |
Модель рассматривает не только процессы безопасности, но и также участие руководства, сотрудников и общий уровень культуры по направлению безопасности. |
Не рассматривает обеспеченность ресурсами для организации безопасности. Нет четких рекомендаций, какие составляющие должны быть в процессах без опасности. |
National Institute of Standards and Technology |
Методология PRISMA разработана для проведения исследования и идентификации слабых мест безопасности, обеспечения рентабельности ИБ, оценки коммерческих технологий безопасности и возможность применения их в ИТ-системах Федеральными агентствами и ведомствами США (включая подрядчиков, региональные и местные органы власти, действующие от имени федеральных организаций). |
1– Политики (Policies); |
1 – Соответствующий (Compliant),
|
Отличительной особенностью модели является то, что она основана на оценке документации ИБ по определенным 9-ти основным областям ИБ: Для оценки метрики «Частично соответствующая» вычисляется количественная оценка на основе среднего. |
Модель сконцентрирована на качестве документации. Если процессы не задокументированы, их уровень зрелости не учитывается. Модель создавалась для государственных учреждений и не учитывает коммерческие организации, в которых некоторые процессы могут быть не задокументированными. Не рассматривает обеспеченность ресурсами для организации безопасности. |
Community Cyber Security Maturity Model |
Модель построена для сравнения зрелости различных организаций, для координации общих усилий и распределения обязанностей по общему уровню безопасности. |
1– О безопасности известно (Security Aware); |
1 – Угрозы, которые следует рассматривать (The Threat Addressed); |
Модель из набора различных элементов и учитывает не только метрики, но и технологии, уязвимости, тесты, которые могут быть использованы вместе с метриками для измерения текущее состояние уровня безопасности. |
Модель направлена на сравнивание уровня с другими организациями. Не рассматривает качества внедренных процессов. Не рассматривает обеспеченность ресурсами для организации безопасности. |
Литература
- Управление качеством. Сказки, мифы и проза жизни / В. Г. Елиферов. — М. : Вершина, 2006. — 296 с.
- Paulk, Curtis, Chrissis, and Weber, “Capability Maturity Modelsm for Software, Version 1.l”, Technical Report, CMU/SEI-93-TR-024, Carnegie Mellon University, February 1993.
- “System Security Engineering Capability Maturity Model® SSE-CMM® Model Description Document, Version 3.0”, Carnegie Mellon University, June 15, 2003.
- A model for best practice driven information security governancehttps://ujdigispace.uj.ac.za/handle/10210/524?show=full
- Уровень зрелости организации http://www.elitarium.ru/2007/04/09/uroven_zrelosti_organizacii.html
- Best practices show the way to Information Security Maturity. MM Lessing. Council for Scientific and Industrial Research, South Africa
http://researchspace.csir.co.za/dspace/bitstream/10204/3156/1/Lessing6_2008.pdf - The Community Cyber Security Maturity Model http://www.computer.org/csdl/proceedings/hicss/2007/2755/00/27550099b-abs.html
- CMMI® for Development, Version 1.2 http://www.sei.cmu.edu/library/abstracts/reports/06tr008.cfm
- ISO 9000, CMM, CMMI – что выбрать? /В.Ильин – статья
- Опыт использования мировой практики в России. Эффективность бизнес процессов – ключевые условия выживания для России/ Алёшин В.Д., презентация РАНХ и ГС при Президенте РФ.
____________________________________________________________________________
- Помимо указанных моделей, найдены ссылки на следующие модели зрелости: IBM Information Security Framework (IBM-ISF), SUNY’s Information Security Initiative (SUNY ISI), Systems Security Engineering Capability Maturity Model (SSE-CMM), Computer Emergency Response Team/Chief Security Officer Security Capability Assessment, Gartner Enterprise Information Management Maturity Model (EIM-MM), Capability Maturity Model Software Engineering Institute (CMM-SEI), Process and Enterprise Maturity Model (PEMM), Business Process Maturity Model (BPMMLee) и т.д.