МОДЕЛЬ ЗРІЛОСТІ МОЖЛИВОСТЕЙ СИСТЕМИ КІБЕРБЕЗПЕКИ НА ОБ’ЄКТАХ КРИТИЧНОЇ ІНФРАСТРУКТУРИ ЕНЕРГЕТИЧНОГО СЕКТОРУ ES-C2M2
DOI:
https://doi.org/10.28925/2663-4023.2020.10.6774Ключові слова:
інформаційна безпека, модель зрілості можливостей, енергетична система, ES-C2M22Анотація
В даний час як для комерційних, так і для державних організацій і установ доступний великий набір моделей оцінки зрілості ІБ, побудованих на схожих принципах. При цьому реальне використання таких моделей досить обмежено, в першу чергу через слабку прив'язку до особливостей конкретних організацій. Частково дана проблема вирішується адаптацією існуючих підходів у вигляді галузевих моделей (наприклад, ES-C2M2 для компаній енергетичного сектору, ONG-C2M2 для компаній нафтогазового сектора). Більш того, дуже вірогідним виглядає поява нової моделі, що включає не тільки якісний аналіз через набір характеристик/доменів, а й кількісну оцінку стану кібербезпеки, що дозволить використовувати оцінку як для стратегічного, так і для оперативного планування, а також створити просунуту експертну аналітичну систему. Оптимальним рішенням на сьогодні виглядає початок впровадження будь-якої з існуючих моделей оцінки з подальшою адаптацією і розширенням під власні потреби. Схожі принципи побудови моделей дозволять в майбутньому досить безболісно мігрувати на більш відповідну, при цьому накопичений досвід в оцінці, а також статистичні дані дозволять судити про прогрес розвитку процесів ІБ на підприємстві, причому, що важливо, в зручною та зрозумілою для вищого менеджменту формі. Модель зрілості можливостей системи кібербезпеки ES-C2M2 може суттєво допомогти організаціям енергетичного сектору оцінювати та вдосконалювати свої напрямки з питань кібербезахисту. Модель зрілості можливостей ES-C2M2 є частиною програми зрілості можливостей кібербезпеки DOE (C2M2) та була розроблена для вирішення унікальних характеристик енергетичного підсектору. Модель зрілості можливостей являється інструментарієм самооцінки для вимірювання та вдосконалення своїх напрямків з питань кібербезпеки. Міжнародні стандарти та практики в області інформаційної безпеки рекомендують організаціям при плануванні діяльності по забезпеченню ІБ проводити оцінку поточного стану ІБ і встановлювати цільову планку на найближче майбутнє, досягнення якої дозволить компанії ефективно протистояти існуючим загрозам і своєчасно реагувати на нові виклики і загрози ІБ.
Завантаження
Посилання
Department of Energy: Cybersecurity Capability Maturity Model (C2M2): Version 1.1, Department of Homeland Security, 2014.
M. Lessing: Best practices show the way to Information Security Maturity. [Electronic resource]. Accecc: http:// researchspace. Csir. Co. Za/ dspace/ bitstream/handle/10204/3156/Lessing6_2008.pdf?S equence=1&isallowed=y.
Electricity Subsector Cybersecurity Capability Maturity Model (ES-C2M2) https://energy.gov/oe/cybersecurity-capability-maturity-model-c2m2-program/electricity-subsector-cybersecurity.
Уровень зрелости организации http://www.elitarium.ru/2007/04/09/uroven_zrelosti_organizacii.html
Best practices show the way to Information Security Maturity. MM Lessing. Council for Scientific and Industrial Research, South Africa
http://researchspace.csir.co.za/dspace/bitstream/10204/3156/1/Lessing6_2008.pdf
The Community Cyber Security Maturity Model http://www.computer.org/csdl/proceedings/hicss/2007/2755/00/27550099b-abs.html
CMMI® for Development, Version http://www.sei.cmu.edu/library/abstracts/reports/06tr008.cfm
