model za vrednotenje kibernetske varnosti - cigre-cired.si · •izziv orodje za razvijanje...
Post on 29-Oct-2018
223 Views
Preview:
TRANSCRIPT
Model za vrednotenje kibernetske varnosti
C2M2Cybersecurity Capability Maturity Model
STROKOVNI POSVET “INFORMACIJSKA VARNOST V ELEKTROENERGETIKI”,
Janez Stergar
Oktober 2018
• Uvod
• Temeljni koncepti
• Arhitektura
• Domene
• Napotila
• Cilji in praksa
Oktober 20182
Pregled
Model za vrednotenje kibernetske varnosti
POVEZOVALEC Odločevalci
Uprava in vodje
Operativa
VLOGE
• IzzivOrodje za razvijanje veščin pri upravljanju dinamičnih groženj in spremljanje stanja kibernetske varnosti
• PristopModel zrelosti za vrednotenje razvoja in ocenjevanje zmogljivosti kibernetske varnosti
• Rezultat: razširljiv model, sektorsko specifičen, zasnovan v partnerstvu z industrijo upoštevaje standarde in smernice
Oktober 20183
Uvod
Model za vrednotenje kibernetske varnosti
• Obseg
– Poljubne organizacije, ne glede na lastništvo, strukturo, velikost ali industrijo
– Pomembne storitve ; kritične (upravljavci kritične infrastrukture), bistvene (izvajalci bistvenih storitev)
• Cilji
– Načrtno vrednotenje zrelosti nadzorstev
– Poenoteno vrednotenje in primerjava med organizacijami
– Upravljati zmogljivosti kibernetskega varovanja
– Identifikacija prioritet pri aktivnostih in investicijah
– Izmenjava znanj in najboljše prakse
Model za vrednotenje kibernetske varnostiOktober 20184
Uvod
nadzorstvo v kibernetski varnostiSistematično pregledovanje, spremljanje poteka ali razvoja kibernetske varnosti, zlasti določenih
področij kontrol. Je ukrep, ki zmanjšuje tveganje; vključuje postopke, usmeritve, naprave, prakse ali druge aktivnosti, ki zmanjšujejo tveganja glede na izpostavljene grožnje in njihovi verjetnosti
udejanjenja;
• Osnovni proces
– Organizacija uporablja model, podporno orodje, poročila in vire za vrednotenje svojih zmogljivosti, prepoznava vrzeli v kibernetski zaščiti, določi prioritete glede na prepoznane vrzeli, razvija in izvaja načrte izboljševanja nadzorstev.
– Ko se poslovni cilji spremenijo ali se spremenijo tveganja se proces ciklično ponovi.
• Struktura modela
– Razširljiv okvir, ki ga lahko uporabimo za vrednotenje zmogljivosti na ravni podjetja ali funkcionalno.
– Zagotavljanje sklopa značilnosti, ki predstavljajo zmožnost in napredovanje na različnih področjih/domenah kibernetske varnosti.
– Značilnosti so povzete po najboljših praksah, standardih in smernicah.
Model za vrednotenje kibernetske varnostiOktober 20185
Uvod
• Nabor značilnosti, atributov, kazalnikov ali vzorcev, ki odražajo zmožnost in stanje napredovanja
• Ponazoritev najboljše prakse in merilo, s katerim lahko organizacija oceni trenutno raven sposobnosti svojih praks, postopkov in metod
• Podpora pri določanju ciljev in prednostnih nalog
• Lažja primerjava z drugimi
• Kazalniki stopenj zrelosti (0-3)
Model za vrednotenje kibernetske varnostiOktober 20186
Temeljni koncepti [Zrelostni model]
• Izraz "kritična infrastruktura" v kontekstu C2M2 je lahko opredeljena drugače
• Natančno ali "mehko" določen obseg dobrin npr. glede na nacionalno zakonodajo, širše (EU, ZDA) ali namensko
• Obravnavanje skozi vidike namenskega obsega oz. ciljev
– industrijski cilji
– sektorski cilji
– cilji specifični za podjetje
– poslovni cilji
Model za vrednotenje kibernetske varnostiOktober 20187
Temeljni koncepti [Opredelitev obsega]
• Celostnost razvida dobrin procesne (OT) in poslovne informatike (IT)
• Dobrine
– Tipične oz. standardne
– Sektorsko specifične (npr. SCADA, industrijska krmilja, drugi namenski krmilni sistemi procesov)
– Naslednja generacija (IoT)
• Ocena vrednosti
• Identifikacija ranljivosti in groženj
• Vrednotenje vpliva
Model za vrednotenje kibernetske varnostiOktober 20188
Temeljni koncepti [Razvid IT in OT dobrin]
• C2M2 je smotrno vključiti kot del stalnega procesa upravljanja tveganj glede na njegov edinstven profil tveganj
• C2M2 omogoča opisne in ne predpisane smernice ter mora biti v skladu s strategijo in programom za obvladovanje tveganj podjetja.
Model za vrednotenje kibernetske varnostiOktober 20189
Temeljni koncepti[Navezava s krovnim upravljanjem tveganj]
Obseg
Vrednotenje
Odzivanje
Spremljanje in nadzor TVEGANJA
• Mehanizem, ki opredeljuje področje obsega
• Obseg je lahko podsklop operacij organizacije, ki se vrednotijo (na podlagi modela)
• Tipično obseg usklajen z mejami organizacije, kot so npr. oddelki, poslovne enote ali različni objekti
• Lahko se uporabi tudi za oceno specifične sistemske ali tehnološke grožnje, ki presega obravnavan obseg npr. meje oddelkov
Primer:Model se lahko omeji na vrednotenje nadzorstev IKT storitev podjetja, tj. storitve e-pošte, omrežne storitve in storitve VoIP
Model za vrednotenje kibernetske varnostiOktober 201810
Temeljni koncepti [Funkcija C2M2]
Model za vrednotenje kibernetske varnostiOktober 201811
Arhitektura
Domene10 domen modela C2M2
Cilji nadzorstevEn ali več na domeno, edinstvena
za vsako domeno
MIL-1Nadzorstva @MIL-1
MIL-2Nadzorstva @MIL-2
MIL-3Nadzorstva @MIL-3
Cilji upravljanja
En sam na domenoSorodni za vsako domeno
MIL-2Upravljanje @MIL-2
MIL-3Upravljanje @MIL-3
Cilji pristopa je stopnjevanje nadzorstev, ki so edinstvena za
posamezno domeno.
Cilji upravljanja vzpodbujajo napredovanje praks in so podobni v
vsaki domeni. Opredeljujejo institucionalizacijo dejavnosti.
Model za vrednotenje kibernetske varnostiOktober 201812
Domene
CP
MC
PM
Upravljanje
programa
kibernetske
varnosti
Upravljanje
programa
kibernetske
varnosti
WM
WM Upravljanje
kadrovskih virov
Upravljanje
kadrovskih virov
ED
ME
DM
Upravljanje
dobaviteljev in
zunanjih
odvisnosti
Upravljanje
dobaviteljev in
zunanjih
odvisnosti
IRIR
Upravljanje
dogodkov/incide
ntov, odzivanje
in neprekinjenost
delovanja
Upravljanje
dogodkov/incide
ntov, odzivanje
in neprekinjenost
delovanja
ISC
ISC
Upravljanje
komunikacij in
izmenjava
informacij
Upravljanje
komunikacij in
izmenjava
informacij
SA
SA Spremljanje
razmer
Spremljanje
razmer
TV
MT
VM
Upravljanje
ranljivosti in
groženj
Upravljanje
ranljivosti in
groženj
IAM
IAM
Upravljanje
identitet in
dostopa
Upravljanje
identitet in
dostopaA
CM
AC
M
Upravljanje
dobrin,
sprememb in
Upravljanje
nastavitev
Upravljanje
dobrin,
sprememb in
Upravljanje
nastavitev
RM
RM Upravljanje s
tveganji
Upravljanje s
tveganji
• Domene predstavljajo logične skupine praks kibernetske varnosti
• Vsaka domena ima okrajšavo, ki je skladna z orodjem za evalvacijo
• Domene predstavljajo logične skupine praks kibernetske varnosti
• Vsaka domena ima okrajšavo, ki je skladna z orodjem za evalvacijo
• Stopnje kazalnikov zrelosti (0-3) - se uporabljajo neodvisno od domen in so kumulativne (MIL)
• Kazalniki nakazujejo dvotirni status zrelosti: praksa in institucionalizacija
• Pomembni vidiki kazalnikov
– so med-domensko neodvisni (različne stopnje za različne domene)
– so kumulativni znotraj domene (vsa nadzorstva na določeni ravni so podedovane iz nižjih stopenj)
– Poznavanje nadzorstev C2M2 pred določitvijo ciljnih kazalnikov za vsako domeno
– Uspešnost nadzorstev in ciljni kazalniki morajo biti usklajeni s poslovnimi cilji in strategijo kibernetske zaščite deležnika
Model za vrednotenje kibernetske varnostiOktober 201813
Domene [Kazalniki zrelosti]
Model za vrednotenje kibernetske varnostiOktober 201814
Domene [Kazalniki zrelosti]
3 Upravljano
2 Izvajano
1 Vzpostavljeno
0 Se ne izvaja
Upr
avlja
nje
tveg
anj
Upr
avlja
nje
tveg
anj
10 Domen modela: Logične skupine nadzorstev kibernetske varnosti
Upr
avlja
nje
dobr
in,
spre
mem
b in
Upr
avlja
nje
nast
avite
v
Upr
avlja
nje
dobr
in,
spre
mem
b in
Upr
avlja
nje
nast
avite
v
Upr
avlja
nje
iden
titet
in
dost
opa
Upr
avlja
nje
iden
titet
in
dost
opa
Upr
avlja
nje
ranl
jivos
ti in
grožen
j
Upr
avlja
nje
ranl
jivos
ti in
grožen
j
Spr
emlja
nje
razm
erS
prem
ljanj
e ra
zmer
Upr
avlja
nje
kom
unik
acij
in iz
men
java
info
rmac
ij
Upr
avlja
nje
kom
unik
acij
in iz
men
java
info
rmac
ij
Upr
avlja
nje
inci
dent
ov,
odzi
vanj
e in
nepr
ekin
jeno
st d
elov
anja
Upr
avlja
nje
inci
dent
ov,
odzi
vanj
e in
nepr
ekin
jeno
st d
elov
anja
Upr
avlja
nje
doba
vite
ljev
in z
unan
jih o
dvis
nost
i
Upr
avlja
nje
doba
vite
ljev
in z
unan
jih o
dvis
nost
i
Upr
avlja
nje
kadr
ovsk
ih
viro
v
Upr
avlja
nje
kadr
ovsk
ih
viro
v
Upr
avlja
nje
prog
ram
a
kibe
rnet
ske
varn
osti
Upr
avlja
nje
prog
ram
a
kibe
rnet
ske
varn
osti
Stopnje zrelosti: Opredelitev napredka izvajanja nadzorstev
Vsaka celica vsebuje opisno opredeljena nadzorstva za izbrano domeno in določeno
stopnjo zrelosti implementacije
Kaz
aln
iki z
relo
sti i
mp
lem
enta
cije
Model za vrednotenje kibernetske varnostiOktober 201815
Domene [Značilnosti stopenj kazalnikov]
MIL0 – Nadzorstva se ne izvajajo
MIL1 – Izhodiščna nadzorstva se izvajajo vendar lahko "ad hoc"
MIL2– Nadzorstva so dokumentirana– Deležniki so opredeljeni in vključeni v procese– Zagotovljeni so zadostni viri za podporo in izvajanje nadzorstev– Za izvajanje nadzorstev so podlaga standardi ali smernice
MIL3 – Podlaga za aktivnosti so politike (ali druga napotila) in smernice– Politike vsebujejo napotila/priporočila skladnosti z zahtevami
določenih standardov ali smernic– Dejavnosti se, glede skladnosti s politikami, redno pregledujejo– Odgovornosti in pooblastila za izvajanje aktivnosti so dodeljeni
kadrovskim virom– Osebje, ki izvaja aktivnosti, ima ustrezno znanje in spretnosti
• Splošno
Tveganja v kibernetski varnosti so lahko opredeljena kot npr. tveganje za operacije organizacije (vključno s poslanstvom, vlogo, funkcijami in ugledom), tveganja virom/dobrinam in povezanim organizacijam zaradi možnosti nepooblaščenega dostopa, uporabe, razkritja, motenj, sprememb ali uničenja informacij, IT in/ali OT.
• Predvideni cilji
– Vzpostavitev strategije za upravljanje tveganj v kibernetski varnosti
– Upravljanje tveganj kibernetske varnosti
– Aktivnosti upravljanja
Model za vrednotenje kibernetske varnostiOktober 201816
Domene [Identifikacija ciljev]
Domena: Upravljanje tveganj
MIL0 MIL1
a. Identificirajo se tveganja v kibernetski varnostib. Identificirana tveganje se zmanjšajo, sprejmejo se preostala
tveganja, tolerirajo ali prenesejo
MIL2b. Strategija programa kibernetske varnosti določa cilje za dejavnosti
organizacijec. Strategija in prednostne naloge programa za kibernetsko varnost so
dokumentirani in usklajeni s strateškimi cilji organizacije upoštevaje tveganja
d. Strategija programa za kibernetsko varnost opredeljuje pristop organizacije za zagotovitev nadzora nad programi in vodenja za dejavnosti kibernetske varnosti
e. Strategija kibernetske varnosti opredeljuje strukturo in organizacijo programa kibernetske varnosti
f. Strategijo programa za kibernetsko varnost odobri višje vodstvo
MIL3 g. Strategija kibernetske varnosti se posodablja, da odraža poslovne
spremembe, spremembe v delovnem okolju in spremembe v profilu groženj (TVM-1d)
Model za vrednotenje kibernetske varnostiOktober 201817
Domene [Primer razčlenitve]
Domena: Upravljanje tveganjCilj: Upravljanje tveganj kibernetske varnosti
Izvedba evalvacije/re
-evalvacija
Identifikacija vrzeli in analiza
Načrtovanje in prioritete
Implementacija načrta
• Oblikovanje/Ustanovitev skupine z ustreznimi kadrovskimi viri in profili znotraj organizacije
• Vrednotenje s točkovanjem (C2M2 orodje)
• Identifikacija vrzeli > Analiza posledic
• Identifikacija prioritet (vrzeli) / Domena
• Opredelitev ukrepov, za naslovitev vrzeli v določenih domenah.
• CBA in določitev prednostnih ukrepov >
• Načrtovanje implementacije
• Sledenje napredovanju
• Ciklično preverjanje ali proženo preverjanje v primeru večjih sprememb npr. tehnologija poslovanja, nove grožnje, ...
Model za vrednotenje kibernetske varnostiOktober 201818
Napotila in praksa [Smernice za uporabo modela]
Korak Vhodni podatki Aktivnost Rezultat
Evalvacija
1. C2M2 evalvacija
1. Izvedba delavnice z primerno skupino
udeležencev
C2M2 evalvacijskoporočilo
2. Politike in procedure
3. Program kibernetske varnosti
Analiza identificiranih
vrzeli
1. C2M2 Poročilo 1. Analiza vrzeli v okviru deležnika
Razvid vrzeli in potencialnih posledic
2. Cilji organizacije 2. Ovrednotenje posledic identificiranih vrzeli
3. Vpliv na pomembnoinfrastrukturo
3. Identifikacija prioritet (vrzeli po prioriteti)
Načrtovanje in prioritete
1. Seznam vrzeli in potencialne posledice
1. Identifikacija aktivnosti za naslavljanje vrzeli
Implementacijski načrt s prioritetami
2. Omejitve deležnika 2. CBA in aktivnosti
3. Prioriteten aktivnosti
4. Načrt implementacije
Implementacija
1. Implementacijski načrt s prioritetami
1. Spremljanje napredka
Podatki o spremljanju projekta2. Ponovna evalvacija ali
odzivanje na večje spremembe
Model za vrednotenje kibernetske varnostiOktober 201819
Napotila in praksa [Smernice za uporabo modela]
Model za vrednotenje kibernetske varnostiOktober 201820
Primer analize – pregled stanja [Uporaba modela]
• C2M2 je uporabniško prijazno orodje, ki omogoča prožno in stroškovno učinkovito vrednotenje in izboljšanje zmogljivosti kibernetskega varovanja;
• Proces vrednotenja je časovno optimiran. Deležnik tipično organizira enodnevni skupni sestanek posebne skupine s področja varnosti in robustnosti;
• Opredeljene so prakse, ki se ocenijo glede na stopnjo izvajanja oziroma zrelost implementacije: prakse se izvajajo v celoti, se izvajajo v večini, se delno izvajajo, ali se ne izvajajo;
• Rezultati ocene (subjektivni/objektivni) so podani v obliki poročila glede na posamezne domene;
• Z obdelavo odgovorov se z orodjem samodejni tvori povzetek in podrobna poročila, ki vključujejo vizualizacijo stopenj zrelosti in vrzeli.
Model za vrednotenje kibernetske varnostiOktober 201821
Zaključek
janez.stergar@agen-rs.si
Hvala za pozornost!
top related