С чем CISO ходят к своему руководству? Демонстрация зрелости ИБ

Стратегия

Продолжаю обзор практики общения иностранных CISO со своими боссами, начатую в предыдущих двух заметках (тут и тут). Сегодня у нас на очереди тема зрелости ИБ. С одной стороны, измерение уровня своей зрелости, — задача непростая. Нужна непредвзятая оценка и адекватная методология, которая бы охватывала все необходимые направления обеспечения ИБ в организации. Часто в качестве такой методологии выбирают NIST CSF, ISO 27001, ISF или, что гораздо реже, O-ISM3. С другой стороны, уровень зрелости, — это некое численное значение, которое легко воспринимается и которое позволяет его сравнивать с другими организациями в отрасли, с конкурентами, или даже проводить оценку уровня ИБ между различными дочерними предприятиями или подразделениями организации. Этот же уровень отражает текущее состояние ИБ и позволяет быстро оценить, насколько мы близки или далеки от желаемого, целевого состояния. Среди других преимуществ — демонстрация прогресса, а также соотношение со стандартами, принятыми в отрасли.

Например, вот выглядит уровень зрелости всех аспектов безопасности в компании — и физической, и продуктовой, и кибер, и цепочек поставок, и устойчивости предприятия. Такое представление уровня зрелости присуще компаниям-производителям каких-либо сложных продуктов (ПО и железо, автомобили, электроника и т.п.), в которых кибербезопасность подчиняется не ИТ, а входит в общую службу безопасности.

Уровень зрелости в рамках дорожной карты трансформации ИБ
Уровень зрелости в рамках дорожной карты трансформации ИБ

В США (а большинство приводимых примеров именно оттуда) стандартом де-факто в части фреймворка по ИБ является NIST Cybersecurity Framework (CSF), которому следуют очень большое количество компаний, стараясь реализовывать все 5 блоков защитных мер, каждый из которых в свою очередь разбивается на более детальные требования по ИБ (нечто аналогичное сделано и в приказах ФСТЭК и стандартах ЦБ). Однако в методологию NIST CSF изначально была заложена возможность оценивать зрелость уровня ИБ, чем многие и пользуются.

Текущий уровень зрелости ИБ
Текущий уровень зрелости ИБ

А так, как NIST CSF является стандартом де-факто, знакомым и применяемым очень многими предприятиями, то с его помощью можно сравнивать себя с другими — конкурентами, другими компаниями, дочерними предприятиями и т.п. Некоторые наши нормативные документы тоже могли бы быть использованы для этого, но увы. У нас в стране таких обезличенных данных нет, поэтому применять оценку зрелости для бенчмаркинга сложно. Но в рамках одной группы компаний вполне работающая схема.

Сравнение уровня зрелости ИБ с другими
Сравнение уровня зрелости ИБ с другими

Однако у NIST CSF, как собственно и у многих других методик, включая и требования ФСТЭК и Банка России, существует один существенный недостаток — они показывают наличие у вас тех или иных защитных мер, но не говорят о том, насколько эффективно они реализованы. Знать, что у меня внедрена система обнаружения угроз, а также выстроен процесс ее поддержки и обновления, важно. Но насколько полно эта система покрывает предприятие, насколько правильно мы ею пользуемся, насколько наши работники обучены и квалифицированы… На эти вопросы упомянутые методики и стандарты не отвечают. Или другой пример. Я могу оценить наличие системы многофакторной аутентификации, но в реальности окажется, что это просто СМС на смартфон, что не является достаточно надежным и безопасным инструментом повышения защищенности учетных записей пользователей.

Чтобы улучшить эту ситуацию многие CISO расширяют существующие методологии, добавляя в итоговый скоринг различные иные метрики, а также результаты аудитов, пентестов, моделирования угроз. Правда, в этом случае разработанную кастомизированную методологию уже нельзя будет использовать для сравнения себя с другими организациями, использующими что-то другое для оценки своей зрелости.

Сопоставление текущего и планируемого уровня зрелости ИБ
Сопоставление текущего и планируемого уровня зрелости ИБ

Кстати, ФСТЭК готовит свою методику оценки защищенности организаций, которая чем-то напоминает методики оценки зрелости уровня ИБ. Государственным организациям, если методика будет для них обязательной, конечно, расширять ее будет нельзя (ну или придется вести две ветки — для регулятора и для себя), но для коммерческих организаций — это вполне возможный путь расширения документа ФСТЭК под свои задачи.

Дополнительная информация (другие статьи серии)

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).