Продолжаю обзор практики общения иностранных CISO со своими боссами, начатую в предыдущих двух заметках ( тут и тут ). Сегодня у нас на очереди тема зрелости ИБ. С одной стороны, измерение уровня своей зрелости, — задача непростая. Нужна непредвзятая оценка и адекватная методология, которая бы охватывала все необходимые направления обеспечения ИБ в организации. Часто в качестве такой методологии выбирают NIST CSF, ISO 27001, ISF или, что гораздо реже, O-ISM3 . С другой стороны, уровень зрелости, — это некое численное значение, которое легко воспринимается и которое позволяет его сравнивать с другими организациями в отрасли, с конкурентами, или даже проводить оценку уровня ИБ между различными дочерними предприятиями или подразделениями организации. Этот же уровень отражает текущее состояние ИБ и позволяет быстро оценить, насколько мы близки или далеки от желаемого, целевого состояния. Среди других преимуществ — демонстрация прогресса, а также соотношение со стандартами, принятыми в отрасли.
Например, вот выглядит уровень зрелости всех аспектов безопасности в компании — и физической, и продуктовой, и кибер, и цепочек поставок, и устойчивости предприятия. Такое представление уровня зрелости присуще компаниям-производителям каких-либо сложных продуктов (ПО и железо, автомобили, электроника и т.п.), в которых кибербезопасность подчиняется не ИТ, а входит в общую службу безопасности.
В США (а большинство приводимых примеров именно оттуда) стандартом де-факто в части фреймворка по ИБ является NIST Cybersecurity Framework (CSF), которому следуют очень большое количество компаний, стараясь реализовывать все 5 блоков защитных мер, каждый из которых в свою очередь разбивается на более детальные требования по ИБ (нечто аналогичное сделано и в приказах ФСТЭК и стандартах ЦБ). Однако в методологию NIST CSF изначально была заложена возможность оценивать зрелость уровня ИБ, чем многие и пользуются.
А так, как NIST CSF является стандартом де-факто, знакомым и применяемым очень многими предприятиями, то с его помощью можно сравнивать себя с другими — конкурентами, другими компаниями, дочерними предприятиями и т.п. Некоторые наши нормативные документы тоже могли бы быть использованы для этого, но увы. У нас в стране таких обезличенных данных нет, поэтому применять оценку зрелости для бенчмаркинга сложно. Но в рамках одной группы компаний вполне работающая схема.
Однако у NIST CSF, как собственно и у многих других методик, включая и требования ФСТЭК и Банка России, существует один существенный недостаток — они показывают наличие у вас тех или иных защитных мер, но не говорят о том, насколько эффективно они реализованы. Знать, что у меня внедрена система обнаружения угроз, а также выстроен процесс ее поддержки и обновления, важно. Но насколько полно эта система покрывает предприятие, насколько правильно мы ею пользуемся, насколько наши работники обучены и квалифицированы… На эти вопросы упомянутые методики и стандарты не отвечают. Или другой пример. Я могу оценить наличие системы многофакторной аутентификации, но в реальности окажется, что это просто СМС на смартфон, что не является достаточно надежным и безопасным инструментом повышения защищенности учетных записей пользователей.
Чтобы улучшить эту ситуацию многие CISO расширяют существующие методологии, добавляя в итоговый скоринг различные иные метрики, а также результаты аудитов, пентестов, моделирования угроз. Правда, в этом случае разработанную кастомизированную методологию уже нельзя будет использовать для сравнения себя с другими организациями, использующими что-то другое для оценки своей зрелости.
Кстати, ФСТЭК готовит свою методику оценки защищенности организаций, которая чем-то напоминает методики оценки зрелости уровня ИБ. Государственным организациям, если методика будет для них обязательной, конечно, расширять ее будет нельзя (ну или придется вести две ветки — для регулятора и для себя), но для коммерческих организаций — это вполне возможный путь расширения документа ФСТЭК под свои задачи.
Заметка С чем CISO ходят к своему руководству? Демонстрация зрелости ИБ была впервые опубликована на Бизнес без опасности .
