16 апреля 2018
Опубликовано описание модели зрелости безопасности Интернета вещей
Industrial Internet Consortium® (IIC™) анонсировал публикацию официального описания модели зрелости безопасности Интернета вещей.
Цель модели зрелости безопасности Интернета вещей – направить усилия на обеспечение кибербезопасности поставщиков технических решений и сервисов Интернета вещей в нужное русло в соответствии с назначением этих решений и сервисов. Применение модели должно способствовать повышению эффективности вложений в механизмы безопасности.
Далеко не все системы и сервисы Интернета вещей требуют применения одних и тех же решений, обеспечивающих кибербезопасность, и одинаковой степени гарантий в отношении работы этих решений. Приоритеты, которые в конечном счете определяют использование тех или иных механизмов и процедур, устанавливаются на бизнес-уровне. Эти приоритеты должны управлять процессом повышения безопасности до требуемого уровня и помогать избегать траты ресурсов и времени на меры, которые не являются необходимыми.
Модель зрелости безопасности Интернета вещей IIC помогает оценить, соответствуют ли практикуемые меры безопасности бизнес-целям, а также определить наиболее эффективную стратегию повышения безопасности системы или сервиса. Реализация механизмов и процессов обеспечения безопасности рассматривается как зрелая, если она в полной мере соответствует бизнес-целям. На оценку зрелости безопасности больше влияет целесообразность применения некого механизма безопасности, чем объективный уровень защиты, реализуемый этим механизмом.
Центральной концепцией, лежащей в основе модели, является иерархия механизмов и процессов обеспечения безопасности. Эта иерархия используется для анализа зрелости безопасности с разной степенью детализации. На верхнем уровне описаны три составляющие иерархии: управление безопасностью (governance), внедрение безопасности (enablement) и укрепление безопасности (hardening). Приоритеты обеспечения безопасности определяются для этих составляющих. При необходимости можно детализировать установленные на верхнем уровне приоритеты, описав цели на уровне доменов безопасности и затем – на уровне практик безопасности. Иерархия способствует простому и быстрому определению целей и приоритетов безопасности на бизнес-уровне.
Другой примечательной особенностью модели является подход к измерению зрелости безопасности. Известные модели зрелости не учитывают ограничения, накладываемые на реализацию практик безопасности предметной областью. Например, инструментальная оценка уязвимостей в промышленных системах может быть ограничена требованиями невмешательства в технологический процесс. IIC IoT SMM измеряет два аспекта зрелости безопасности. Первый из них, полнота (comprehensiveness), связан с объемом реализуемых мер, систематичностью их применения и уровнем гарантий . Второй, специфичность (scope), описывает, определяются ли особенности применения практики безопасности требованиями предметной области Интернета вещей или типа решения. Это позволяет описывать, каким критериям должна отвечать зрелая в отношении безопасности система Интернета вещей с учетом специфики конкретной отрасли или даже конкретного решения.
Консорциум промышленного Интернета (Industrial Internet Consortium) объединяет более 250 компаний-участников из 30 стран. Это ведущая мировая ассоциация компаний, ставящая своей целью трансформацию бизнеса и общества путем активизации развития промышленного Интернета вещей. Консорциум реализует концепцию доверенного промышленного Интернета вещей, в рамках которого системы и устройства по всему миру безопасным и контролируемым образом взаимодействуют между собой для достижения поставленной цели.
Опубликованный официальный документ IIC IoT Security Maturity Model: Description and Intended Use white paper представляет собой введение в модель зрелости безопасности IIC. Выпуск технического руководства по оценке и улучшению зрелости безопасности (The IIC Security Maturity Model: Practitioners Guide) планируется в течение нескольких месяцев.
В подготовке модели зрелости безопасности Интернета вещей активное участие приняла Екатерина Рудина, старший системный аналитик Центра компетенции по защите критической инфраструктуры, «Лаборатория Касперского».
Источник: Industrial Internet Consortium