Cybersäkerhetskapacitet Mognadsmodell för nationer

Cybersecurity Capacity Maturity Model for Nations (CMM) är ett ramverk som utvecklats för att granska ett lands cybersäkerhetskapacitet i fem dimensioner. De fem dimensionerna täcker det kapacitetsområde som krävs av ett land för att förbättra sin cybersäkerhetsställning. Det designades av Global Cyber Security Capacity Center (GCSCC) vid University of Oxford och det första i sitt slag för länder att se över sin cybersäkerhetskapacitet, jämföra den och få rekommendationer för förbättringar. Varje dimension är uppdelad i faktorer och faktorerna uppdelade i aspekter. Granskningsprocessen inkluderar att betygsätta varje faktor eller aspekt i fem steg som representerar hur bra ett land klarar sig med avseende på den faktorn eller aspekten. Rekommendationerna innehåller vägledning om områden inom cybersäkerhet som behöver förbättras och därför kommer att kräva mer fokus och investeringar. I juni 2021 har ramverket antagits och implementerats i över 80 länder världen över. Dess utbyggnad har katalyserats av inblandning av internationella organisationer som Organisationen av amerikanska stater (OAS), Världsbanken (WB), International Telecommunication Union (ITU) och Commonwealth Telecommunications Union (CTO) och Global Forum on Cyber Expertis (GFCE).

Översikt

Världstoppmötet om informationssamhället identifierade kapacitetsuppbyggnad inom området cybersäkerhet som en av pelarna som är nödvändiga för att skörda frukterna av digitalisering av processer och tjänster , särskilt i utvecklingsländer . International Telecommunication Union rapporterade att utvecklingsländer saknar den nödvändiga cybersäkerhetskapaciteten för att hantera IKT-risker och svara på cyberhot . Eftersom cyberattacker och sårbarheter i en nation kan påverka andra delar av världen, utvecklades vissa mognadsmodeller för att bedöma nationers cybersäkerhetskapacitet och jämföra kapacitetsnivån. En av dessa modeller är CMM.

CMM utvecklades 2014 genom ett samarbete mellan GCSCC och över 200 experter från akademin, internationella och regionala organisationer och den privata sektorn. CMM bedömer kapaciteten i ett land från fem identifierade områden som kallas dimensioner med målet att förbättra täckningen, mätningen och effektiviteten av kapacitetsuppbyggnaden för cybersäkerhet inom fem progressionsnivåer. Benchmarking av ett lands cybersäkerhetskapacitet innebär att man granskar dess initiativ och aktiviteter mot hela CMM och över alla dimensioner. Enligt rapporten från en regional CMM-bedömning av Latinamerika och Karibien syftar CMM-bedömningen till att identifiera cybersäkerhetsluckor och upptäcka åtgärder som fungerar.

Sedan 2014 har CMM genomgått revisioner och det är tänkt att vara en levande modell som förblir relevant för alla aspekter av cybersäkerhetsbehov på nationell nivå.

Strukturera

Structure of Cybersecurity Capacity Maturity Model for Nations (CMM)

Ramverket består av dimensioner, faktorer, aspekter, indikatorer och stadier.

Dimensionera.

Dimensionerna representerar omfattningen av ett lands cybersäkerhetskapacitet som kommer att bedömas av CMM och den är uppdelad i faktorer. Dimensionerna är inte fristående, snarare är de relaterade till varandra eftersom en nations prestation i en dimension av kapacitet kan kräva input från en annan dimension.

De fem dimensionerna från 2021 års version är:

Utveckla policy och strategi för cybersäkerhet - Denna dimension undersöker hur en nation klarar sig när det gäller tillgänglighet och implementering av cybersäkerhetspolicyer och strategi.
Uppmuntra ansvarsfull cybersäkerhetskultur i samhället - Denna dimension visar hur väl medborgarna i en nation är bekanta med digitala risker och tillhandahållandet av en hållbar kanal för att rapportera cyberkriminella aktiviteter.
Bygga kunskap och förmågor om cybersäkerhet - Denna dimension utforskar strukturer på plats för cybersäkerhetsmedvetenhet och utbildning inom landet.
Skapa effektiva rättsliga och regulatoriska ramar - Undersök ett lands förmåga att utveckla, ratificera och upprätthålla cybersäkerhet och integritetsrelaterad lagstiftning.
Att kontrollera risker genom standarder och tekniker - Denna dimension undersöker den vanliga användningen av cybersäkerhetsstandard och förekomsten av strukturer för utveckling av sådan teknik.

Faktorer:

Faktorerna är den viktiga komponenten i ett lands kapacitet vars mognadsnivå mäts och det finns 23 faktorer i den senaste versionen där var och en har en

eller fler aspekter

Aspekter:

Dessa är mindre uppdelningar av faktorer som hjälper till att förstå varje faktor och hjälper till att samla in och mäta bevis.

Indikatorer:

Varje indikator definierar de åtgärder som tyder på att en nation har upprätthållit ett specifikt mognadsstadium. Den mognadsnivå som tilldelas en aspekt beror på en nations förmåga att uppfylla de steg och åtgärder som anges som dess indikator. Bevis kommer att behöva tillhandahållas innan ett visst stadium kan uppnås. Det är antingen en

bevis är tillgängliga eller inte och för att gå till ett högre stadium måste alla indikatorer inom ett visst stadium ha uppfyllts.

Skede:

Detta representerar hur mognat en nation är på varje faktor eller aspekt. Det finns 5 mognadsstadier; nystartad, formativ, etablerad, strategisk och dynamisk. För att en nation ska uppfylla ett visst mognadsstadium måste den uppfylla vissa indikatorer.

Uppstart - I detta skede har en nation inga presenterbara bevis som visar att det finns initiativ för cybersäkerhet.
Formativt – Bevis är tillgängligt för att bevisa initiativ på några av aspekterna, men dessa ansträngningar kan vara vid initieringsstadiet eller vara ad hoc.
Etablerat - Det är bevis för att aspekten är definierad, funktionell och fungerande men adekvat resursallokering saknas.
Strategisk - Aspekt har prioriterats utifrån nationella behov.
Dynamisk - En fungerande anpassningsbar cybersäkerhetsstrategi är tillgänglig, vilket bevisas av globalt ledarskap i cybersäkerhetsfrågor, smidighet i beslutsfattande och resursallokering.

Utveckling

Den första versionen av ramverket släpptes 2014. Baserat på pilotbedömningar utförda i sex länder gjordes förbättringar av modellen och en uppdaterad version publicerades 2017. Baserat på lärdomar som dragits under åren från CMM-installationer och konsultationer från GCSCC Expert Rådgivande panel, strategiska, regionala och implementeringspartner till GCSCC och andra experter från akademin, internationella och regionala organisationer, regeringar, den privata sektorn och civilsamhället, en uppdaterad version släpptes 2021.

Dimensionerna, faktorerna och aspekterna har ändrats övertid mellan CMM-versioner. 2014 har 5 dimensioner och 21 faktorer. 2017 års version har 5 dimensioner med 24 faktorer. 2021-versionen har 5 dimensioner och 23 faktorer.

Tabell 1 listar dimensionerna för de tre versionerna.

Tabell 1 CMM Dimensioner över versioner
Mått	2014/2017	2021
D1	Cybersäkerhetspolicy och -strategi	Utveckla cybersäkerhetspolicy och strategi
D2	Cyberkultur och samhälle	Uppmuntra ansvarsfull cybersäkerhetskultur i samhället
D3	Utbildning, utbildning och färdigheter inom cybersäkerhet	Bygga kunskap och kapacitet inom cybersäkerhet
D4	Juridiska och regulatoriska ramar	Skapa effektiva rättsliga och regulatoriska ramar
D5	Standarder, organisationer och teknologier	Att kontrollera risker genom standarder och teknologier

Tabell 2 listar faktorerna för varje version.

Tabell 2. Faktorer i olika versioner.
Faktorer	2014	2017	2021
D1.1	Dokumenterad eller officiell nationell cybersäkerhetsstrategi	Nationell cybersäkerhetsstrategi	Nationell cybersäkerhetsstrategi
D1.2	Incidentrespons	Incidentrespons	Incidentrapport och krishantering
D1.3	Kritisk nationell infrastruktur	Kritisk infrastruktur (CI) skydd	Kritisk infrastruktur (CI) skydd
D1.4	Krishantering	Krishantering	Cybersäkerhet i försvar och nationell säkerhet
D1.5	Cyberförsvarsövervägande	Cyberförsvarsövervägande
D1.6	Digital redundans	Kommunikationsredundans
D2.1	Cybersäkerhetstänkande	Cybersäkerhetstänkande	Cybersäkerhetstänkande
D2.2	Cybersäkerhetsmedvetenhet	Förtroende och förtroende på Internet	Förtroende och förtroende för onlinetjänst
D2.3	Förtroende och tillit på Internet	Användarförståelse för skydd av personuppgifter på Internet	Användarförståelse av personlig informationsskydd online
D2.4	Sekretess online	Rapporteringsmekanismer	Rapporteringsmekanismer
D2.5		Media och sociala medier	Media och sociala medier
D3.1	Nationell tillgänglighet av cyberutbildning och utbildning	Att öka medvetenheten	Bygga medvetenhet om cybersäkerhet
D3.2	Nationell utveckling av cybersäkerhetsutbildning	Ram för utbildning	Cybersäkerhetsutbildning
D3.3	Utbildnings- och utbildningssatsningar inom offentlig och privat sektor	Ram för yrkesutbildning	Yrkesutbildning för cybersäkerhet
D3.4	Bolagsstyrning, kunskap och standarder		Cybersäkerhetsforskning och innovation
D4.1	Juridiska ramar för cybersäkerhet	Rättsliga ramar	Lagliga och regulatoriska bestämmelser
D4.2	Rättslig utredning	Rättsväsende	Relaterat lagstiftningsramverk
D4.3	Ansvarsfull rapportering	Formella och informella samarbetsramar för att bekämpa cyberbrottslighet	Juridisk och regulatorisk förmåga och kapacitet
D4.4			Formella och informella samarbetsramar för att bekämpa cyberbrottslighet
D5.1	Efterlevnad av standarder	Efterlevnad av standarder	Efterlevnad av standarder
D5.2	Samordnande organisationer för cybersäkerhet	Motståndskraftig internetinfrastruktur	Säkerhetskontroller
D5.3	Nationell infrastruktur motståndskraft	Programvarukvalitet	Programvarukvalitet
D5.4	Marknadsplats för cybersäkerhet	Tekniska säkerhetskontroller	Motståndskraftig kommunikation och internetinfrastruktur
D5.5		Kryptografiska kontroller	Marknadsplats för cybersäkerhet
D5.6		Marknadsplats för cybersäkerhet	Ansvarsfullt avslöjande
D5.7		Ansvarsfullt avslöjande

Granskningsprocessen

CMM granskningsprocessen har 3 steg.

Steg 1: Skrivbordsundersökning och identifiering av landpartner.

Det första steget är valet av ett land. En CMM-granskning kan begäras av ett land eller så kan ett land väljas ut för bedömning av en internationell eller regional organisation.

När en nation väl har valts ut för bedömning upprättas en relation med värdlandet och nödvändiga intressenter identifierade från akademin, civila samhällen, regeringsministerier/departement, internationella organisationer och den privata sektorn.

Steg 2: Recensionen

Själva granskningen med intressenterna är en tredagars samrådsprocess och baserat på de fem dimensionerna skapas flera team mellan intressenterna.

Öppna diskussioner eller fokusgrupper metod används för att ställa och besvara frågor. Frågor och svar kan också samlas in med hjälp av onlineverktyg. Oförmåga att tillhandahålla bevis för alla indikatorer under varje aspekt kommer att resultera i en lägre mognadsnivå för den aspekten.

Fjärruppföljningssessioner eller e-postkommunikation kan användas för ytterligare datainsamling.

Steg 3: Granskningsrapport

En rapport presenteras för landets regering och det är upp till det landet att göra den offentligt tillgänglig eller inte.

Rekommendationen

Resultatet av CMM-bedömningen är en rapport som beskriver de luckor som identifierats från varje aspekt och den nuvarande mognadsnivån för varje indikator. Bedömningsrapporten är den bedömda nationens egendom och de väljer om de ska offentliggöra den eller inte. Beroende på en nations behov rekommenderar den områden som bör prioriteras när det gäller resursallokering.

Rapporten inkluderar en solnedgångsrepresentation av nationens cybersäkerhetskapacitet, anledningen till att placera varje faktor eller aspekt i ett visst stadium och rekommendationer om vad som kan göras för att gå upp längs mognadsstadiet.

Provresultat från några av recensionerna finns tillgängliga på GCSCC:s webbplats.

Nationer med CMM-bedömning

GCSCC-webbplatsen har listan över nationer som har bedömts, vilka har listats nedan.

Albanien

Antigua och Barbuda

Argentina

Armenien

Bahamas

Bangladesh

Barbados

Belize

Benin

Bhutan

Bolivia

Bosnien och Hercegovina

Botswana

Brasilien

Burkina Faso

Cabo Verde

Kamerun

Chile

Colombia

Cooköarna

Costa Rica

Cypern

Dominica

Dominikanska republiken

Ecuador

El Salvador

Eswatini

Fiji

Gambia

Georgien

Ghana

Grenada

Guatemala

Guyana

Haiti

Honduras

Island

Indonesien

Elfenbenskusten

Jamaica

Kiribati

Kosovo

Kirgizistan

Lesotho

Liberia

Litauen

Madagaskar

Malawi

Mauritius

Mexiko

Mikronesien

Montenegro

Marocko

Moçambique

Myanmar

Namibia

Nicaragua

Niger

Nigeria

Nordmakedonien

Panama

Papua Nya Guinea

Paraguay

Peru

Rwanda

Saint Kitts och Nevis

Saint Lucia

Saint Vincent och Grenadinerna

Samoa

Senegal

Serbien

Sierra Leone

Somalia

Sri Lanka

Surinam

Schweiz

Tanzania

Thailand

Tonga

Trinidad och Tobago

Tunisien

Tuvalu

Uganda

Storbritannien

Uruguay

Vanuatu

Venezuela

Zambia

^ "Global Cyber Security Capacity Center | Digital Watch" . gräva.klocka . Hämtad 2021-07-23 .
^ ^a ^b ^c ^d ^e ^f ^g ^h ⁱ ^j ^k ^l ^m ⁿ ^o ^p ^q ^r ^s Global Cyber Security Capacity Center (2021). "Cybersäkerhetskapacitet Mognadsmodell för nationer (CMM)" ( PDF) . Arkiverad (PDF) från originalet 2021-06-24.
^ ^a ^b ^c ^d ^e ^f ^g ^h ⁱ ^j ^k Världsbanken. "Global Cybersecurity Capacity Program. "Lärdomar och rekommendationer för att stärka programmet" " ( PDF ) . documents.worldbank.org . Arkiverad (PDF) från originalet 2020-08-21 . Hämtad 2021-06-23 .
^ ^a ^b ^c "CMM-recensioner runt om i världen" . gcscc.ox.ac.uk . Hämtad 2021-06-24 .
^ RAND (2017). "Utveckla cybersäkerhetskapacitet. En proof-of-concept implementeringsguide" (PDF) . Arkiverad (PDF) från originalet 2018-10-20.
^ Internationell telekommunikationsunion (2015). "WSIS+10-uttalande om genomförandet av WSIS-resultaten" (PDF) . Arkiverad (PDF) från originalet 2016-09-12.
^ "Förbättra cybersäkerhet i minst utvecklade länder" . ITU . Hämtad 2021-07-29 .
^ ^a ^b "Avancera cybersäkerhetskapacitetsbyggnad: Implementera en principbaserad strategi" . www.gppi.net . Hämtad 2021-07-29 .
^ "Nationell bedömning av mognadskapacitet för cybersäkerhet" . www.nrdcs.lt . Hämtad 2021-07-11 .
^ Klimburg, Alexander; Zylberberg, Hugo (2015). "Cyber Security Capacity Building: Developing Access" (PDF) . Arkiverad (PDF) från originalet 2020-08-20.
^ ^a ^b "2020 Cybersäkerhetsrapport: Risker, framsteg och vägen framåt i Latinamerika och Karibien | Publikationer" ( PDF) . publications.iadb.org . Hämtad 2021-06-25 .
^ ^a ^b Global Cyber Security Capacity Center (2015). "Utvärdering av cybersäkerhetskapacitet i Republiken Kosovo" . Arkiverad från originalet 2021-06-25.
^ "Utveckling och utveckling av CMM:en" . gcscc.ox.ac.uk . Hämtad 2021-07-03 .
^ "CMM granskar process" . gcscc.ox.ac.uk . Hämtad 2021-07-03 .
^ ^a ^b Organization of American States (2016). "Cybersäkerhet är vi redo i Latinamerika och Karibien?" . Arkiverad från originalet 2021-06-30.
^ Designer (2019-11-22). "CMM - Oceania Cyber Security Centre" . Hämtad 2021-07-11 .
^ Världsbanken (april 2019). "ÖVERSYN AV CYBERSÄKERHETSKAPACITET Gambia" (PDF) . Arkiverad (PDF) från originalet 2019-07-28.

[1] "Global Cyber Security Capacity Center | Digital Watch" . gräva.klocka . Hämtad 2021-07-23 .

[:0-2] ^ ^a ^b ^c ^d ^e ^f ^g ^h ⁱ ^j ^k ^l ^m ⁿ ^o ^p ^q ^r ^s Global Cyber Security Capacity Center (2021). "Cybersäkerhetskapacitet Mognadsmodell för nationer (CMM)" ( PDF) . Arkiverad (PDF) från originalet 2021-06-24.

[:1-3] ^ ^a ^b ^c ^d ^e ^f ^g ^h ⁱ ^j ^k Världsbanken. "Global Cybersecurity Capacity Program. "Lärdomar och rekommendationer för att stärka programmet" " ( PDF ) . documents.worldbank.org . Arkiverad (PDF) från originalet 2020-08-21 . Hämtad 2021-06-23 .

[:4-4] "CMM-recensioner runt om i världen" . gcscc.ox.ac.uk . Hämtad 2021-06-24 .

[5] RAND (2017). "Utveckla cybersäkerhetskapacitet. En proof-of-concept implementeringsguide" (PDF) . Arkiverad (PDF) från originalet 2018-10-20.

[6] Internationell telekommunikationsunion (2015). "WSIS+10-uttalande om genomförandet av WSIS-resultaten" (PDF) . Arkiverad (PDF) från originalet 2016-09-12.

[7] "Förbättra cybersäkerhet i minst utvecklade länder" . ITU . Hämtad 2021-07-29 .

[:5-8] "Avancera cybersäkerhetskapacitetsbyggnad: Implementera en principbaserad strategi" . www.gppi.net . Hämtad 2021-07-29 .

[9] "Nationell bedömning av mognadskapacitet för cybersäkerhet" . www.nrdcs.lt . Hämtad 2021-07-11 .

[10] Klimburg, Alexander; Zylberberg, Hugo (2015). "Cyber Security Capacity Building: Developing Access" (PDF) . Arkiverad (PDF) från originalet 2020-08-20.

[:2-11] "2020 Cybersäkerhetsrapport: Risker, framsteg och vägen framåt i Latinamerika och Karibien | Publikationer" ( PDF) . publications.iadb.org . Hämtad 2021-06-25 .

[:7-12] Global Cyber Security Capacity Center (2015). "Utvärdering av cybersäkerhetskapacitet i Republiken Kosovo" . Arkiverad från originalet 2021-06-25.

[13] "Utveckling och utveckling av CMM:en" . gcscc.ox.ac.uk . Hämtad 2021-07-03 .

[14] "CMM granskar process" . gcscc.ox.ac.uk . Hämtad 2021-07-03 .

[:6-15] Organization of American States (2016). "Cybersäkerhet är vi redo i Latinamerika och Karibien?" . Arkiverad från originalet 2021-06-30.

[:3-16] Designer (2019-11-22). "CMM - Oceania Cyber Security Centre" . Hämtad 2021-07-11 .

[17] Världsbanken (april 2019). "ÖVERSYN AV CYBERSÄKERHETSKAPACITET Gambia" (PDF) . Arkiverad (PDF) från originalet 2019-07-28.