Пробные занятия. Бесплатно!
Приглашаем всех желающих посетить бесплатные пробные занятия по курсам МВА и профессиональной подготовки. Занятия проходят в реальных группах, никаких постановочных занятий. Ознакомиться с расписанием пробных занятий, выбрать заинтересовавшее и зарегистрироваться на него можно здесь


Модель зрелости как инструмент развития процесса безопасности в организации

А.В. Баскаков
Слушатель группы MBA 32А CSO-01
Школы IT-менеджмента
РАНХиГС при Президенте РФ

Постановка задачи по внедрению и продвижению любого процесса управления в организации должна соответствовать уровню организационного и технологического развития, и в частности, процессов обеспечения безопасности. Требования к реализации мероприятий по безопасности должны формулироваться с учетом уровня зрелости этих процессов в конкретной организации.  Проще говоря, не пытайтесь требовать внедрить мощную современную технологию, если уровень организации не соответствует уровню технологии. Этот вывод относится и к использованию нового оборудования. Практически всегда современные технические средства требуют чрезвычайно высокого уровня обслуживания. Если персонал в целом не обладает необходимой производственной и корпоративной культурой, то очень быстро это оборудование потеряет свои параметры, либо просто будет испорчено.

Для определения стадии организационного и технологического развития организации и ее процессов в мировой практике существует понятие «модель зрелости». Модель зрелости используется как инструмент измерения состояния процесса на основе набора метрик, которые представляют собой определенные характеристики. Оценка этих метрик по оговоренной шкале позволяет понять состояние процессов организации, которая и будет характеризовать уровень зрелости. После получения оценки зрелости можно выработать необходимые мероприятия для повышения  зрелости процессов и организации в целом.

В зарубежной практике применение моделей зрелости как инструмента управления широко развито, в том числе и для управления процессами безопасности. В российской практике не сложилась необходимость использования моделей зрелости, однако в этом, по мнению автора, существует необходимость. Иллюстрацией может служить серия стандартов по безопасности 27ххх, регулирующая вопросы безопасности. Например, в стандарте ISO 27001:2005 существует требования к наличию в организации процедуры анализа рисков. Всегда возникает вопрос как же выполнить это требования, в каком объеме и на каком уровне детализации для разных по величине компаний. Очень часто менеджеры по безопасности обращают внимание именно на размер организации и почти никогда на уровень ее организационного и технологического развития. Ответить на этот вопрос нам поможет модель зрелости, на основе оценки уровня зрелости процессов безопасности. Если уровень зрелости организации низкий, детальная проработка процедуры оценки рисков не имеет смысла, и может заключаться в экспертной оценки рисков и определении приоритетных направлений безопасности. Тогда как в организациях, где уровень зрелости процессов безопасности на высоком уровне, процедура оценки рисков должна не только функционировать, но и иметь детальную проработку методики,  шкал, и т.д.
Целью данной работы является обзор существующих зарубежных  моделей зрелости для формирования представления о возможности их применения в российской практике. Автор нашел более 10 моделей зрелости, в данной статье приведен обзор следующих моделей 1:

  • Open Information Security Management Maturity Model (O-ISM3) – разработана независимым консорциумом The Open Group;
  • Enterprise Information Management Maturity Model (EIM MM) – разработана Gartner, Inc;
  • NISTIR-7358 методология PRISMA – разработана National Institute of Standards and Technology;
  • Community Cyber Security Maturity Model (CCSMM) – разработана The Center for Infrastructure Assurance and Security  The University of Texas.

1. Обзор мировых практик по формированию моделей зрелости
1.1. Модель Open Information Security Management Maturity Model
Модель  «Open Information Security Management Maturity Model (O-ISM3)», разработана независимым консорциумом The Open Group (www.opengroup.org), полностью учитывает требования ISO / IEC 27000:2009, COBIT, ITIL.

Краткая характеристика модели
Модель О-ISM3 оценивает зрелость функционирования существующих процессов системы управления информационной безопасности (СУИБ) организации. Модель разрабатывалась как методика, которая поможет менеджерам информационной безопасности оценить свою собственную рабочую среду и запланировать процессы управления безопасностью.

Модель O-ISM3 требует, чтобы процессы СУИБ были задокументированы, измерялись и управлялись. O-ISM3 так же требует, чтобы были зафиксированы бизнес-цели организации, и на их основе определены цели и задачи безопасности. Отличительной особенностью модели O-ISM3 является то, что она основана на оценке зрелости каждого из применяемых в СУИБ контролей (мер безопасности). Т.е. чтобы управлять контролем (согласно процессному подходу) необходимо оценивать уровень его зрелости.

Модель O-ISM3 рассматривает 4 уровня управления СУИБ организации, по которым производится оценка зрелости:

  • Базовый, для общего управления – 3 контроля;
  • Стратегический (руководство и обеспечение), на котором устанавливаются стратегические цели, осуществляется координация деятельности и обеспечение ресурсами – 4 контроля;
  • Тактический (внедрение и оптимизация), который имеет дело с разработкой и реализацией СУИБ, установкой специфических целей и управлением ресурсами – 12 контролей;
  • Операционный (исполнение и отчетность), который имеет дело с достижением определенных целей посредством технических процессов – 26 контролей.

Уровни зрелости
В модели O-ISM3 процессы системы управления классифицируются по  5 уровням зрелости (см. табл. 1):

  • Уровень зрелости 1 – Начальный (Initial);
  • Уровень зрелости 2 – Управляемый (Managed);
  • Уровень зрелости 3 – Описанный (Defined);
  • Уровень зрелости 4 – Контролируемый (Controlled);
  • Уровень зрелости 5 – Оптимизированный (Optimized).

Метрики подразделяются на семь возможных типов (Activity,  Scope, Unavailability, Effectiveness, Load, Quality, Efficiency) и описывают затратность и эффективность выбранного метода управления. С точки зрения аудитора уровень, достигнутый процессом, зависит от документации, и метрики использованной для управления им.

Таблица 1.

Capability Level
(уровень способности, возможности)

Initial
(начальный)

 

Managed
(управляемый)

Defined
(определенный или описанный)

Controlled
(контролируемый)

Optimized
(оптимизированный)

Management Practices
Enabled
(Выбранный  метод управления)

Audit, Certify
(Аудит, сертификация)

 

Test
(Тестирование)

 

Monitor
(Наблюдение)

 

Planning
(Планирование)

Benefits
Realization
(Эффективная реализация)

 

Assessment
(Оценивание)

 

Optimization
(Оптимизация)

Documentation
(Документирование)

*

*

*

*

*

*

*

Metric Type (Тип метрики)

Activity
(Интенсивность деятельности)

 

*

*

*

*

*

*

Scope
(Масштабируемость)

 

*

*

*

*

*

*

Unavailability
(Доступность)

 

*

*

*

*

*

*

Effectiveness
(Эффективность)

 

*

*

*

*

*

*

Load
(Загруженность, нагрузка)

 

 

*

*

*

*

*

Quality
(Качество)

 

 

 

 

 

*

*

Efficiency
(Результативность, продуктивность)

 

 

 

 

 

 

*

Модель зрелости
Пример модели зрелости, в соответствии с описанными ранее 4-мя уровнями управления, приведены в таблицах 2-5.

Базовый уровень
Таблица 2.

Уровни зрелости

Level 1

Level 2

Level 3

Level 4

Level 5

Процессы СУИБ

 

GP-1: Knowledge Management

Managed

Managed

Managed

Managed

Optimized

GP-2: ISMS and Business Audit

Managed

Managed

Managed

Managed

Optimized

GP-3: ISM Design and Evolution

Managed

Managed

Managed

Managed

Optimized

Стратегический
Таблица 3.

Уровни зрелости

Level 1

Level 2

Level 3

Level 4

Level 5

Процессы СУИБ

 

SSP-1: Report to Stakeholders

Managed

Managed

Managed

Managed

Optimized

SSP-2: Coordination

Managed

Managed

Managed

Managed

Optimized

SSP-4: Define TPSRSR Rules

 

 

 

Managed

Optimized

SSP-6: Allocate Resources for Information Security

Managed

Managed

Managed

Managed

Optimized

Тактический
Таблица 4.

Уровни зрелости

Level 1

Level 2

Level 3

Level 4

Level 5

Процессы СУИБ

 

TSP-1: Report to Strategic Management

Managed

Managed

Managed

Managed

Optimized

TSP-2: Manage Allocated Resources

Managed

Managed

Managed

Managed

Optimized

TSP-3: Define Security Targets

Managed

Managed

Managed

Managed

Optimized

TSP-4: Service-Level Management

 

 

Managed

Managed

Optimized

TSP-6: Define Environments and Lifecycles

 

Managed

Managed

Managed

Optimized

TSP-13: Insurance Management

 

 

 

Managed

Optimized

TSP-7: Background Checks

 

 

 

Managed

Optimized

TSP-8: Personnel Security

 

 

 

Managed

Optimized

TSP-9 Security Personnel Training

 

 

Managed

Managed

Optimized

TSP-10: Disciplinary Process

 

Managed

Managed

Managed

Optimized

TSP-11: Security Awareness

 

Managed

Managed

Managed

Optimized

TSP-14: Information Operations

 

 

 

 

Optimized

Операционный
Таблица 5.

Уровни зрелости

Level 1

Level 2

Level 3

Level 4

Level 5

Процессы СУИБ

 

OSP-1: Report to Tactical Management

Managed

Managed

Managed

Managed

Optimized

OSP-2: Security Procurement

 

Managed

Managed

Managed

Optimized

OSP-3: Inventory Management

 

 

Managed

Managed

Optimized

OSP-4: Information Systems Environment Change Control

 

Managed

Managed

Managed

Optimized

OSP-5: Environment Patching

Managed

Managed

Managed

Managed

Optimized

OSP-6: Environment Clearing

 

Managed

Managed

Managed

Optimized

OSP-7: Environment Hardening

 

Managed

Managed

Managed

Optimized

OSP-8: Software Development Lifecycle Control

 

 

Managed

Managed

Optimized

OSP-9: Security Measures Change Control

 

Managed

Managed

Managed

Optimized

OSP-16: Segmentation and Filtering Management

Managed

Managed

Managed

Managed

Optimized

OSP-17: Malware Protection Management

Managed

Managed

Managed

Managed

Optimized

OSP-11: Access Control

 

Managed

Managed

Managed

Optimized

OSP-12: User Registration

 

Managed

Managed

Managed

Optimized

OSP-14: Physical Environment Protection Management

 

Managed

Managed

Managed

Optimized

OSP-10: Backup Management

Managed

Managed

Managed

Managed

Optimized

OSP-26: Enhanced Reliability and Availability Management

 

 

 

Managed

Optimized

OSP-15: Operations Continuity Management

 

 

Managed

Managed

Optimized

OSP-27: Archiving Management

 

 

 

Managed

Optimized

OSP-19: Internal Technical Audit

 

Managed

Managed

Managed

Optimized

OSP-20: Incident Emulation

 

 

 

Managed

Optimized

OSP-21: Information Quality and Compliance Probing

 

 

 

Managed

Optimized

OSP-22: Alerts Monitoring

 

Managed

Managed

Managed

Optimized

OSP-28: External Events Detection and Analysis

 

 

 

Managed

Optimized

OSP-23: Internal Events Detection and Analysis

 

 

 

Managed

Optimized

OSP-24: Handling of Incidents and Near-incidents

 

 

Managed

Managed

Optimized

OSP-25: Forensics

 

 

 

Managed

Optimized

Резюме
Модель O-ISM3 разработана для любых типов организаций, коммерческих фирм, неправительственных организаций, производственных предприятий:

  • Применима к любой организации независимо от размера, контекста и ресурсов;
  • Требует высокой квалификации менеджеров по безопасности и высокой детализации процессов безопасности;
  • Позволяет организациям расположить по приоритетам и оптимизировать свои инвестиции в безопасность;
  • Позволяет непрерывно улучшать СУИБ на основе использования метрик;
  • Устанавливает ключевые метрики, которые могут быть отданы на аутсорсинг.

1.2. Модель зрелости BPM Maturity Model
Модель «Business Process Management Maturity Model (BPM MM)» предложена Gartner, Inc. (http://www.gartner.com/technology/home.jsp). («BPM Maturity Model Identifies Six Phases for Successful BPM Adoption».Michael James Melenovsky, Jim Sinur, Gartner, Inc.)

Краткая характеристика модели
У большинства компаний нет четкого представления о сквозных бизнес-процессах, а если оно и присутствует, то лишь в виде разрозненных идей, а не цельной стратегии. Модель из шести стадий зрелости, предложенная Gartner, призвана помочь преодолеть трудности на пути к реализации преимуществ BPM и сформировать корпоративную стратегию управления бизнес-процессами, которая будет отвечать бизнес-целям организации.

Уровни зрелости
Модель зрелости BPM определяет шесть ступеней (уровней зрелости) реализации преимуществ BPM организациями (см. табл.6).
Таблица 6.

Номер уровня

Наименование уровня зрелости

Описание уровней

Уровень 0

Признание операционной неэффективности
(Acknowledge Operations Inefficiency)

На начальной стадии в организации появляется понимание того, что определенных улучшений в бизнесе невозможно достичь традиционными методами.

Уровень 1

Заинтересованность в процессах
(Process Aware)

В поиске путей фундаментального улучшения своих операций компания становится озабоченной собственными процессами.

Уровень 2

Локальное процессное управление и автоматизация
(Intraprocess Automation and Control)

Заинтересованность в управлении процессами приводит к тому, что компания берет под контроль и автоматизирует отдельные процессы.

Уровень 3

Управление и автоматизация межпроцессорного взаимодействия (Interprocess Automation and Control)

Границы управляемых процессов постепенно расширяются, что в итоге приводит к интеграции их сначала между собой, а затем с процессами заказчиков и партнеров.

Уровень 4

Управление цепочкой добавленной стоимости
(Enterprise Valuation Control)

Накопленная компетенция позволяет настраивать исполнение процессов в цепи бизнес-партнеров под стратегические цели организации.

Уровень 5

Динамичная бизнес-структура
(Agile Business Structure)

Компания научилась перестраивать процессы в таком темпе, что продолжает оставаться лидером при изменениях условий бизнеса.

 

Описание: picture1
Рис. 1. Модель зрелости BPM Maturity Model.

В дополнение к шести стадиям, модель зрелости рассматривает шесть организационных факторов (см. рис. 2), которые должны сбалансированно развиваться по мере перехода от стадии к стадии:

Описание: picture2
Рис. 2. Организационные факторы BPM Maturity Model.

  • Стратегическая линия (Strategic Alignment) - неразрывная связь между приоритетами организации и ее процессами, обеспечивающая достижение целей бизнеса;
  • Культура и лидерство (Culture and Leadership) – общие  ценности и воззрения, формирующие правильное отношение к процессам;
  • Персонал (People) – группы  и индивидуумы, непрерывно развивающие и применяющие на практике навыки процессного управления;
  • Руководство (Governance) – адекватные и прозрачные способы оценки, принятия решений и вознаграждения, способствующие процессному управлению;
  • Методики (Methods) – подходы и приемы, позволяющие успешно реализовывать процессное управление;
  • Информационные технологии (Information Technology) – программно-аппаратное обеспечение, обеспечивающее и поддерживающее процессное управление.

Резюме
Модель BPM Maturity Model является общей для всех бизнес-процессов организации и применима в частности и для процессов СУИБ:

  • Применима к любой организации независимо от размера, контекста и ресурсов;
  • Позволяет организациям определить мероприятия по последовательному повышению уровню зрелости бизнес-процессов;
  • Модель является многомерной и позволяет выстроить процессы  по нескольким направлениям – организационным факторам (Стратегическая линия, Культура и лидерство,  Персонал, Руководство, Методики, Информационные технологии).

1.3. Модель NIST (NISTIR-7358) методология PRISMA
Модель зрелости NISTIR-7358 методология PRISMA, разработана National Institute of Standards and Technology (http://csrc.nist.gov), основана на Capability Maturity Model (CMM) Software Engineering Institute (SEI).

Краткая характеристика модели
Методология PRISMA разработана для проведения исследования и идентификации слабых мест безопасности, обеспечения рентабельности ИБ, оценки коммерческих технологий безопасности и возможность применения их в ИТ-системах Федеральными агентствами и ведомствами США (включая подрядчиков, региональные и местные органы власти, действующие от имени федеральных организаций). Модель представляет собой систематизированный подход, основанный на оценке рисков и оценке эффективности направления ИБ.

Отличительной особенностью модели PRISMA является то, что она основана на оценке документации ИБ по определенным 9-ти основным областям ИБ. В результате на выходе PRISMA получается оценочная таблица, которая оценивает зрелость этих областей ИБ:

  • Информационное управление безопасностью и культура;
  • Информационное планирование безопасности;
  • Понимание безопасности, обучение и образование;
  • Бюджет и ресурсы;
  • Управление жизненным циклом безопасности;
  • Сертификация и аккредитация;
  • Защита критичной инфраструктуры;
  • Инцидент и экстренное реагирование на них;
  • Средства безопасности, контроли.

Уровни зрелости
PRISMA использует пять уровней зрелости, где пятый уровень зрелости представляет самый высокий уровень обеспечения информационной безопасности:

  • Уровень зрелости 1– Политики (Policies);
  • Уровень зрелости 2 – Процедуры (Procedures);
  • Уровень зрелости 3 – Внедрение (Implementation);
  • Уровень зрелости 4– Тестирование (Test);
  • Уровень зрелости 5 – Интеграция (Integration);

Более высокий уровень зрелости может быть достигнут только, если предыдущий уровень зрелости уже достигнут. Поэтому, если осуществлено внедрение, но нет политики для определенного критерия, ни один из уровней зрелости не достигнут для этого критерия (см. табл. 7).
Таблица 7.

Номер уровня

Наименование уровня зрелости

Описание уровней

Уровень 1

Политики
(Policies)

• Существует формализованная и актуальная зарегистрированная политика, которая определяет требования «как должно быть» и которая легко доступна сотрудникам;
• Политика устанавливает постоянные циклы оценки рисков, внедрения и мониторинг использования, для эффективности программы ИБ;
• Написанная политика, охватывает все основные операции или все специфические  активы организации;
• Политика одобрена всеми заинтересованными сторонами;
• Политика определяет  управленческую структура ИБ, возлагает на нее обязанности по безопасности и закладывает основу, необходимую, чтобы достоверно измерить прогресс и соблюдение требований;
• Политика идентифицирует штрафы и дисциплинарные меры, которые будут использоваться, в случаях несоблюдения ее требований.

Уровень 2

 

Процедуры
(Procedures)

• Формализованные, актуальные, зарегистрированные процедуры обеспечивают выполнение контролей безопасности, идентифицированные соответствующей политикой;
• Процедуры однозначно отвечают на вопросы «где», «как», «когда», «кем» они должны быть выполнены, и «что» должна быть достигнуто в результате выполнения процедуры;
• Процедуры однозначно определяют обязанности и ожидаемое поведение для владельцев ресурсов, пользователей активами, персонала при обработке данных, руководства  и администраторов безопасности по соблюдению режима безопасности;
• Процедуры содержат контакты соответствующих сотрудников, чтобы была возможность связаться с ними для получения дополнительной информации, получения инструкций и разъяснений по соблюдения требований безопасности;
• Реализация и контроль процедуры строго документируются.

Уровень 3

Внедрение
(Implementation)

• Процедуры доведены ответственным лицам, которые обязаны следить за их исполнением;
• Проведено обучение мерам и средствам управления безопасности посредством тренингов;
• Политика одобрена всеми заинтересованными сторонами;
• Выполнено начальное тестирование, которое гарантирует, что средства управления безопасностью работают в соответствии с требованиями.

Уровень 4

Тестирование
(Test)

• Регулярно проводятся тесты, чтобы оценить соответствие и эффективность всех внедрений;
• Тесты гарантируют, что все политики, процедуры и средства управления действуют так, как положено и что они гарантируют соответствующий уровень безопасности;
• Вносятся корректировки во внедренные средства защиты, как на основе возникающих инцидентов, так  на основе обнаруженных уязвимостей у поставщиков решений;
• Силами штатных специалистов, подрядчиками или другими, специализирующимися в вопросах безопасности организациями проводятся самооценки, чтобы оценить соответствие и эффективность всех внедрений по безопасности;
• Независимые проверки, например Главным бюджетно-контрольным управлением (GAO) или Главным инспектором (IG) организации, являются важной проверкой, но не рассматриваются замещающими оценки, начатые руководством;
• Информацию, поступающую из отчетов о потенциальных и фактических инцидентах безопасности и об уязвимостях, выпущенную продавцами программного обеспечения, рассматривают как результаты испытаний. Такая информация может идентифицировать определенные слабые места и обеспечить реализацию новых угроз и появлению нового риска;
• Для предотвращения реализации новых угроз и появлению нового риска утверждены и зарегистрированы требования относительно типа и частоты тестирования;
• Частота и строгость, с которой тестируются отдельные средства управления безопасностью, зависят от серьезности угроз, которые реализуются, если средства управления не будут работать эффективно.

Уровень 5

Интеграция
(Integration)

• Эффективное внедрение контролей безопасности, является вторичным и рассматриваются после реализации политик, процедур, внедрения и тесты все время рассматриваются, и улучшения сделаны.
• Программа обеспечения безопасности является неотъемлемая часть культуры организации;
• Решения о применимости контролей безопасности основано на стоимости, риске и соответствия целям организации;
• Программа обеспечения безопасности является рентабельной;
• Слабые места безопасности выявляются и управляются;
• Угрозы все время переоцениваются, и средства управления, адаптируются в соответствии с выявленными отклонениями;
• Осуществляется поиск дополнительных или более рентабельных контролей  безопасности;
• Затраты и выгоды безопасности измеряются настолько точно, насколько это возможно;
• Затраты и выгода ЕГО безопасность измерены так же точно как реальные;
• Установлены метрики для определения  уровня обеспечения безопасности.

Модель зрелости

Определение зрелости информационной безопасности организации строится на  рассмотрении документации по ИБ, интервьюирования персонала агентства и выполнения анализа расхождения каждой из 9 области  ИБ.

Оценка каждой из 9 областей осуществляется по разработанным критериям, которые должны быть зафиксированы документально. Эти критерии и являются метриками модели. Для каждого критерия производится оценка на каждом из уровней зрелости (Политики (Policies) – Процедуры (Procedures) – Внедрение (Implementation)– Тестирование (Test) – Интеграция (Integration)). Оценка выполнения критерия, т.е. оценка метрики, может быть следующая: «Соответствующий», «Частично соответствующий», «Не соответствующий». Оценивание начинается с самого нижнего уровня (Политики (Policies)), если для всех рассмотренных документов критерия оценка «Не соответствующий», то весь уровень получает такую же оценку по указанному критерию. Если в критерии для некоторых документов оценка "Соответствующий", но оценка одного или более документа «Частично соответствующий»/«Не соответствующий», тогда общая оценка критерия для уровня будет «Частично соответствующий» (см. табл.8).
Таблица 8.

Subtopic Area                        Document 1                                      Document 2
Policy Questions

Policy Maturity
Score

Criterion 1
Policy Question

Noncompliant

Noncompliant

Noncompliant

Criterion 2
Policy Question

Compliant

Noncompliant

Partially Compliant

Criterion 3
Policy Question

Noncompliant

Partially Compliant

Partially Compliant

Criterion 4
Policy Question

Partially Compliant
[requirement part 1 of 2]

Partially Compliant
[requirement part 2 of 2]

Partially Compliant

Такое оценивание проводится для всех критериев по всем уровням зрелости. Результаты оценки заносятся в модель зрелости (см. табл. 9). 
Таблица 9.

 

STA 3.1
Criteria

Maturity Level Evaluation Questions

 

Policy                 Procedures         Implementation                Test                    Integration

Criterion
3.1.1

Compliant

Compliant

Partially
Compliant

Partially
Compliant

Noncompliant

Criterion
3.1.2

Compliant

Partially
Compliant

Noncompliant

Noncompliant

Noncompliant

Criterion
3.1.3

Compliant

Partially
Compliant

Partially
Compliant

Noncompliant

Noncompliant

Criterion
3.1.4

Compliant

Partially
Compliant

Partially
Compliant

Noncompliant

Noncompliant

 

 

Aggregate
Scores >>>

Compliant

Partially
Compliant

Partially
Compliant

Partially
Compliant

Noncompliant

Для получения понимания, как именно следует действовать, в случае развития и повышения уровня зрелости, получивших оценку «Частично соответствующий», вводится подсчет среднего значения по выполнению критериев. В таблице 10 представлен пример подсчета  среднего значения для области «Понимание безопасности, обучение и образование Security Awareness, Training, and Education» по соответствующим критериям.

Таблица 10.

Резюме
Методология PRISMA применима для оценки процессов СУИБ:

  • Применима к любой организации независимо от размера, контекста и ресурсов;
  • Оценка уровня зрелости СУИБ организации основывается на утвержденных документах, т.е. если процессы не документированы, то для модели их использовать невозможно ;
  • Уровень оценки «Частично соответствующий» определяются в проценте реализации.

1.4. Модель зрелости безопасности Community Cyber Security Maturity Model (CSMM)
Сообществу США (организациям государственным, коммерческим) требовалось разработать программу безопасности, которые позволит им совместно эффективно предупреждать, выявлять, реагировать и восстанавливать свои процессы после событий кибер-безопасности. Они должны не только знать, где они в настоящее время находятся в плане их подготовки, но они должны иметь дорожную карту, чтобы иметь возможность улучшить свое текущее состояние в соответствии с сообществом. Именно для этой цели была разработана общественная модель зрелости кибер-безопасности - Community Cyber ​​Security Maturity Model.

Модель создана на основе опыта использования двух моделей зрелости  Capability Maturity Model (CMM или SW-CMM) для программного обеспечения и инженерных систем безопасности Capability Maturity Model (SSE-CMM) для построения взаимодействия различных организаций сообщества между собой в направлении эффективного противодействия киберпреступности.

Краткая характеристика модели
Модель из набора различных элементов и учитывает не только метрики, но и технологии, уязвимости, тесты, которые могут быть использованы вместе с метриками для измерения текущее состояние уровня безопасности.

Уровни зрелости
Уровням зрелости в модели были присвоены названия, характеризующие типы угроз и деятельность, которые решаются на каждом из уровней (см. табл.11):

  • Уровень зрелости 1– О безопасности известно (Security Aware);
  • Уровень зрелости 2 – Развитие  процессов (Process Development);
  • Уровень зрелости 3 – Установлено информирование (Information Enabled);
  • Уровень зрелости 4– Развитие тактики (Tactics Development);
  • Уровень зрелости 5 – Полная безопасность эксплуатируемых возможностей (Full Security Operational Capability);

Таблица 11.

Номер уровня

Наименование уровня зрелости

Описание уровней

Уровень 1

О безопасности известно
(Security Aware)

Уровень зрелости предполагает, что отдельные лица и руководство организации осознает угрозы, проблемы и вопросы, связанные с безопасностью.

Уровень 2

 

Развитие  процессов
(Process Development)

Уровень зрелости предполагает, что элементы безопасности разработаны, есть необходимость в совершенствовании процессов безопасности.

Уровень 3

Установлено информирование
(Information Enabled)

Уровень зрелости указывает, что все организации, в рамках сообщества, знакомы с вопросами, связанными с безопасностью и имеют процессы и механизмы, позволяющие идентифицировать безопасности соответствующих мероприятий. Целью на этом уровне, является улучшение механизмов обмена информацией в рамках сообщества для того, чтобы сообщество эффективно соотносило, разрозненные фрагменты информации. Поступая таким образом, может быть предусмотрено выявление фактов о готовящемся нападении.

Уровень 4

Развитие тактики
(Tactics Development)

На этом уровне действия направленны на развитие, улучшение и проактивные методы обнаружения и реагирования на атаки. На этом уровне должны быть внедрены методы профилактики.

Уровень 5

Полная безопасность эксплуатируемых возможностей
(Full Security Operational Capability)

Представляет собой наличие всех необходимых элементов безопасности, которые должны быть для оперативного решения любых типов киберугроз. Это не означает, что организация на этом уровне будет защищена от любой атаки, а означает, что служба безопасности сделала все, что могла, в целях предотвращения и обнаружения атак. Организация на этом уровне находятся в отличной форме, чтобы эффективно реагировать в случае, если она не смогла предотвратить нападение на первой итерации. Организация на этом уровне также должна быть "подключена к" соответствующим лицам других организаций, чтобы информировать об атаках и совместно реагировать на них. Это позволит всему сообществу, совместно работая, устранить угрозы кибербезопасности.

 

Модель зрелости
Модель зрелости представлена в таблице 12. Определение уровня зрелости будет оцениваться по разработанным в модели критериям, а именно:

  • Угрозы, которые следует рассматривать (The Threat Addressed);
  • Метрики: Руководство, Производство, Граждане  (Metrics: Government, Industry, Citizens);
  • Информационный обмен (Information Sharing);
  • Технологии безопасности (Technology);
  • Обучение (Training);
  • Тестирование (Test).

Таблица 12.

Уровень зрелости

Уровень 1
О безопасности известно
(Security Aware)

Уровень 2
Развитие  процессов
(Process Development)

Уровень 3
Установлено информирование
(Information Enabled)

Уровень 4
Развитие тактики
(Tactics Development)

Уровень 5
Полная безопасность эксплуатируемых возможностей
(Full Security Operational Capability)

Метрики (критерии)

 

Угрозы, которые следует рассматривать
(The Threat Addressed)

Не  структурированы
(Unstructured)

Не  структурированы
(Unstructured)

Структурированы
(Structured)

Структурированы
(Structured)

Высоко структурированы
(Highly Structured)

Метрики:
Руководство,
Производство,
Граждане
(Metrics:
Government,
Industry,
Citizens)

Метрики:
Руководство,
Производство,
Граждане
(Metrics:
Government,
Industry,
Citizens)

Метрики:
Руководство,
Производство,
Граждане
(Metrics:
Government,
Industry,
Citizens)

Метрики:
Руководство,
Производство,
Граждане
(Metrics:
Government,
Industry,
Citizens)

Метрики:
Руководство,
Производство,
Граждане
(Metrics:
Government,
Industry,
Citizens)

Метрики:
Руководство,
Производство,
Граждане
(Metrics:
Government,
Industry,
Citizens)

Информационный обмен
(Information Sharing)

Комитет по информационному обмену
(Info Sharing
Committee)

Общественный веб-ресурс по безопасности
(Community Security
Web Site)

Центр корреляции событий
(Info Correlation Center)

Корреляция событий на уровне региона
(State/Fed Correlation)

Всесторонне информационное обозрение
(Complete Info Vision)

Технологии безопасности
(Technology)

Реестры, система оповещения, контроль доступа, шифрование
(Rosters, GETS
Access Controls,
Encryption)

Безопасность веб-ресурсов, сетевые экраны, резервные копии
(Secure Web Site
Firewalls, Backups)

Системы корреляции событий, системы обнаружения/
реагирования на атаки
(Event Correlation SW
IDS/IPS)

24/7 обслуживание дежурной сменой
(24/7 manned
operations)

Работа в автоматическом режиме
(Automated Operations)

Обучение
(Training)

1-но дневный общественный семинар
(1-day Community Seminar)

Проведение обучение центром CCSE
(Conducting a CCSE)

Оценки уязвимостей
(Vulnerability Assessments)

Эксплуатация
безопасности
(Operational Security)

Многопрофильное обучение с условным противником
(Multi-Discipline Red Teaming)

Тестирование
(Test)

(Dark Screen – EOC)

(Community Dark Screen)

(Operational Dark Screen)

(Limited Black Demon)

(Black Demon)

  • Угрозы, которые следует рассматривать (The Threat Addressed) – критерии, которые характеризуют угрозы, с точки зрения нарушителя реализующего угрозу, его движущий мотив, времени, необходимого для подготовки и проведения нападения. Существуют 3 категории угроз, идентифицированных в модели:
    • Неструктурированные угрозы (аморфные нападения) – большинство нападений, с которыми сталкивается организация. Нарушители с низкой квалификацией, в числе которых могут быть рассерженные сотрудники или уволенные из этой организации. Нарушители не обладают достаточными ресурсами (деньги, технологии), имеют краткосрочные цели;
    • Структурированные угрозы – запланированные, методичные атаки с использованием системных подходов реализуемые группой лиц. Целью являются нарушение информационной целостности или функционирование систем для похищения информации или получения влияния на операционную деятельность организации. Нарушители имеют финансирование и формируют долгосрочные цели. Категория нарушителей включает хакеров и сформированные преступные группы, в некоторых случаях конкурентов и инсайдеров;
    • Высоко структурированные угрозы – наиболее серьезные угрозы, которые запланированы, методически проработаны, используют мульти-дисциплинарные атаки, направлены на нарушение или уничтожение информации или систем. Цель – получение информации и влияние на работу сектора экономики. Хорошо финансируются и технически подготовлены, имеют долгосрочные национальные цели. Атаки включают в себя согласованные методы  физического, психологического воздействия в сочетании с кибер-атаками;
  • Метрики: Руководство, Производство, Граждане  (Metrics: Government, Industry, Citizens) – метрики могут включать факторы, которые влияют на безопасность, например среднюю пропускную способность сети. Могут включать нетехнические факторы, такие как количество сотрудников, получивших подготовку по вопросам безопасности, участие руководства в управлении безопасностью через количество регулярных совещаний по безопасности;
  • Информационный обмен (Information Sharing) – важная составляющая для эффективной борьбы с кибер-атаками. Организациям сообщества придется определить тип и количество информации, которой они будут делиться между собой.  На нижнем уровне информационный обмен может состоять из общения в рабочих группах, куда входят сотрудники разных организаций, чтобы обсудить последние события, которые влияют на сообщество. Обмен информации может осуществляться через простой веб-форму или на основе электронной почты. Для более высоких уровней обмен осуществляется через системы оповещения;
  • Технологии безопасности (Technology) – в целях развития и функционирования эффективной программы по борьбе с кибер-угрозами, необходимо будет применять технологии. Это не только технологии, которые необходимы для защиты отдельных систем и сетей (брандмауэры и системы обнаружения вторжений), но технологии для осуществления программы обмена информацией. Важным аспектом является то, что технология не должна быть просто точечным продуктом для решения конкретной угрозы и уязвимости, без отношения к другим угрозам. Они  должны быть интегрированы в общую программу так, чтобы вписывается в общую картину работая над общей целью;
  • Обучение (Training) - Обучение является важным компонентом CCSMM. Многие администраторы имеют только самые основы из подготовки по вопросам безопасности. Нет общего понимания различных категорий угроз и того, что требуется для их решения. Некоторые программы обучения направлены на системных и сетевых администраторов, другие предназначены для групп быстрого реагирования, руководства или даже граждан в обществе. На более высоких уровнях обучение становится гораздо более техническим и практическим;
  • Тестирование (Test) – после  того, как сообщество приступило к реализации метрик и учебных программ ему необходимо будет рассмотреть вопрос о создании программ для проверки своих возможностей. По мере возрастания уровня зрелости, сложности тестов должны повышаться. Например, организации должны на регулярной основе проводить проверки планов резервного копирования, чтобы они были реальными и адекватными, для восстановления после катастроф любого типа.

2. Сравнение рассмотренных моделей зрелости
Еще раз повторим, что целью данной работы является обзор существующих зарубежных  моделей зрелости для выработки понимания возможности их применения в российской практике. Все указанные модели зрелости разработаны и применяются в основном в США. В России же применение этих моделей затруднено в силу ряда причин. В частности, развитие информационной безопасности в российских организациях находится на низком уровне и часто требования, которые рассматриваются в указанных моделях не реализованы. Например, зарубежные модели не учитываю обеспеченность ресурсами для организации процессов безопасности. Так же, развитость и стабильность процессов управления зарубежных организаций и российских сильно различается. В таблице 13 приведены общие характеристики рассмотренных моделей.

Рассмотрев описанные выше модели зрелости, становится очевидным тот факт, что каждая из моделей разрабатывалась для решения конкретных задач и на основе какой-то постановки задачи (назовем ее базовой моделью). Иначе говоря, представленные модели зрелости решали некоторые определенные перед исполнителями задачи. А для этого проблематику требуется представить ее в виде модели, как это должно быть.

Цели моделей
В случае с моделью зрелости O-ISM3, она решала вопросы оценки состояния существующих процессов СУИБ, и хотя полностью совместима с требованиями ISO 27001, COBIT, ITIL нет четкого понимания какая базовая модель процесса использовалась. Такое же замечание выдвигается и к остальным моделям зрелости.

Модель  Gartner, решает вопросы преодоления трудностей на пути к реализации преимуществ BPM и формировании единой корпоративной стратегии управления бизнес-процессами, которая будет отвечать бизнес-целям организации.

Модель NIST методология PRISMA разработана для проведения исследования и идентификации слабых мест безопасности, обеспечения рентабельности ИБ, оценки коммерческих технологий безопасности и возможность применения их в ИТ-системах Федеральными агентствами и ведомствами США (включая подрядчиков, региональные и местные органы власти, действующие от имени федеральных организаций).  

Модель CC​​SMM разработана как общественная модель зрелости кибер-безопасности для построения взаимодействия различных организаций сообщества между собой в направлении эффективного противодействия кибер-преступности.

Таким образом, для понимания возможности применения любой из моделей зрелости на практике, без понимания базовой модели однозначно сказать можно ли ее применять для наших задач сложно. Видится, что для решения собственных задач по безопасности следует учесть опыт создания моделей зрелости и разработать собственную модель.

Уровни зрелости
В рассмотренных моделях количество уровней оценки зрелости составляет 5, за исключением модели Gartner, в которой уровней 6.
Именование уровней, говорит о развитии состояния организаций от начального состояния, на котором процессами не занимаются вообще или занимаются слабо, до верхнего уровня, где в бизнес полностью интегрированы и оптимизированы оцениваемые процессы. Интересным исключением является модель NIST методология PRISMA, в которой урони названы согласно общей теории стратегического управления, и отражают эволюцию управления в организации.

Метрики
Метрики в каждой модели свои, совпадений практически не выявлено. Это и понятно, каждая модель зрелости разрабатывалась под конкретные цели, решает конкретные задачи. Отсутствие совпадений может являться следствием того, что в основе лежат разные базовые модели.

Вывод
Рассмотрев несколько моделей зрелости можно сделать следующие выводы:

  • единой трактовки понятия зрелости нет, каждая модель решает собственную проблематику;
  • применение разработанных моделей зрелости без понимания базовой модели (т.е. для решения каких вопросов она разрабатывалась и на основе какой постановки задачи) – затруднительно;
  • модель зрелости должна учитывать вполне конкретный набор метрик, через которые раскрывается уровень зрелости организации. Эта идея была продемонстрирована на основе анализа моделей зрелости;
  • следует разрабатывать собственную модель зрелости, на основе собственной базовой  модели (как мы ее видим) с необходимыми для нас метриками. А рассмотренные варианты моделей зрелости полезно использовать как образец.


Таблицы 13.

Модель

Цель создания

Количество уровней  зрелости

Метрики

Плюсы

Минусы

Information Security Management Maturity Model
(O-ISM3)
Focus: Process integration

Модель оценивает зрелость СУИБ на основе анализа интегрированных процессов.

1 – Начальный (Initial);
2 – Управляемый (Managed);
3 – Описанный (Defined);
4 – Контролируемый (Controlled);
5 – Оптимизированный (Optimized).

1 – Activity  (Интенсивность деятельности),
2 – Scope (Масштабируемость),
3 – Unavailability (Доступность),
4 – Effectiveness (Эффективность),
5 – Load (Загруженность, нагрузка),
6 – Quality (Качество),
7 – Efficiency (Результативность, продуктивность).

Максимальный охват направлений безопасности согласно стандарту ISO 27001 - модель идентифицирует 4 уровня управления СУИБ Базовый (Generic), Стратегический менеджмент (Strategic Management), Тактический менеджмент (Tactical Management), Операционный менеджмент (Operational Management),  по которым производится оценка зрелости.

Многочисленна я и сложная структура определения метрик может потребовать подготовки.

Полный перечень направлений может потребовать от организации наличия всего спектра.

Не рассматривает обеспеченность ресурсами для организации безопасности.

Gartner’s Security Model 
Focus: Large organizations

Модель оценивает уровень реализации  бизнес процессов организации, в частности процессов ИБ.

0 – Признание операционной неэффективности (Acknowledge Operations Inefficiency);
1 – Заинтересованность в процессах (Process Aware);
2 – Локальное процессное управление и автоматизация (Intraprocess Automation and Control);
3 – Управление и автоматизация межпроцессорного взаимодействия (Interprocess Automation and Control);
4 – Управление цепочкой добавленной стоимости  (Enterprise Valuation Control);
5 – Динамичная бизнес-структура (Agile Business Structure).

1 – Стратегическая линия (Strategic Alignment);
2 – Культура и лидерство (Culture and Leadership);
3 – Люди (People);
4 – Руководство (Governance);
5 – Методики  (Methods);
6 – Информационные технологии (Information Technology).

Модель рассматривает не только процессы безопасности, но и также участие руководства, сотрудников и общий уровень культуры по направлению безопасности.

Не рассматривает обеспеченность ресурсами для организации безопасности.

Нет четких рекомендаций, какие составляющие должны быть в процессах без опасности.

National Institute of Standards and Technology
Методология PRISMA
(NIST PRISMA)
Focus: Documentation

Методология PRISMA разработана для проведения исследования и идентификации слабых мест безопасности, обеспечения рентабельности ИБ, оценки коммерческих технологий безопасности и возможность применения их в ИТ-системах Федеральными агентствами и ведомствами США (включая подрядчиков, региональные и местные органы власти, действующие от имени федеральных организаций).

1– Политики (Policies);
2 – Процедуры (Procedures);
3 – Внедрение (Implementation);
4– Тестирование (Test);
5 – Интеграция (Integration).

1 – Соответствующий (Compliant),
2 –  Частично соответствующий (Partially Compliant),
3 – Не соответствующий (Nonсompliant).

 

Отличительной особенностью модели является то, что она основана на оценке документации ИБ по определенным 9-ти основным областям ИБ:
Информационное управление безопасностью и культура;
Информационное планирование безопасности;
Понимание безопасности, обучение и образование;
Бюджет и ресурсы;
Управление жизненным циклом безопасности;
Сертификация и аккредитация;
Защита критичной инфраструктуры;
Инцидент и экстренное реагирование на них;
Средства безопасности, контроли.

Для оценки метрики «Частично соответствующая» вычисляется количественная оценка на основе среднего. 

Модель сконцентрирована на качестве документации. Если процессы не задокументированы, их уровень зрелости не учитывается.

Модель создавалась для государственных учреждений и не учитывает коммерческие организации, в которых некоторые процессы могут быть не задокументированными.

Не рассматривает обеспеченность ресурсами для организации безопасности.

Community Cyber Security Maturity Model
(CSMM)
Focus: Community effort and sharing

Модель построена для сравнения зрелости различных организаций, для координации общих усилий и распределения обязанностей по общему уровню безопасности.

1– О безопасности известно (Security Aware);
2 – Развитие  процессов (Process Development);
3 – Установлено информирование (Information Enabled);
4– Развитие тактики (Tactics Development);
5 – Полная безопасность эксплуатируемых возможностей (Full Security Operational Capability).

1 – Угрозы, которые следует рассматривать (The Threat Addressed);
2 – Метрики: Руководство, Производство, Граждане  (Metrics: Government, Industry, Citizens);
3 – Информационный обмен (Information Sharing);
4 – Технологии безопасности (Technology);
5 – Обучение (Training);
6 – Тестирование (Test).

Модель из набора различных элементов и учитывает не только метрики, но и технологии, уязвимости, тесты, которые могут быть использованы вместе с метриками для измерения текущее состояние уровня безопасности.

Модель направлена на сравнивание уровня с другими организациями.  Не рассматривает качества внедренных процессов.

Не рассматривает обеспеченность ресурсами для организации безопасности.

 

 

Литература

  1. Управление качеством. Сказки, мифы и проза жизни / В. Г. Елиферов. — М. : Вершина, 2006. — 296 с.
  2. Paulk, Curtis, Chrissis, and Weber, “Capability Maturity Modelsm for Software, Version 1.l”, Technical Report, CMU/SEI-93-TR-024, Carnegie Mellon University, February 1993.
  3.  “System Security Engineering Capability Maturity Model® SSE-CMM® Model Description Document, Version 3.0”, Carnegie Mellon University, June 15, 2003.
  4. A model for best practice driven information security governancehttps://ujdigispace.uj.ac.za/handle/10210/524?show=full
  5. Уровень зрелости организации http://www.elitarium.ru/2007/04/09/uroven_zrelosti_organizacii.html
  6. Best practices show the way to Information Security Maturity. MM Lessing. Council for Scientific and Industrial Research, South Africa
    http://researchspace.csir.co.za/dspace/bitstream/10204/3156/1/Lessing6_2008.pdf
  7. The Community Cyber Security Maturity Model http://www.computer.org/csdl/proceedings/hicss/2007/2755/00/27550099b-abs.html
  8. CMMI® for Development, Version 1.2  http://www.sei.cmu.edu/library/abstracts/reports/06tr008.cfm
  9. ISO 9000, CMM, CMMI – что выбрать?  /В.Ильин – статья
  10. Опыт использования мировой практики в России. Эффективность бизнес процессов – ключевые условия выживания для России/ Алёшин В.Д., презентация РАНХ и ГС при Президенте РФ.

____________________________________________________________________________

  •  Помимо указанных моделей, найдены ссылки на следующие модели зрелости: IBM Information Security Framework (IBM-ISF), SUNY’s Information Security Initiative (SUNY ISI), Systems Security Engineering Capability Maturity Model (SSE-CMM), Computer Emergency Response Team/Chief Security Officer  Security Capability Assessment, Gartner Enterprise Information Management Maturity Model (EIM-MM), Capability Maturity Model Software Engineering Institute (CMM-SEI), Process and Enterprise Maturity Model (PEMM), Business Process Maturity Model (BPMMLee) и т.д.
Ваша оценка: Пусто Средняя: 9.5 (10 голосов)
Школа IT-менеджмента Экономического факультета АНХ, 119571, Россия, г. Москва, проспект Вернадского, д. 82 корп. 2, офис 207, тел.: +7 (495) 933-96-00, Copyright @ 2008-2009