Контакты
Подписка 2025

Обзор уровня зрелости процессов ИБ: о трендах и методологиях

Илья Борисов, 11/03/19

Каждое предприятие в процессе своего развития проходит определенные этапы, которые характеризуются различными стратегическими подходами, технологиями, уровнем управленческой деятельности, компетентностью персонала и другими качественными и количественными характеристиками.

Зачем компании используют модели зрелости

Переход на каждый следующий, более высокий уровень развития осуществляется путем улучшения показателей деятельности организации при положительной динамике ключевых характеристик, что делает организацию более конкурентоспособной, динамично реагирующей на требования рынка и оптимально использующей свои внутренние ресурсы. Существуют определенные подходы, позволяющие оценить каждый уровень развития компании. Примером являются модели, описывающие этапы развития организации, которые называются моделями уровней зрелости.

В контексте кибербезопасности модели зрелости могут помочь разграничить организации, в которых информационная безопасность полноценно встроена в бизнес-деятельность компании, и те, в которых она выполняет в основном вспомогательную комплаенс-функцию.

Одной из основных причин использования моделей зрелости является то, что улучшения в масштабах всей организации занимают существенное время; в кибербезопасности модель зрелости дает руководству организации способ оценить прогресс, достигнутый в обеспечении безопасности в повседневных и стратегических задачах. Модель зрелости является инструментом оценки эффективности внедрения бизнес-процессов в организации и позволяет руководству использовать долгосрочное целеполагание, а также эффективно отслеживать прогресс. Применение моделей зрелости позволяет организациям определять собственные сильные и слабые стороны.

Как правило, модель зрелости информационной безопасности описывает ряд характеристик, которые вы ожидаете увидеть в организации с эффективным подходом к кибербезопасности. Эти характеристики включают в себя такие функции, как эффективное руководство и управление, процессы управления рисками ИБ, используемый набор технологий. Каждая характеристика содержит описание видов деятельности и процессов, которые типичны для организаций на разных уровнях зрелости. Организация, стремящаяся оценить зрелость своей системы обеспечения кибербезопасности, сравнивает свою собственную практику с теми, которые описаны в уровнях каждой характеристики. Оценки подкрепляются доказательствами.

Проблемы моделей оценки зрелости

Существует два принципиально разных подхода к использованию моделей зрелости в практической плоскости:

  • сравнение текущих характеристик и уровня зрелости с каким-либо моментом в прошлом, для отслеживания прогресса;
  • сравнение с другими организациями.

На состояние кибербезопасности внутри организации влияет огромное количество часто сложных и трудно измеряемых факторов, в том числе факторов, которые, возможно, не имеют ничего общего с кибербезопасностью, но существенно влияют на зрелость организации в области ИБ. Например, слияние с другой компанией требует формирования новых подходов и стандартов в области ИБ, синхронизации требований и даже культурного кода. На показатели программы повышения осведомленности и, как следствие, количества выявляемых инцидентов может существенно влиять высокая текучка кадров.

Поэтому использование моделей оценки зрелости для ретроспективного отслеживания улучшений требует привязки к контексту изменений контролируемых отслеживаемых параметров, что обычно не представляет проблемы из-за доступности контекстных данных.

Однако если предполагается использовать данную модель для сопоставления уровня зрелости двух организаций, то контекст предприятия будет иметь решающую роль для конечных выводов. К сожалению, информация о контексте крайне редко становится доступной публично или третьим лицам, поэтому сравнительная оценка в реальной жизни практически невозможна.

Другими словами, использование моделей зрелости для сравнения нескольких организации – это чаще всего сравнение яблок с апельсинами.

Обзор существующих моделей зрелости ИБ

Практически все современные модели зрелости основаны на модели CMM (Capability Maturity Model), разработанной и опубликованной в начале 1990-х гг. Институтом программной инженерии Карнеги – Меллона.

Для всех моделей зрелости ИБ можно выделить ряд общих компонентов. Рассмотрим их далее.

Уровни зрелости

Большинство моделей используют пятиуровневую структуру для оценки состояния безопасности каждого из доменов. Эти пять уровней могут быть представлены в виде трехэтапного процесса.

Первый этап представляет собой отправную точку с отсутствующими процессами менеджмента ИБ и неопределенными политиками безопасности. На втором этапе акцент делается на внедрение стандартов безопасности и формализованных процессов управления. Последний этап предполагает практически полностью автоматизированное управление безопасностью предприятия. На данном этапе достигается максимально возможный уровень защиты от киберугроз, а сама организация обретает устойчивость к кибератакам.

Домены безопасности

Модели предлагают оценивать широкий диапазон доменов безопасности от инфраструктуры, данных и сетей до людей, приложений, процессов управления и реагирования, требований по соблюдения правовых норм и управления контрактными обязательствами.

Диагностические методы оценки, измерения, идентификации недостатков и проведения бенчмаркинга

Для оценки текущего уровня и бенчмаркинга широко используются международные стандарты, такие как NIST, ISO 27k и COBIT.

Дорожные карты для руководства и методологии непрерывного улучшения

Как правило, основаны на цикле Деминга – Крюгера (Plan-Do-Check-Act) или цикле OODA (Observe-Orient-Decide-Act).

Все модели являются многомерными, рассматривают процессы как в разрезе доменов безопасности, так и уровней зрелости.

Отдельно стоит отметить, что для сравнения с рынком можно ограниченно использовать данные о сертификациях по стандартам PCI-DSS, ISO 27001 и аналогичным благодаря тому, что данные о сертификатах есть  в публичном доступе. В частности, ISO Survey, доступный на официальном сайте ISO (https://www.iso.org/the-iso-survey.html), позволяет получить статистку по сертификатам ISO 27001 с 2006 по 2017 г. в разрезе региона, страны, а также отрасли, к которой относится организация. Например, для предприятий сектора "Кожа и изделия из кожи" количество выданных сертификатов в среднем за год стремится к одному, что косвенно может свидетельствовать о том, что компании данного сектора существенных преимуществ от сертификации не получают.

Какие модели наиболее распространены

В публичном доступе практически отсутствует статистика по использованию предприятиями и организациями моделей зрелости в области ИБ. Исследователи из Технического университета Мадрида и Национального политехнического института Мехико провели анализ публикаций в научных профильных изданиях с 2012 по 2016 г. и получили список упоминаний моделей зрелости, который представлен в таблице 1, а также частоту их упоминаний в первоисточниках (рис. 1).

Borisov_tabl

  Рис. 1

borisov_ris

Выводы и прогнозы

В настоящее время как для коммерческих, так и для государственных организаций и учреждений доступен большой набор моделей оценки зрелости ИБ, построенных на схожих принципах. При этом реальное использование таких моделей достаточно ограниченно, в первую очередь из-за слабой привязки к особенностям конкретных организаций. Отчасти данная проблема решается адаптацией существующих подходов в виде отраслевых моделей (например, ES-C2M2 для компаний энергетического сектора, ONG-C2M2 для компаний нефтегазового сектора).

Основным заказчиком внедрения является высший менеджмент, который через оценку зрелости получает возможность высокоуровневого контроля прогресса внедрения процессов и технологий ИБ и соответствующим образом корректировать стратегические планы. Отсутствие публичных бенчмарков по рынку и отраслям и, как следствие, невозможность оценить уровень ИБ в своей компании по сравнению с конкурентами – один из факторов, обуславливающих относительно низкое распространение существующих моделей зрелости.

В ближайшем будущем можно ожидать развития существующих моделей, построенных на широко распространенных фреймворках NIST CSF, а также моделей, изначально созданных для информационной безопасности, таких как SSE-CMM.

Более того, очень вероятным выглядит появление новой модели, включающей не только качественный анализ через набор характеристик/доменов, но и количественную оценку состояния кибербезопасности, что позволит использовать оценку как для стратегического, так и для оперативного планирования, а также создать продвинутую экспертную аналитическую систему.

Оптимальным решением на сегодня выглядит начало внедрения любой из существующих моделей оценки с последующей адаптацией и расширением под собственные потребности. Схожие принципы построения моделей позволят в будущем достаточно безболезненно мигрировать на более подходящую, при этом накопленный опыт в оценке, а также статистические данные позволят судить о прогрессе развития процессов ИБ на предприятии, причем, что немаловажно, в удобной и понятной для высшего менеджмента форме.

Поэтому, безусловно, модели зрелости – полезный и важный инструмент ИБ, который  требует для внедрения определенных ресурсов и, как ни странно, определенного уровня зрелости организации. Но и первое и второе являются нормальным эволюционным процессом для информационной безопасности.

Темы:УправлениеКомпанииУровни зрелости

Программа мероприятий
по информационной безопасности
на ТБ Форуме 2025
Крокус Экспо | 11-13 февраля 2025

Посетить
Обзоры. Спец.проекты. Исследования
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля 2025
Получите комментарии экспертов на ТБ Форуме 2025
Статьи по той же темеСтатьи по той же теме

  • Кризисный менеджмент в информационной безопасности
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    В данной статье рассмотрим, что такое кризисный менеджмент и как его принципы соотносятся с классическим циклом PDCA, обеспечивая системный подход к управлению информационной безопасностью.
  • Ключевые индикаторы риска: как ими правильно пользоваться
    Кирилл Чекудаев, ведущий консультант по информационной безопасности RTM Group
    Ключевые индикаторы риска (КИР) необходимо корректно определить, и на этом этапе, как показывает практика, у многих организаций финансового сектора возникают проблемы.
  • Секьюритизация сотрудников: практики и инструменты в интересах безопасности организации
    Кирилл Шалеников, руководитель проектов в интеграторе Angara Security
    Security Awareness – неотъемлемая часть стратегии информационной безопасности для любой организации. Обученные сотрудники способствуют созданию более защищенной среды и снижают риски для потери данных и репутации компании. Инвестиции в обучение и повышение осведомленности сотрудников могут оказаться одной из наиболее эффективных мер по обеспечению безопасности информации.
  • Ключевые показатели эффективности для подразделений информационной безопасности
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    В практической деятельности у руководителей cлужб информационной безопасности часто возникают проблемы, связанные с оценкой эффективности возглавляемого ими подразделения.
  • Что такое Compromise Assessment и зачем он нужен бизнесу
    Семен Рогачев, руководитель отдела реагирования на инциденты системного интегратора “Бастион”
    Если СЗИ молчат, то это не значит, что систему безопасности организации не взломали. Некоторые хакеры могут годами прятаться в ИТ-инфраструктуре и шпионить, прежде чем решат нанести удар. Вовремя выявить такую опасность или убедиться в ее отсутствии помогает практика Compromise Assessment.
  • От черного ящика к прозрачности: что CEO должен знать об ИБ
     Евгений Сурков, менеджер продуктов компании Innostage
    Почему CEO и высшему руководству иногда сложно понять ИБ-вызовы, какие проблемы несет отсутствие единой методологии и где найти баланс между открытостью и безопасностью?

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
13 февраля | Подходы и инструменты управления процессом РБПО
Узнайте на ТБ Форуме 2025!

More...
ТБ Форум 2025
13 февраля. Отечественные ИТ-системы и российское ПО
Жми, чтобы участвовать

More...