Журнал "Information Security/ Информационная безопасность" #6, 2018

Зачем компании используют модели зрелости Одной из основных причин использования моделей зрелости является то, что улуч- шения в масштабах всей организации занимают существенное время; в кибербезопасности модель зрелости дает руководству организа- ции способ оценить про- гресс, достигнутый в обеспечении безопас- ности в повседневных и стратегических задачах. Модель зрелости является инструмен- том оценки эффективности внедрения бизнес-процессов в организации и позволяет руко- водству использовать долго- срочное целеполагание, а также эффективно отслеживать про- гресс. Применение моделей зрелости позволяет организа- циям определять собственные сильные и слабые стороны. Как правило, модель зрелости информационной безопасности описывает ряд характеристик, которые вы ожидаете увидеть в организации с эффективным подходом к кибербезопасности. Эти характеристики включают в себя такие функции, как эффек- тивное руководство и управле- ние, процессы управления рис- ками ИБ, используемый набор технологий. Каждая характери- стика содержит описание видов деятельности и процессов, кото- рые типичны для организаций на разных уровнях зрелости. Организация, стремящаяся оце- нить зрелость своей системы обеспечения кибербезопасности, сравнивает свою собственную практику с теми, которые описа- ны в уровнях каждой характери- стики. Оценки подкрепляются доказательствами. Проблемы моделей оценки зрелости Существует два принципи- ально разных подхода к исполь- зованию моделей зрелости в практической плоскости: l сравнение текущих характери- стик и уровня зрелости с каким- либо моментом в прошлом для отслеживания прогресса; l сравнение с другими органи- зациями. На состояние кибербезопас- ности внутри организации влияет огромное количество часто сложных и трудно изме- ряемых факторов, в том числе тех, которые, возможно, не имеют ничего общего с кибер- безопасностью, но существенно влияют на зрелость организа- ции в области ИБ. Например, слияние с другой компанией требует формирования новых подходов и стандартов в обла- сти ИБ, синхронизации требо- ваний и даже культурного кода. На показатели программы повышения осведомленности и, как следствие, количества выявляемых инцидентов может существенно влиять высокая текучка кадров. Поэтому использование моде- лей оценки зрелости для ретро- спективного отслеживания улучшений требует привязки к контексту изменений контро- лируемых параметров, что обычно не представляет про- блемы из-за доступности кон- текстных данных. Однако если предполагается использовать данную модель для сопоставления уровня зрелости двух организаций, то контекст предприятия будет иметь решаю- щую роль для конечных выводов. К сожалению, информация о кон- тексте крайне редко становится доступной публично или третьим лицам, поэтому сравнительная оценка в реальной жизни прак- тически невозможна. Другими словами, использо- вание моделей зрелости для сравнения нескольких органи- зации – это чаще всего сравне- ние яблок с апельсинами. Обзор существующих моделей зрелости ИБ Практически все современные модели зрелости основаны на модели CMM (Capability Maturity Model), разработанной и опуб- ликованной в начале 1990-х гг. Институтом программной инже- нерии Карнеги – Меллона. Для всех моделей зрелости ИБ можно выделить ряд общих компонентов. Рассмотрим их далее. 34 • УПРАВЛЕНИЕ Обзор уровня зрелости процессов ИБ: о трендах и методологиях Илья Борисов, менеджер по информационной безопасности регионального кластера СНГ компании Thyssenkrupp Industrial Solutions Модель зрелости Разработчик Количество уровней модели COBIT (Control Objectives for ISACA 5 Information and related Technology) CSF – NIST (Cybersecurity Capability Национальный институт 5 Maturity Model – National Institute стандартов и технологий США of Standards and Technology) (NIST) C2M2 (Cybersecurity Capability Энергетическое агентство Соеди- 5 Maturity Model) ненных Штатов Америки (ЭА США) ISEM (Information Security City Group 5 Evaluation Maturity Model) ISM2 (Information Security Национальный институт стандартов 5 Maturity Model) и технологий США (NIST) ISM3 (Information Security Консорциум ISM3 5 Management Maturity NICE – CMM (National Initiative Национальный институт стандартов for Cybersecurity Education – и технологий США (NIST) 3 Capability Maturity Model SSE-CMM (Systems Security АНБ (Агентство национальной 5 Engineering Capability Maturity Model) безопасности США) Таблица