PublikacjeŚwiat

Model dojrzałości cyberbezpieczeństwa

Rozwój mechanizmów zarządzania ryzykiem cyberbezpieczeństwa

Ważne
  • Analiza porównawcza bywa pomocnym narzędziem w ocenie i rozwoju mechanizmów zarządzania – również ryzykiem. Potrzebny jest do tego wzorzec, punkt odniesienia. Taką rolę mogą pełnić tzw. Modele Dojrzałości

Na stronach amerykańskiego Departamentu Energii (U.S. Department of Energy – DoE) – czyli tamtejszego ministerstwa – opublikowano w lipcu dokument zatytułowany „Cybersecurity Capability Maturity Model (C2M2)”. Jest to druga wersja Modelu Dojrzałości wydana przez Departament Energii. Pierwsze wydanie miało miejsce w roku 2012 (wersja 1.0) a w roku 2014 dokonano aktualizacji (1.1).

O różnicach między wersjami nie zamierzamy pisać – zainteresowani znajdą ich opis w omawianej publikacji. Chcemy zwrócić uwagę Czytelników na ów dokument z kilku powodów.

Po pierwsze, Model Dojrzałości Cyberbezpieczeństwa to przydatne narzędzie w ocenie stanu zaawansowania (dojrzałości) organizacji w zakresie zarządzania cyberbezpieczeństwem – ryzykiem związanym z technologiami informatycznymi.

Po drugie, to niezłe narzędzie wskazujące na kierunki rozwoju mechanizmów zarządzania cyberbezpieczeństwem. Mimo że w publikacji mówi się o tzw. infrastrukturze krytycznej (dlatego publikacja została wydana przez DoE) to nie znaczy, że jest przeznaczona wyłącznie dla podmiotów z branży energetycznej.

Czym jest Model dojrzałości?

Jak zdefiniowano w publikacji, jest to

zestaw cech, atrybutów, wskaźników lub wzorców, które reprezentują zdolności (organizacji) i rozwój w określonej dyscyplinie. C2M2

Modele dojrzałości służą głównie przeprowadzaniu tzw. benchmarkingów czyli analiz porównawczych między praktyką działania a zdefiniowanymi wzorcami (ideałami) oraz planowania i podejmowania działań poszerzających zakres i podnoszących poziom (jakość) praktyk organizacji w danej dziedzinie.

Modele Dojrzałości nie są nowym mechanizmem zarządzania. Pierwsze tego typu modele powstały już w latach osiemdziesiątych ubiegłego wieku i dotyczyły procesów wytwarzania oprogramowania – systemów informatycznych. Pomysłodawcą modeli dojrzałości jest SEI – Software Engineering Institute, jednostka funkcjonująca w ramach Carnegie Mellon University. SEI jest również autorem (przy współudziale firm z sektora energetycznego) omawianej publikacji. Dlatego ktoś, kto zna wcześniejsze Modele Dojrzałości opublikowane przez SEI nie będzie miał żadnych problemów ze zrozumieniem koncepcji oceny dojrzałości organizacji w zakresie cyberbezpieczeństwa i ryzyka z nim związanego.

Generalnie rzecz ujmując, ten Model Dojrzałości służy ocenie rozwoju organizacji w zakresie:

– podejścia do zagadnień cyberbezpieczeństwa czyli merytorycznych postępów w zakresie kompletności działań, ich dokładności i poziomu rozwoju,

– zarządzania czyli wbudowania (zakorzenienia, zinstytucjonalizowania) działań i praktyk dotyczących cyberbezpieczeństwa w ogólne działania organizacji.

Model Dojrzałości może być również z powodzeniem wykorzystany przez jednostki audytu wewnętrznego w procesach oceny organizacji i zarządzania cyberbezpieczeństwem.

Jak skonstruowany jest model?

Model opublikowany przez DoE definiuje 4 poziomy wskaźników dojrzałości (0-3), przy czym „0” oznacza brak aktywności (działań) w określonym obszarze zarządzania cyberbezpieczeństwem

Model wskazuje na (ogółem) 342 praktyki przypisane do celów (osiągnięć, stanów) zgrupowanych w 10 domenach (obszarach zarządzania cyberbezpieczeństwem):

  1. Zarządzanie zasobami, zmianami i konfiguracją
  2. Zarządzanie zagrożeniami i podatnością
  3. Zarządzanie ryzykiem
  4. Zarządzanie tożsamością i dostępem
  5. Świadomość sytuacyjna
  6. Reagowanie na zdarzenia i incydenty, ciągłość operacji
  7. Zarządzanie ryzykiem stron trzecich
  8. Zarządzanie pracą
  9. Architektura cyberbezpieczeństwa
  10. Zarządzanie Programem Cyberbezpieczeństwa

Przyjrzyjmy się domenie „Zarządzanie ryzykiem

Model (domena) zawiera 5 celów (aktywności):

  1. Ustanowienie i utrzymanie strategii i programu zarządzania ryzykiem cybernetycznym
  2. Identyfikacja ryzyka cybernetycznego
  3. Analiza ryzyka cybernetycznego
  4. Reagowanie na ryzyko cybernetyczne
  5. Działania zarządcze

Do tych celów przypisano specyficzne praktyki. Popatrzmy na pierwszą aktywność (strategia i program) . Poziomy dojrzałości i związane z tym wymagania (aktywności) zdefiniowano następująco (MIL oznacza Maturity Indicator Level czyli poziom wskaźnika dojrzałości):

MIL1

  1. Organizacja posiada strategię zarządzania ryzykiem cybernetycznym, która może być rozwijana i utrzymywana w sposób doraźny

MIL2

  1. Ustanowiona i utrzymywana jest strategia zarządzania ryzykiem cybernetycznym w celu wsparcia strategii programu cyberbezpieczeństwa organizacji i architektury korporacyjnej
  2. Informacje z działań w dziedzinie (zarządzanie ryzykiem) są przekazywane odpowiednim interesariuszom
  3. Ustanowiony i utrzymywany jest nadzór nad programem zarządzania ryzykiem cybernetycznym

MIL3

  1. Ustanowiony i utrzymywany jest program zarządzania ryzykiem cybernetycznym w celu wdrożenia i wykonywania działań w domenie (zarządzanie ryzykiem) zgodnie z misją i celami organizacji
  2. Strategia i działania programowe w zakresie cyber ryzyka są skoordynowane ze strategią i programem zarządzania ryzykiem obejmującym całą organizację

Jeszcze jest poziom 0 – MIL0 oznaczający, że organizacja w ogóle nie podejmuje działań z tego zakresu

Popatrzmy jeszcze na działania zarządcze:

MIL1 – Brak praktyki w MIL1
Oznacza to, że na poziomie 1 organizacja nie przejawia żadnej aktywności w zakresie zarządzania ryzykiem.

MIL2

  1. Udokumentowane procedury są ustalane, przestrzegane i utrzymywane dla działań w domenie (zarządzanie ryzykiem)
  2. Zapewnione są odpowiednie zasoby (ludzie, fundusze i narzędzia) w celu wsparcia działań w ramach domeny (zarządzanie ryzykiem)

MIL3

  1. Aktualne polityki lub inne wytyczne organizacyjne określają wymagania dotyczące działań w domenie (zarządzanie ryzykiem)
  2. Personel wykonujący czynności w domenie (zarządzanie ryzykiem) posiada umiejętności i wiedzę niezbędną do wykonywania przydzielonych im obowiązków
  3. Odpowiedzialność, odpowiedzialność i uprawnienia do wykonywania czynności w domenie (zarządzanie ryzykiem) są przypisane do personelu
  4. Monitorowana i oceniana jest skuteczność działań określonych w domenie (zarządzanie ryzykiem)

Poziom dojrzałości ocenia się narastająco, to znaczy, że organizacja spełniająca wymagania poziom 3 (MIL3) musi spełniać wymagania (praktyki) wskazane również na niższych poziomach. W przypadku działań zarządczych poziom MIL3 oznacza spełnienia wymagań poziomów MIL3 + MIL2.

W przypadku działań merytorycznych poziom MIL3 oznacza wymagania ze wszystkich poziomów: MIL1 + MIL2 + MIL3.

Po zapoznaniu się z publikacją zapewne zwrócą Państwo uwagę, że zapisy Modelu Dojrzałości Cyberbezpieczeństwa są dość ogólne.  Wskazują – na przykład – na konieczność posiadania strategii zarządzania ryzykiem cybernetycznym bez konkretnych odniesień do zakresu, struktury i formy tejże strategii.

Cóż, o ile Model Dojrzałości daje odpowiedź na pytanie „CO?” to z odpowiedzią na inne pytania, w szczególności „JAK?”, osoby (organizacje) wykorzystujące Model Dojrzałości muszą sobie poradzić z pomocą innych publikacji.

Zwracamy uwagę Państwa na tę publikację bo mimo wszystko warto się z nią zapoznać. A na pewno trzeba wiedzieć, że istnieje.

– Czy istnieją inne modele dojrzałości w zakresie cyberbezpieczeństwa?

Tak

– Czy istnieją modele dojrzałości odnoszące się stricte do zarządzania ryzykiem?

Tak

Mamy szczery zamiar napisać o nich w przyszłości.

Editor

In rebus prosperis et ad voluntatem nostram fluentibus superbiam magnopere, fastidium arrogantiamque fugiamus. >>> W sytuacjach pomyślnych i gdy wszystko dzieje się według naszej woli, wystrzegajmy się pychy, zuchwalstwa i buty.

Powiązane artykuły