-- Уровень документирования для реализации. Уровень документирования считается «ВЫСОКИМ», если есть официальный документ, руководство по внедрению и сопутствующие документы. Уровень документирования считается «СРЕДНИМ», если у модели есть официальный документ и сопутствующие документы. Уровень документирования считается «НИЗКИМ», если он имеет только обзорные вступительные документы.
Сравнение выбранных моделей зрелости
В этом разделе описаны основные компоненты и структура моделей зрелости, которые ориентированы на информационную безопасность, и те, которые были адаптированы для оценки информационной безопасности.
Модель зрелости C2M2
Министерство энергетики США в сотрудничестве с Университетом Карнеги-Меллона опубликовало модель зрелости информационной безопасности. Последняя версия (1.1) модели была опубликована в феврале 2014 года.
Модель состоит из десяти доменов, и каждый домен представляет собой логическую группу практик кибербезопасности. Практики в каждой области организованы в цели, которые представляют достижения в области. Домены и практики перечислены в таблице 1.
Модель определяет четыре уровня зрелости, от уровня 0 до уровня 3, которые применяются независимо к каждой области модели. Описание каждого уровня приведено в таблице 2.
Модель C2M2 обеспечивает описательное, а не предписывающее руководство. Содержание модели представлено на высоком уровне абстракции, так что ее могут интерпретировать организации различных типов, структур и размеров.
Модель зрелости SSE-CMM
Первоначально разработку модели финансировало Агентство национальной безопасности США (АНБ). Первая версия модели была опубликована в октябре 1996 года, а последняя версия модели - в октябре 2008 года. Последний раз эта модель была пересмотрена в 2014, поэтому данная версия остается актуальной. SSE-CMM имеет два направления: «домен» и «возможности». Домен состоит из всех практик, которые в совокупности определяют проектирование информационной безопасности, и эти практики называются «базовыми практиками». Измерение возможностей представляет практики, которые указывают на управленческие возможности и институционализацию процесса, и эти практики называются «общими практиками». Общие практики представляют собой виды деятельности, которые следует выполнять как часть выполнения базовых практик. SSE-CMM содержит 129 базовых практик, организованных в 22 технологических областях. Из них 61 базовая практика, организованная в 11 областях процессов, охватывает все основные области проектирования информационной безопасности. Другие 68 базовых практик (организованных в других 11 областях процессов), связанных с Проектом и Организацией, показаны в таблице 3.
Таблица 1. Соответствие доменов и практик в модели MLS
|
Домены |
Практики |
|
|
Управление рисками |
Разработать стратегию управления рисками кибербезопасности |
|
|
Управление рисками кибербезопасности |
||
|
Управленческая деятельность |
||
|
Управление активами, изменениями и конфигурацией |
Управление Инвентаризацией Активов |
|
|
Управление конфигурацией активов |
||
|
Управление изменениями в активах |
||
|
Управленческая деятельность |
||
|
Управление идентификацией и доступом |
Установка и поддерживать идентификаторы |
|
|
Контроль доступа |
||
|
Управленческая деятельность |
||
|
Управление угрозами и уязвимостями |
Выявление и реагирование на угрозы |
|
|
Уменьшить уязвимости кибербезопасности |
||
|
Управленческая деятельность |
||
|
Мониторинг среды |
Ведение журнала |
|
|
Выполнить мониторинг |
||
|
Создать и поддерживать общую рабочую картину |
||
|
Управленческая деятельность |
||
|
Обмен информацией и связь |
Обмен информацией о кибербезопасности |
|
|
Управленческая деятельность |
||
|
Реагирование на события и инциденты, непрерывность операций |
Обнаружение событий кибербезопасности |
|
|
Эскалация событий кибербезопасности и объявление инцидентов |
||
|
Реагировать на инциденты и эскалации |
||
|
Событий кибербезопасности |
||
|
План для непрерывности |
||
|
Управленческая деятельность |
||
|
Управление цепочками поставок и внешними зависимостями |
Определить зависимости |
|
|
Управление рисками зависимости |
||
|
Управленческая деятельность |
||
|
Управление персоналом |
Ответственность за кибербезопасность |
|
|
Контролировать жизненный цикл рабочей силы |
||
|
Разработка рабочей силы по кибербезопасности |
||
|
Повышение осведомленности о кибербезопасности |
||
|
Управленческая деятельность |
||
|
Управление программой кибербезопасности |
Установить стратегию программы кибербезопасности |
|
|
Спонсорская программа кибербезопасности |
||
|
Создание и поддержка архитектуры кибербезопасности |
||
|
Выполнить безопасную разработку программного обеспечения |
||
|
Управленческая деятельность |
Таблица 2. Уровни зрелости в модели MLS
|
Уровень показателя зрелости (MIL) |
Описание уровня |
|
|
MIL 0 |
Модель не содержит практик для MIL0. Производительность в MIL0 просто означает, что MIL1 в данном домене не был достигнут. |
|
|
MIL 1 |
В каждом домене MIL1 содержит набор начальных практик. Чтобы достичь MIL1, эти начальные действия могут быть выполнены специальным образом, но они должны быть выполнены. |
|
|
MIL 2 |
Показатели деятельности организации более стабильны. На MIL2 организация может быть более уверена в том, что эффективность практики в области будет поддерживаться с течением времени. |
|
|
MIL 3 |
На MIL3 практика в домене еще более стабилизируется и руководствуясь организационными директивами высокого уровня, такими как политика. |
Таблица 3. Базовые практики в модели SSE-CMM
|
Проектирование информационной безопасности |
Проект и организация |
|
|
PA01 Управление средствами защиты |
PA12 Обеспечение качества |
|
|
PA02 Оценка воздействия |
PA13 Управление конфигурацией |
|
|
PA03 Оценка рисков безопасности |
PA14 Управление рисками проекта |
|
|
PA04 Оценка угроз |
PA15 Мониторинг и управление техническойдеятель- ностью |
|
|
PA05 Оценка уязвимостей |
PA16 Планированиетехническойдеятельности |
|
|
PA06 Формирование аргументов доверия |
PA17 Определение процесса системного проектирования организации |
|
|
PA07 Координация задач безопасности |
PA18 Улучшение процесса системного проектирования организации |
|
|
PA08 Мониторинг состояния безопасности |
PA19 Управление линейкой развития производственных систем |
|
|
PA09 Входные данные по безопасности |
PA20 Управление средой поддержки системного проектирования |
|
|
PA10 Обозначение потребностей в безопасности |
PA21 Обеспечениепрактических навыков и знаний |
|
|
PA11 Проверка и подтверждение безопасности |
PA22 Сотрудничество с поставщиками |
Базовые практики организованы в областях процессов, и каждая область процессов имеет ряд целей, которые представляют ожидаемое состояние процесса. Организация, которая выполняет базовые практики в области процессов, должна также достичь своих целей. Общие практики сгруппированы в логические области, называемые «Общими чертами», которые организованы в пять «уровней зрелости», которые представляют расширенные возможности организации. Общие функции предназначены для описания основных изменений в типичном способе организации рабочих процессов организации, и каждая общая функция имеет одну или несколько общих практик.
SSE-CMM имеет пять уровней зрелости, как показано в таблице ниже.
Таблица 4. Уровни зрелости SSE-CMM
|
Уровень зрелости |
Описание уровня |
|
|
Уровень 1, «Выполнено неформально» |
Базовые практики области процесса обычно выполняются. Выполнение этих базовых практик не может быть строго спланировано и отслежено. |
|
|
Уровень 2, «Запланировано и отслежено» |
Выполнение базовых практик в области процессов планируется и отслеживается. Работоспособность в соответствии с указанными процедурами проверяется. |
|
|
Уровень 3, «Хорошо определенные» |
Базовые практики выполняются в соответствии с хорошо определенным процессом с использованием утвержденных, адаптированных версий стандартных, документированных процессов. |
|
|
Уровень 4, «Количественно контролируемый |
Подробные показатели эффективности собираются и анализируются. Это приводит к количественному пониманию возможностей процесса и улучшенной способности прогнозировать производительность. |
|
|
Уровень 5, «Постоянно совершенствующийся» |
Количественные цели (целевые показатели) эффективности и результативности процесса устанавливаются на основе бизнес-целей организации. |
Описанная модель считается моделью, не ориентированной на информационную безопасность, но она была адаптирована организацией ISO для этой цели из-за отсутствия моделей, специфичных для информационной безопасности.
Модель зрелости NICE
Национальная образовательная инициатива по кибербезопасности (NICE) возникла из Инициативы по комплексной кибербезопасности (CNCI), которая была учреждена Президентом США Джорджем Бушем в Президентской директиве по национальной безопасности в январе 2008 года. Её целью было развивать персонал с технологическим профилем в кибербезопасности, с применением соответствующих знаний и навыков. Единственная версия (1.0) модели была опубликована в августе 2014 года.
Модель зрелости NICE разделяет ключевые виды деятельности на три основные области:
- Процесс и аналитика. Процесс представляет собой те действия, которые связаны с фактическими шагами, предпринимаемыми организацией для планирования рабочей силы, и тем, как эти шаги интегрированы с другими важными бизнес-процессами во всей организации. Аналитика представляет собой те виды деятельности, которые связаны с данными о спросе и предложении, а также с использованием инструментов, моделей и методов для анализа кадрового планирования.
-- Интегрированное управление: представляет собой те виды деятельности, которые связаны с созданием структур управления, разработкой и предоставлением руководящих указаний, а также движением принятия решений. Это строительный блок для общей стратегии и видения планирования рабочей силы организации, а также распределения ответственности, содействия интеграции и выпуска руководства по планированию.
-- Обученные профессионалы и вспомогательные технологии. Представляет деятельность, связанную с созданием профессиональных кадровых специалистов в организации. Вспомогательные технологии представляют деятельность, связанную с доступностью и использованием систем. Модель зрелости NICE имеет три уровня зрелости. Эти уровни показаны в таблице 5.
Таблица 5. Уровни зрелости в модели NICE
|
Уровень зрелости |
Описание уровня |
|
|
Ограниченный уровень |
Ограниченный - самый базовый уровень, изображающий организацию с областями ее способности планирования рабочей силы. Эта ключевая область организации находится в начале своего развития, например, имеет ограниченную структуру процессов, не имеет четкого руководства. |
|
|
Прогрессирующий уровень |
Прогрессирующий уровень описывает некоторые аспекты планирования рабочей силы во всей организации, которая начала выполнять и создавать некоторую инфраструктуру для поддержки потребностей. |
|
|
Оптимизированный уровень |
Описывает ключевые области возможностей планирования рабочей силы в организации, которые полностью разработаны, интегрированы с другими бизнес-процессами и могут поддерживать различные уровни анализа, результаты которых способствуют принятию краткосрочных и долгосрочных решений для рабочей силы в области кибербезопасности. |