Maturiteitsmodellen voor cyberbeveiliging begrijpen – Huntsman

Maart 3, 2020

de Cybersecurity Maturity Model Certification (Cmmc) is een Amerikaans initiatief dat wordt geleid door het kantoor van de Assistant Secretary of Defense voor acquisitie binnen het Ministerie van Defensie (DoD). Het legt eisen op aan DOD aannemers en onderaannemers om informatie te helpen beschermen binnen de Amerikaanse defensie supply chain. Dit bericht is de tweede in een serie waarin we het CMMC analyseren en kijken hoe je compliance kunt bereiken of gebruiken als basis voor je eigen informatiebeveiligingsprogramma. U kunt het eerste bericht dat een overzicht van CMMC geeft, hier lezen.

laten we beginnen met te kijken waarom er rijpheidsmodellen voor cyberbeveiliging bestaan en hoe deze organisaties helpen hun bedrijfsprocessen (zoals beheer van informatiebeveiliging) af te stemmen op een roulatie van monitoring, beoordeling en voortdurende verbetering. Deze historische kijk op waar volwassenheidsmodellen zijn ontstaan is belangrijk voor cyber security teams als basis van elk niveau van volwassenheid, de onderliggende redenering zoals toegepast op cybersecurity en cmmc ‘ s 17 specifieke domeinen helpt u betere beveiligingsbeslissingen te nemen en te meten wat er moet worden gedaan om vooruitgang tussen niveaus.

Krijg direct een beeld van uw effecten op het gebied van beveiligingscontroless – bekijk de korte video

Esential 8 Auditor kort overzicht video

Wat zijn maturity models?Sinds 1986 worden in de software-engineering Maturiteitsmodellen gebruikt. Oorspronkelijk werd het Capability Maturity Model (CMM) ontwikkeld om de procesrijpheid van aannemers van het Amerikaanse Ministerie van Defensie te beoordelen, als een graadmeter voor hoe waarschijnlijk ze een succesvol softwareproject zullen leveren; hoe hoger de maturiteitsscore, hoe beter hun processen en hoe groter de kans dat ze gevestigde processen gebruiken voor het ontwerp, de ontwikkeling, kwaliteitsborging (testen) en het bouwen van software.

de looptijd heeft betrekking op specifieke aspecten van de beoordeling, waarbij het niveau van vaststelling en optimalisering van elk proces kan variëren van ad hoc Tot formeel gedefinieerd en geoptimaliseerd. Aangezien deze vroege CMM-aanpak gericht was op het verbeteren van softwareontwikkelingsprocessen, was de toepasbaarheid enigszins beperkt, dus in 2006 herwerkte het Software Engineering Institute (sei) van de Carnegie Mellon University het om Capability Maturity Model Integration (CMMI) te creëren, dat nu het oorspronkelijke CMM-framework heeft vervangen.

sindsdien zijn er in allerlei disciplines capability maturity modellen verschenen, zoals ICT-infrastructuur, dienstenbeheer, bedrijfsprocesmanagement, productie, civiele techniek en cybersecurity.

CMMI

het Capability Maturity Model Integration (CMMI) framework is een meta-framework voor procesmeting en-verbetering dat organisaties helpt de effectiviteit van hun processen te meten en te bepalen hoe ze in de loop van de tijd kunnen worden verbeterd.

de VS Ministerie van Defensie financierde en assisteerde bij de ontwikkeling van CMMI, de voorloper van de cmmc tool die we in deze blogreeks bekijken. CMMI wordt beheerd door het CMMI Instituut, aangekocht in 2016 door ISACA.

CMMI wordt nu overal ter wereld gebruikt, zowel in software engineering als in ICT service management. Organisaties die overheidsproducten of-diensten leveren, worden vaak gevraagd om te voldoen aan CMMI-niveau 3 in hun kernprocessen, een niveau van volwassenheid dat het gebruik van formele methoden van ontwerp, ontwikkeling, testen en levering vereist. CMMI heeft vijf maturiteitsniveaus, waarbij niveau 5 de ideale doeltoestand is waar processen volledig worden geoptimaliseerd binnen het bedrijf en worden beheerd onder een continu procesverbeteringsregime.

Looptijdniveaus

CMMI heeft vijf looptijdniveaus, die de oorspronkelijke richtlijnen van CMM volgen. Deze niveaus zijn als volgt::

  1. Initial: processen zijn enigszins ad hoc en ongedefinieerd, afgezien van gelokaliseerde documentatie.
  2. beheerd: Processen worden beheerd in overeenstemming met overeengekomen metrics, maar er is geen focus op het beoordelen van de effectiviteit of het verzamelen van feedback en terwijl processen worden gevolgd is er geen notie van hun succes. Processen zijn niet consistent in het hele bedrijf.
  3. gedefinieerd: processen zijn goed gedefinieerd en erkend als standaard bedrijfsprocessen, en zijn onderverdeeld in meer gedetailleerde procedures, werkinstructies en registers (artefacten) die worden gebruikt om procesoutputs te registreren.
  4. kwantitatief beheerd: Uit elk proces worden meetgegevens verzameld en teruggestuurd naar een procesgovernancecommissie die de procesefficiëntie analyseert en rapporteert.Optimalisatie: procesmanagement omvat een focus op gedisciplineerde optimalisatie en continue procesverbetering, en een volledig team van business analisten meten en beoordelen elk aspect van het bedrijf op mogelijke problemen en verbeteringsmogelijkheden.Omdat cybersecurity zo ‘ n sterke focus heeft op bedrijfsprocessen, is het logisch dat er een op maat gemaakt CMMI-raamwerk voor security maturity kwam.

    Cybersecurity Maturity Models

    CMMI is flexibel en is van toepassing op alle bedrijfsprocessen, dus het aanpassen van het kader voor informatiebeveiliging beheer was een voor de hand liggende stap. Een voorbeeld van een aangepaste CMMI-oplossing voor cybersecurity is het Cybermaturity-Platform van het CMMI Institute, een tool die is ontworpen om uw algehele beveiligingsvolwassenheid te meten aan de hand van het originele model. Een ander model dat specifiek is afgestemd op operationele veiligheid, is de SOC-CMM, die een extra rijpheidslaag toevoegt onder de oorspronkelijke “initiële” laag die door CMMI is gespecificeerd. Dit is waar SOC processen nooit zijn vastgesteld, dus beoordeeld als ” Non-existent.”De verdere verfijning van SOC-CMM maakt het tot een continu rijpheidsmodel, omdat de meeste beveiligingsprocessen toch voortdurend moeten worden beoordeeld en verbeterd ten opzichte van andere normen, zoals ISO 27001.

    zoals we hebben gezien, heeft het Amerikaanse Ministerie van Defensie een grote interesse in proces maturiteit, dus het is geen verrassing dat ze hun eigen benadering van cybersecurity maturiteit hebben vrijgegeven in het Cmmc Framework. CMMC heeft ook vijf certificatieniveaus die cyber process maturity meten, waarbij elke laag zich ontwikkelt op de vorige met specifieke technische vereisten. Processen zijn opgesplitst in 17 afzonderlijke beveiligingsdomeinen, zeer nauw afgestemd op het NIST cybersecurity framework (CSF), waardoor CMMC in samenwerking met het CSF kan worden gebruikt om een geoptimaliseerd en voortdurend verbeterend beveiligingsprogramma te ontwerpen, te leveren en uit te voeren. De cmmc-niveaus, vergelijkbaar met de CMMI-niveaus, lopen van initiaal tot geoptimaliseerd, maar de definities van elk niveau zijn specifiek voor cybersecurity, als volgt::

    1. niveau 1: Voer elementaire cyberhygiënepraktijken uit, zoals het gebruik van antivirussoftware en zorg ervoor dat werknemers regelmatig wachtwoorden veranderen (als voorbeelden).
    2. niveau 2: documenteer bepaalde “intermediate cyber hygiene” – praktijken om te beginnen met het beschermen van gecontroleerde niet-geclassificeerde informatie (cui) door de implementatie van de speciale publicatie 800-171 Revision 1 (nist 800-171 r1) van het Amerikaanse Department of Commerce National Institute of Standards and Technology.
    3. niveau 3: Geïnstitutionaliseerd managementplan voor het implementeren van goede Cyber hygiëne praktijken om cui te beschermen, met inbegrip van alle NIST 800-171 R1 beveiligingseisen en aanvullende normen.
    4. niveau 4: geà Mplementeerde processen voor het beoordelen en meten van de effectiviteit van praktijken, alsmede vastgestelde aanvullende verbeterde praktijken die veranderende tactieken, technieken en procedures van Advanced Persistent Threats (Apts) detecteren en hierop reageren.
    5. Niveau 5: Gestandaardiseerde en geoptimaliseerde processen en aanvullende verbeterde praktijken die geavanceerde mogelijkheden bieden om Apt ‘ s te detecteren en hierop te reageren.

    zoals u op deze niveaus kunt zien, volgt het continuüm hetzelfde model als CMMI, maar is het specifiek afgestemd op cybersecurity. Assessors kunnen nu CMMC gebruiken om de VS te beoordelen en te accrediteren De supply chain van het ministerie van Defensie, die een krachtig regime is om vast te stellen, omdat het de toegangsbarrière voor kleinere organisaties relatief eenvoudig maakt, omdat verandering en verbetering in kleinere organisaties vaak gemakkelijker te implementeren is dan grotere organisaties met complexere structuren en zakelijke vereisten.

    volgende stappen-kijkend naar cmmc domeinen

    in dit bericht hebben we gekeken naar de geschiedenis achter het cmmc framework en waarom het belangrijk is in cybersecurity dat we een model als dit gebruiken om ervoor te zorgen dat we onze beveiligingshouding voortdurend verbeteren. In toekomstige posts zullen we kijken naar een selectie van domeinen en volgen de progressie van volwassenheid van het laagste naar het hoogste niveau, het verstrekken van context en voorbeelden van hoe u kunt voldoen aan de mogelijkheden en praktijken.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.