Модель зрелости национального потенциала в области кибербезопасности
Модель зрелости национального потенциала в области кибербезопасности (англ. Cybersecurity Capacity Maturity Model for Nations, CMM) — концептуальная рамочная модель, разработанная для оценки зрелости национального потенциала в сфере кибербезопасности по пяти ключевым измерениям[1]. Эти измерения определяют области, в которых государство может и должно усиливать свои возможности для повышения общего уровня кибербезопасности[2]. Модель была разработана Центром глобального потенциала в области кибербезопасности (англ. Global Cyber Security Capacity Centre, GCSCC) Оксфордского университета и стала первым в своём роде инструментом для самооценки национального уровня зрелости в сфере кибербезопасности, а также получения рекомендаций по его совершенствованию[3]. Каждое измерение разбито на факторы, а факторы — на аспекты[2]. Оценка по модели подразумевает выставление уровня зрелости для каждого фактора или аспекта по пятибалльной шкале, отражающей степень реализации в стране[2]. По итогам анализа формулируются рекомендации по тем направлениям, которые требуют усиленного внимания и инвестиций[3]. По состоянию на июнь 2021 года модель была внедрена и применена более чем в 80 странах[4]. Внедрение модели поддерживает участие международных организаций, таких как Организация американских государств (ОАГ), Всемирный банк, Международный союз электросвязи (МСЭ), Содружество по телекоммуникациям (CTO) и Глобальный форум по обмену опытом в области кибербезопасности (GFCE)[5].
Обзор
Всемирный саммит по информационному обществу обозначил развитие потенциала в области кибербезопасности одним из фундаментальных условий эффективного использования процессов и услуг цифровой трансформации, особенно в развивающихся странах[6]. Международный союз электросвязи (МСЭ) отметил, что развивающиеся страны зачастую не обладают достаточными возможностями для эффективного управления ИТ-рисками и противодействия киберугрозам[7]. Поскольку уязвимости в одной стране способны повлиять на кибербезопасность во всем мире, были предложены различные модели зрелости для оценки и сопоставления соответствующего потенциала на национальном уровне[8]. Одной из таких моделей является CMM[8].
Модель зрелости национального потенциала в области кибербезопасности была разработана в 2014 году как результат совместной работы Центра глобального потенциала в области кибербезопасности (GCSCC) и более 200 специалистов из научных кругов, международных и региональных организаций, а также частного сектора[9]. Оценка проводится по пяти основным направлениям («измерениям») с целью повышения эффективности, измеримости и охвата инициатив по развитию потенциала в сфере кибербезопасности на национальном уровне с использованием пятиуровневой шкалы зрелости[10]. Сопоставление уровня готовности страны проводится путём анализа её практик и инициатив в целом и по каждому из пяти измерений[2]. Как отмечено в одном из региональных оценочных докладов для стран Латинской Америки и Карибского бассейна, основная задача модели — выявить проблемы и рабочие решения в области кибербезопасности[11].
Модель неоднократно пересматривалась и актуализировалась, чтобы оставаться релевантной вызовам в сфере кибербезопасности на национальном уровне[2].
Модель включает измерения (dimensions), факторы (factors), аспекты (aspects), индикаторы (indicators) и стадии зрелости (stages)[2].
Измерения. Измерения (dimensions) охватывают ключевые направления государственной политики и практики в области кибербезопасности, подвергаемые оценке по модели CMM. Каждое измерение состоит из ряда факторов[2]. Измерения тесно взаимосвязаны, и достижение высокого уровня зрелости по одному из них зачастую требует развития сопутствующих факторов в других[2].
Пять базовых измерений по состоянию на 2021 год[2]:
- Разработка политики и стратегии в области кибербезопасности — оценивает, насколько страна располагает системной политикой и стратегией в сфере кибербезопасности.
- Формирование ответственной киберкультуры в обществе — анализируются осведомлённость граждан о цифровых рисках и наличие каналов для информирования о киберинцидентах/преступлениях.
- Выстраивание знаний и профессиональных компетенций — оценивается уровень образования, подготовки кадров и просвещения по вопросам кибербезопасности.
- Создание эффективной нормативной и правовой базы — анализируется способность страны разрабатывать, принимать и обеспечивать исполнение законодательства, регулирующего сферы кибербезопасности и приватности.
- Управление рисками посредством стандартов и технологий — анализируется применение стандартов и наличие инфраструктуры для внедрения технологий кибербезопасности.
Факторы. Факторы определяют ключевые компоненты потенциала, зрелость/развитость которых измеряется внутри каждого измерения. По состоянию на 2021 год модель выделяет 23 фактора, каждый из которых может включать один или несколько аспектов[2].
Аспекты. Аспекты — детализация факторов, способствующая сбору доказательств, точной оценке и выработке мер по совершенствованию[2].
Индикаторы. Индикаторы определяют конкретные действия, наличие которых свидетельствует о достижении определённой фазы зрелости[2]. Степень зрелости по аспекту определяется фактическим выполнением указанных индикаторов[3]. Перед переходом к следующей стадии необходимо подтвердить выполнение всех индикаторов для текущей стадии[3].
Стадии зрелости. Стадия зрелости (stage) по фактору/аспекту отражает достигнутый на данный момент уровень в стране[2]. В модели выделяют пять стадий зрелости: начальная (start-up), формирующаяся (formative), устоявшаяся (established), стратегическая (strategic) и динамическая (dynamic). Для достижения каждой стадии надо выполнить определённые индикаторы[3].
- Start-up — отсутствие каких-либо свидетельств существования инициатив в области кибербезопасности.
- Formative — отдельные инициативы присутствуют, но носят фрагментарный, нескоординированный и/или экспериментальный характер.
- Established — аспекты формально определены, функционируют, но обеспечены недостаточными ресурсами.
- Strategic — приоритетность аспектов определена исходя из общенациональных потребностей.
- Dynamic — система управления кибербезопасностью адаптивна, подтверждением чему служит лидирующая роль страны в международном сотрудничестве, высокая гибкость и полнота ресурсного обеспечения.
Первая версия модели была опубликована в 2014 году[12]. На основании пилотных внедрений в шести странах модель дорабатывалась, и обновлённая редакция вышла в 2017 году. С учётом полученного опыта, обратной связи экспертов GCSCC, стратегических и региональных партнёров, специалистов из науки, государственного сектора и гражданского общества обновление модели было произведено в 2021 году[13].
Состав измерений, факторов и аспектов эволюционировал от версии к версии. В редакции 2014 года модель насчитывала 5 измерений и 21 фактор[12]. Версия 2017 года — 5 измерений и 24 фактора[11]. Последняя редакция (2021) предусматривает 5 измерений и 23 фактора[2].
Таблица 1 — Измерения в различных редакциях модели.
| Измерение | 2014/2017 | 2021 |
|---|---|---|
| D1 | Политика и стратегия в области кибербезопасности | Разработка политики и стратегии в области кибербезопасности |
| D2 | Кибер-культура и общество | Формирование ответственной киберкультуры в обществе |
| D3 | Образование, подготовка и навыки в кибербезопасности | Выстраивание знаний и профессиональных компетенций |
| D4 | Нормативная и правовая база | Создание эффективной нормативной и правовой базы |
| D5 | Стандарты, организации и технологии | Управление рисками посредством стандартов и технологий |
Таблица 2 — Факторы по редакциям модели.
| Фактор | 2014 | 2017 | 2021 |
|---|---|---|---|
| D1.1 | Документированная/официальная национальная стратегия кибербезопасности | Национальная стратегия кибербезопасности | Национальная стратегия кибербезопасности |
| D1.2 | Реагирование на инциденты | Реагирование на инциденты | Инцидент-репортинг и антикризисное управление |
| D1.3 | Критическая национальная инфраструктура | Защита критической инфраструктуры | Защита критической инфраструктуры |
| D1.4 | Антикризисное управление | Антикризисное управление | Кибербезопасность в обороне и национальной безопасности |
| D1.5 | Вопросы киберобороны | Вопросы киберобороны | |
| D1.6 | Цифровое резервирование | Дублирование связей | |
| D2.1 | Мышление в контексте кибербезопасности | Мышление в контексте кибербезопасности | Мышление в контексте кибербезопасности |
| D2.2 | Осведомлённость в кибербезопасности | Доверие и уверенность в интернете | Доверие и уверенность в онлайн-сервисах |
| D2.3 | Доверие и уверенность в интернете | Понимание пользователями защиты персональных данных в интернете | Понимание пользователями защиты персональных данных онлайн |
| D2.4 | Приватность онлайн | Механизмы информирования/сообщений | Механизмы информирования/сообщений |
| D2.5 | Медиа и социальные медиа | Медиа и социальные медиа | |
| D3.1 | Национальная доступность образования и подготовки по кибербезопасности | Повышение осведомлённости | Формирование киберосведомлённости |
| D3.2 | Национальное развитие образования по кибербезопасности | Структуры обучения | Образование в сфере кибербезопасности |
| D3.3 | Программы подготовки и обучения в госсекторе/бизнесе | Структуры профессионального обучения | Профильная подготовка специалистов по кибербезопасности |
| D3.4 | Корпоративное управление, знания и стандарты | Научные исследования и инновации в области кибербезопасности | |
| D4.1 | Законодательная база в сфере кибербезопасности | Юридическая база | Юридические и регулирующие положения |
| D4.2 | Юридическое расследование | Криминальное правосудие | Связанное законодательство |
| D4.3 | Ответственное информирование | Формальные и неформальные кооперационные механизмы противодействия киберпреступности | Регуляторные и институциональные возможности |
| D4.4 | Формальные и неформальные кооперационные механизмы противодействия киберпреступности | ||
| D5.1 | Соблюдение стандартов | Соблюдение стандартов | Соблюдение стандартов |
| D5.2 | Организации, координирующие кибербезопасность | Устойчивость интернет-инфраструктуры | Защитные контроли |
| D5.3 | Устойчивость национальной инфраструктуры | Качество ПО | Качество программного обеспечения |
| D5.4 | Рынок кибербезопасности | Технические защитные меры | Устойчивость коммуникационной и интернет-инфраструктуры |
| D5.5 | Криптографические средства | Рынок кибербезопасности | |
| D5.6 | Рынок кибербезопасности | Ответственное раскрытие уязвимостей | |
| D5.7 | Ответственное раскрытие уязвимостей |
Процесс оценки
Оценка по модели CMM включает 3 стадии[3][14].
Этап 1. Аналитическая подготовка и определение партнёров. Для старта процесса выбирается страна — либо по собственному запросу, либо по инициативе международных или региональных организаций[3]. После подтверждения выбора выстраивается взаимодействие с принимающей стороной, определяются ключевые стейкхолдеры из научного, государственного, гражданского, бизнес- и международного секторов[2].
Этап 2. Оценочная сессия. Основной этап — очная трёхдневная работа с заинтересованными сторонами. Формируются межсекторальные команды по направлению пяти измерений[2]. Основной формат — открытые дискуссии или фокус-группы; также могут использоваться онлайн-инструменты для сбора информации[3][15]. Недостаток подтверждающих доказательств по некоторым аспектам может привести к снижению уровня зрелости[3]. Для уточнения могут проводиться дополнительные удалённые консультации[3].
Этап 3. Финальный отчёт. Результаты работы представляются национальному правительству; вопрос публикации итогового доклада находится в его ведении[2].
Итоговые рекомендации
По результатам оценки формируется подробный отчёт, отражающий обнаруженные пробелы по каждому аспекту и уровень зрелости по каждому индикатору[15]. Отчёт принадлежит государству-участнику[16], и оно вправе самостоятельно решать вопрос о его публикации[3]. В зависимости от собственных приоритетов стране могут быть рекомендованы меры и области для первоочередного ресурсного обеспечения[2].
В докладе также приводится диаграмма-солнечник (sunburst), визуализирующая уровень зрелости, обоснования для присуждения каждого уровня и рекомендации по дальнейшему повышению[17].
Примеры результатов внедрения модели доступны на сайте GCSCC[4].
Страны, в которых проводилась оценка по модели CMM
На сайте Центра глобального потенциала в области кибербезопасности размещён перечень стран, в которых была проведена или проводится оценка по модели:[4]
- Албания
- Антигуа и Барбуда
- Аргентина
- Армения
- Багамские Острова
- Бангладеш
- Барбадос
- Белиз
- Бенин
- Бутан
- Боливия
- Босния и Герцеговина
- Ботсвана
- Бразилия
- Буркина-Фасо
- Кабо-Верде
- Камерун
- Чили
- Колумбия
- Острова Кука
- Коста-Рика
- Кипр
- Доминика
- Доминиканская Республика
- Эквадор
- Сальвадор
- Эсватини
- Фиджи
- Гамбия
- Грузия
- Гана
- Гренада
- Гватемала
- Гайана
- Гаити
- Гондурас
- Исландия
- Индонезия
- Кот-д’Ивуар
- Ямайка
- Кирибати
- Косово
- Киргизия
- Лесото
- Либерия
- Литва
- Мадагаскар
- Малави
- Маврикий
- Мексика
- Микронезия
- Черногория
- Марокко
- Мозамбик
- Мьянма
- Намибия
- Никарагуа
- Нигер
- Нигерия
- Северная Македония
- Панама
- Папуа — Новая Гвинея
- Парагвай
- Перу
- Руанда
- Сент-Китс и Невис
- Сент-Люсия
- Сент-Винсент и Гренадины
- Самоа
- Сенегал
- Сербия
- Сьерра-Леоне
- Сомали
- Шри-Ланка
- Суринам
- Швейцария
- Танзания
- Таиланд
- Тонга
- Тринидад и Тобаго
- Тунис
- Тувалу
- Уганда
- Великобритания
- Уругвай
- Вануату
- Венесуэла
- Замбия