Porozumění modelům zralosti kybernetické bezpečnosti-Huntsman

Březen 3, 2020

Cybersecurity Maturity Model Certification (CMMC) je americká iniciativa vedená Úřadem náměstka ministra obrany pro akvizici v rámci Ministerstva obrany (DoD). Ukládá požadavky na dodavatele a subdodavatele DOD, aby pomohli chránit informace v rámci obranného dodavatelského řetězce USA. Tento příspěvek je druhý ze série, kde analyzujeme cmmc a podíváme se na to, jak můžete dosáhnout souladu nebo jej použít jako základ svého vlastního programu bezpečnosti informací. Můžete si přečíst první příspěvek, který poskytuje přehled o CMMC, zde.

Začněme tím, proč existují modely zralosti kybernetické bezpečnosti a jak pomáhají organizacím orientovat své obchodní procesy (jako je řízení bezpečnosti informací) proti rotaci monitorování, hodnocení a neustálého zlepšování. Tento historický pohled na to, odkud pocházejí modely zralosti, je důležitý pro týmy kybernetické bezpečnosti jako základ každé úrovně zralosti, základní zdůvodnění aplikované na kybernetickou bezpečnost a cmmc 17 specifické domény vám pomohou lépe se rozhodovat o bezpečnosti a posoudit, co je třeba udělat pro pokrok mezi úrovněmi.

Získejte okamžitý přehled o efektivitě kontroly bezpečnosti-podívejte se na krátké video

essential 8 Auditor krátký přehled video

co jsou modely splatnosti?

modely zralosti se používají v softwarovém inženýrství již od roku 1986. Původně, Capability Maturity Model (CMM) byl vyvinut s cílem posoudit u. s. Department of Defense contractors‘ proces zralosti, jako měřítko, jak je pravděpodobné, že budou poskytovat úspěšný softwarový projekt; čím vyšší je splatnost skóre, tím lepší jsou jejich procesy a vyšší pravděpodobnost, že používají zavedené procesy pro návrh, vývoj, zajištění kvality (testování) a budování softwaru.

termín splatnosti se vztahuje ke specifickým aspektům posouzení, kdy úroveň stanovení a optimalizace každého procesu se může pohybovat od ad hoc po formálně definovanou a optimalizovanou. Vzhledem k tomu, že tento časný přístup CMM byl zaměřen na zlepšení procesů vývoje softwaru, jeho použitelnost byla poněkud omezená, takže v roce 2006 jej softwarový inženýrský institut (SEI) na Carnegie Mellon University přepracoval tak, aby vytvořil integraci modelu zralosti schopností (CMMI), který nyní nahradil původní rámec CMM.

od té doby se modely zralosti schopností objevily ve všech druzích oborů, jako je ICT infrastruktura, řízení služeb, řízení podnikových procesů, výroba, stavebnictví a kybernetická bezpečnost.

CMMI

rámec Capability Maturity Model Integration (CMMI) je meta-rámec pro měření a zlepšování procesů, který pomáhá organizacím měřit efektivitu jejich procesů a určit, jak je v průběhu času zlepšit.

USA Ministerstvo obrany financovalo a pomáhalo při vývoji CMMI, který byl předchůdcem nástroje CMMC, na který se díváme v této sérii blogů. CMMI je spravován institutem CMMI, zakoupeným v roce 2016 společností ISACA.

CMMI se nyní používá po celém světě, a to jak v softwarovém inženýrství, tak v řízení ICT služeb. Organizace, které dodávají vládní produkty nebo služby, jsou často žádány, aby splnily úroveň CMMI 3 napříč jejich hlavními procesy doručování, úroveň zralosti, která vyžaduje použití formálních metod návrhu, vývoj, testování a dodání. CMMI má pět úrovní zralosti, přičemž úroveň 5 je ideálním cílovým stavem, kdy jsou procesy plně optimalizovány v celém podniku a řízeny v režimu neustálého zlepšování procesů.

úrovně splatnosti

CMMI má pět úrovní splatnosti, které se řídí původními pokyny CMM. Tyto úrovně jsou následující:

  1. počáteční: procesy jsou poněkud ad hoc a nedefinované kromě lokalizované dokumentace.
  2. spravováno: Procesy jsou řízeny v souladu s dohodnutými metrikami, ale není zaměřeno na hodnocení účinnosti nebo shromažďování zpětné vazby a při sledování procesů neexistuje žádná představa o jejich úspěchu. Procesy nejsou v celém podniku konzistentní.
  3. definováno: procesy jsou dobře definovány a uznávány jako standardní obchodní procesy a jsou rozděleny do podrobnějších postupů, pracovních pokynů a registrů (artefaktů) používaných k zaznamenávání výstupů procesů.
  4. kvantitativně řízeno: Metriky jsou shromažďovány z každého procesu a přiváděny zpět do Výboru pro řízení procesů, který analyzuje a podává zprávu o účinnosti procesu.
  5. optimalizace: procesní řízení zahrnuje zaměření na disciplinovanou optimalizaci a neustálé zlepšování procesů a kompletní tým obchodních analytiků měří a hodnotí všechny aspekty podnikání z hlediska možných problémů a příležitostí ke zlepšení.

vzhledem k tomu, že kybernetická bezpečnost se tak intenzivně zaměřuje na obchodní procesy, dává smysl, že přišel přizpůsobený rámec CMMI pro bezpečnostní zralost.

Cybersecurity Maturity Models

CMMI je flexibilní a vztahuje se na všechny obchodní procesy, takže přizpůsobení rámce pro řízení informační bezpečnosti bylo zřejmým krokem. Jedním z příkladů upraveného řešení CMMI pro kybernetickou bezpečnost je platforma CMMI Institute pro kybernetickou bezpečnost, nástroj určený k měření vaší celkové bezpečnostní vyspělosti oproti původnímu modelu. Dalším modelem přizpůsobeným speciálně pro provozní bezpečnost je SOC-CMM, který přidává jednu další vrstvu zralosti pod původní“ počáteční “ vrstvu specifikovanou CMMI. To je místo, kde SOC procesy nebyly nikdy stanoveny, následně hodnocena jako “ neexistující.“Další zdokonalení SOC-CMM z něj činí model nepřetržité zralosti, protože většina bezpečnostních procesů by měla být neustále hodnocena a zlepšována proti jiným standardům, jako je ISO 27001.

jak jsme viděli, ministerstvo obrany USA zaujalo velký zájem o zralost procesu, takže není divu, že v rámci Cmmc vydali svůj vlastní přístup k zralosti kybernetické bezpečnosti. CMMC má také pět úrovní certifikace, které měří zralost kybernetických procesů, přičemž každá úroveň se vyvíjí na předchozí úrovni se specifickými technickými požadavky. Procesy jsou rozděleny do 17 samostatných bezpečnostních domén, které jsou velmi úzce spojeny s NIST cybersecurity framework (CSF), takže CMMC může být ve shodě s CSF použit k návrhu, dodání a spuštění optimalizovaného a neustále se zlepšujícího bezpečnostního programu. Úrovně CMMC, podobné úrovním CMMI, běží od počátečního až po optimalizované, ale definice každé úrovně jsou specifické pro kybernetickou bezpečnost, takto:

  1. Úroveň 1: provádějte základní postupy kybernetické hygieny, jako je používání antivirového softwaru a zajištění pravidelných změn hesel zaměstnanců (jako příklady).
  2. úroveň 2: dokumentujte určité postupy „střední kybernetické hygieny“, abyste mohli začít chránit kontrolované nezařazené informace (CUI) prostřednictvím implementace speciální publikace amerického ministerstva obchodu Národní institut norem a technologií 800-171 revize 1 (NIST 800-171 r1) bezpečnostní požadavky.
  3. úroveň 3: Institucionalizovaný plán řízení s cílem zavést správné postupy kybernetické hygieny k ochraně CUI, včetně všech bezpečnostních požadavků NIST 800-171 r1 a dalších norem.
  4. úroveň 4: implementované procesy pro kontrolu a měření účinnosti postupů, jakož i zavedené další rozšířené postupy, které detekují a reagují na měnící se taktiku, techniky a postupy pokročilých trvalých hrozeb (APTs).
  5. úroveň 5: Standardizované a optimalizované procesy a další rozšířené postupy, které poskytují sofistikované schopnosti detekovat APTs a reagovat na ně.

jak můžete vidět z těchto úrovní, kontinuum sleduje stejný model jako CMMI, ale je speciálně přizpůsobeno pro kybernetickou bezpečnost. Hodnotitelé mohou nyní použít CMMC k posouzení a akreditaci USA. Dodavatelský řetězec ministerstva obrany, což je silný režim, který je třeba zavést, protože relativně snadno dosáhne bariéry vstupu pro menší organizace, protože změna a zlepšení v menších organizacích je často snazší implementovat než větší organizace se složitějšími strukturami a obchodními požadavky.

další kroky-při pohledu na domény CMMC

v tomto příspěvku jsme se podívali na historii rámce CMMC a proč je v kybernetické bezpečnosti důležité, abychom přijali model, jako je tento, abychom zajistili neustálé zlepšování našeho bezpečnostního postoje. V budoucích příspěvcích se podíváme na výběr domén a sledujeme postup zralosti od nejnižší k nejvyšší úrovni, poskytující kontext a příklady toho, jak můžete splnit schopnosti a postupy.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.