사이버 보안 성숙도 모델 이해-헌츠맨

3 월 3, 2020

사이버 보안 성숙도 모델 인증은 국방부(국방부)내에서 획득을 위해 국방 차관보 사무실의 미국 이니셔티브 리드입니다. 그것은 미국 국방 공급망 내에서 정보를 보호하기 위해 국방부 계약자 및 하청 업체에 대한 요구 사항을 부과한다. 이 게시물은 두 번째 시리즈입니다.이 게시물에서는 컴플라이언스를 분석하고 컴플라이언스를 어떻게 달성하거나 자신의 정보 보안 프로그램의 기초로 사용할 수 있는지 살펴 봅니다. 당신은 여기에,씨엠씨의 개요를 제공하는 첫 번째 게시물을 읽을 수 있습니다.

사이버 보안 성숙도 모델이 존재하는 이유와 조직이 모니터링,평가 및 지속적인 개선의 회전에 대비하여 비즈니스 프로세스(예:정보 보안 관리)를 조정하는 데 어떻게 도움이되는지 살펴 보겠습니다. 성숙도 모델이 어디에서 시작되었는지에 대한 이러한 역사적 견해는 각 성숙도의 기초로서 사이버 보안 팀에게 중요합니다.

보안 제어 효과를 즉시 확인–짧은 비디오 보기

필수 8 감사원 짧은 개요 비디오

만기 모델이란 무엇입니까?

성숙도 모델은 1986 년 초부터 소프트웨어 엔지니어링에 사용되었습니다. 성숙도 점수가 높을수록 프로세스가 향상되고 소프트웨어의 설계,개발,품질 보증(테스트)및 구축을 위해 확립된 프로세스를 사용할 가능성이 높아집니다.

성숙도라는 용어는 평가의 특정 측면과 관련이 있으며,여기서 각 프로세스의 수립 및 최적화 수준은 임시에서 공식적으로 정의되고 최적화되는 수준까지 다양합니다. 따라서 2006 년 카네기 멜론 대학의 소프트웨어 엔지니어링 연구소는 이를 재작업하여 기능 성숙도 모델 통합을 만들었습니다.

그 이후로 정보 통신 인프라,서비스 관리,비즈니스 프로세스 관리,제조,토목 공학 및 사이버 보안과 같은 모든 분야에서 역량 성숙 모델이 등장했습니다.기능 성숙도 모델 통합 프레임워크는 프로세스 측정 및 개선 메타 프레임워크로,조직이 프로세스의 효율성을 측정하고 시간이 지남에 따라 프로세스를 개선하는 방법을 파악하는 데 도움이 된다.

미국 이 웹 사이트는 귀하가 웹 사이트를 탐색하는 동안 귀하의 경험을 향상시키기 위해 쿠키를 사용합니다.이 쿠키들 중에서 필요에 따라 분류 된 쿠키는 웹 사이트의 기본적인 기능을 수행하는 데 필수적이므로 브라우저에 저장됩니다.또한이 웹 사이트의 사용 방식을 분석하고 이해하는 데 도움이되는 제 3 자 쿠키를 사용합니다. 이 연구소는 2016 년에 이사카에 의해 구입되었습니다.

현재 소프트웨어 엔지니어링 및 정보 통신 서비스 관리 분야에서 전 세계적으로 사용되고 있습니다. 이는 설계,개발,테스트 및 전달의 공식적인 방법을 사용해야 하는 성숙도 수준입니다. 레벨 5 는 비즈니스 전반에 걸쳐 프로세스를 완벽하게 최적화하고 지속적인 프로세스 개선 체제 하에서 관리되는 이상적인 목표 상태입니다.

성숙도 수준

이러한 수준은 다음과 같습니다:

  1. 초기:프로세스는 현지화 된 문서를 제외하고는 다소 특별하고 정의되지 않습니다.
  2. 관리: 프로세스는 합의 된 메트릭에 따라 관리되지만 효능을 평가하거나 피드백을 수집하는 데 중점을 두지 않으며 프로세스를 따르는 동안 성공에 대한 개념이 없습니다. 프로세스는 비즈니스 전반에 걸쳐 일관성이 없습니다.
  3. 정의:프로세스는 표준 비즈니스 프로세스로 잘 정의되고 인정되며 프로세스 출력을 기록하는 데 사용되는 더 자세한 절차,작업 지침 및 레지스터(인공물)로 분류됩니다.
  4. 양적 관리: 메트릭은 각 프로세스에서 수집되어 프로세스 효율성을 분석하고 보고하는 프로세스 거버넌스 위원회에 회부됩니다.
  5. 최적화:프로세스 관리에는 체계적인 최적화와 지속적인 프로세스 개선에 중점을 두는 것이 포함되며,전체 비즈니스 분석가 팀은 가능한 문제와 개선 기회를 위해 비즈니스의 모든 측면을 측정하고 평가합니다.

사이버 보안은 비즈니스 프로세스에 매우 집중되어 있기 때문에 보안 성숙을 위한 맞춤형 보안 시스템 프레임워크가 도입된 것이 합리적이다.

사이버 보안 성숙 모델

정보 보안 관리를위한 프레임 워크를 조정하는 것은 명백한 단계였다. 이 플랫폼은 원래 모델에 비해 전반적인 보안 성숙도를 측정하도록 설계된 도구입니다. 운영 보안에 특별히 맞춘 또 다른 모델은 다음과 같습니다. 이것은 사회 프로세스가 확립 된 적이 없으며 결과적으로”존재하지 않는 것으로 평가되는 곳입니다. 따라서 대부분의 보안 프로세스는 다른 표준에 비해 지속적으로 평가되고 개선되어야 합니다.

우리가 보았 듯이,미 국방부는 프로세스 성숙도에 관심을 가지고 있으므로 사이버 보안 성숙도에 대한 자체 접근 방식을 발표 한 것은 놀라운 일이 아닙니다. 또한 사이버 프로세스 성숙도를 측정하는 5 가지 수준의 인증을 보유하고 있으며,각 계층은 특정 기술 요구 사항과 함께 이전 계층에서 개발되고 있습니다. 따라서,보안 프로그램은 최적화되고 지속적으로 개선되는 보안 프로그램을 설계,제공 및 실행하는 데 사용될 수 있습니다. 그러나 각 레벨의 정의는 다음과 같이 사이버 보안과 관련이 있습니다:

  1. 수준 1:바이러스 백신 소프트웨어 사용 및 직원이 정기적으로 암호를 변경하도록하는 것과 같은 기본적인 사이버 위생 관행을 수행합니다(예).
  2. 레벨 2:문서 특정”중간 사이버”위생 관행을 보호하기 시작 통제 분류되지 않음 정보(CUI)의 구현을 통해 미국 상무부의 국립표준기술연구소의 특별한 게시 800-171Revision1(NIST800-171r1)보안 요구사항.
  3. 레벨 3: 모든 보안 요구 사항 및 추가 표준을 포함하여 우수한 사이버 위생 관행을 구현하기위한 제도화 된 관리 계획.
  4. 수준 4:관행의 효과를 검토하고 측정하기위한 프로세스를 구현하고 고급 영구 위협의 변화하는 전술,기술 및 절차를 탐지하고 대응하는 추가 향상된 사례를 확립했습니다.
  5. 레벨 5: 표준화되고 최적화된 프로세스와 향상된 추가 사례로,이를 통해 고급 기능을 통해 인적자원을 탐지하고 대응할 수 있습니다.

이러한 수준에서 볼 수 있듯이 연속체는 다음과 같은 모델을 따르지만 특히 사이버 보안에 맞게 조정됩니다. 평가자는 이제 미국을 평가하고 신임하는 데 사용할 수 있습니다. 그것은 작은 조직의 변화와 개선은 종종 더 복잡한 구조와 비즈니스 요구 사항을 더 큰 조직보다 구현하기 쉽기 때문에,달성하기가 상대적으로 쉬운 작은 조직에 대한 항목에 장벽을 만들면서 설정하는 강력한 정권 국방부의 공급 체인.

다음 단계–이 게시물에서 우리는 우리가 지속적으로 우리의 보안 상태를 개선하기 위해 이와 같은 모델을 채택하는 것이 사이버 보안에 중요한 이유를 살펴 보았다. 향후 게시물에서 우리는 도메인의 선택을보고 최고 수준에 가장 낮은에서 성숙의 진행을 따를 것이다,컨텍스트와 기능과 관행을 수행 할 수있는 방법의 예를 제공.

답글 남기기

이메일 주소는 공개되지 않습니다.