Обзор кибер-устойчивости - Cyber Resilience Review - Wikipedia

В Обзор кибер-устойчивости (CRR)[1] это метод оценки, разработанный в США Департамент внутренней безопасности (DHS). Это добровольная проверка операционной устойчивости и методов кибербезопасности, предлагаемая DHS бесплатно операторам критическая инфраструктура и правительства штатов, местных, племен и территорий. CRR имеет сервис-ориентированный подход, а это означает, что одним из основополагающих принципов CRR является то, что организация развертывает свои активы (людей, информацию, технологии и средства) для поддержки конкретных операционных задач (или услуг). CRR предлагается в формате упрощенного семинара и в виде пакета самооценки.[2] Версия CRR для семинаров проводится фасилитатором DHS на критически важном объекте инфраструктуры. Семинар обычно длится 6–8 часов, и в нем участвует весь персонал из организации критической инфраструктуры. Вся информация, собранная в упрощенном CRR, защищена от разглашения Законом об информации о защищенной критически важной инфраструктуре 2002 года. Эта информация не может быть раскрыта через Закон о свободе информации запрос, используемый в гражданских судебных процессах или в целях регулирования.[3] Пакет самооценки CRR [4] позволяет организации проводить оценку без необходимости в прямой помощи DHS. Его можно загрузить с веб-сайта добровольной программы киберсообщества DHS по критически важной инфраструктуре.[5] Пакет включает в себя автоматизированный инструмент для сбора данных и создания отчетов, руководство по упрощению процедур, исчерпывающее объяснение каждого вопроса и переход между практиками CRR и критериями Национальный институт стандартов и технологий (NIST) Структура кибербезопасности.[6][7] Вопросы, задаваемые в CRR и итоговом отчете, одинаковы в обеих версиях оценки. DHS сотрудничал с отделом CERT Институт программной инженерии в Университет Карнеги Меллон разработать и развернуть CRR. Цели и методы, используемые в оценке, основаны на модели управления устойчивостью CERT (CERT-RMM) версии 1.0.[8] CRR был введен в 2009 году и претерпел значительные изменения в 2014 году.[9]

Архитектура

CRR включает 42 цели и 141 конкретную практику, извлеченные из CERT-RMM и разделенные на 10 областей):[10]

  1. Управление активами
  2. Управление контролем
  3. Конфигурация и управление изменениями
  4. Управление уязвимостями
  5. Управление происшествиями
  6. Управление непрерывностью обслуживания
  7. Управление рисками
  8. Управление внешними зависимостями
  9. Обучение и осведомленность
  10. Осведомленность о ситуации

Каждый домен состоит из заявления о цели, набора конкретных целей и связанных практических вопросов, уникальных для данной предметной области, и стандартного набора вопросов уровня индикатора зрелости (MIL). Вопросы MIL исследуют институционализацию практик в организации. Эффективность организации оценивается по шкале MIL.[11] Эта шкала отображает возможности, разделенные на пять уровней: MIL1-неполный, MIL2-выполненный, MIL3-управляемый, MIL4-измеренный и MIL5-определенный. Институционализация означает, что методы кибербезопасности становятся более глубокой и долговечной частью организации, потому что они управляются и поддерживается значимым образом. Когда методы кибербезопасности становятся более институционализированными - или «встроенными», менеджеры могут больше доверять предсказуемости и надежности методов. Практика также становится более устойчивой в периоды сбоев или стресса в организации. Зрелость также может привести к более тесному согласованию между деятельностью по кибербезопасности и бизнес-драйверами организации. Например, в более зрелых организациях менеджеры будут обеспечивать надзор за конкретным доменом и оценивать эффективность действий по обеспечению безопасности, которые он включает. Количество целей и практических вопросов зависит от предметной области, но набор вопросов MIL и концепции, которые они охватывают, одинаковы для всех предметных областей. На все вопросы CRR есть три возможных ответа: «Да», «Нет» и «Неполно». CRR измеряет эффективность организации на уровне практики, цели, предметной области и MIL. Баллы рассчитываются для каждого отдельного элемента модели и в совокупных итогах. Рубрика выставления оценок устанавливает следующее:

  1. Практики можно наблюдать в одном из трех состояний: выполнено, незавершено и не выполнено.
  2. Цель предметной области достигается только в том случае, если выполнены все практики, относящиеся к цели.
  3. Домен полностью достигается только в том случае, если все цели в домене достигнуты.

Если вышеуказанные условия соблюдены, то считается, что организация достигает предметной области в состоянии выполнения: практики, которые определяют предметную область, наблюдаемы, но невозможно определить степень, в которой эти практики

  1. повторяемый в различных условиях
  2. последовательно применяется
  3. способен давать предсказуемые и приемлемые результаты
  4. сохраняется во время стресса

Эти условия проверяются путем применения общего набора из 13 вопросов MIL к домену, но только после достижения MIL1. В соответствии с архитектурой шкалы MIL, MIL являются кумулятивными; для достижения MIL в определенной области организация должна выполнять все действия на этом уровне и в предыдущих MIL. Например, организация должна выполнять все практики домена в MIL1 и MIL2, чтобы достичь MIL2 в домене.

Логотип Обзора киберустойчивости Министерства внутренней безопасности США
Описание метода проверки киберустойчивости DHS и руководство для пользователя по самооценке

Полученные результаты

Участники CRR получают исчерпывающий отчет, содержащий результаты по каждому вопросу во всех областях. В отчете также представлены графические сводные данные о деятельности организации на уровне цели и предметной области, представленные в виде матрицы тепловой карты. Это подробное представление позволяет организациям добиваться улучшения на детальном уровне. Организации, участвующие в упрощенных CRR, получают дополнительный набор графиков, отражающих эффективность их организации по сравнению со всеми другими предыдущими участниками. Отчет CRR включает потенциальный путь к повышению эффективности каждой практики. Эти варианты для рассмотрения в основном взяты из специальных публикаций CERT-RMM и NIST. Организации также могут использовать результаты CRR для измерения своей работы в соответствии с критериями NIST Cybersecurity Framework. Эта функция корреляции была введена в феврале 2014 года.[12]

Смотрите также

Рекомендации

  1. ^ «Информационный бюллетень по обзору киберустойчивости» (PDF). Получено 27 февраля 2015.
  2. ^ «Обзор киберустойчивости (CRR)». Получено 27 февраля 2015.
  3. ^ "Информационный бюллетень PCII" (PDF). Получено 27 февраля 2015.
  4. ^ «Обзор киберустойчивости (CRR)». Получено 27 февраля 2015.
  5. ^ «Добровольная программа киберсообщества DHS». Получено 27 февраля 2015.
  6. ^ «Таблица принципов кибербезопасности NIST». Получено 27 февраля 2015.
  7. ^ «Обзор киберустойчивости - Crosswalk рамок кибербезопасности NIST» (PDF). Получено 27 февраля 2015.
  8. ^ Каралли, Р., Аллен, Дж., И Уайт, Д. (2010) "Модель управления устойчивостью CERT, версия 1". Институт программной инженерии, Университет Карнеги-Меллона.
  9. ^ Мехравари, Н. (2014) "Управление устойчивостью посредством использования CERT-RMM и связанных историй успеха" (PDF). Институт программной инженерии, Университет Карнеги-Меллона.
  10. ^ «Описание метода киберустойчивости и руководство пользователя» (PDF). Получено 28 февраля 2015.
  11. ^ Буткович, М., и Каралли, Р. (2013) "Повышение эффективности измерения возможностей кибербезопасности с использованием шкалы уровня индикатора зрелости CERT-RMM". Институт программной инженерии, Университет Карнеги-Меллона.
  12. ^ Страссман П., 8 сентября 2014 г."Обзор кибер-устойчивости". Блог Штрассмана.

внешняя ссылка