General cybersecurity maturity model (GCMM) / Общая модель зрелости кибербезопасности
Version 1.1 / Версия 1.1
v 1.1 - Добавление п.GCMM-3.T2
v 1.0 - Первая самостоятельная версия модели
Есть значительное количество методологий по оценке уровня зрелости как отдельных направлений кибербезопасности, так и зрелости в скоупе компании в целом. Большинство методологий сложны и перегружены. Предлагаемая модель (GCMM) предполагает быстрый вход и легкую адаптацию под конкретную команду кибербезопасности.
Общая модель зрелости кибербезопасности (GCMM) позволяет выстроить прозрачные требования к персоналу и произвести гибкую оценку компетенций.
Стандартная стратегия роста кибербезопасности, заключается в том чтобы начать с подготовки, пройти через оценку, поставить цель, составить план и реализовать его.
Целевой уровень зрелости кибербезопасности определеяется безусловым выполнением всех необходимых критериев соответствия и уровня развития команды кибербезопасности.
| Уровень зрелости кибербезопасности | Необходимые критерии соответствия (C)[criteria] | Уровень развития команды кибербезопасности (T)[team] |
|---|---|---|
| Нулевой [Начальный] GCMM-0 |
В организации есть антивирус | CISO отсутствует как роль. Мероприятия по кибербезопасности выполняет единственный сотрудник, либо делегировано на представителей ИТ |
| Первый [Удовлетворительный] GCMM-1 |
1. Антивирус покрывает 100% инфраструктуры 2. Появляется SOC, возможно гибридный. Покрытие EDR-агентами не менее 90% инфраструктуры. 3. При удаленном подключении к критичным сегментам инфраструктуры применяется 2FA. |
Появляется ответственный за обеспечечение кибербезопасности. Возможно выделяется роль CISO. |
| Второй [Достаточный] GCMM-2 |
1. При удаленном доступе используется VPN-подключение с обязательным 2FA (OTP, внешний токен). 2. Внедрена система класса DLP (Data Loss Prevention), возможно с минимальной глубиной настроек и контроля не всех возможных каналов утечек информации. Покрытие DLP-агентами не менее 80% инфраструктуры. 3. Применяется решение класса PAM (Privileged access management). Как минимум при доступе к критичным информационным системам. 4. Применяется корпоративное хранилище секретов. Как минимум для хранения ТУЗ. Назначены отвественные за каждую запись. 5. Выстроен процесс безопасной разработки. Внедрены SAST и DAST сканеры. |
1. Появляются выстроенные процессы кибербезопасности в компании. 2. Имеется DPO как выделенная сущность. 3. Производится оценка уровня компетенций команды - общая, по уровням развития (junior/middle/senior). 4. Возможно выделение команд blue/red/yellow/purple team |
| Третий [Высокий] GCMM-3 |
1. При удаленном доступе используется VPN-подключение с обязательным 2FA (OTP, внешний токен) с контролем конфигурации конечного устройства - возможна интеграция с NAC, либо использование решения класса ZTNA. 2. Внедрено решение класса NAC (Network Access Control) с обязательным контролем конечных устройств на соотвествие внутренним политикам, контролем конфигурации сетевых устройств и контролем изменения. 3. Внедрено решение класса IDM (Identity Management) c обязательной интеграцией со всеми информационными системами компании и возможностью аудита доступов. 4. Использование сервисов специализированных средств киберразведки, как минимум при планировании внешних интеграций и обогащении СЗИ. 5. Процесс управления уязвимостями закрывает контроль внутренней и внешней инфраструктуры, проводится контроль конфигурации инфраструктуры. |
1. Тесная интеграция кибербезопасности с бизнесом. 2. Ранее выстроенные процессы кибербезопасности обрастают метриками эффективности. 3. Построение развития кибербезопасности с учетом рисков ИБ. 4. Структурно развитая команда кибербезопасности - выделены роли blue/red/yellow/purple team. Производится на постоянной основе оценка компетенций команды с выделением ролей appsec, vulnerability management инженер, dpo и пр. 5. Полностью выполнена одна из приоритетных задач CISO - построение культуры кибербезопасности с компании. |
| Четвертый [Высочайший] GCMM-4 |
1. Внедрена система класса SGRC как единое окно работы с кибербезопасностью в организации. 2. Внедрен BugBounty - на постоянной основе для всех критичных и внешних информационных систем. |
Завершено внедрение Security by Design в архитектурном пласте планирования. |
Для создания фреймворка были проанализированы и использованы следующие материалы:
- Международные лучшие практики:
- Building Security In Maturity Model (BSIMM);
- OWASP Software Assurance Maturity Model (SAMM);
- DevSecOps Maturity Model (DSOMM);
- Microsoft Security Development Lifecycle (SDL);
- ГОСТ Р 58412-2019. РАЗРАБОТКА БЕЗОПАСНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ. Угрозы безопасности информации при разработке программного обеспечения;
- Практики от Center for Internet Security (CIS):
- Многолетний опыт CISO.