Model dojrzałości cyberbezpieczeństwa
Rozwój mechanizmów zarządzania ryzykiem cyberbezpieczeństwa
- Analiza porównawcza bywa pomocnym narzędziem w ocenie i rozwoju mechanizmów zarządzania – również ryzykiem. Potrzebny jest do tego wzorzec, punkt odniesienia. Taką rolę mogą pełnić tzw. Modele Dojrzałości
Na stronach amerykańskiego Departamentu Energii (U.S. Department of Energy – DoE) – czyli tamtejszego ministerstwa – opublikowano w lipcu dokument zatytułowany „Cybersecurity Capability Maturity Model (C2M2)”. Jest to druga wersja Modelu Dojrzałości wydana przez Departament Energii. Pierwsze wydanie miało miejsce w roku 2012 (wersja 1.0) a w roku 2014 dokonano aktualizacji (1.1).
O różnicach między wersjami nie zamierzamy pisać – zainteresowani znajdą ich opis w omawianej publikacji. Chcemy zwrócić uwagę Czytelników na ów dokument z kilku powodów.
Po pierwsze, Model Dojrzałości Cyberbezpieczeństwa to przydatne narzędzie w ocenie stanu zaawansowania (dojrzałości) organizacji w zakresie zarządzania cyberbezpieczeństwem – ryzykiem związanym z technologiami informatycznymi.
Po drugie, to niezłe narzędzie wskazujące na kierunki rozwoju mechanizmów zarządzania cyberbezpieczeństwem. Mimo że w publikacji mówi się o tzw. infrastrukturze krytycznej (dlatego publikacja została wydana przez DoE) to nie znaczy, że jest przeznaczona wyłącznie dla podmiotów z branży energetycznej.
Czym jest Model dojrzałości?
Jak zdefiniowano w publikacji, jest to
zestaw cech, atrybutów, wskaźników lub wzorców, które reprezentują zdolności (organizacji) i rozwój w określonej dyscyplinie. C2M2
Modele dojrzałości służą głównie przeprowadzaniu tzw. benchmarkingów czyli analiz porównawczych między praktyką działania a zdefiniowanymi wzorcami (ideałami) oraz planowania i podejmowania działań poszerzających zakres i podnoszących poziom (jakość) praktyk organizacji w danej dziedzinie.
Modele Dojrzałości nie są nowym mechanizmem zarządzania. Pierwsze tego typu modele powstały już w latach osiemdziesiątych ubiegłego wieku i dotyczyły procesów wytwarzania oprogramowania – systemów informatycznych. Pomysłodawcą modeli dojrzałości jest SEI – Software Engineering Institute, jednostka funkcjonująca w ramach Carnegie Mellon University. SEI jest również autorem (przy współudziale firm z sektora energetycznego) omawianej publikacji. Dlatego ktoś, kto zna wcześniejsze Modele Dojrzałości opublikowane przez SEI nie będzie miał żadnych problemów ze zrozumieniem koncepcji oceny dojrzałości organizacji w zakresie cyberbezpieczeństwa i ryzyka z nim związanego.
Generalnie rzecz ujmując, ten Model Dojrzałości służy ocenie rozwoju organizacji w zakresie:
– podejścia do zagadnień cyberbezpieczeństwa czyli merytorycznych postępów w zakresie kompletności działań, ich dokładności i poziomu rozwoju,
– zarządzania czyli wbudowania (zakorzenienia, zinstytucjonalizowania) działań i praktyk dotyczących cyberbezpieczeństwa w ogólne działania organizacji.
Model Dojrzałości może być również z powodzeniem wykorzystany przez jednostki audytu wewnętrznego w procesach oceny organizacji i zarządzania cyberbezpieczeństwem.
Jak skonstruowany jest model?
Model opublikowany przez DoE definiuje 4 poziomy wskaźników dojrzałości (0-3), przy czym „0” oznacza brak aktywności (działań) w określonym obszarze zarządzania cyberbezpieczeństwem
Model wskazuje na (ogółem) 342 praktyki przypisane do celów (osiągnięć, stanów) zgrupowanych w 10 domenach (obszarach zarządzania cyberbezpieczeństwem):
- Zarządzanie zasobami, zmianami i konfiguracją
- Zarządzanie zagrożeniami i podatnością
- Zarządzanie ryzykiem
- Zarządzanie tożsamością i dostępem
- Świadomość sytuacyjna
- Reagowanie na zdarzenia i incydenty, ciągłość operacji
- Zarządzanie ryzykiem stron trzecich
- Zarządzanie pracą
- Architektura cyberbezpieczeństwa
- Zarządzanie Programem Cyberbezpieczeństwa
Przyjrzyjmy się domenie „Zarządzanie ryzykiem”
Model (domena) zawiera 5 celów (aktywności):
- Ustanowienie i utrzymanie strategii i programu zarządzania ryzykiem cybernetycznym
- Identyfikacja ryzyka cybernetycznego
- Analiza ryzyka cybernetycznego
- Reagowanie na ryzyko cybernetyczne
- Działania zarządcze
Do tych celów przypisano specyficzne praktyki. Popatrzmy na pierwszą aktywność (strategia i program) . Poziomy dojrzałości i związane z tym wymagania (aktywności) zdefiniowano następująco (MIL oznacza Maturity Indicator Level czyli poziom wskaźnika dojrzałości):
MIL1
- Organizacja posiada strategię zarządzania ryzykiem cybernetycznym, która może być rozwijana i utrzymywana w sposób doraźny
MIL2
- Ustanowiona i utrzymywana jest strategia zarządzania ryzykiem cybernetycznym w celu wsparcia strategii programu cyberbezpieczeństwa organizacji i architektury korporacyjnej
- Informacje z działań w dziedzinie (zarządzanie ryzykiem) są przekazywane odpowiednim interesariuszom
- Ustanowiony i utrzymywany jest nadzór nad programem zarządzania ryzykiem cybernetycznym
MIL3
- Ustanowiony i utrzymywany jest program zarządzania ryzykiem cybernetycznym w celu wdrożenia i wykonywania działań w domenie (zarządzanie ryzykiem) zgodnie z misją i celami organizacji
- Strategia i działania programowe w zakresie cyber ryzyka są skoordynowane ze strategią i programem zarządzania ryzykiem obejmującym całą organizację
Jeszcze jest poziom 0 – MIL0 oznaczający, że organizacja w ogóle nie podejmuje działań z tego zakresu
Popatrzmy jeszcze na działania zarządcze:
MIL1 – Brak praktyki w MIL1
Oznacza to, że na poziomie 1 organizacja nie przejawia żadnej aktywności w zakresie zarządzania ryzykiem.
MIL2
- Udokumentowane procedury są ustalane, przestrzegane i utrzymywane dla działań w domenie (zarządzanie ryzykiem)
- Zapewnione są odpowiednie zasoby (ludzie, fundusze i narzędzia) w celu wsparcia działań w ramach domeny (zarządzanie ryzykiem)
MIL3
- Aktualne polityki lub inne wytyczne organizacyjne określają wymagania dotyczące działań w domenie (zarządzanie ryzykiem)
- Personel wykonujący czynności w domenie (zarządzanie ryzykiem) posiada umiejętności i wiedzę niezbędną do wykonywania przydzielonych im obowiązków
- Odpowiedzialność, odpowiedzialność i uprawnienia do wykonywania czynności w domenie (zarządzanie ryzykiem) są przypisane do personelu
- Monitorowana i oceniana jest skuteczność działań określonych w domenie (zarządzanie ryzykiem)
Poziom dojrzałości ocenia się narastająco, to znaczy, że organizacja spełniająca wymagania poziom 3 (MIL3) musi spełniać wymagania (praktyki) wskazane również na niższych poziomach. W przypadku działań zarządczych poziom MIL3 oznacza spełnienia wymagań poziomów MIL3 + MIL2.
W przypadku działań merytorycznych poziom MIL3 oznacza wymagania ze wszystkich poziomów: MIL1 + MIL2 + MIL3.
Po zapoznaniu się z publikacją zapewne zwrócą Państwo uwagę, że zapisy Modelu Dojrzałości Cyberbezpieczeństwa są dość ogólne. Wskazują – na przykład – na konieczność posiadania strategii zarządzania ryzykiem cybernetycznym bez konkretnych odniesień do zakresu, struktury i formy tejże strategii.
Cóż, o ile Model Dojrzałości daje odpowiedź na pytanie „CO?” to z odpowiedzią na inne pytania, w szczególności „JAK?”, osoby (organizacje) wykorzystujące Model Dojrzałości muszą sobie poradzić z pomocą innych publikacji.
Zwracamy uwagę Państwa na tę publikację bo mimo wszystko warto się z nią zapoznać. A na pewno trzeba wiedzieć, że istnieje.
– Czy istnieją inne modele dojrzałości w zakresie cyberbezpieczeństwa?
Tak
– Czy istnieją modele dojrzałości odnoszące się stricte do zarządzania ryzykiem?
Tak
Mamy szczery zamiar napisać o nich w przyszłości.