Kyberturvallisuuden kypsyysmallien ymmärtäminen-Huntsman

Maaliskuu 3, 2020

Cybersecurity Maturity Model Certification (CMMC) on Yhdysvaltain aloite johtaa Office apulaispuolustusministeri hankinta puolustusministeriön (DoD). Se asettaa puolustusministeriön alihankkijoille ja alihankkijoille vaatimuksia, jotka auttavat turvaamaan tietoja Yhdysvaltojen Puolustustarvikeketjussa. Tämä viesti on toinen sarjassa, jossa analysoimme CMMC: tä ja tarkastelemme, miten voit saavuttaa vaatimustenmukaisuuden tai käyttää sitä oman tietoturvaohjelmasi perustana. Voit lukea ensimmäisen postauksen, joka antaa yleiskuvan CMMC, täällä.

aloitetaan tarkastelemalla, miksi kyberturvallisuuden kypsyysmalleja on olemassa ja miten ne auttavat organisaatioita suuntaamaan liiketoimintaprosessejaan (kuten tietoturvan hallintaa) seurannan, arvioinnin ja jatkuvan parantamisen vuorotteluun. Tämä historiallinen näkemys siitä, missä kypsyysmallit ovat syntyneet, on tärkeä kyberturvallisuusryhmille kunkin kypsyystason perustana.kyberturvallisuuteen ja CMMC: n 17 erityisalueeseen sovellettavat perusteet auttavat sinua tekemään parempia tietoturvapäätöksiä ja arvioimaan, mitä on tehtävä edistyäksesi tasojen välillä.

Hanki välitön kuva tietoturvavalvonnan tehokkuudesta-katso lyhyt video

 Esential 8 Auditor short overview video

mitkä ovat maturiteettimallit?

Maturiteettimalleja on käytetty ohjelmistotekniikassa jo vuodesta 1986 lähtien. Alun perin Capability Maturity Model (CMM) kehitettiin arvioimaan Yhdysvaltain puolustusministeriön urakoitsijoiden prosessin kypsyyttä, mittarina siitä, kuinka todennäköistä on, että ne tuottavat onnistuneen ohjelmistoprojektin; mitä korkeampi kypsyysaste, sitä parempi niiden prosessit ja sitä suurempi todennäköisyys ne käyttävät vakiintuneita prosesseja ohjelmistojen suunnitteluun, kehittämiseen, laadunvarmistukseen (testaukseen) ja rakentamiseen.

määräaikaisuus liittyy arvioinnin tiettyihin näkökohtiin, joissa kunkin prosessin perustamisen ja optimoinnin taso voi vaihdella tapauskohtaisesta muodollisesti määriteltyyn ja optimoituun. Koska tämä varhainen CMM-lähestymistapa pyrittiin parantamaan ohjelmistokehitysprosesseja, sen sovellettavuus oli hieman rajallinen, joten vuonna 2006 Carnegie Mellon-yliopiston Software Engineering Institute (SEI) muokkasi sitä luomaan valmiuksien Kypsyysmallin integraation (CMMI), joka on nyt korvannut alkuperäisen CMM-kehyksen.

siitä lähtien valmiuksien kypsyysmalleja on esiintynyt kaikenlaisilla tieteenaloilla, kuten tieto-ja viestintätekniikan infrastruktuurissa, palvelunhallinnassa, liiketoimintaprosessien hallinnassa, teollisuudessa, maanrakennuksessa ja kyberturvallisuudessa.

CMMI

Capability Maturity Model Integration (CMMI) framework (Capability Maturity Model Integration, CMMI) on prosessin mittaamisen ja parantamisen metakehikko, joka auttaa organisaatioita mittaamaan prosessiensa tehokkuutta ja tunnistamaan, miten niitä voidaan ajan myötä parantaa.

Yhdysvallat. Puolustusministeriö rahoitti ja avusti CMMI: n kehittämisessä, joka oli cmmc-työkalun edeltäjä, jota tarkastelemme tässä blogisarjassa. CMMI: tä hallinnoi CMMI-instituutti, jonka ISACA osti vuonna 2016.

CMMI on nyt käytössä kaikkialla maailmassa, sekä ohjelmistotekniikassa että ICT-palveluiden hallinnassa. Organisaatioita, jotka toimittavat valtion tuotteita tai palveluja, pyydetään usein täyttämään CMMI-taso 3 ydintoimitusprosesseissaan, kypsyystaso, joka edellyttää muodollisten suunnittelu -, kehitys -, testaus-ja toimitusmenetelmien käyttöä. CMMI: llä on viisi kypsyystasoa, joista taso 5 on ihanteellinen tavoitetila, jossa prosessit optimoidaan täysin koko liiketoiminnassa ja niitä hallitaan jatkuvan prosessiparannusjärjestelmän mukaisesti.

Maturiteettitasot

CMMI: ssä on viisi maturiteettitasoa, jotka noudattavat CMM: n alkuperäisiä ohjeita. Nämä tasot ovat seuraavat:

  1. alustava: prosessit ovat jonkin verran tapauskohtaisia ja määrittelemättömiä lukuun ottamatta paikallista dokumentointia.
  2. hoidettu: Prosesseja hallitaan sovittujen mittareiden mukaisesti, mutta vaikuttavuuden arviointiin tai palautteen keräämiseen ei keskitytä ja vaikka prosesseja seurataan, niiden onnistumisesta ei ole käsitystä. Prosessit eivät ole yhdenmukaisia koko liiketoiminnassa.
  3. määritelty: prosessit ovat hyvin määriteltyjä ja tunnustettu vakiomuotoisiksi liiketoimintaprosesseiksi, ja ne on jaoteltu yksityiskohtaisempiin menettelyihin, työohjeisiin ja rekistereihin (artefaktit), joita käytetään prosessien tuotosten tallentamiseen.
  4. kvantitatiivisesti hallittu: Mittarit kerätään jokaisesta prosessista ja syötetään takaisin prosessinhallintakomitealle, joka analysoi ja raportoi prosessin tehokkuudesta.
  5. optimointi: prosessinhallinnassa keskitytään kurinalaiseen optimointiin ja prosessien jatkuvaan parantamiseen, ja täysi joukko liiketoiminta-analyytikkoja mittaa ja arvioi liiketoiminnan kaikkia osa-alueita mahdollisten ongelmien ja parannusmahdollisuuksien varalta.

koska kyberturvallisuus on niin vahvasti keskittynyt liiketoimintaprosesseihin, on järkevää, että mukaan tuli räätälöity CMMI-kehys tietoturvan kypsyydelle.

kyberturvallisuuden Maturiteettimallit

CMMI on joustava ja soveltuu kaikkiin liiketoimintaprosesseihin, joten tietoturvan hallinnan puitteiden räätälöinti oli ilmeinen askel. Yksi esimerkki mukautetusta CMMI-ratkaisusta kyberturvallisuuteen on CMMI-instituutin Kybermaturva-alusta, työkalu, joka on suunniteltu mittaamaan yleistä tietoturva-kypsyyttä alkuperäiseen malliin nähden. Toinen erityisesti käyttöturvallisuuteen räätälöity malli on SOC-CMM, joka lisää yhden ylimääräisen kypsyyskerroksen alle CMMI: n määrittelemän alkuperäisen ”alkuperäisen” kerroksen. Tässä yhteydessä SOC-prosesseja ei ole koskaan perustettu, joten ne on arvioitu ”olemattomiksi.”Soc-CMM: n tarkentaminen tekee siitä jatkuvan kypsyysmallin, koska useimpia tietoturvaprosesseja tulisi jatkuvasti arvioida ja parantaa suhteessa muihin standardeihin, kuten ISO 27001: een.

kuten olemme nähneet, Yhdysvaltain puolustusministeriö on erittäin kiinnostunut prosessin kypsyydestä, joten ei ole yllätys, että he ovat julkaisseet oman lähestymistapansa kyberturvallisuuden kypsyyteen CMMC: n puitteissa. Cmmc: llä on myös viisi sertifiointitasoa, jotka mittaavat kyberprosessien kypsyyttä, ja jokainen taso kehittyy edelliselle tasolle erityisine teknisine vaatimuksineen. Prosessit on jaettu 17 erilliseen tietoturva-alueeseen, jotka ovat hyvin lähellä NIST cybersecurity Frameworkia (CSF), joten CMMC: tä voidaan käyttää yhdessä CSF: n kanssa optimoidun ja jatkuvasti parantavan turvallisuusohjelman suunnitteluun, toimittamiseen ja toteuttamiseen. Cmmc-tasoja vastaavat CMMI-tasot kulkevat alkuperäisestä optimoituun, mutta kunkin tason määritelmät ovat kyberturvallisuudelle ominaisia seuraavasti:

  1. Taso 1: Suorita kyberhygienian peruskäytäntöjä, kuten virustorjuntaohjelmiston käyttö ja sen varmistaminen, että työntekijät vaihtavat salasanoja säännöllisesti (esimerkkeinä).
  2. Level 2: Document certain ”intermediate cyber hygiene” practices to start protecting Controlled Unclassified Information (CUI) through the implementing of US. Department of Commerce National Institute of Standards and Technology ’ s Special Publication 800-171 Revision 1 (NIST 800-171 r1) security requirements.
  3. Taso 3: Institutionalisoitu hallintasuunnitelma hyvien kyberhygieniakäytäntöjen toteuttamiseksi CUI: n turvaamiseksi, mukaan lukien kaikki NIST 800-171 r1-turvallisuusvaatimukset ja lisävaatimukset.
  4. Taso 4: toteutetut prosessit käytäntöjen tehokkuuden arvioimiseksi ja mittaamiseksi sekä vakiintuneet muut tehostetut käytännöt, joilla havaitaan ja reagoidaan kehittyneiden pysyvien uhkien (Apts) muuttuviin taktiikoihin, tekniikoihin ja menettelyihin.
  5. Taso 5: Standardoidut ja optimoidut prosessit ja muut parannetut käytännöt, jotka tarjoavat kehittyneitä valmiuksia APTs: n havaitsemiseen ja vastaamiseen.

kuten näiltä tasoilta näkee, jatkumo noudattaa samaa mallia kuin CMMI, mutta on räätälöity nimenomaan kyberturvallisuuteen. Arvioijat voivat nyt käyttää CMMC: tä USA: n arvioimiseen ja vahvistamiseen. Puolustusministeriön toimitusketju, joka on tehokas järjestelmä luoda, koska se tekee este pääsyn pienten organisaatioiden suhteellisen helppo saavuttaa, koska muutos ja parantaminen pienemmissä organisaatioissa on usein helpompi toteuttaa kuin suurempia organisaatioita monimutkaisempia rakenteita ja liiketoiminnan vaatimukset.

Next steps-looking at CMMC domains

In this post, we ’ve looking at the history behind the cmmc framework and why it’ s important in cybersecurity that we adopt a model like this take we alati improve our security position. Tulevissa viesteissä tarkastelemme valikoimaa verkkotunnuksia ja seuraamme kypsyyden etenemistä alimmasta korkeimmalle tasolle, tarjoten kontekstin ja esimerkkejä siitä, miten voit täyttää valmiudet ja käytännöt.

Vastaa

Sähköpostiosoitettasi ei julkaista.