АссистентНовый вопросИсторияОбласти знаний
Партнёрские проектыСпецпроектыСтать автором
Сменить язык
О РУВИКИ

Обзор киберустойчивости

Обзор киберустойчивости (англ. Cyber Resilience Review, CRR)[1] — это метод оценки, разработанный Министерством внутренней безопасности США. Является добровольным инструментом анализа операционной устойчивости и практик кибербезопасности, который предоставляется DHS бесплатно операторам объектов критически важной инфраструктуры, а также органам власти штатов, муниципалитетов, индейским и территориальным правительствам США.

Описание

Обзор киберустойчивости построен по сервисно-ориентированному принципу: одной из его ключевых идей считается то, что организация использует свои активы, такие как, персонал, информацию, технологии, инфраструктуру, для поддержки конкретных оперативных миссий или сервисов. Метод оценки предлагается в двух форматах: в виде фасилитируемого очного семинара и в виде самостоятельного прохождения с помощью специального пакета[2]. Семинары проводятся фасилитаторами DHS на объектах критической инфраструктуры и обычно занимают 6–8 часов, вовлекая представителей различных подразделений организации. Вся информация, собираемая в ходе фасилитируемого обзора, защищена Законом о конфиденциальной информации критической инфраструктуры 2002 года, и не может быть раскрыта по запросу в соответствии с Законом о свободе информации, использована при гражданском судопроизводстве или в целях регулирования[3]. Самостоятельный пакет обзора киберустойчивости позволяет организации провести оценку без прямого участия DHS и предоставляется для скачивания на сайте программы DHS по вопросам кибербезопасности критической инфраструктуры[4].

Пакет включает инструмент автоматизированного сбора данных и генерации отчётов, руководство по проведению семинара, подробное описание всех вопросов, а также сопоставление практик обзора киберустойчивости с критериями Рамочного стандарта кибербезопасности Национального института стандартов и технологий[5][6]. Набор и формулировки вопросов, а также итоговый отчёт идентичны во всех форматах прохождения оценки. Методика и внедрение обзора разрабатывались совместно DHS и отделом CERT Института программной инженерии при Университете Карнеги — Меллон. Основные цели и практики обзора основаны на «Модели управления устойчивостью» CERT (CERT-RMM) версии 1.0[7]. Обзор был впервые предложен в 2009 году и существенно переработан в 2014 году[8].

Архитектура

Обзор киберустойчивости включает 42 цели и 141 конкретную практику, заимствованные из CERT-RMM и объединённые в 10 доменов[9]:

  1. Управление активами
  2. Управление контролями
  3. Управление конфигурациями и изменениями
  4. Управление уязвимостями
  5. Управление инцидентами
  6. Управление непрерывностью сервисов
  7. Управление рисками
  8. Управление внешней зависимостью
  9. Обучение и осведомлённость
  10. Ситуационная осведомлённость

Для каждого домена формулируется его назначение, составляется набор уникальных целей и соответствующих вопросов по практикам, а также применяется стандартный список вопросов для оценки Уровня индикатора зрелости. MIL-вопросы отражают степень институционализации практик в организации. Оценка организации производится по шкале MIL[10], состоящей из пяти уровней: MIL1 — «Неполный», MIL2 — «Реализованный», MIL3 — «Управляемый», MIL4 — «Измеряемый», MIL5 — «Определённый».

Институционализация означает, что практики кибербезопасности становятся глубоко внедрённой, устойчивой частью организации, поскольку они надлежащим образом управляются и поддерживаются. Чем выше уровень институционализации, тем выше предсказуемость и надёжность реализуемых практик, а также вероятность их сохранения в условиях кризисов или стресса. Повышение зрелости также способствует более тесному соответствию между киберзащитой и деловыми целями организации: например, на высоких уровнях зрелости руководство осуществляет надзор за соответствующим доменом и оценивает эффективность реализуемых мер безопасности.

Число целей и вопросов по практикам для каждого домена индивидуальны, однако набор MIL-вопросов и соответствующих понятий универсален для всех областей. На каждый вопрос обзора участники могут дать один из трёх ответов: «Да», «Нет» или «Неполный». Оценка зрелости производится по практикам, целям, доменам и MIL-уровням, баллы рассчитываются для каждого элемента и в агрегированном виде. Методика оценки включает следующие принципы:

  1. Практики могут находиться в одном из трёх состояний: реализована, не реализована, реализована неполностью.
  2. Цель домена считается достигнутой только если выполнены все участвующие практики.
  3. Домен считается полностью реализованным, если достигнуты все его цели.

Если данные условия выполнены, организация считается достигшей состояния «реализованный домен»: все практики домена исполнены, однако не даётся оценка их:

  1. воспроизводимости при различных условиях,
  2. последовательности применения,
  3. возможности выдачи предсказуемых и приемлемых результатов,
  4. устойчивости в стрессовых условиях.

Вышеперечисленные качества проверяются применением универсального блока из 13 MIL-вопросов, но только после достижения MIL1 в домене. MIL-уровни достигаются последовательно и нарастающе: чтобы получить MIL2 по домену, необходимо выполнить практики MIL1 и MIL2, и так далее.

undefined
undefined

Результаты

Участники обзора получают детализированный отчёт с результатами по каждому вопросу во всех доменах, а также графическое представление достигнутых уровней зрелости на тепловой карте, по целям и в целом по доменам. Такой отчёт позволяет целенаправленно выявлять и прорабатывать слабые места оценки. Организации, проходящие фасилитируемую версию, дополнительно получают графики с сравнением результатов с агрегированными показателями всех прочих участников. В отчёте также представлены возможные пути для повышения зрелости практик, базирующиеся преимущественно на CERT-RMM и профильных публикациях NIST. Кроме того, организации могут соотносить результаты обзора с критериями Рамочного стандарта кибербезопасности NIST — эта возможность реализована с февраля 2014 года[11].

Примечания

  1. Cyber Resilience Review Fact Sheet (англ.). US-CERT. Дата обращения: 20 июня 2024. Архивировано 5 марта 2016 года.
  2. Cyber Resilience Review (CRR) (англ.). US-CERT. Дата обращения: 20 июня 2024. Архивировано 11 марта 2015 года.
  3. PCII Fact Sheet (англ.). Минвнутренних дел США. Дата обращения: 20 июня 2024. Архивировано 19 февраля 2015 года.
  4. DHS Cyber Community Voluntary Program (англ.). US-CERT. Дата обращения: 20 июня 2024. Архивировано 11 марта 2015 года.
  5. “NIST Cybersecurity Framework Sheet”. NIST [англ.]. 12 ноября 2013. Дата обращения 2024-06-20.
  6. Cyber Resilience Review-NIST Cybersecurity Framework Crosswalk (англ.). US-CERT. Дата обращения: 20 июня 2024. Архивировано 11 марта 2015 года.
  7. Caralli, R., Allen, J.,& White, D. (2010) CERT Resilience Management Model Version 1 (англ.). Software Engineering Institute, Carnegie Mellon University (30 апреля 2010). Дата обращения: 20 июня 2024. Архивировано 24 сентября 2015 года.
  8. Mehravari, N. (2014) Resilience Management Through the Use of CERT-RMM and Associated Success Stories (англ.). Software Engineering Institute, Carnegie Mellon University. Дата обращения: 20 июня 2024. Архивировано 24 сентября 2015 года.
  9. Cyber Resilience Method Description and User Guide (англ.). US-CERT. Дата обращения: 20 июня 2024. Архивировано 4 мая 2015 года.
  10. Butkovic, M.,& Caralli, R. (2013) Advancing Cybersecurity Capability Measurement Using the CERT-RMM Maturity Indicator Level Scale (англ.). Software Engineering Institute, Carnegie Mellon University (30 апреля 2010). Дата обращения: 20 июня 2024. Архивировано 24 сентября 2015 года.
  11. Strassman, P. (2014) Cyber Resilience Review (англ.). Strassmann's Blog. Дата обращения: 20 июня 2024. Архивировано 21 сентября 2014 года.

Ссылки

Категории