Джош Сокол (создатель и генеральный директор SimpleRisk)
29 марта 2019 года мы с Алексом Полимени представили на конференции BSides в Остине некоторые работы, которые мы проделали для National Instruments в отношении использования NIST Cybersecurity Framework (CSF) в качестве основы для оценки зрелости кибербезопасности организации. Для тех, кто не знаком с NIST CSF, он разделяет передовые методы кибербезопасности на пять функций: идентификация, защита, обнаружение, реагирование и восстановление. Затем каждая из этих функций разбивается на несколько категорий. Например, функция «Идентификация» разделена на категории «Управление активами», «Бизнес-среда», «Стратегическое управление», «Оценка рисков», «Управление рисками» и «Управление рисками цепочки поставок». Всего в структуре NIST CSF 23 таких категории. Наконец, каждая из этих категорий затем делится на несколько подкатегорий. Имеется всего 108 таких подкатегорий, которые можно использовать в качестве элементов управления кибербезопасностью организации.
Мы с Алексом поняли, что можем оценить нашу текущую зрелость для каждой из этих подкатегорий, присвоив каждой одно из следующих значений:
Как только мы закончим оценивать нашу текущую зрелость, мы сможем использовать эти же значения зрелости для определения желаемого состояния зрелости. Итоговая таблица может выглядеть примерно так:
Затем мы расширим каждый из них, определив, почему мы приняли эти решения, и назначив владельцев для каждого из них. Затем мы могли сравнить наши текущие возможности с желаемыми возможностями, и везде, где есть пробел, мы документировали соответствующий риск в SimpleRisk.
Поскольку мы использовали SimpleRisk для документирования рисков, наши оценки риска формировались автоматически. Следующим шагом было планирование мер по снижению этих рисков, а затем определение приоритетов, над чем работать в первую очередь. Это станет основой нашей дорожной карты.
Мы определили, что приоритетность работы будет определяться на основе четырех факторов. Первыми были «Горячие темы». Это были вопросы высокого приоритета, которые могли привести к серьезному нарушениям в работе бизнеса или финансовым потерям. «Отчет о высоком риске» в SimpleRisk будет ключом к выявлению этих рисков. Следующим был «Быстрый выигрыш». Срывание низко висящих плодов, которых можно было достичь без особой внешней помощи или при минимальных затратах. Эти быстрые выигрыши были подчеркнуты в отчете SimpleRisk «Рекомендации по рискам». Третьим была «Долгосрочная работа». Это были проекты, необходимые для устранения множества рисков. SimpleRisk дал нам возможность определить эти проекты, чтобы сгруппировать риски и составить отчет о них. Наконец, была работа, основанная на целях и задачах управления. Это были области, в которых у компании были текущие цели и инициативы, которые могли быть поддержаны этими проектами.
Не буду врать… были потрачены значительные усилия, но результат был неоценим. В общем, теперь у нас есть диаграммы, отражающие различия в нашей зрелости по различным функциям и категориям NIST CSF, у нас есть приоритетный список рисков в нашей среде, и у нас есть дорожная карта, основанная на этих рисках и программа для определения будущего нашей кибербезопасности.