Forståelse af cybersikkerhedsmodenhedsmodeller – Huntsman

Marts 3, 2020

Cybersecurity Maturity Model Certification (CMMC) er et amerikansk initiativ ledet af Kontoret for assisterende forsvarsminister til erhvervelse inden for Forsvarsministeriet (DoD). Det stiller krav til DoD-entreprenører og underleverandører for at hjælpe med at beskytte information inden for den amerikanske Forsvarsforsyningskæde. Dette indlæg er det andet i en serie, hvor vi analyserer CMMC og ser på, hvordan du kan opnå overholdelse eller bruge det som grundlag for dit eget informationssikkerhedsprogram. Du kan læse det første indlæg, der giver et overblik over CMMC, her.

lad os starte med at se på, hvorfor cybersikkerhedsmodningsmodeller findes, og hvordan de hjælper organisationer med at orientere deres forretningsprocesser (såsom informationssikkerhedsstyring) mod en rotation af overvågning, vurdering og løbende forbedring. Denne historiske opfattelse af, hvor modenhedsmodeller er opstået, er vigtig for cybersikkerhedsteams som grundlag for hvert modenhedsniveau, den underliggende begrundelse for cybersikkerhed og CMMCS 17 specifikke domæner hjælper dig med at træffe bedre sikkerhedsbeslutninger og måle, hvad der skal gøres for at komme videre mellem niveauer.

få et øjeblikkeligt overblik over din sikkerhedskontrol effektivitetss-se den korte video

Esential 8 Auditor kort oversigt video

Hvad er modenhedsmodeller?

Modenhedsmodeller er blevet brugt i programmelteknik siden så tidligt som i 1986. Oprindeligt blev Capability Maturity Model (CMM) udviklet til at vurdere U. S. Department of Defense contractors’ proces modenhed, som en måler på, hvor sandsynligt de er for at levere et vellykket programprojekt; jo højere modenhed score, jo bedre deres processer og jo større sandsynlighed bruger de etablerede processer til design, udvikling, kvalitetssikring (test) og opbygning af programmer.

løbetiden vedrører specifikke aspekter af vurderingen, hvor niveauet for etablering og optimering af hver proces kan variere fra ad hoc til formelt defineret og optimeret. Da denne tidlige CMM-tilgang var rettet mod at forbedre programmeludviklingsprocesser, var dens anvendelighed noget begrænset, så i 2006 omarbejdede Programingeniørinstituttet (SEI) ved Carnegie Mellon University det for at skabe Capability Maturity Model Integration (CMMI), som nu har erstattet den oprindelige CMM-ramme.

siden da har kapacitetsmodningsmodeller vist sig inden for alle mulige discipliner, såsom IKT-infrastruktur, servicestyring, forretningsprocesstyring, fremstilling, civilingeniør og cybersikkerhed.

CMMI

rammerne for Capability Maturity Model Integration (CMMI) er en meta-ramme for procesmåling og forbedring, der hjælper organisationer med at måle deres processers effektivitet og identificere, hvordan de kan forbedres over tid.

USA. Department of Defense finansieret og bistået i udviklingen af CMMI, som var forløberen for CMMC værktøj, vi ser på i denne blog serie. CMMI administreres af CMMI Institute, købt i 2016 af ISACA.

CMMI bruges nu over hele verden, både inden for programmelteknik og IKT-servicestyring. Organisationer, der leverer offentlige produkter eller tjenester, bliver ofte bedt om at opfylde CMMI-niveau 3 på tværs af deres kerneleveringsprocesser, et modenhedsniveau, der kræver brug af formelle metoder til design, udvikling, test og levering. CMMI har fem modenhedsniveauer, hvor niveau 5 er den ideelle måltilstand, hvor processer optimeres fuldt ud på tværs af virksomheden og styres under en kontinuerlig procesforbedringsordning.

modenhedsniveauer

CMMI har fem modenhedsniveauer, der følger de oprindelige retningslinjer for CMM. Disse niveauer er som følger:

  1. indledende: processer er noget ad hoc og udefineret bortset fra lokaliseret dokumentation.
  2. administreret: Processer styres i overensstemmelse med aftalte målinger, men der er ikke fokus på at vurdere effektivitet eller indsamle feedback, og mens processer følges, er der ingen forestilling om deres succes. Processer er ikke konsistente på tværs af virksomheden.
  3. defineret: processer er veldefinerede og anerkendt som standard forretningsprocesser og er opdelt i mere detaljerede procedurer, arbejdsinstruktioner og registre (artefakter), der bruges til at registrere procesoutput.
  4. kvantitativt forvaltet: Metrics indsamles fra hver proces og føres tilbage til et processtyringsudvalg, der analyserer og rapporterer om proceseffektivitet.
  5. optimering: processtyring omfatter fokus på disciplineret optimering og løbende procesforbedring, og et komplet team af forretningsanalytikere måler og vurderer alle aspekter af virksomheden for mulige problemer og forbedringsmuligheder.

da cybersikkerhed har et så stort fokus på forretningsprocesser, er det fornuftigt, at der kom en skræddersyet CMMI-ramme for sikkerhedsmodenhed.

Cybersecurity Modenhedsmodeller

CMMI er fleksibel og gælder for alle forretningsprocesser, således at skræddersy rammen for informationssikkerhedsstyring var et indlysende skridt. Et eksempel på en tilpasset CMMI-løsning til cybersikkerhed er CMMI instituttets Cybermaturity-Platform, et værktøj designet til at måle din samlede sikkerhedsmodenhed mod den originale model. En anden model, der er skræddersyet specifikt til driftssikkerhed, er SOC-CMM, som tilføjer et ekstra modenhedslag under det originale “indledende” lag, der er specificeret af CMMI. Det er her SOC-processer aldrig er blevet etableret, følgelig vurderet som “ikke-eksisterende.”Yderligere forfining af SOC-CMM gør det til en kontinuerlig modenhedsmodel, da de fleste sikkerhedsprocesser alligevel skal vurderes og forbedres i forhold til andre standarder, såsom ISO 27001.

som vi har set, har det amerikanske forsvarsministerium haft stor interesse for procesmodenhed, så det er ikke overraskende, at de har frigivet deres egen tilgang til cybersikkerhedsmodenhed i CMMC-rammen. CMMC har også fem certificeringsniveauer, der måler cyberprocesmodenhed, hvor hvert niveau udvikler sig på det foregående med specifikke tekniske krav. Processer er opdelt i 17 separate sikkerhedsdomæner, der er meget tæt tilpasset NIST cybersecurity-rammen (CSF), og CMMC kan således bruges i samråd med CSF til at designe, levere og køre et optimeret og løbende forbedret sikkerhedsprogram. CMMC-niveauerne, svarende til CMMI-niveauerne, løber fra indledende til optimeret, men definitionerne på hvert niveau er specifikke for cybersikkerhed, som følger:

  1. Niveau 1: Udfør grundlæggende cyberhygiejnepraksis, såsom at bruge antivirusprogrammer og sikre, at medarbejderne ændrer adgangskoder regelmæssigt (som eksempler).
  2. niveau 2: dokument visse “mellemliggende cyberhygiejne” – praksis for at begynde at beskytte kontrolleret uklassificeret Information (CUI) gennem implementering af US Department of Commerce National Institute of Standards and Technology ‘ s særlige publikation 800-171 Revision 1 (NIST 800-171 r1) sikkerhedskrav.
  3. niveau 3: Institutionaliseret forvaltningsplan for at implementere god cyberhygiejnepraksis for at beskytte CUI, herunder alle NIST 800-171 r1 sikkerhedskrav og yderligere standarder.
  4. niveau 4: implementerede processer til gennemgang og måling af effektiviteten af praksis samt etablerede yderligere forbedrede fremgangsmåder, der registrerer og reagerer på skiftende taktik, teknikker og procedurer for avancerede vedvarende trusler (Apt ‘ er).
  5. niveau 5: Standardiserede og optimerede processer og yderligere forbedrede fremgangsmåder, der giver avancerede muligheder for at opdage og reagere på Apt ‘ er.

som du kan se fra disse niveauer, følger kontinuumet den samme model som CMMI, men er specielt skræddersyet til cybersikkerhed. Assessors kan nu bruge CMMC til at vurdere og akkreditere USA. Forsvarsministeriets forsyningskæde, som er et stærkt regime at etablere, da det gør adgangsbarrieren for mindre organisationer relativt let at nå, Da forandring og forbedring i mindre organisationer ofte er lettere at implementere end større organisationer med mere komplekse strukturer og forretningskrav.

næste trin – ser vi på CMMC-domæner

i dette indlæg har vi kigget på historien bag CMMC-rammen, og hvorfor det er vigtigt i cybersikkerhed, at vi vedtager en model som denne for at sikre, at vi løbende forbedrer vores sikkerhedsstilling. I fremtidige indlæg vil vi se på et udvalg af domæner og følge udviklingen af modenhed fra det laveste til det højeste niveau, giver kontekst og eksempler på, hvordan du kan opfylde de kapaciteter og praksis.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.