Сравнительный анализ моделей оценки зрелости информационной безопасности
Михаил Коломыцев
Светлана Носок
Роман Тоцкий
Аннотация
информационный безопасность угроза
Информационная безопасность может быть определена как: защита информационных активов посредством обработки рисков, направленных на нарушение конфиденциальности, целостности и доступности информации, которая обрабатывается, хранится и передается между взаимосвязанными информационными системами; и процесс, который включает предотвращение, обнаружение и реакцию на угрозы информационной безопасности. В мировой практике для определения стадии организационного и технологического развития организации и её процессов применяется понятие модели зрелости. Для измерения состояния процесса используется набор метрик, которые представляют собой определенные характеристики. Оценивание этих метрик по установленной шкале показывает состояние процессов, которое и будет характеризовать уровень их зрелости. В мировой практике, в отличие от украинской, применение модели зрелости для управления процессами информационной безопасности широко распространено. Примером этого может служить серия стандартов ISO27000, которая регулирует вопросы управления информационной безопасностью, реализуемых на основе Системы Управления Информационной Безопасностью. Очевидно, что перед организацией, осуществляющей деятельность по управлению информационной безопасности, рано или поздно встает вопрос о том, как выполнять эти требования, в каком объеме и на каком уровне детализации и т.п. Ответить на эти и другие вопросы может помочь модель зрелости, на основе которой будет проводится оценка уровня зрелости процессов информационной безопасности. Для определения основных моделей зрелости информационной безопасности был проведен анализ открытых источников и лучших практик, связанных с моделями зрелости информационной безопасности. На основании результатов анализа источников были определены наиболее применимые модели зрелости информационной безопасности, а именно: SSE-CMM, C2M2, NICE и О- ISM3.
Ключевые слова: информационная безопасность; модель зрелости; ПО 27001; СУИБ; сравнительный анализ; метрики.
Comparative analysis ofmaturity models to evaluate information security
Annotation
Information security can be defined as: the protection of information assets by processing risks of violating the confidentiality, integrity and availability of information that is processed, stored and transmitted between interconnected information systems; and a process that includes preventing, detecting and responding to information security threats. In world practice, the concept of maturity model is used to determine the stage of organizational and technological development of an organization and its processes. To measure the state of the process, a set of metrics is used that represent certain characteristics. Evaluation of these metrics according to the established scale shows the state of the processes, which will characterize the level of their maturity. In world practice, in contrast to Ukrainian practice, the application of the maturity model for managing information security processes is widespread. An example of this is the ISO27000 series of standards that governs information security management issues implemented on the basis of the Information Security Management System. Obviously, before an organization engaged in information security management, sooner or later the question arises of how to fulfill these requirements, to what extent and at what level of detail, etc. Maturity model can help to answer these and other questions, on the basis of which the level of maturity of information security processes will be evaluated. To identify the main models of information security maturity, an analysis of open sources and best practices related to information security maturity models was carried out. Based on the results of the analysis of the sources, the most applicable models of information security maturity were determined, namely: SSE-CMM, C2M2, NICE and O- ISM3.
Keywords: information security; maturity model; ISO 27001; ISMS; comparative analysis; metrics.
Порівняльний аналіз моделей оцінки зрілості інформаційної безпеки
Інформаційна безпека може бути визначена як: захист інформаційних активів за допомогою обробки ризиків, спрямованих на порушення конфіденційності, цілісності та доступності інформації, яка обробляється, зберігається і передається між взаємопов'язаними інформаційними системами; процес, який включає запобі-гання, виявлення і реакцію на загрози інформаційній безпеці. Мета даної статті - описати і порівняти найбільш використовувані моделі зрілості інформаційної безпеки для аналізу їх відповідності цілям використання спільно з стандартом ISO 27001. У статті пока¬зано, що моделі зрілості інформаційної безпеки мають схожі елементи, домени і рівні зрілості. Вони також грунтуються на оцінці ризиків, хоча і на різних рівнях глибини. Було відзначено, що кожна модель в силу своєї специфіки має різні сфери застосування. У світовій практиці для визначення стадії організаційного і технологічного розвитку організації і її процесів застосовується поняття моделі зрілості. Для вимірювання стану процесу використовується набір метрик, які представляють собою певні характеристики. Оцінювання цих метрик за встановленою шкалою показує стан процесів, яке і буде характеризувати рівень їх зрілості. У світовій практиці, на відміну від української, застосування моделі зрілості для управління процесами інформаційної безпеки широко поширене. Прикладом цього може служити серія стандартів ISO27000, яка регулює питання управління інформаційною безпекою, що реалізуються на основі Системи Управління Інформаційною Безпекою. Очевидно, що перед орга¬нізацією, що здійснює діяльність з управління інформаційною безпекою, рано чи пізно постає питання про те, як виконувати ці вимоги, в якому обсязі і на якому рівні деталізації і т.п. Відповісти на ці та інші питання може допомогти модель зрілості, на основі якої буде проводиться оцінка рівня зрілості процесів інформаційної безпеки. Для визначення основних моделей зрілості інформаційної безпеки було проведено аналіз відкритих джерел і кращих практик, пов'язаних з моделями зрілості інформаційної безпеки. На підставі результатів аналізу джерел були визначені найбільш прийнятні моделі зрілості інформаційної безпеки, а саме: SSE-CMM, C2M2, NICE і O-ISM3.
Ключові слова: інформаційна безпека; модель зріло¬сті; ISO 27001; СУІБ; порівняльний аналіз; метрики.
1. Актуальность и постановка задачи
Цель данной статьи -- описать и сравнить наиболее используемые модели зрелости информационной безопасности для анализа их соответствия целям использования совместно с стандартом ISO 27001. В статье показано, что модели зрелости информационной безопасности имеют схожие элементы, домены и уровни зрелости. Они также основываются на оценке рисков, хотя и на разных уровнях глубины. Было отмечено, что каждая модель в силу своей специфики имеет различные области применения.
Зрелость информационной безопасности организации определяется набором показателей, характеризующих способность организации соответствовать текущим и будущим вызовам нарушений информационной безопасности. Уровень зрелости показывает, насколько процесс обеспечения информационной безопасности управляем и прогнозируем.
Особенностью данного процесса является то, что он включает в себя технологии, людей, и процедуры (процессы), обеспечивающих комплексный подход к обеспечению информационной безопасности, что достигается путем внедрения ведущих практик.
Чтобы организации могли улучшить свои методы обеспечения информационной безопасности, отраслевые и технические сообщества были разработаны модели зрелости информационной безопасности, которые позволяют измерять текущее состояние защищенности организаций и позиционировать их на разных уровнях зрелости. Существуют различные модели зрелости, во многих случаях разработанные государственными структурами с целью стать национальными/меж- дународными стандартами, в дальнейшем дорабатывались коммерческими отраслевыми организациями для соответствия их конкретным потребностям.
Поэтому важно ответить на следующие вопросы:
-- Каковы основные модели зрелости, используются для измерения состояния информационной безопасности?
-- Каковы различия между основными моделями зрелости и есть ли возможность применять их для оценки зрелости Системы Управления Информационной Безопасностью (СУИБ), построенной по стандарту ISO 27001?
Ответ на эти вопросы является предметом данной статьи. Данное исследование проводится с целью выявления основных отличий, преимуществ и недостатков моделей зрелости, наиболее часто используемых для оценки информационной безопасности, и дальнейшей разработки модели зрелости, которая может использоваться организацией для формирования стратегии развития собственной функции информационной безопасности.
В разделе 2 представлена концепция модели зрелости информационной безопасности; в разделе 3 - методология сравнительного исследования и особенности сравнения моделей зрелости информационной безопасности; раздел 4 показывает описание и структуру моделей зрелости информационной безопасности; раздел 5 показывает результаты, полученные из сравнения; и в разделе 6 приведены выводы, полученные из сравнительного анализа моделей зрелости информационной безопасности.
Модели зрелости информационной безопасности
Модель зрелости основана на процессной модели улучшения. Первая такая модель была разработана Институтом разработки программного обеспечения (SEI) в середине 1980-х годов. Процессная модель - это структурированная совокупность практик, которые описывают характеристики эффективных процессов. Эта концепция также применяется к моделям зрелости с учетом процессов, связанных с информационной безопасностью [1].
Таким образом, модель зрелости информационной безопасности обеспечивает эталон, с помощью которого организация может оценить текущий уровень зрелости своих процессов и практик, установить цели и приоритеты для улучшения уровня информационной безопасности. Модели зрелости информационной безопасности обычно структурированы по следующим элементам:
-- Домены: домены группируют в себе общие концепции организационных процессов, и каждый домен не обязательно независим от других.
-- Уровни зрелости: это результат оценки выполнения факторов и показателей в доменах или измерениях организации. Уровни зрелости варьируются от начального уровня, на котором организация, возможно, только начала рассматривать информационную безопасность, до оптимизируемого, где организация способна быстро адаптироваться к изменениям в ландшафте угроз, уязвимостей, рисков информационной безопасности или изменениям внутри организации.
Для определения основных моделей зрелости информационной безопасности был проведен анализ открытых источников и лучших практик, связанных с моделями зрелости информационной безопасности [2, 3].
На основании результатов анализа источников были определены наиболее применимые модели зрелости информационной безопасности, а именно: SSE-CMM (The Systems Security Engineering Capability Maturity Model) [4], C2M2 (Cybersecurity Capability Maturity Model)[5], NICE (The National Initiative for Cybersecurity Education)[6] и O-ISM3 (Open In formation Security Management Maturity Model)[7].
Были найдены другие модели зрелости, но они не были рассмотрены в этом исследовании, потому что не подходили по критерию применимости для оценки зрелости информационной безопасности. Некоторые из моделей, которые не были рассмотрены: COBIT (Control Objectives for Information and Related Technologies) и BSIMM (The Building Security In Maturity Model). COBIT - это модель, которая не решает проблему информационной безопасности, а фокусируется на управлении ИТ. BSIMM- это модель, помогающая понять и спланировать инициативы по безопасности разрабатываемого ПО, что является лишь одной из задач информационной безопасности.
Методология, используемая для проведения сравнительного анализа
По результатам предыдущего анализа были определены наиболее подходящие модели оценки зрелости, а именно: SSE-CMM, C2M2, NICE, O- ISM3.
Для проведения сравнительного анализа моделей зрелости были определены следующие критерии:
-- Ориентированность на информационную безопасность: может ли модель быть применена для оценки зрелости информационной безопасности. Этот критерий является фундаментальным для рассмотрения того, какие модели были разработаны для оценки зрелости информационной безопасности, а какие нет.
-- Применимость к СУИБ: может ли модель быть применена для оценки зрелости СУИБ. Этот критерий позволяет ответить на вопрос возможности применения для оценки зрелости СУИБ, построенной согласно стандарту ISO 27001.
-- Год последнего пересмотра: последний пересмотр модели. Этот критерий может предоста- вить информацию об актуальности модели и способности соответствовать постоянным изменениям в информационной безопасности.
-- Полнота применения: модель зрелости ориентирована на всю организацию или нет. Этот критерий предоставляет информацию о том, была ли модель зрелости создана для оценки информационной безопасности в целом для всех организаций, или фокусируется на определенных областях.
-- Глубина: зависит от сложности используемой проверки. Этот критерий позволяет определить различие между моделями, которые имеют большую детализацию в соответствующих уровнях зрелости, и моделями, которые являются простыми в этом аспекте.
-- Уровень документации для реализации: насколько имеющаяся документация помогает в реализации модели. Таким образом, можно определить, на каком уровне детализации имеется информация для реализации модели.
Каждый критерий был оценен следующим образом:
-- Ориентированность на информационную безопасность. Эта функция оценивается как «ДА», если это модель, ориентированная на информационную безопасность, и как «НЕТ» в противном случае.
-- Применимость к СУИБ. Эта функция оценивается как «ДА», если это модель, применима к СУИБ, и как «НЕТ» в противном случае.
-- Год последнего пересмотра. В этой функции оценивается последний год обзора, чем новее, тем лучше.
-- Полнота применения. Если модель ориентирована на всю организацию, критерий оценивается как «ДА». В случае, если он ориентирован на конкретную область организации, он оценивается как «НЕТ».
-- Глубина. Этот критерий оценивается как «ОБЩАЯ», если в пределах уровней зрелости существует только верхнеуровневая оценка. Он оценивается как «УГЛУБЛЕННАЯ», если модель имеет определенную углубленность уровней оценки зрелости.