Модель зрелости потенциала кибербезопасности для стран

Модель зрелости потенциала кибербезопасности для стран (CMM) — это структура, разработанная для анализа зрелости потенциала кибербезопасности страны по пяти измерениям. ^{[ 1 ]} Пять измерений охватывают потенциал, необходимый стране для улучшения своей ситуации в области кибербезопасности. ^{[ 2 ]} Он был разработан Глобальным центром потенциала кибербезопасности (GCSCCC) Оксфордского университета и является первой в своем роде структурой, позволяющей странам анализировать свой потенциал кибербезопасности, сравнивать его и получать рекомендации по улучшению. ^{[ 3 ]} Каждое измерение разделено на факторы, а факторы разбиты на аспекты. ^{[ 2 ]} Процесс обзора включает в себя оценку каждого фактора или аспекта по пяти этапам, которые показывают, насколько хорошо страна справляется с этим фактором или аспектом. ^{[ 2 ]} Рекомендации включают рекомендации по областям кибербезопасности, которые нуждаются в улучшении и, следовательно, потребуют большего внимания и инвестиций. ^{[ 3 ]} По состоянию на июнь 2021 года эта основа была принята и внедрена более чем в 80 странах мира. ^{[ 4 ]} Его развертыванию способствовало участие таких международных организаций, как Организация американских государств (ОАГ), Всемирный банк (ВБ), Международный союз электросвязи (ITU), Союз электросвязи Содружества (CTO), а также Глобальный форум по киберэкспертизе. (ГФЦЕ). ^{[ 5 ]}

Обзор

Всемирный саммит по информационному обществу определил наращивание потенциала в сфере кибербезопасности как один из столпов, необходимых для получения выгод от цифровизации процессов и услуг , особенно в развивающихся странах . ^{[ 6 ]} Международный союз электросвязи сообщил, что развивающимся странам не хватает необходимого потенциала кибербезопасности для управления рисками ИКТ и реагирования на киберугрозы . ^{[ 7 ]} Поскольку кибератаки и уязвимости в одной стране могут повлиять на другие части мира, были разработаны некоторые модели зрелости для оценки потенциала кибербезопасности стран и определения уровня потенциала. ^{[ 8 ]} Одной из таких моделей является ШМ. ^{[ 8 ]}

ШМ была разработана в 2014 году благодаря совместным усилиям GCSCC и более чем 200 экспертов из академических кругов, международных и региональных организаций и частного сектора. ^{[ 9 ]} CMM оценивает потенциал страны по пяти определенным областям, называемым измерениями, с целью улучшения охвата, измерения и эффективности наращивания потенциала кибербезопасности в пределах пяти уровней развития. ^{[ 10 ]} Бенчмаркинг потенциала кибербезопасности страны включает в себя анализ ее инициатив и деятельности на фоне всего ШМ и во всех измерениях. ^{[ 2 ]} Согласно отчету региональной оценки CMM в Латинской Америке и Карибском бассейне, оценка CMM направлена на выявление пробелов в кибербезопасности и поиск эффективных действий. ^{[ 11 ]}

С 2014 года CMM претерпел изменения и призван стать живой моделью, которая будет оставаться актуальной для всех аспектов потребностей в кибербезопасности на национальном уровне. ^{[ 2 ]}

Структура

Структура состоит из измерений, факторов, аспектов, показателей и этапов. ^{[ 2 ]}

Измерение.

Эти параметры представляют собой масштаб потенциала кибербезопасности страны, который будет оцениваться CMM и разбит на факторы. ^{[ 2 ]} Эти измерения не являются самостоятельными, скорее, они связаны друг с другом, поскольку эффективность страны в одном измерении потенциала может потребовать вклада из другого измерения. ^{[ 2 ]}

Пять измерений версии 2021 года: ^{[ 2 ]}

Разработка политики и стратегии кибербезопасности. В этом измерении изучается состояние страны с точки зрения доступности и реализации политики и стратегии кибербезопасности.
Поощрение ответственной культуры кибербезопасности в обществе. Этот параметр оценивает, насколько хорошо граждане страны знакомы с цифровыми рисками, и обеспечивает жизнеспособный канал для сообщения о киберпреступной деятельности.
Расширение знаний и возможностей в области кибербезопасности. В этом измерении изучаются структуры, существующие в стране для повышения осведомленности и образования в области кибербезопасности.
Создание эффективной нормативно-правовой базы. Изучите способность страны разрабатывать, ратифицировать и обеспечивать соблюдение законодательства, касающегося кибербезопасности и конфиденциальности.
Управление рисками с помощью стандартов и технологий. В этом измерении рассматривается общее использование стандартов кибербезопасности и наличие структур для разработки таких технологий.

Факторы:

Факторы являются важным компонентом потенциала страны, уровень зрелости которого измеряется, и в последней версии имеется 23 фактора, каждый из которых имеет один

или несколько аспектов ^{[ 2 ]}

Аспекты:

Это меньшее подразделение факторов, которое помогает понять каждый фактор и помогает в сборе и измерении доказательств. ^{[ 2 ]}

Индикаторы:

Каждый показатель определяет действия, которые позволяют предположить, что нация находится на определенном этапе зрелости. ^{[ 2 ]} Уровень зрелости, присвоенный аспекту, зависит от способности нации выполнять шаги и действия, перечисленные в качестве его индикатора. ^{[ 3 ]} Доказательства должны быть предоставлены до того, как будет достигнут конкретный этап. ^{[ 3 ]} Это либо

имеются доказательства или нет, и для перехода на более высокий этап необходимо, чтобы все Показатели на определенном этапе были выполнены. ^{[ 2 ]}

Этап:

Это показывает, насколько зрелой является нация по каждому фактору или аспекту. ^{[ 2 ]} Существует 5 стадий зрелости; стартовый, формирующий, устоявшийся, стратегический и динамичный. Чтобы нация достигла определенного этапа зрелости, она должна выполнить некоторые показатели. ^{[ 3 ]}

Запуск. На данном этапе у страны нет убедительных доказательств существования инициатив в области кибербезопасности.
Формирующий – имеются доказательства, подтверждающие инициативы по некоторым аспектам, однако эти усилия могут находиться на начальном этапе или носить разовый характер.
Установлено – есть свидетельства того, что аспект определен, функционален и работает, но адекватного распределения ресурсов не хватает.
Стратегический – приоритетность аспектов определяется национальными потребностями.
Динамичность – доступна работающая адаптируемая стратегия кибербезопасности, о чем свидетельствует глобальное лидерство в вопросах кибербезопасности, гибкость принятия решений и распределение ресурсов.

Разработка

Первая версия фреймворка была выпущена в 2014 году. ^{[ 12 ]} На основе пилотных оценок, проведенных в шести странах, в модель были внесены улучшения, и в 2017 году была опубликована обновленная версия. На основе уроков, извлеченных за годы внедрения ШМ, и консультаций со стороны экспертной консультативной группы GCSCC, стратегических, региональных партнеров и партнеров по реализации GCSCC и других экспертов из научных кругов, международных и региональных организаций, правительств, частного сектора и гражданского общества обновленная версия была выпущена в 2021 году. ^{[ 13 ]}

Размеры, факторы и аспекты со временем менялись между версиями КИМ. 2014 год имеет 5 измерений и 21 фактор. ^{[ 12 ]} Версия 2017 года имеет 5 измерений с 24 факторами. ^{[ 11 ]} Версия 2021 года имеет 5 измерений и 23 фактора. ^{[ 2 ]}

В Таблице 1 перечислены размеры трех версий.

Таблица 1. Размеры КИМ в разных версиях
Размеры	2014/2017	2021
Д1	Политика и стратегия кибербезопасности	Разработка политики и стратегии кибербезопасности
Д2	Киберкультура и общество	Поощрение ответственной культуры кибербезопасности в обществе
Д3	Образование, обучение и навыки в области кибербезопасности	Расширение знаний и возможностей в области кибербезопасности
Д4	Правовая и нормативная база	Создание эффективной нормативно-правовой базы
Д5	Стандарты, организации и технологии	Контроль рисков посредством стандартов и технологий

В таблице 2 перечислены факторы для каждой версии.

Таблица 2. Коэффициенты в различных вариантах.
Факторы	2014	2017	2021
Д1.1	Документированная или официальная национальная стратегия кибербезопасности	Национальная стратегия кибербезопасности	Национальная стратегия кибербезопасности
Д1.2	Реагирование на инциденты	Реагирование на инциденты	Отчет об инцидентах и кризисное управление
Д1.3	Критическая национальная инфраструктура	Защита критической инфраструктуры (CI)	Защита критической инфраструктуры (CI)
Д1.4	Антикризисное управление	Антикризисное управление	Кибербезопасность в обороне и национальной безопасности
Д1.5	Вопросы киберзащиты	Рассмотрение киберзащиты
Д1.6	Цифровое резервирование	Резервирование коммуникаций
Д2.1	Кибербезопасность	Образ мышления в области кибербезопасности	Образ мышления в области кибербезопасности
Д2.2	Осведомленность о кибербезопасности	Доверие и уверенность в Интернете	Доверие и уверенность в онлайн-сервисе
Д2.3	Уверенность и доверие в Интернете	Понимание пользователем вопросов защиты личной информации в Интернете	Понимание пользователем защиты личной информации в Интернете
Д2.4	Конфиденциальность онлайн	Механизмы отчетности	Механизмы отчетности
Д2.5		СМИ и социальные сети	СМИ и социальные сети
Д3.1	Национальная доступность киберобразования и обучения	Повышение осведомленности	Повышение осведомленности о кибербезопасности
Д3.2	Национальное развитие образования в области кибербезопасности	Рамки образования	Образование в области кибербезопасности
Д3.3	Обучение и образовательные инициативы в государственном и частном секторах	Рамки профессиональной подготовки	Профессиональное обучение кибербезопасности
Д3.4	Корпоративное управление, знания и стандарты		Исследования и инновации в области кибербезопасности
Д4.1	Правовые рамки кибербезопасности	Правовые рамки	Законодательные и нормативные положения
Д4.2	Юридическое расследование	Система уголовного правосудия	Соответствующая законодательная база
Д4.3	Ответственная отчетность	Официальные и неформальные рамки сотрудничества в борьбе с киберпреступностью	Правовые и нормативные возможности и возможности
Д4.4			Формальные и неформальные механизмы сотрудничества в борьбе с киберпреступностью
Д5.1	Соблюдение стандартов	Соблюдение стандартов	Соблюдение стандартов
Д5.2	Координационные организации по кибербезопасности	Устойчивость интернет-инфраструктуры	Контроль безопасности
Д5.3	Устойчивость национальной инфраструктуры	Качество программного обеспечения	Качество программного обеспечения
Д5.4	Торговая площадка кибербезопасности	Технические средства контроля безопасности	Устойчивость инфраструктуры связи и Интернета
Д5.5		Криптографические элементы управления	Торговая площадка кибербезопасности
Д5.6		Рынок кибербезопасности	Ответственное раскрытие информации
Д5.7		Ответственное раскрытие информации

Процесс рассмотрения

Процесс рассмотрения ШМ состоит из трех этапов. ^{[ 3 ]}^{[ 14 ]}

Этап 1: Кабинетное исследование и определение страны-партнера.

Первый шаг – выбор страны. Обзор ШМ может быть запрошен страной или страна может быть выбрана для оценки международной или региональной организацией. ^{[ 3 ]}

После того, как страна выбрана для оценки, устанавливаются отношения с принимающей страной и необходимыми заинтересованными сторонами, определяемыми из научных кругов, гражданского общества, правительственных министерств/департаментов, международных организаций и частного сектора. ^{[ 2 ]}

Этап 2: Обзор

Фактический анализ с участием заинтересованных сторон представляет собой трехдневный процесс консультаций, и на основе пяти измерений создается несколько групп из заинтересованных сторон. ^{[ 2 ]}

Метод открытых дискуссий или фокус-групп применяется для постановки вопросов и ответов на них. ^{[ 3 ]} Вопросы и ответы также можно собрать с помощью онлайн-инструмента. ^{[ 15 ]} Неспособность предоставить доказательства по всем показателям по каждому аспекту приведет к более низкому уровню зрелости этого аспекта. ^{[ 3 ]}

Для дальнейшего сбора данных можно использовать дистанционные сеансы последующего наблюдения или общение по электронной почте. ^{[ 3 ]}

Этап 3: Обзор отчета

Отчет представляется правительству страны, и эта страна по своему усмотрению может сделать его общедоступным или нет. ^{[ 2 ]}

Страны с оценкой ШМ

На веб-сайте GCSCC есть список стран, прошедших оценку, которые перечислены ниже. ^{[ 4 ]}

Албания

Антигуа и Барбуда

Аргентина

Армения

Багамы

Бангладеш

Барбадос

Белиз

Бенин

Бутан

Боливия

Босния и Герцеговина

Ботсвана

Бразилия

Буркина-Фасо

Кабо-Верде

Камерун

Чили

Колумбия

Острова Кука

Коста-Рика

Кипр

Доминика

Доминиканская Республика

Эквадор

Сальвадор

Эсватини

Фиджи

Гамбия

Грузия

Гана

Гренада

Гватемала

Гайана

Гаити

Гондурас

Исландия

Индонезия

Кот-д'Ивуар

Ямайка

Кирибати

Косово

Кыргызстан

Лесото

Либерия

Литва

Мадагаскар

Малави

Маврикий

Мексика

Микронезия

Черногория

Марокко

Мозамбик

Мьянма

Намибия

Никарагуа

Нигер

Нигерия

Северная Македония

Панама

Папуа-Новая Гвинея

Парагвай

Перу

Руанда

Сент-Китс и Невис

Сент-Люсия

Сент-Винсент и Гренадины

Самоа

Сенегал

Сербия

Сьерра-Леоне

Сомали

Шри-Ланка

Суринам

Швейцария

Танзания

Таиланд

Приехал

Тринидад и Тобаго

Тунис

Тувалу

Уганда

Великобритания

Уругвай

Вануату

Венесуэла

Замбия

Ссылки

^ «Глобальный центр возможностей кибербезопасности | Цифровые часы» . копать.смотреть . Проверено 23 июля 2021 г.
^ Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час ^я ^дж ^к ^л ^м ^н ^тот ^п ^д ^р ^с Глобальный центр возможностей кибербезопасности (2021 г.). «Модель зрелости потенциала кибербезопасности для стран (CMM)» (PDF) . Архивировано (PDF) из оригинала 24 июня 2021 г.
^ Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час ^я ^дж ^к Всемирный банк. «Программа глобального потенциала кибербезопасности. «Извлеченные уроки и рекомендации по усилению программы» » (PDF) . Documents.worldbank.org . Архивировано (PDF) из оригинала 21 августа 2020 г. Проверено 23 июня 2021 г.
^ Jump up to: ^а ^б ^с «Обзоры ШМ по всему миру» . gcscc.ox.ac.uk . Проверено 24 июня 2021 г.
^ РЭНД (2017). «Развитие потенциала кибербезопасности. Руководство по реализации концепции» (PDF) . Архивировано (PDF) из оригинала 20 октября 2018 г.
^ Международный союз электросвязи (2015). «Заявление WSIS+10 о реализации итогов WSIS» (PDF) . Архивировано (PDF) из оригинала 12 сентября 2016 г.
^ «Повышение кибербезопасности в наименее развитых странах» . МСЭ . Проверено 29 июля 2021 г.
^ Jump up to: ^а ^б «Продвижение наращивания потенциала в области кибербезопасности: реализация подхода, основанного на принципах» . www.gppi.net . Проверено 29 июля 2021 г.
^ «Оценка зрелости потенциала национальной кибербезопасности» . www.nrdcs.lt . Проверено 11 июля 2021 г.
^ Климбург, Александр; Зильберберг, Хьюго (2015). «Наращивание потенциала в области кибербезопасности: развитие доступа» (PDF) . Архивировано (PDF) из оригинала 20 августа 2020 г.
^ Jump up to: ^а ^б «Отчет о кибербезопасности за 2020 год: риски, прогресс и путь вперед в Латинской Америке и Карибском бассейне | Публикации» (PDF) . публикации.iadb.org . Проверено 25 июня 2021 г.
^ Jump up to: ^а ^б Глобальный центр возможностей кибербезопасности (2015). «Оценка потенциала кибербезопасности Республики Косово» . Архивировано из оригинала 25 июня 2021 г.
^ «Развитие и эволюция ШМ» . gcscc.ox.ac.uk . Проверено 03 июля 2021 г.
^ «Процесс проверки ШМ» . gcscc.ox.ac.uk . Проверено 03 июля 2021 г.
^ Jump up to: ^а ^б Организация американских государств (2016). «Готовы ли мы к кибербезопасности в Латинской Америке и странах Карибского бассейна?» . Архивировано из оригинала 30 июня 2021 г.
^ Дизайнер (22.11.2019). «CMM — Центр кибербезопасности Океании» . Проверено 11 июля 2021 г.
^ Всемирный банк (апрель 2019 г.). «ОБЗОР ПОТЕНЦИАЛА КИБЕРБЕЗОПАСНОСТИ Гамбии» (PDF) . Архивировано (PDF) из оригинала 28 июля 2019 г.

[1] «Глобальный центр возможностей кибербезопасности | Цифровые часы» . копать.смотреть . Проверено 23 июля 2021 г.

[:0-2] Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час ^я ^дж ^к ^л ^м ^н ^тот ^п ^д ^р ^с Глобальный центр возможностей кибербезопасности (2021 г.). «Модель зрелости потенциала кибербезопасности для стран (CMM)» (PDF) . Архивировано (PDF) из оригинала 24 июня 2021 г.

[:1-3] Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час ^я ^дж ^к Всемирный банк. «Программа глобального потенциала кибербезопасности. «Извлеченные уроки и рекомендации по усилению программы» » (PDF) . Documents.worldbank.org . Архивировано (PDF) из оригинала 21 августа 2020 г. Проверено 23 июня 2021 г.

[:4-4] Jump up to: ^а ^б ^с «Обзоры ШМ по всему миру» . gcscc.ox.ac.uk . Проверено 24 июня 2021 г.

[5] РЭНД (2017). «Развитие потенциала кибербезопасности. Руководство по реализации концепции» (PDF) . Архивировано (PDF) из оригинала 20 октября 2018 г.

[6] Международный союз электросвязи (2015). «Заявление WSIS+10 о реализации итогов WSIS» (PDF) . Архивировано (PDF) из оригинала 12 сентября 2016 г.

[7] «Повышение кибербезопасности в наименее развитых странах» . МСЭ . Проверено 29 июля 2021 г.

[:5-8] Jump up to: ^а ^б «Продвижение наращивания потенциала в области кибербезопасности: реализация подхода, основанного на принципах» . www.gppi.net . Проверено 29 июля 2021 г.

[9] «Оценка зрелости потенциала национальной кибербезопасности» . www.nrdcs.lt . Проверено 11 июля 2021 г.

[10] Климбург, Александр; Зильберберг, Хьюго (2015). «Наращивание потенциала в области кибербезопасности: развитие доступа» (PDF) . Архивировано (PDF) из оригинала 20 августа 2020 г.

[:2-11] Jump up to: ^а ^б «Отчет о кибербезопасности за 2020 год: риски, прогресс и путь вперед в Латинской Америке и Карибском бассейне | Публикации» (PDF) . публикации.iadb.org . Проверено 25 июня 2021 г.

[:7-12] Jump up to: ^а ^б Глобальный центр возможностей кибербезопасности (2015). «Оценка потенциала кибербезопасности Республики Косово» . Архивировано из оригинала 25 июня 2021 г.

[13] «Развитие и эволюция ШМ» . gcscc.ox.ac.uk . Проверено 03 июля 2021 г.

[14] «Процесс проверки ШМ» . gcscc.ox.ac.uk . Проверено 03 июля 2021 г.

[:6-15] Jump up to: ^а ^б Организация американских государств (2016). «Готовы ли мы к кибербезопасности в Латинской Америке и странах Карибского бассейна?» . Архивировано из оригинала 30 июня 2021 г.

[:3-16] Дизайнер (22.11.2019). «CMM — Центр кибербезопасности Океании» . Проверено 11 июля 2021 г.

[17] Всемирный банк (апрель 2019 г.). «ОБЗОР ПОТЕНЦИАЛА КИБЕРБЕЗОПАСНОСТИ Гамбии» (PDF) . Архивировано (PDF) из оригинала 28 июля 2019 г.

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]

[ 13 ]

[ 14 ]

[ 15 ]

[ 16 ]

[ 17 ]