مدلهای بلوغ امنیت اطلاعات و امنیت سایبری

مدل بلوغ مجموعه ای از ویژگیها، شاخص ها یا الگوهایی است که نشان دهنده توانایی و پیشرفت در یک رشته خاص است. محتوای این مدلها عموماً بهترین روشها و راهنماییهای مربوط به یک حوزه خاص را با استفاده از استانداردها یا دستورالعملهای مرتبط دربرمیگیرد. نمایش دانش خاص در یک حوزه مشخص را مدلهای بلوغ به صورت ساختاری و تکاملی برای ارزیابی و بهبود سازمانها فراهم میآورند. در این مقاله به معرفی یکی از مدلهای بلوغ امنیت سایبری میپردازیم.
community cyber security maturity model (CCSMM)
هدف این مدل ارائه ابزارهایی برای توسعه و بهبود امنیت سایبری میباشد. مدل بلوغ CCSMM یک معیار برای اندازه گیری وضعیت امنیت سایبری و سطح بلوغ ارائه میکند این پروژه در بخش سایبری وزارت امنیت داخلی آمریکا در سال 2007 مورد پژوهش قرار گرفته و در پنج ایالت پیاده سازی شده است. این مدل از 5 سطح تشکیل شده است:

هر یک از سطوح رشد در این مدل، یک نامی دارند که نمایانگر انواع تهدیدات و فعالیتهایی است که در هر سطح مورد بررسی قرار میگیرند.
- Initial : این مرحله دارای حداقل آگاهی، همکاری و ارزیابی از امنیت سایبری است.
- Advanced : در این مرحله مدیران از مفاهیم و کلیات امنیت سایبری آگاه میباشند و برخی از همکاریها، ارزیابی سیاستها و رویهها در این مرحله صورت میگیرد.
- Self-Assessed : در این مرحله برنامههای مرتبط با آگاهی در خصوص امنیت سایبری از سوی مدیران و مسئولان حاکمیتی به افراد و شرکتهای تابع اطلاع رسانی میشود. همچنین در این مرحله تمرینهایی در خصوص امنیت سایبری انجام شده و سیاستها و رویهها ارزیابی میگردند.
- Integrated : در این مرحله برنامههایی با محتوای امنیت سایبری از سوی مدیران و مسئولان حاکمیتی به افراد و شرکتهای تابع ابلاغ میشود. همچنین مانورهای امنیت سایبری انجام شده و نتایج حاصل از آن ارزیابی و مورد بررسی قرار میگیرد.
- Vanguard : در این مرحله یک مرکز عملیات سایبری ایجاد میشود که وظیفه این مرکز یکپارچه سازی واحدهای مختلف سایبری و پاسخگویی و راهنمایی سازمانهای مختلف است.
CCSMM شامل سه ویژگی اساسی زیر است:
- یک معیار که از آن میتوان برای اندازهگیری وضعیت فعلی برنامه و موقعیت امنیت سایبری سازمان استفاده کرد.
- یک نقشه راه که به یک سازمان کمک میکند بداند چه گامهایی برای بهبود موقعیت امنیتی خود لازم است بردارد.
- یک نقطه مشترک که به افراد از سازمانهای مختلف اجازه میدهد تا برنامههای فردی خود را مورد بحث قرار دهند و با یکدیگر ارتباط برقرار کنند.
مدل سه بعدی CCSMM نیز طراحی شده است تا امکانات این چهارچوب را گسترش دهد و آن را انعطافپذیر و قابل مقیاس برای پوشش تمام جوانب یک برنامه امنیت سایبری قرار دهد.

4 بعد مدل سه بعدی CCSMM :
- آگاهی: بیشتر افراد متوجه هستند که تهدیدات سایبری وجود دارند، اما تعداد کمتری از عمق تهدیدات، روندهای حال حاضر حملات، چگونگی تأثیر یک حادثه سایبری بر سازمان، آسیبپذیریهایی که باید به آنها توجه شود و اثرات پی در پی که ممکن است در صورت وقوع یک حمله سایبری به وجود آید، آگاهی دارند.
- اشتراک گذاری اطلاعات: این بعد به بررسی این موضوع میپردازد که چگونه باید با اطلاعاتی که درباره یک حادثه سایبری به دست آمده است برخورد کرد و این اطلاعات باید به کجا گزارش شود. همچنین، به بررسی این موضوع میپردازد که یک بخش چگونه میتواند اطلاعات خود را با بخش دیگری به اشتراک بگذارد تا بخش دوم از وقوع حادثه جلوگیری کند.
- سیاستها: این بخش به نیاز برای یکپارچه سازی عناصر سایبری در سیاستها یا اصول راهنما اشاره دارد و شامل تمام مقررات، قوانین، قواعد و اسنادی است که بر عملکرد روزانه سازمان حاکمیت میکنند. سیاستها باید ارزیابی شوند تا اطمینان حاصل شود که اصول امنیت سایبری در تمام فعالیتها بازتاب داده شده است و انتظارات و محدودیتها را مشخص خواهد کرد.
- برنامهها: سازمانها برنامههای متعددی برای مقابله با مخاطرات مختلف طرح ریزی کردهاند و این بعد اطمینان میدهد که عناصر امنیت سایبری نیز در این برنامهها گنجانده شدهاند تا سازمانها قادر به مدیریت حوادث سایبری که ممکن است بر عملکرد سازمان تأثیر بگذارند، باشند.