22
Model za vrednotenje kibernetske varnosti C2M2 Cybersecurity Capability Maturity Model STROKOVNI POSVET “INFORMACIJSKA VARNOST V ELEKTROENERGETIKI”, Janez Stergar Oktober 2018

Model za vrednotenje kibernetske varnosti - cigre-cired.si · •Izziv Orodje za razvijanje veščin pri upravljanju dinamičnih groženj in spremljanje stanja kibernetske varnosti

Embed Size (px)

Citation preview

Page 1: Model za vrednotenje kibernetske varnosti - cigre-cired.si · •Izziv Orodje za razvijanje veščin pri upravljanju dinamičnih groženj in spremljanje stanja kibernetske varnosti

Model za vrednotenje kibernetske varnosti

C2M2Cybersecurity Capability Maturity Model

STROKOVNI POSVET “INFORMACIJSKA VARNOST V ELEKTROENERGETIKI”,

Janez Stergar

Oktober 2018

Page 2: Model za vrednotenje kibernetske varnosti - cigre-cired.si · •Izziv Orodje za razvijanje veščin pri upravljanju dinamičnih groženj in spremljanje stanja kibernetske varnosti

• Uvod

• Temeljni koncepti

• Arhitektura

• Domene

• Napotila

• Cilji in praksa

Oktober 20182

Pregled

Model za vrednotenje kibernetske varnosti

POVEZOVALEC Odločevalci

Uprava in vodje

Operativa

VLOGE

Page 3: Model za vrednotenje kibernetske varnosti - cigre-cired.si · •Izziv Orodje za razvijanje veščin pri upravljanju dinamičnih groženj in spremljanje stanja kibernetske varnosti

• IzzivOrodje za razvijanje veščin pri upravljanju dinamičnih groženj in spremljanje stanja kibernetske varnosti

• PristopModel zrelosti za vrednotenje razvoja in ocenjevanje zmogljivosti kibernetske varnosti

• Rezultat: razširljiv model, sektorsko specifičen, zasnovan v partnerstvu z industrijo upoštevaje standarde in smernice

Oktober 20183

Uvod

Model za vrednotenje kibernetske varnosti

Page 4: Model za vrednotenje kibernetske varnosti - cigre-cired.si · •Izziv Orodje za razvijanje veščin pri upravljanju dinamičnih groženj in spremljanje stanja kibernetske varnosti

• Obseg

– Poljubne organizacije, ne glede na lastništvo, strukturo, velikost ali industrijo

– Pomembne storitve ; kritične (upravljavci kritične infrastrukture), bistvene (izvajalci bistvenih storitev)

• Cilji

– Načrtno vrednotenje zrelosti nadzorstev

– Poenoteno vrednotenje in primerjava med organizacijami

– Upravljati zmogljivosti kibernetskega varovanja

– Identifikacija prioritet pri aktivnostih in investicijah

– Izmenjava znanj in najboljše prakse

Model za vrednotenje kibernetske varnostiOktober 20184

Uvod

nadzorstvo v kibernetski varnostiSistematično pregledovanje, spremljanje poteka ali razvoja kibernetske varnosti, zlasti določenih

področij kontrol. Je ukrep, ki zmanjšuje tveganje; vključuje postopke, usmeritve, naprave, prakse ali druge aktivnosti, ki zmanjšujejo tveganja glede na izpostavljene grožnje in njihovi verjetnosti

udejanjenja;

Page 5: Model za vrednotenje kibernetske varnosti - cigre-cired.si · •Izziv Orodje za razvijanje veščin pri upravljanju dinamičnih groženj in spremljanje stanja kibernetske varnosti

• Osnovni proces

– Organizacija uporablja model, podporno orodje, poročila in vire za vrednotenje svojih zmogljivosti, prepoznava vrzeli v kibernetski zaščiti, določi prioritete glede na prepoznane vrzeli, razvija in izvaja načrte izboljševanja nadzorstev.

– Ko se poslovni cilji spremenijo ali se spremenijo tveganja se proces ciklično ponovi.

• Struktura modela

– Razširljiv okvir, ki ga lahko uporabimo za vrednotenje zmogljivosti na ravni podjetja ali funkcionalno.

– Zagotavljanje sklopa značilnosti, ki predstavljajo zmožnost in napredovanje na različnih področjih/domenah kibernetske varnosti.

– Značilnosti so povzete po najboljših praksah, standardih in smernicah.

Model za vrednotenje kibernetske varnostiOktober 20185

Uvod

Page 6: Model za vrednotenje kibernetske varnosti - cigre-cired.si · •Izziv Orodje za razvijanje veščin pri upravljanju dinamičnih groženj in spremljanje stanja kibernetske varnosti

• Nabor značilnosti, atributov, kazalnikov ali vzorcev, ki odražajo zmožnost in stanje napredovanja

• Ponazoritev najboljše prakse in merilo, s katerim lahko organizacija oceni trenutno raven sposobnosti svojih praks, postopkov in metod

• Podpora pri določanju ciljev in prednostnih nalog

• Lažja primerjava z drugimi

• Kazalniki stopenj zrelosti (0-3)

Model za vrednotenje kibernetske varnostiOktober 20186

Temeljni koncepti [Zrelostni model]

Page 7: Model za vrednotenje kibernetske varnosti - cigre-cired.si · •Izziv Orodje za razvijanje veščin pri upravljanju dinamičnih groženj in spremljanje stanja kibernetske varnosti

• Izraz "kritična infrastruktura" v kontekstu C2M2 je lahko opredeljena drugače

• Natančno ali "mehko" določen obseg dobrin npr. glede na nacionalno zakonodajo, širše (EU, ZDA) ali namensko

• Obravnavanje skozi vidike namenskega obsega oz. ciljev

– industrijski cilji

– sektorski cilji

– cilji specifični za podjetje

– poslovni cilji

Model za vrednotenje kibernetske varnostiOktober 20187

Temeljni koncepti [Opredelitev obsega]

Page 8: Model za vrednotenje kibernetske varnosti - cigre-cired.si · •Izziv Orodje za razvijanje veščin pri upravljanju dinamičnih groženj in spremljanje stanja kibernetske varnosti

• Celostnost razvida dobrin procesne (OT) in poslovne informatike (IT)

• Dobrine

– Tipične oz. standardne

– Sektorsko specifične (npr. SCADA, industrijska krmilja, drugi namenski krmilni sistemi procesov)

– Naslednja generacija (IoT)

• Ocena vrednosti

• Identifikacija ranljivosti in groženj

• Vrednotenje vpliva

Model za vrednotenje kibernetske varnostiOktober 20188

Temeljni koncepti [Razvid IT in OT dobrin]

Page 9: Model za vrednotenje kibernetske varnosti - cigre-cired.si · •Izziv Orodje za razvijanje veščin pri upravljanju dinamičnih groženj in spremljanje stanja kibernetske varnosti

• C2M2 je smotrno vključiti kot del stalnega procesa upravljanja tveganj glede na njegov edinstven profil tveganj

• C2M2 omogoča opisne in ne predpisane smernice ter mora biti v skladu s strategijo in programom za obvladovanje tveganj podjetja.

Model za vrednotenje kibernetske varnostiOktober 20189

Temeljni koncepti[Navezava s krovnim upravljanjem tveganj]

Obseg

Vrednotenje

Odzivanje

Spremljanje in nadzor TVEGANJA

Page 10: Model za vrednotenje kibernetske varnosti - cigre-cired.si · •Izziv Orodje za razvijanje veščin pri upravljanju dinamičnih groženj in spremljanje stanja kibernetske varnosti

• Mehanizem, ki opredeljuje področje obsega

• Obseg je lahko podsklop operacij organizacije, ki se vrednotijo (na podlagi modela)

• Tipično obseg usklajen z mejami organizacije, kot so npr. oddelki, poslovne enote ali različni objekti

• Lahko se uporabi tudi za oceno specifične sistemske ali tehnološke grožnje, ki presega obravnavan obseg npr. meje oddelkov

Primer:Model se lahko omeji na vrednotenje nadzorstev IKT storitev podjetja, tj. storitve e-pošte, omrežne storitve in storitve VoIP

Model za vrednotenje kibernetske varnostiOktober 201810

Temeljni koncepti [Funkcija C2M2]

Page 11: Model za vrednotenje kibernetske varnosti - cigre-cired.si · •Izziv Orodje za razvijanje veščin pri upravljanju dinamičnih groženj in spremljanje stanja kibernetske varnosti

Model za vrednotenje kibernetske varnostiOktober 201811

Arhitektura

Domene10 domen modela C2M2

Cilji nadzorstevEn ali več na domeno, edinstvena

za vsako domeno

MIL-1Nadzorstva @MIL-1

MIL-2Nadzorstva @MIL-2

MIL-3Nadzorstva @MIL-3

Cilji upravljanja

En sam na domenoSorodni za vsako domeno

MIL-2Upravljanje @MIL-2

MIL-3Upravljanje @MIL-3

Cilji pristopa je stopnjevanje nadzorstev, ki so edinstvena za

posamezno domeno.

Cilji upravljanja vzpodbujajo napredovanje praks in so podobni v

vsaki domeni. Opredeljujejo institucionalizacijo dejavnosti.

Page 12: Model za vrednotenje kibernetske varnosti - cigre-cired.si · •Izziv Orodje za razvijanje veščin pri upravljanju dinamičnih groženj in spremljanje stanja kibernetske varnosti

Model za vrednotenje kibernetske varnostiOktober 201812

Domene

CP

MC

PM

Upravljanje

programa

kibernetske

varnosti

Upravljanje

programa

kibernetske

varnosti

WM

WM Upravljanje

kadrovskih virov

Upravljanje

kadrovskih virov

ED

ME

DM

Upravljanje

dobaviteljev in

zunanjih

odvisnosti

Upravljanje

dobaviteljev in

zunanjih

odvisnosti

IRIR

Upravljanje

dogodkov/incide

ntov, odzivanje

in neprekinjenost

delovanja

Upravljanje

dogodkov/incide

ntov, odzivanje

in neprekinjenost

delovanja

ISC

ISC

Upravljanje

komunikacij in

izmenjava

informacij

Upravljanje

komunikacij in

izmenjava

informacij

SA

SA Spremljanje

razmer

Spremljanje

razmer

TV

MT

VM

Upravljanje

ranljivosti in

groženj

Upravljanje

ranljivosti in

groženj

IAM

IAM

Upravljanje

identitet in

dostopa

Upravljanje

identitet in

dostopaA

CM

AC

M

Upravljanje

dobrin,

sprememb in

Upravljanje

nastavitev

Upravljanje

dobrin,

sprememb in

Upravljanje

nastavitev

RM

RM Upravljanje s

tveganji

Upravljanje s

tveganji

• Domene predstavljajo logične skupine praks kibernetske varnosti

• Vsaka domena ima okrajšavo, ki je skladna z orodjem za evalvacijo

• Domene predstavljajo logične skupine praks kibernetske varnosti

• Vsaka domena ima okrajšavo, ki je skladna z orodjem za evalvacijo

Page 13: Model za vrednotenje kibernetske varnosti - cigre-cired.si · •Izziv Orodje za razvijanje veščin pri upravljanju dinamičnih groženj in spremljanje stanja kibernetske varnosti

• Stopnje kazalnikov zrelosti (0-3) - se uporabljajo neodvisno od domen in so kumulativne (MIL)

• Kazalniki nakazujejo dvotirni status zrelosti: praksa in institucionalizacija

• Pomembni vidiki kazalnikov

– so med-domensko neodvisni (različne stopnje za različne domene)

– so kumulativni znotraj domene (vsa nadzorstva na določeni ravni so podedovane iz nižjih stopenj)

– Poznavanje nadzorstev C2M2 pred določitvijo ciljnih kazalnikov za vsako domeno

– Uspešnost nadzorstev in ciljni kazalniki morajo biti usklajeni s poslovnimi cilji in strategijo kibernetske zaščite deležnika

Model za vrednotenje kibernetske varnostiOktober 201813

Domene [Kazalniki zrelosti]

Page 14: Model za vrednotenje kibernetske varnosti - cigre-cired.si · •Izziv Orodje za razvijanje veščin pri upravljanju dinamičnih groženj in spremljanje stanja kibernetske varnosti

Model za vrednotenje kibernetske varnostiOktober 201814

Domene [Kazalniki zrelosti]

3 Upravljano

2 Izvajano

1 Vzpostavljeno

0 Se ne izvaja

Upr

avlja

nje

tveg

anj

Upr

avlja

nje

tveg

anj

10 Domen modela: Logične skupine nadzorstev kibernetske varnosti

Upr

avlja

nje

dobr

in,

spre

mem

b in

Upr

avlja

nje

nast

avite

v

Upr

avlja

nje

dobr

in,

spre

mem

b in

Upr

avlja

nje

nast

avite

v

Upr

avlja

nje

iden

titet

in

dost

opa

Upr

avlja

nje

iden

titet

in

dost

opa

Upr

avlja

nje

ranl

jivos

ti in

grožen

j

Upr

avlja

nje

ranl

jivos

ti in

grožen

j

Spr

emlja

nje

razm

erS

prem

ljanj

e ra

zmer

Upr

avlja

nje

kom

unik

acij

in iz

men

java

info

rmac

ij

Upr

avlja

nje

kom

unik

acij

in iz

men

java

info

rmac

ij

Upr

avlja

nje

inci

dent

ov,

odzi

vanj

e in

nepr

ekin

jeno

st d

elov

anja

Upr

avlja

nje

inci

dent

ov,

odzi

vanj

e in

nepr

ekin

jeno

st d

elov

anja

Upr

avlja

nje

doba

vite

ljev

in z

unan

jih o

dvis

nost

i

Upr

avlja

nje

doba

vite

ljev

in z

unan

jih o

dvis

nost

i

Upr

avlja

nje

kadr

ovsk

ih

viro

v

Upr

avlja

nje

kadr

ovsk

ih

viro

v

Upr

avlja

nje

prog

ram

a

kibe

rnet

ske

varn

osti

Upr

avlja

nje

prog

ram

a

kibe

rnet

ske

varn

osti

Stopnje zrelosti: Opredelitev napredka izvajanja nadzorstev

Vsaka celica vsebuje opisno opredeljena nadzorstva za izbrano domeno in določeno

stopnjo zrelosti implementacije

Kaz

aln

iki z

relo

sti i

mp

lem

enta

cije

Page 15: Model za vrednotenje kibernetske varnosti - cigre-cired.si · •Izziv Orodje za razvijanje veščin pri upravljanju dinamičnih groženj in spremljanje stanja kibernetske varnosti

Model za vrednotenje kibernetske varnostiOktober 201815

Domene [Značilnosti stopenj kazalnikov]

MIL0 – Nadzorstva se ne izvajajo

MIL1 – Izhodiščna nadzorstva se izvajajo vendar lahko "ad hoc"

MIL2– Nadzorstva so dokumentirana– Deležniki so opredeljeni in vključeni v procese– Zagotovljeni so zadostni viri za podporo in izvajanje nadzorstev– Za izvajanje nadzorstev so podlaga standardi ali smernice

MIL3 – Podlaga za aktivnosti so politike (ali druga napotila) in smernice– Politike vsebujejo napotila/priporočila skladnosti z zahtevami

določenih standardov ali smernic– Dejavnosti se, glede skladnosti s politikami, redno pregledujejo– Odgovornosti in pooblastila za izvajanje aktivnosti so dodeljeni

kadrovskim virom– Osebje, ki izvaja aktivnosti, ima ustrezno znanje in spretnosti

Page 16: Model za vrednotenje kibernetske varnosti - cigre-cired.si · •Izziv Orodje za razvijanje veščin pri upravljanju dinamičnih groženj in spremljanje stanja kibernetske varnosti

• Splošno

Tveganja v kibernetski varnosti so lahko opredeljena kot npr. tveganje za operacije organizacije (vključno s poslanstvom, vlogo, funkcijami in ugledom), tveganja virom/dobrinam in povezanim organizacijam zaradi možnosti nepooblaščenega dostopa, uporabe, razkritja, motenj, sprememb ali uničenja informacij, IT in/ali OT.

• Predvideni cilji

– Vzpostavitev strategije za upravljanje tveganj v kibernetski varnosti

– Upravljanje tveganj kibernetske varnosti

– Aktivnosti upravljanja

Model za vrednotenje kibernetske varnostiOktober 201816

Domene [Identifikacija ciljev]

Domena: Upravljanje tveganj

Page 17: Model za vrednotenje kibernetske varnosti - cigre-cired.si · •Izziv Orodje za razvijanje veščin pri upravljanju dinamičnih groženj in spremljanje stanja kibernetske varnosti

MIL0 MIL1

a. Identificirajo se tveganja v kibernetski varnostib. Identificirana tveganje se zmanjšajo, sprejmejo se preostala

tveganja, tolerirajo ali prenesejo

MIL2b. Strategija programa kibernetske varnosti določa cilje za dejavnosti

organizacijec. Strategija in prednostne naloge programa za kibernetsko varnost so

dokumentirani in usklajeni s strateškimi cilji organizacije upoštevaje tveganja

d. Strategija programa za kibernetsko varnost opredeljuje pristop organizacije za zagotovitev nadzora nad programi in vodenja za dejavnosti kibernetske varnosti

e. Strategija kibernetske varnosti opredeljuje strukturo in organizacijo programa kibernetske varnosti

f. Strategijo programa za kibernetsko varnost odobri višje vodstvo

MIL3 g. Strategija kibernetske varnosti se posodablja, da odraža poslovne

spremembe, spremembe v delovnem okolju in spremembe v profilu groženj (TVM-1d)

Model za vrednotenje kibernetske varnostiOktober 201817

Domene [Primer razčlenitve]

Domena: Upravljanje tveganjCilj: Upravljanje tveganj kibernetske varnosti

Page 18: Model za vrednotenje kibernetske varnosti - cigre-cired.si · •Izziv Orodje za razvijanje veščin pri upravljanju dinamičnih groženj in spremljanje stanja kibernetske varnosti

Izvedba evalvacije/re

-evalvacija

Identifikacija vrzeli in analiza

Načrtovanje in prioritete

Implementacija načrta

• Oblikovanje/Ustanovitev skupine z ustreznimi kadrovskimi viri in profili znotraj organizacije

• Vrednotenje s točkovanjem (C2M2 orodje)

• Identifikacija vrzeli > Analiza posledic

• Identifikacija prioritet (vrzeli) / Domena

• Opredelitev ukrepov, za naslovitev vrzeli v določenih domenah.

• CBA in določitev prednostnih ukrepov >

• Načrtovanje implementacije

• Sledenje napredovanju

• Ciklično preverjanje ali proženo preverjanje v primeru večjih sprememb npr. tehnologija poslovanja, nove grožnje, ...

Model za vrednotenje kibernetske varnostiOktober 201818

Napotila in praksa [Smernice za uporabo modela]

Page 19: Model za vrednotenje kibernetske varnosti - cigre-cired.si · •Izziv Orodje za razvijanje veščin pri upravljanju dinamičnih groženj in spremljanje stanja kibernetske varnosti

Korak Vhodni podatki Aktivnost Rezultat

Evalvacija

1. C2M2 evalvacija

1. Izvedba delavnice z primerno skupino

udeležencev

C2M2 evalvacijskoporočilo

2. Politike in procedure

3. Program kibernetske varnosti

Analiza identificiranih

vrzeli

1. C2M2 Poročilo 1. Analiza vrzeli v okviru deležnika

Razvid vrzeli in potencialnih posledic

2. Cilji organizacije 2. Ovrednotenje posledic identificiranih vrzeli

3. Vpliv na pomembnoinfrastrukturo

3. Identifikacija prioritet (vrzeli po prioriteti)

Načrtovanje in prioritete

1. Seznam vrzeli in potencialne posledice

1. Identifikacija aktivnosti za naslavljanje vrzeli

Implementacijski načrt s prioritetami

2. Omejitve deležnika 2. CBA in aktivnosti

3. Prioriteten aktivnosti

4. Načrt implementacije

Implementacija

1. Implementacijski načrt s prioritetami

1. Spremljanje napredka

Podatki o spremljanju projekta2. Ponovna evalvacija ali

odzivanje na večje spremembe

Model za vrednotenje kibernetske varnostiOktober 201819

Napotila in praksa [Smernice za uporabo modela]

Page 20: Model za vrednotenje kibernetske varnosti - cigre-cired.si · •Izziv Orodje za razvijanje veščin pri upravljanju dinamičnih groženj in spremljanje stanja kibernetske varnosti

Model za vrednotenje kibernetske varnostiOktober 201820

Primer analize – pregled stanja [Uporaba modela]

Page 21: Model za vrednotenje kibernetske varnosti - cigre-cired.si · •Izziv Orodje za razvijanje veščin pri upravljanju dinamičnih groženj in spremljanje stanja kibernetske varnosti

• C2M2 je uporabniško prijazno orodje, ki omogoča prožno in stroškovno učinkovito vrednotenje in izboljšanje zmogljivosti kibernetskega varovanja;

• Proces vrednotenja je časovno optimiran. Deležnik tipično organizira enodnevni skupni sestanek posebne skupine s področja varnosti in robustnosti;

• Opredeljene so prakse, ki se ocenijo glede na stopnjo izvajanja oziroma zrelost implementacije: prakse se izvajajo v celoti, se izvajajo v večini, se delno izvajajo, ali se ne izvajajo;

• Rezultati ocene (subjektivni/objektivni) so podani v obliki poročila glede na posamezne domene;

• Z obdelavo odgovorov se z orodjem samodejni tvori povzetek in podrobna poročila, ki vključujejo vizualizacijo stopenj zrelosti in vrzeli.

Model za vrednotenje kibernetske varnostiOktober 201821

Zaključek

Page 22: Model za vrednotenje kibernetske varnosti - cigre-cired.si · •Izziv Orodje za razvijanje veščin pri upravljanju dinamičnih groženj in spremljanje stanja kibernetske varnosti

[email protected]

Hvala za pozornost!