Zrozumienie modeli dojrzałości cyberbezpieczeństwa-Huntsman

Marzec 3, 2020

Cybersecurity Maturity Model Certification (CMMC) jest amerykańską inicjatywą prowadzoną przez Biuro asystenta sekretarza obrony ds. przejęcia w Departamencie Obrony (dod). Nakłada ona na wykonawców i podwykonawców DOD wymagania, aby pomóc w zabezpieczeniu informacji w łańcuchu dostaw Obrony USA. Ten post jest drugim z serii, w którym analizujemy CMMC i przyglądamy się, w jaki sposób można osiągnąć zgodność lub wykorzystać ją jako podstawę własnego programu bezpieczeństwa informacji. Możesz przeczytać pierwszy post, który daje przegląd CMMC, tutaj.

zacznijmy od tego, dlaczego istnieją modele dojrzałości cyberbezpieczeństwa i w jaki sposób pomagają organizacjom ukierunkować procesy biznesowe (takie jak zarządzanie bezpieczeństwem informacji) na rotację monitorowania, oceny i ciągłego doskonalenia. To historyczne spojrzenie na pochodzenie modeli dojrzałości jest ważne dla zespołów ds. bezpieczeństwa cybernetycznego jako podstawa każdego poziomu dojrzałości, podstawowe uzasadnienie stosowane do cyberbezpieczeństwa i 17 konkretnych domen CMMC pomaga podejmować lepsze decyzje dotyczące bezpieczeństwa i oceniać, co należy zrobić, aby przejść między poziomami.

Uzyskaj natychmiastowy wgląd w skuteczność kontroli bezpieczeństwa-obejrzyj Krótki film

Esential 837 Krótki film przeglądowy

czym są modele dojrzałości?

modele dojrzałości są używane w inżynierii oprogramowania już od 1986 roku. Pierwotnie, Capability Maturity Model (CMM) został opracowany w celu oceny dojrzałości procesowej wykonawców Departamentu Obrony USA, jako miernik prawdopodobieństwa dostarczenia udanego projektu oprogramowania; im wyższy wynik dojrzałości, tym lepsze ich procesy i większe prawdopodobieństwo wykorzystania ustalonych procesów do projektowania, rozwoju, zapewnienia jakości (testowania) i budowania oprogramowania.

termin dojrzałość odnosi się do konkretnych aspektów oceny, w których poziom ustanowienia i optymalizacji każdego procesu może wahać się od doraźnego do formalnie zdefiniowanego i zoptymalizowanego. Ponieważ to wczesne podejście CMM miało na celu usprawnienie procesów tworzenia oprogramowania, jego zastosowanie było nieco ograniczone, więc w 2006 r.Instytut Inżynierii Oprogramowania (sei) na Uniwersytecie Carnegie Mellon przerobił go, aby stworzyć CMMI (Capability Maturity Model Integration), który obecnie zastępuje oryginalny framework CMM.

od tego czasu modele dojrzałości zdolności pojawiły się w różnych dyscyplinach, takich jak Infrastruktura ICT, zarządzanie usługami, zarządzanie procesami biznesowymi, produkcja, inżynieria lądowa i cyberbezpieczeństwo.

CMMI

Framework Capability Maturity Model Integration (CMMI) to meta-framework do pomiaru i doskonalenia procesów, który pomaga organizacjom mierzyć efektywność ich procesów i określać, jak je ulepszać w czasie.

Departament Obrony finansował i wspomagał rozwój CMMI, który był prekursorem narzędzia CMMC, o którym mówimy w tej serii blogów. CMMI jest administrowane przez CMMI Institute, zakupione w 2016 roku przez ISACA.

CMMI jest obecnie używany na całym świecie, zarówno w inżynierii oprogramowania, jak i w zarządzaniu usługami ICT. Organizacje, które dostarczają produkty lub usługi rządowe, są często proszone o spełnienie poziomu 3 CMMI w swoich podstawowych procesach dostarczania, poziomu dojrzałości, który wymaga użycia formalnych metod projektowania, rozwoju, testowania i dostarczania. CMMI ma pięć poziomów dojrzałości, a poziom 5 jest idealnym stanem docelowym, w którym procesy są w pełni zoptymalizowane w całej firmie i zarządzane w ramach ciągłego doskonalenia procesów.

poziomy dojrzałości

CMMI ma pięć poziomów dojrzałości, które są zgodne z oryginalnymi wytycznymi CMM. Poziomy te są następujące:

  1. Initial: procesy są nieco doraźne i nieokreślone poza zlokalizowaną dokumentacją.
  2. : Procesy są zarządzane zgodnie z uzgodnionymi wskaźnikami, ale nie skupia się na ocenie skuteczności lub zbieraniu informacji zwrotnych, a podczas śledzenia procesów nie ma pojęcia o ich sukcesie. Procesy nie są spójne w całej firmie.
  3. zdefiniowane: procesy są dobrze zdefiniowane i uznane za standardowe procesy biznesowe i są podzielone na bardziej szczegółowe procedury, instrukcje robocze i rejestry (artefakty) używane do rejestrowania wyników procesu.
  4. : Wskaźniki są zbierane z każdego procesu i przekazywane z powrotem do Komitetu ds. zarządzania procesami, który analizuje i raportuje skuteczność procesu.
  5. Optymalizacja: zarządzanie procesami obejmuje skupienie się na zdyscyplinowanej optymalizacji i ciągłym doskonaleniu procesów, a pełny zespół analityków biznesowych mierzy i ocenia każdy aspekt działalności pod kątem możliwych problemów i możliwości poprawy.

ponieważ cyberbezpieczeństwo tak mocno koncentruje się na procesach biznesowych, ma sens, że pojawiła się dostosowana do potrzeb struktura CMMI dla dojrzałości bezpieczeństwa.

modele dojrzałości cyberbezpieczeństwa

CMMI jest elastyczny i ma zastosowanie do wszystkich procesów biznesowych, dlatego dostosowanie ram zarządzania bezpieczeństwem informacji było oczywistym krokiem. Jednym z przykładów zaadaptowanego rozwiązania CMMI dla cyberbezpieczeństwa jest platforma CYBERMATURITY CMMI Institute, narzędzie zaprojektowane do pomiaru ogólnej dojrzałości zabezpieczeń w stosunku do pierwotnego modelu. Innym modelem dostosowanym specjalnie do bezpieczeństwa operacyjnego jest SOC-CMM, który dodaje jedną dodatkową warstwę dojrzałości poniżej pierwotnej warstwy „początkowej” określonej przez CMMI. W tym miejscu procesy SOC nigdy nie zostały ustanowione, w konsekwencji ocenione jako ” nieistniejące.”Dalsze udoskonalanie SOC-CMM sprawia, że jest to model ciągłej dojrzałości, ponieważ większość procesów bezpieczeństwa powinna być stale oceniana i ulepszana w stosunku do innych standardów, takich jak ISO 27001.

jak widzieliśmy, Departament Obrony Stanów Zjednoczonych zainteresował się dojrzałością procesów, więc nic dziwnego, że opublikował własne podejście do dojrzałości cyberbezpieczeństwa w ramach CMMC. CMMC posiada również pięć poziomów certyfikacji, które mierzą dojrzałość procesów cybernetycznych, przy czym każdy poziom rozwija się na poprzednim z określonymi wymaganiami technicznymi. Procesy są podzielone na 17 oddzielnych dziedzin bezpieczeństwa, ściśle dostosowanych do NIST Cybersecurity framework (CSF), dzięki czemu CMMC może być wykorzystywane we współpracy z CSF do projektowania, dostarczania i prowadzenia zoptymalizowanego i stale ulepszanego programu bezpieczeństwa. Poziomy CMMC, podobne do poziomów CMMI, przebiegają od początkowego do zoptymalizowanego, ale definicje każdego poziomu są specyficzne dla cyberbezpieczeństwa, w następujący sposób:

  1. Poziom 1: wykonuj podstawowe praktyki cyberbezpieczeństwa, takie jak używanie oprogramowania antywirusowego i regularne zmienianie haseł przez pracowników (jako przykłady).
  2. Poziom 2: udokumentuj pewne praktyki „pośredniej higieny cybernetycznej”, aby rozpocząć ochronę kontrolowanych informacji niesklasyfikowanych (CUI) poprzez wdrożenie specjalnej publikacji Departamentu Handlu amerykańskiego Narodowego Instytutu standardów i technologii 800-171 Wersja 1 (NIST 800-171 r1).
  3. Poziom 3: Zinstytucjonalizowany plan zarządzania mający na celu wdrożenie dobrych praktyk cyberbezpieczeństwa w celu ochrony CUI, w tym wszystkich wymogów bezpieczeństwa NIST 800-171 r1 i dodatkowych standardów.
  4. Poziom 4: wdrożone procesy przeglądu i pomiaru skuteczności praktyk, a także ustanowione dodatkowe ulepszone praktyki, które wykrywają i reagują na zmieniające się taktyki, techniki i procedury zaawansowanych trwałych zagrożeń (Apt).
  5. Poziom 5: Standaryzowane i zoptymalizowane procesy oraz dodatkowe udoskonalone praktyki, które zapewniają zaawansowane możliwości wykrywania i reagowania na Apt.

jak widać z tych poziomów, continuum podąża za tym samym modelem co CMMI, ale jest specjalnie dostosowane do cyberbezpieczeństwa. Asesorzy mogą teraz używać CMMC do oceny i akredytacji Stanów Zjednoczonych. Łańcuch dostaw Departamentu Obrony, który jest potężnym reżimem do ustanowienia, ponieważ sprawia, że bariera wejścia dla mniejszych organizacji jest stosunkowo łatwa do osiągnięcia, ponieważ zmiany i ulepszenia w mniejszych organizacjach są często łatwiejsze do wdrożenia niż większe organizacje o bardziej złożonych strukturach i wymaganiach biznesowych.

kolejne kroki-patrząc na domeny CMMC

w tym poście przyjrzeliśmy się historii struktury CMMC i dlaczego w cyberbezpieczeństwie ważne jest przyjęcie takiego modelu, aby zapewnić ciągłą poprawę naszej postawy bezpieczeństwa. W przyszłych postach przyjrzymy się wybranej domenie i będziemy śledzić postęp dojrzałości od najniższego do najwyższego poziomu, dostarczając kontekstu i przykładów, w jaki sposób możesz spełnić te możliwości i praktyki.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.