МодельО-Т8М3
Модель O-ISM3 описывает основные процессы управления информационной безопасностью, присущие большинству организаций. O-ISM3 разработан с учетом всех видов организаций. В частности, бизнес, неправительственные организации и предприятия, которые растут или аутсорсинг [8].
Задачами этого стандарта являются:
-- Обеспечить подход к созданию систем управления информационной безопасностью (СУИБ), которые полностью соответствуют биз- нес-целей и требованиям соответствия.
-- Обеспечить подход, применимый к любой организации, независимо от ее размера, контекста и ресурсов.
-- Предоставить организациям возможность определять приоритеты и оптимизировать свои инвестиции в информационную безопасность.
-- Обеспечить постоянное улучшение СУИБ с использованием метрик.
-- Включить управляемый метриками проверяемый аутсорсинг процессов безопасности.
Выделяются задачи процессов обеспечения информационной безопасности и метрики, непосредственно вытекающие из бизнес-целей организации. Отмечается, что каждый процесс обеспечения информационной безопасности вносит свой вклад в реализацию основных целей управления информационной безопасностью, которые определяются следующим образом:
предотвращать и снижать число инцидентов информационной безопасности, которые могут поставить под угрозу активы организации, поставляемую ею продукцию и предоставляемые сервисы, основанные на использовании информационных систем;
оптимизировать использование информации, финансов, людей, времени и инфраструктуры.
Основная идея стандарта O-ISM3 как стандарта по управлению информационной безопасностью заключается в том, что её обеспечение связано не только с предотвращением атак на активы, но и с достижением в рамках установленного бюджета бизнес-целей организации, несмотря на различные возможные инциденты ИБ (атаки, технические сбои, ошибки персонала и т.д.).
Модель O-ISM3 оценивает зрелость функционирования существующих процессов СУИБ организации. Отличительной особенностью модели O-ISM3 является то, что она основана на оценке зрелости каждого из применяемых в СУИБ процессов управления информационной безопасностью.
Уровни зрелости в O-ISM3 -- специальные комбинации процессов, применяющихся при определенных уровнях возможностей. Уровень зрелости определяется как совокупность процессов и возможности каждого из процессов.
Согласно O-ISM3, СУИБ внедряется в рамках четырёх уровней управления информационной безопасностью организации, по которым производится оценка зрелости:
базовый -- для общего управления;
стратегический (руководство и обеспечение), на котором устанавливаются стратегические цели, осуществляется координация деятельности и обеспечение ресурсами;
тактический (внесение и оптимизация), который связан с разработкой и реализацией СУИБ, установкой специфических целей и управлением ресурсами;
операционный (исполнение и отчетность), который связан с достижением определенных целей посредством функционирования технических процессов.
Для каждого из этих уровней в модели определены процессы, которые их обслуживают.
O-ISM3 определяет следующие виды метрик:
деятельность (Activity) -- количество произведенных выходов, их средний срок жизни, среднее время между представлением выходов, среднее время на производство выхода после входа, худшее время на производство выхода после входа;
область действия (Scope) -- доля всех входов, используемых процессом, и доля всех выбранных или тестируемых входов;
недоступность (Unavailability) -- время, прошедшее с момента ожидаемого выполнения процесса после его запуска (время работы), частота и продолжительность перерывов;
результативность (Effectiveness) -- количество входов, среднее время между входами и процент входов, породивших выход;
эффективность (Efficiency) -- отношение числа произведенных выходов к реально доступным для процесса ресурсам;
загрузка (Load) - процент реально используемых ресурсов;
качество (Quality) -- правильность, точность или другие измерения соответствия выхода начальным целям, если это применимо.
-- В O-ISM3 процессы системы управления классифицируются по пяти уровням зрелости: 1 -- начальный (Initial); 2 -- управляемый (Managed); 3 -- определенный(Defined); 4 -- контролируемый (Controlled); 5 - оптимизированный (Optimized).
Результаты и анализ
Критерии, которые были определены для оценки моделей, рассмотрены ранее в Разделе 3. Результаты анализа моделей зрелости информационной безопасности можно обобщить (таблица 6).
В таблице показано соответствие указанным критериям каждой из моделей (C2M2, NICE, CCSMM, SSE-CMM, O-ISM3), рассмотренных в предыдущем разделе.
Таблица 6. Сравнительный анализ моделей
|
Критерии |
C2M2 |
NICE |
SSE-CMM |
O-ISM3 |
|
|
Ориентированность на информационную безопасность |
ДА |
ДА |
НЕТ |
ДА |
|
|
Применимость к СУИБ |
ДА |
НЕТ |
НЕТ |
ДА |
|
|
Год последнего пересмотра |
2014 |
2014 |
2014 |
2017 |
|
|
Полнота применения |
ДА |
НЕТ |
ДА |
ДА |
|
|
Глубина |
УГЛУБЛЕННАЯ |
ОБЩАЯ |
УГЛУБЛЕННАЯ |
УГЛУБЛЕННАЯ |
|
|
Уровень документации для реализации |
СРЕДНЯЯ |
СРЕДНЯЯ |
ВЫСОКАЯ |
ВЫСОКАЯ |
По результатам анализа можно сделать вывод, что более конкретные модели предоставляют больше информации для надлежащей классификации и оценки их практики, а также предоставляют более подробные руководящие принципы для повышения уровня показателей зрелости.
Заключение
На сегодняшний день анализ и оценка зрелости ИБ является гарантией обеспечения эффективности бизнес-процессов организации. Выбор подходящей модели позволяет оптимизировать процесс управления информационной безопасностью.
Все рассмотренные модели могут быть адаптированы к использованию для оценки зрелости информационной безопасности. Тем не менее, они нуждаются в некотором уровне доработки применительно к конкретной организации. Основные результаты, полученные в результате сравнении, следующие:
-- Более общая модель (NICE), не охватывает все области организации, не применима к СУИБ.
-- SSE-CMM хоть и адаптирована к использованию на информационную безопасность, не имеет необходимой возможности для применения для оценки зрелости СУИБ
-- Единственные модели зрелости, которые применимы к СУИБ, обновлены и ориентированы на всю организацию, - это C2M2 и O-ISM3.
Литература
1. Select Business Solutions. [Electronic resource]. Accecc: http://www.selectbs.com/ process-maturity/ what-is-the-capability-maturity-model.
2. M. Lessing: Best practices show the way to Information Security Maturity. [Electronic resource]. Accecc: http:// researchspace.csir.co.za/dspace/bitstream/handle/10204/3156/Lessing6_2008.pdf?s equence=1&isAllowed=y.
3. G. White, "The community cyber security maturity model". In: IEEE International Conference on Technologies for Homeland Security, pp. 173-178, 2011.
4. SSE-CMM. [Electronic resource]. Accecc: https://pqm-online.com/assets/files/lib/std/gost_ r_iso_mek_21827-2010.pdf.
5. Department of Energy: Cybersecurity Capability Maturity
6. Model (C2M2): Version 1.1, Department of Homeland Security, 2014.
7. US Department of Homeland Security.: Cybersecurity Capability Maturity Model: Versionl.0. White paper, Department of Homeland Security, 2014. [Electronic resource]. Accecc: https://niccs.us-cert.gov/sites/default/files/Capability%20Maturity%20Model%20White%20Paper.pdf?trackDocs=Capability%20M aturity%20Model%20White%20Paper.pdf.
8. The Open Group.: Open Information Security Management Maturity Model (O-ISM3). Technical report, Open Group, 2017.
9. Н. Милославская, Р. Сагиров, Обзор моделей зрелости процессов управления информационной безопасностью.