Журнал "Information Security/ Информационная безопасность" #6, 2018

Каждое предприятие в процессе своего развития проходит определенные этапы, которые характери- зуются различными страте- гическими подходами, тех- нологиями, уровнем управ- ленческой деятельности, компетентностью персонала и другими качественными и количественными характе- ристиками. Переход на каждый сле- дующий, более высокий уро- вень развития осуществ- ляется путем улучшения показателей деятельности организации при положи- тельной динамике ключевых характеристик, что делает организацию более конку- рентоспособной, динамично реагирующей на требования рынка и оптимально исполь- зующей свои внутренние ресурсы. Существуют опре- деленные подходы, позво- ляющие оценить каждый уровень развития компании. Примером являются модели, описывающие этапы разви- тия организации, которые называются моделями уров- ней зрелости. В контексте кибербезо- пасности модели зрелости могут помочь разграничить организации, в которых информационная безопас- ность полноценно встроена в бизнес-деятельность, и те, в которых она выполняет в основном вспомогательную комплаенс-функцию. Уровни зрелости Большинство моделей используют пятиуровневую структуру для оценки состояния безопасности каждого из доме- нов. Эти пять уровней могут быть представлены в виде трех- этапного процесса. Первый этап представляет собой отправную точку с отсут- ствующими процессами менеджмента ИБ и неопреде- ленными политиками безопас- ности. На втором этапе акцент делается на внедрение стан- дартов безопасности и форма- лизованных процессов управ- ления. Последний этап предпо- лагает практически полностью автоматизированное управле- ние безопасностью предприя- тия. На данном этапе достига- ется максимально возможный уровень защиты от киберугроз, а сама организация обретает устойчивость к кибератакам. Домены безопасности Модели предлагают оцени- вать широкий диапазон доме- нов безопасности от инфра- структуры, данных и сетей до людей, приложений, процессов управления и реагирования, требований по соблюдения пра- вовых норм и управления конт- рактными обязательствами. Диагностические методы оценки, измерения, идентификации недостатков и проведения бенчмаркинга Для оценки текущего уровня и бенчмаркинга широко исполь- зуются международные стан- дарты, такие как NIST, ISO 27k и COBIT. Дорожные карты для руководства и методологии непрерывного улучшения Как правило, основаны на цикле Деминга – Крюгера (Plan- Do-Check-Act) или цикле OODA (Observe-Orient-Decide-Act). Все модели являются много- мерными, рассматривают про- цессы в разрезе как доменов безопасности, так и уровней зрелости. Отдельно стоит отметить, что для сравнения с рынком можно ограниченно использовать дан- ные о сертификациях по стан- дартам PCI-DSS, ISO 27001 и аналогичным благодаря тому, что данные о сертификатах есть в публичном доступе. В частно- сти, ISO Survey, доступный на официальном сайте ISO (https://www.iso.org/the-iso- survey.html), позволяет получить статистку по сертификатам ISO 27001 с 2006 по 2017 г. в разрезе региона, страны, а также отрасли, к которой относится организация. Напри- мер, для предприятий сектора "Кожа и изделия из кожи" коли- чество выданных сертификатов в среднем за год стремится к одному, что косвенно может свидетельствовать о том, что компании данного сектора существенных преимуществ от сертификации не получают. Какие модели наиболее распространены В публичном доступе практи- чески отсутствует статистика по использованию предприя- тиями и организациями моде- лей зрелости в области ИБ. Исследователи из Технического университета Мадрида и Нацио- нального политехнического института Мехико провели ана- лиз публикаций в научных про- фильных изданиях с 2012 по 2016 г. и получили список упо- минаний моделей зрелости, который представлен в табл. 1, а также частоту их упоминаний в первоисточниках (рис. 1). Выводы и прогнозы В настоящее время как для коммерческих, так и для госу- дарственных организаций и учреждений доступен большой набор моделей оценки зрелости ИБ, построенных на схожих принципах. При этом реальное использование таких моделей достаточно ограниченно, в пер- вую очередь из-за слабой при- вязки к особенностям конкрет- ных организаций. Отчасти дан- ная проблема решается адап- тацией существующих подходов в виде отраслевых моделей (например, ES-C2M2 для ком- паний энергетического сектора, ONG-C2M2 для компаний неф- тегазового сектора). Основным заказчиком внед- рения является высший менеджмент, который через оценку зрелости получает воз- можность высокоуровневого контроля прогресса внедрения процессов и технологий ИБ и соответствующим образом кор- ректировать стратегические планы. Отсутствие публичных бенчмарков по рынку и отрас- лям и, как следствие, невоз- можность оценить уровень ИБ в своей компании по сравнению с конкурентами – один из фак- торов, обуславливающих отно- сительно низкое распростране- ние существующих моделей зрелости. В ближайшем будущем можно ожидать развития суще- ствующих моделей, построен- ных на широко распространен- ных фреймворках NIST CSF, а также моделей, изначально созданных для информацион- ной безопасности, таких как SSE-CMM. Более того, очень вероятным выглядит появление новой моде- ли, включающей не только каче- ственный анализ через набор характеристик/доменов, но и количественную оценку состоя- ния кибербезопасности, что поз- волит использовать оценку как для стратегического, так и для оперативного планирования, а также создать продвинутую экс- пертную аналитическую систему. Оптимальным решением на сегодня выглядит начало внед- рения любой из существующих моделей оценки с последующей адаптацией и расширением под собственные потребности. Схо- жие принципы построения моде- лей дадут возможность в буду- щем достаточно безболезненно мигрировать на более подходя- щую, при этом накопленный опыт в оценке, а также стати- стические данные позволят судить о прогрессе развития процессов ИБ на предприятии, причем, что немаловажно, в удобной и понятной для выс- шего менеджмента форме. Поэтому, безусловно, модели зрелости – полезный и важный инструмент ИБ, который требует для внедрения определенных ресурсов и, как ни странно, опре- деленного уровня зрелости орга- низации. Но и первое, и второе являются нормальным эволю- ционным процессом для инфор- мационной безопасности. l • 35 УПРАВЛЕНИЕ www.itsec.ru Рис. 1. Ваше мнение и вопросы присылайте по адресу is@groteck.ru