Granskning av cyberresiliens
Cyber Resilience Review ( CRR ) är en bedömningsmetod som utvecklats av United States Department of Homeland Security (DHS). Det är en frivillig undersökning av operativ motståndskraft och cybersäkerhetsmetoder som erbjuds utan kostnad av DHS till operatörerna av kritisk infrastruktur och statliga, lokala, stam- och territoriella regeringar. CRR har ett tjänsteorienterat tillvägagångssätt, vilket innebär att en av grundprinciperna för CRR är att en organisation använder sina tillgångar (människor, information, teknik och faciliteter) för att stödja specifika operativa uppdrag (eller tjänster). CRR erbjuds i ett förenklat workshopformat och som ett självutvärderingspaket. Workshopversionen av CRR leds av en DHS-facilitator vid en anläggning för kritisk infrastruktur. Workshopen tar vanligtvis 6–8 timmar att genomföra och bygger på ett tvärsnitt av personal från den kritiska infrastrukturorganisationen. All information som samlas in i en förenklad CRR skyddas från avslöjande av Protected Critical Infrastructure Information Act från 2002. Denna information kan inte lämnas ut genom en Freedom of Information Act, användas i civilrättsliga tvister eller användas för regulatoriska ändamål. CRR Self-Assessment Package tillåter en organisation att genomföra en bedömning utan behov av direkt DHS-hjälp. Den är tillgänglig för nedladdning från webbplatsen för DHS Critical Infrastructure Cyber Community Voluntary Program. Paketet innehåller ett automatiserat verktyg för insamling av datasvar och rapportgenerering, en förenklingsguide, omfattande förklaring av varje fråga och en genomgång av CRR-praxis till kriterierna för National Institute of Standards and Technology (NIST ) Cybersecurity Framework . Frågorna som ställs i CRR och den resulterande rapporten är desamma i båda versionerna av bedömningen. DHS samarbetade med CERT-avdelningen vid Software Engineering Institute vid Carnegie Mellon University för att designa och distribuera CRR. Målen och tillvägagångssätten i bedömningen är härledda från CERT Resilience Management Model (CERT-RMM) version 1.0. CRR infördes 2009 och fick en betydande revidering 2014.
Arkitektur
CRR består av 42 mål och 141 specifika metoder utvunna från CERT-RMM och organiserade i 10 domäner:
- Asset Management
- Kontroller Management
- Konfiguration och ändringshantering
- Sårbarhetshantering
- Incidenthantering
- Service Continuity Management
- Riskhantering
- Extern beroendehantering
- Utbildning och medvetenhet
- Situationsmedvetenhet
Varje domän består av en syftesförklaring, en uppsättning specifika mål och tillhörande övningsfrågor som är unika för domänen, och en standarduppsättning av Maturity Indicator Level (MIL) frågor. MIL-frågorna undersöker institutionaliseringen av praxis inom en organisation. En organisations prestation bedöms mot en MIL-skala. Den här skalan visar förmåga uppdelad i fem nivåer: MIL1-Incomplete, MIL2-performed, MIL3-Managed, MIL4-Measured och MIL5-Defined. Institutionalisering innebär att cybersäkerhetspraxis blir en djupare, mer bestående del av organisationen eftersom de hanteras och stöds på ett meningsfullt sätt. När cybersäkerhetspraxis blir mer institutionaliserad – eller ”inbäddad” – kan chefer ha mer förtroende för metodernas förutsägbarhet och tillförlitlighet. Det är också mer sannolikt att metoderna upprätthålls under tider av störningar eller stress för organisationen. Mognad kan också leda till en stramare anpassning mellan cybersäkerhetsaktiviteter och organisationens affärsdrivkrafter. Till exempel, i mer mogna organisationer kommer chefer att ge tillsyn till den specifika domänen och utvärdera effektiviteten av säkerhetsaktiviteterna som domänen omfattar. Antalet mål och övningsfrågor varierar beroende på domän, men uppsättningen av MIL-frågor och begreppen de omfattar är desamma för alla domäner. Alla CRR-frågor har tre möjliga svar: "Ja", "Nej" och "Ofullständig. CRR mäter en organisations prestanda på praxis-, mål-, domän- och MIL-nivåer. Poängen beräknas för varje individuell modellelement och i aggregerade totaler. Poängkriteriet fastställer följande:
- Övningar kan observeras i ett av tre tillstånd: utförd, ofullständig och inte utförd.
- Ett domänmål uppnås endast om alla metoder relaterade till målet uppnås.
- En domän uppnås till fullo endast om alla mål i domänen uppnås.
Om ovanstående villkor är uppfyllda, sägs organisationen uppnå domänen i ett utfört tillstånd: de metoder som definierar domänen är observerbara, men ingen bestämning kan göras om i vilken grad dessa metoder är
- repeterbar under varierande förhållanden
- konsekvent tillämpas
- kunna ge förutsägbara och acceptabla resultat
- bibehålls i tider av stress
Dessa villkor testas för genom att tillämpa en gemensam uppsättning av 13 MIL-frågor på domänen, men först efter att MIL1 har uppnåtts. I överensstämmelse med arkitekturen för MIL-skalan är MIL:er kumulativa; för att uppnå en MIL inom en specifik domän måste en organisation utföra alla metoder på den nivån och i de föregående MIL:erna. Till exempel måste en organisation utföra alla domänpraxis i MIL1 och MIL2 för att uppnå MIL2 i domänen.
Resultat
CRR-deltagare får en omfattande rapport som innehåller resultat för varje fråga inom alla domäner. Rapporten ger också grafiska sammanfattningar av organisationens prestationer på mål- och domännivåer, avbildade i en värmekartamatris. Denna detaljerade representation gör det möjligt för organisationer att inrikta sig på förbättringar på en finkornig nivå. Organisationer som deltar i underlättade CRR:er får ytterligare en uppsättning grafer som visar deras organisations prestanda jämfört med alla andra tidigare deltagare. CRR-rapporten innehåller en potentiell väg mot att förbättra prestandan för varje praxis. Dessa alternativ för övervägande kommer i första hand från specialpublikationerna CERT-RMM och NIST. Organisationer kan också använda CRR-resultat för att mäta sina prestationer i förhållande till kriterierna i NIST Cybersecurity Framework. Denna korrelationsfunktion introducerades i februari 2014.