Порівняльний аналіз моделей оцінки зрілості інформаційної безпеки

Ukrainian Information Security Research Journal Pub Date : 2019-12-27 DOI:10.18372/2410-7840.21.14337

Михайло Коломицев, Світлана Носок, Роман Олександрович Тоцький

{"title":"Порівняльний аналіз моделей оцінки зрілості інформаційної безпеки","authors":"Михайло Коломицев, Світлана Носок, Роман Олександрович Тоцький","doi":"10.18372/2410-7840.21.14337","DOIUrl":null,"url":null,"abstract":"Інформаційна безпека може бути визначена як: захист інформаційних активів за допомогою обробки ризиків, спрямованих на порушення конфіденційності, цілісності та доступності інформації, яка обробляється, зберігається і передається між взаємопов'язаними інформаційними системами; процес, який включає запобігання, виявлення і реакцію на загрози інформаційній безпеці. Мета даної статті - описати і порівняти найбільш використовувані моделі зрілості інформаційної безпеки для аналізу їх відповідності цілям використання спільно з стандартом ISO 27001. У статті показано, що моделі зрілості інформаційної безпеки мають схожі елементи, домени і рівні зрілості. Вони також грунтуються на оцінці ризиків, хоча і на різних рівнях глибини. Було відзначено, що кожна модель в силу своєї специфіки має різні сфери застосування. У світовій практиці для визначення стадії організаційного і технологічного розвитку організації і її процесів застосовується поняття моделі зрілості. Для вимірювання стану процесу використовується набір метрик, які представляють собою певні характеристики. Оцінювання цих метрик за встановленою шкалою показує стан процесів, яке і буде характеризувати рівень їх зрілості. У світовій практиці, на відміну від української, застосування моделі зрілості для управління процесами інформаційної безпеки широко поширене. Прикладом цього може служити серія стандартів ISO27000, яка регулює питання управління інформаційною безпекою, що реалізуються на основі Системи Управління Інформаційною Безпекою. Очевидно, що перед організацією, що здійснює діяльність з управління інформаційною безпекою, рано чи пізно постає питання про те, як виконувати ці вимоги, в якому обсязі і на якому рівні деталізації і т.п. Відповісти на ці та інші питання може допомогти модель зрілості, на основі якої буде проводиться оцінка рівня зрілості процесів інформаційної безпеки. Для визначення основних моделей зрілості інформаційної безпеки було проведено аналіз відкритих джерел і кращих практик, пов'язаних з моделями зрілості інформаційної безпеки. На підставі результатів аналізу джерел були визначені найбільш прийнятні моделі зрілості інформаційної безпеки, а саме: SSE-CMM, C2M2, NICE і O-ISM3.","PeriodicalId":378015,"journal":{"name":"Ukrainian Information Security Research Journal","volume":"44 3-4","pages":"0"},"PeriodicalIF":0.0000,"publicationDate":"2019-12-27","publicationTypes":"Journal Article","fieldsOfStudy":null,"isOpenAccess":false,"openAccessPdf":"","citationCount":"0","resultStr":null,"platform":"Semanticscholar","paperid":null,"PeriodicalName":"Ukrainian Information Security Research Journal","FirstCategoryId":"1085","ListUrlMain":"https://doi.org/10.18372/2410-7840.21.14337","RegionNum":0,"RegionCategory":null,"ArticlePicture":[],"TitleCN":null,"AbstractTextCN":null,"PMCID":null,"EPubDate":"","PubModel":"","JCR":"","JCRName":"","Score":null,"Total":0}

引用次数: 0

Abstract

Інформаційна безпека може бути визначена як: захист інформаційних активів за допомогою обробки ризиків, спрямованих на порушення конфіденційності, цілісності та доступності інформації, яка обробляється, зберігається і передається між взаємопов'язаними інформаційними системами; процес, який включає запобігання, виявлення і реакцію на загрози інформаційній безпеці. Мета даної статті - описати і порівняти найбільш використовувані моделі зрілості інформаційної безпеки для аналізу їх відповідності цілям використання спільно з стандартом ISO 27001. У статті показано, що моделі зрілості інформаційної безпеки мають схожі елементи, домени і рівні зрілості. Вони також грунтуються на оцінці ризиків, хоча і на різних рівнях глибини. Було відзначено, що кожна модель в силу своєї специфіки має різні сфери застосування. У світовій практиці для визначення стадії організаційного і технологічного розвитку організації і її процесів застосовується поняття моделі зрілості. Для вимірювання стану процесу використовується набір метрик, які представляють собою певні характеристики. Оцінювання цих метрик за встановленою шкалою показує стан процесів, яке і буде характеризувати рівень їх зрілості. У світовій практиці, на відміну від української, застосування моделі зрілості для управління процесами інформаційної безпеки широко поширене. Прикладом цього може служити серія стандартів ISO27000, яка регулює питання управління інформаційною безпекою, що реалізуються на основі Системи Управління Інформаційною Безпекою. Очевидно, що перед організацією, що здійснює діяльність з управління інформаційною безпекою, рано чи пізно постає питання про те, як виконувати ці вимоги, в якому обсязі і на якому рівні деталізації і т.п. Відповісти на ці та інші питання може допомогти модель зрілості, на основі якої буде проводиться оцінка рівня зрілості процесів інформаційної безпеки. Для визначення основних моделей зрілості інформаційної безпеки було проведено аналіз відкритих джерел і кращих практик, пов'язаних з моделями зрілості інформаційної безпеки. На підставі результатів аналізу джерел були визначені найбільш прийнятні моделі зрілості інформаційної безпеки, а саме: SSE-CMM, C2M2, NICE і O-ISM3.

查看原文本刊更多论文

信息安全成熟度评估模型比较分析

信息安全可定义为：通过处理旨在破坏在相互连接的信息系统之间处理、存储和传输的信息的保密性、完整性和可用性的风险来保护信息资产；一个包括预防、检测和应对信息安全威胁的过程。本文旨在描述和比较最常用的信息安全成熟度模型，分析这些模型是否符合 ISO 27001 标准的使用目的。文章显示，信息安全成熟度模型具有相似的要素、领域和成熟度级别。它们也以风险评估为基础，只是深度不同。文章指出，每种模式由于其特殊性，都有不同的应用领域。在世界实践中，成熟度模型的概念用于确定一个组织及其流程的组织和技术发展阶段。一组代表某些特征的指标被用来衡量流程的状态。根据既定的尺度对这些指标进行评估，可以显示流程的状态，从而确定流程的成熟度。在世界范围内，与乌克兰不同，信息安全流程管理成熟度模型的使用非常普遍。ISO27000 系列标准就是一个例子，该标准规定了在信息安全管理系统基础上实施的信息安全管理问题。显然，从事信息安全管理的组织迟早会面临如何遵守这些要求、遵守的程度和详细程度等问题。成熟度模型可以帮助回答这些问题和其他问题，并据此评估信息安全流程的成熟度。为了确定主要的信息安全成熟度模型，我们分析了与信息安全成熟度模型有关的公开来源和最佳实践。根据来源分析的结果，确定了最可接受的信息安全成熟度模型，即SSE-CMM、C2M2、NICE 和 O-ISM3。

本文章由计算机程序翻译，如有差异，请以英文原文为准。

求助全文

约1分钟内获得全文求助全文

来源期刊

Ukrainian Information Security Research Journal

自引率

0.00%

发文量