Обзор уровня зрелости процессов ИБ: о трендах и методологиях

Зачем компании используют модели зрелости

Одной из основных причин использования моделей зрелости является то, что улучшения в масштабах всей организации занимают существенное время; в кибербезопасности модель зрелости дает руководству организации способ оценить прогресс, достигнутый в обеспечении безопасности в повседневных и стратегических задачах. Модель зрелости является инструментом оценки эффективности внедрения бизнес-процессов в организации и позволяет руководству использовать долгосрочное целеполагание, а также эффективно отслеживать прогресс. Применение моделей зрелости позволяет организациям определять собственные сильные и слабые стороны.

Как правило, модель зрелости информационной безопасности описывает ряд характеристик, которые вы ожидаете увидеть в организации с эффективным подходом к кибербезопасности. Эти характеристики включают в себя такие функции, как эффективное руководство и управление, процессы управления рисками ИБ, используемый набор технологий. Каждая характеристика содержит описание видов деятельности и процессов, которые типичны для организаций на разных уровнях зрелости. Организация, стремящаяся оценить зрелость своей системы обеспечения кибербезопасности, сравнивает свою собственную практику с теми, которые описаны в уровнях каждой характеристики. Оценки подкрепляются доказательствами.

Проблемы моделей оценки зрелости

Существует два принципиально разных подхода к использованию моделей зрелости в практической плоскости:

• сравнение текущих характеристик и уровня зрелости с каким-либо моментом в прошлом для отслеживания прогресса;
• сравнение с другими организациями.

На состояние кибербезопасности внутри организации влияет огромное количество часто сложных и трудно измеряемых факторов, в том числе тех, которые, возможно, не имеют ничего общего с кибербезопасностью, но существенно влияют на зрелость организации в области ИБ. Например, слияние с другой компанией требует формирования новых подходов и стандартов в области ИБ, синхронизации требований и даже культурного кода. На показатели программы повышения осведомленности и, как следствие, количества выявляемых инцидентов может существенно влиять высокая текучка кадров.

Поэтому использование моделей оценки зрелости для ретроспективного отслеживания улучшений требует привязки к контексту изменений контролируемых параметров, что обычно не представляет проблемы из-за доступности контекстных данных.

Однако если предполагается использовать данную модель для сопоставления уровня зрелости двух организаций, то контекст предприятия будет иметь решающую роль для конечных выводов. К сожалению, информация о контексте крайне редко становится доступной публично или третьим лицам, поэтому сравнительная оценка в реальной жизни практически невозможна.

Другими словами, использование моделей зрелости для сравнения нескольких организации – это чаще всего сравнение яблок с апельсинами.

Обзор существующих моделей зрелости ИБ

Практически все современные модели зрелости основаны на модели CMM (Capability Maturity Model), разработанной и опубликованной в начале 1990-х гг. Институтом программной инженерии Карнеги – Меллона.

Для всех моделей зрелости ИБ можно выделить ряд общих компонентов. Рассмотрим их далее.

Уровни зрелости

Большинство моделей используют пятиуровневую структуру для оценки состояния безопасности каждого из доменов. Эти пять уровней могут быть представлены в виде трехэтапного процесса.

Первый этап представляет собой отправную точку с отсутствующими процессами менеджмента ИБ и неопределенными политиками безопасности. На втором этапе акцент делается на внедрение стандартов безопасности и формализованных процессов управления. Последний этап предполагает практически полностью автоматизированное управление безопасностью предприятия. На данном этапе достигается максимально возможный уровень защиты от киберугроз, а сама организация обретает устойчивость к кибератакам.

Домены безопасности

Модели предлагают оценивать широкий диапазон доменов безопасности от инфраструктуры, данных и сетей до людей, приложений, процессов управления и реагирования, требований по соблюдения правовых норм и управления контрактными обязательствами.

Диагностические методы оценки, измерения, идентификации недостатков и проведения бенчмаркинга

Для оценки текущего уровня и бенчмаркинга широко используются международные стандарты, такие как NIST, ISO 27k и COBIT.

Дорожные карты для руководства и методологии непрерывного улучшения

Как правило, основаны на цикле Деминга – Крюгера (Plan-Do-Check-Act) или цикле OODA (Observe-Orient-Decide-Act).

Все модели являются многомерными, рассматривают процессы в разрезе как доменов безопасности, так и уровней зрелости.

Отдельно стоит отметить, что для сравнения с рынком можно ограниченно использовать данные о сертификациях по стандартам PCI-DSS, ISO 27001 и аналогичным благодаря тому, что данные о сертификатах есть в публичном доступе. В частности, ISO Survey, доступный на официальном сайте ISO (https://www.iso.org/the-iso-survey.html), позволяет получить статистку по сертификатам ISO 27001 с 2006 по 2017 г. в разрезе региона, страны, а также отрасли, к которой относится организация. Например, для предприятий сектора "Кожа и изделия из кожи" количество выданных сертификатов в среднем за год стремится к одному, что косвенно может свидетельствовать о том, что компании данного сектора существенных преимуществ от сертификации не получают.

Какие модели наиболее распространены

В публичном доступе практически отсутствует статистика по использованию предприятиями и организациями моделей зрелости в области ИБ. Исследователи из Технического университета Мадрида и Национального политехнического института Мехико провели анализ публикаций в научных профильных изданиях с 2012 по 2016 г. и получили список упоминаний моделей зрелости, который представлен в табл. 1, а также частоту их упоминаний в первоисточниках (рис. 1).

Выводы и прогнозы

В настоящее время как для коммерческих, так и для государственных организаций и учреждений доступен большой набор моделей оценки зрелости ИБ, построенных на схожих принципах. При этом реальное использование таких моделей достаточно ограниченно, в первую очередь из-за слабой привязки к особенностям конкретных организаций. Отчасти данная проблема решается адаптацией существующих подходов в виде отраслевых моделей (например, ES-C2M2 для компаний энергетического сектора, ONG-C2M2 для компаний нефтегазового сектора).

Основным заказчиком внедрения является высший менеджмент, который через оценку зрелости получает возможность высокоуровневого контроля прогресса внедрения процессов и технологий ИБ и соответствующим образом корректировать стратегические планы. Отсутствие публичных бенчмарков по рынку и отраслям и, как следствие, невозможность оценить уровень ИБ в своей компании по сравнению с конкурентами – один из факторов, обуславливающих относительно низкое распространение существующих моделей зрелости.

В ближайшем будущем можно ожидать развития существующих моделей, построенных на широко распространенных фреймворках NIST CSF, а также моделей, изначально созданных для информационной безопасности, таких как SSE-CMM.

Более того, очень вероятным выглядит появление новой модели, включающей не только качественный анализ через набор характеристик/доменов, но и количественную оценку состояния кибербезопасности, что позволит использовать оценку как для стратегического, так и для оперативного планирования, а также создать продвинутую экспертную аналитическую систему.

Оптимальным решением на сегодня выглядит начало внедрения любой из существующих моделей оценки с последующей адаптацией и расширением под собственные потребности. Схожие принципы построения моделей дадут возможность в будущем достаточно безболезненно мигрировать на более подходящую, при этом накопленный опыт в оценке, а также статистические данные позволят судить о прогрессе развития процессов ИБ на предприятии, причем, что немаловажно, в удобной и понятной для высшего менеджмента форме.

Поэтому, безусловно, модели зрелости – полезный и важный инструмент ИБ, который требует для внедрения определенных ресурсов и, как ни странно, определенного уровня зрелости организации. Но и первое, и второе являются нормальным эволюционным процессом для информационной безопасности.