Mapitio ya Ustahimilivu wa Mtandao

Mapitio ya Ustahimilivu wa Mtandao ( CRR ) ^[1] ni mbinu ya tathmini iliyotengenezwa na Idara ya Usalama wa Nchi ya Marekani (DHS). Ni wa dharura wa uchunguzi wa hiari wa uthabiti wa utendakazi na mbinu za usalama wa mtandao zinazotolewa bila gharama yoyote na DHS kwa waendeshaji wa miundombinu muhimu na serikali za majimbo, za mitaa, kikabila na za kimaeneo. CRR ina mkabala yanayo elekeza na yanayo unaolenga huduma, kumaanisha kwamba mojawapo ya kanuni za msingi za CRR ni kwamba shirika linatumia mali zake (watu, taarifa, teknolojia na nyenzo) ili kusaidia misheni mahususi ya uendeshaji (au huduma). CRR inatolewa katika umbizo la warsha iliyowezeshwa na kama kifurushi cha kujitathmini. ^[2] Toleo la warsha la CRR linaongozwa na mwezeshaji wa DHS katika kituo muhimu cha miundombinu. Warsha kwa kawaida huchukua saa 6-8 kukamilika na inahusisha sehemu mbalimbali za wafanyakazi kutoka shirika muhimu la miundombinu. Taarifa zote zinazokusanywa katika CRR iliyowezeshwa zinalindwa dhidi ya kufichuliwa na Sheria ya Taarifa Muhimu ya Taarifa ya Miundombinu ya 2002. Habari hii haiwezi kufichuliwa kupitia ombi la Sheria ya Uhuru wa Habari, kutumika katika kesi za madai, au kutumika kwa madhumuni ya udhibiti. ^[3] Kifurushi cha Kujitathmini cha CRR ^[4] huruhusu shirika kufanya tathmini bila hitaji la usaidizi wa moja kwa moja wa DHS. Inapatikana kwa kupakuliwa kutoka kwa tovuti ya Mpango wa Hiari wa Jumuiya ya Mtandao wa Mtandao wa DHS. ^[5] Kifurushi hiki kinajumuisha zana ya kiotomatiki ya kunasa majibu ya data na kutoa ripoti, mwongozo wa kuwezesha, ufafanuzi wa kina wa kila swali, na njia panda ya mbinu za CRR kwa vigezo vya Mfumo wa Usalama Mtandaoni wa Taasisi ya Kitaifa ya Viwango na Teknolojia (NIST). ^{[6] [7]} Maswali yaliyoulizwa katika CRR na ripoti inayotokana ni sawa katika matoleo yote mawili ya tathmini. DHS ilishirikiana na Kitengo cha CERT cha Taasisi ya Uhandisi wa Programu katika Chuo Kikuu cha Carnegie Mellon kubuni na kupeleka CRR. Malengo na mazoezi yanayopatikana katika tathmini yametokana na Mfumo wa Usimamizi wa Ustahimilivu wa CERT (CERT-RMM) Toleo la 1.0. ^[8] CRR ilianzishwa mwaka wa 2009 na ikapokea marekebisho makubwa mwaka wa 2014. ^[9]

Usanifu

CRR inajumuisha malengo 42 na desturi 141 maalum zilizotolewa kutoka CERT-RMM na kupangwa kutokana na mfumo katika vikoa 10): ^[10]

1. Usimamizi wa Mali
2. Usimamizi wa Vidhibiti
3. Usimamizi wa Usanidi na Mabadiliko
4. Usimamizi wa Athari
5. Usimamizi wa matukio
6. Usimamizi wa Muendelezo wa Huduma
7. Usimamizi wa Hatari
8. Usimamizi wa Utegemezi wa Nje
9. Mafunzo na Ufahamu
10. Ufahamu wa Hali

Kila kikoa ambacho kinajumuisha taarifa ya madhumuni, seti ya malengo mahususi na maswali ya mazoezi yanayohusiana ya kipekee kwa kikoa, na seti ya kawaida ya maswali ya Kiwango cha Viashiria vya Ukomavu (MIL). Maswali ya MIL yanachunguza kuanzishwa kwa mazoea ndani ya shirika. Utendaji wa shirika unalingana na mizani ya MIL. ^[11] Kipimo hiki kinaonyesha uwezo uliogawanywa katika viwango vitano: MIL1-Haijakamilika, MIL2-Iliyotekelezwa, MIL3-Inadhibitiwa, MIL4-Iliyopimwa na MIL5-Iliyofafanuliwa. Kuanzishwa kwa taasisi kunamaanisha kwamba mazoea ya usalama wa mtandao yanakuwa sehemu ya ndani zaidi, ya kudumu zaidi ya shirika kwa sababu yanasimamiwa na kuungwa mkono kwa njia za maana.

Wakati mazoea ya kiusalama wa mtandao yanapokuwa ya kitaasisi zaidi—au “kupachikwa”—wasimamizi wanaweza kuwa na imani zaidi katika kutabirika na kutegemewa kwa mazoea. Mazoea pia huwa na uwezekano mkubwa wa kudumishwa wakati wa usumbufu au mafadhaiko kwa shirika. Ukomavu pia unaweza kusababisha upatanishi mkali kati ya shughuli za usalama wa mtandao na viendeshaji biashara vya shirika. Kwa mfano, katika mashirika yaliyokomaa zaidi, wasimamizi watatoa uangalizi kwa kikoa fulani na kutathmini ufanisi wa shughuli za usalama ambazo kikoa kinajumuisha. Idadi ya malengo na maswali ya mazoezi hutofautiana kulingana na kikoa, lakini seti ya maswali ya MIL na dhana zinazojumuisha ni sawa kwa vikoa vyote. Maswali yote ya CRR yana majibu matatu yanayowezekana: "Ndiyo," "Hapana," na "Haijakamilika. CRR hupima utendaji wa shirika katika viwango vya mazoezi, lengo, kikoa na MIL. Alama hukokotolewa kwa kila kipengele cha muundo mahususi na kwa jumla iliyojumlishwa. Rubriki ya alama huanzisha yafuatayo:

1. Mazoezi yanaweza kuzingatiwa katika mojawapo ya majimbo matatu: kufanywa, kutokamilika, na kutofanyika.
2. Lengo la kikoa linafikiwa tu ikiwa mazoea yote yanayohusiana na lengo yamefikiwa.
3. Kikoa kinafikiwa kikamilifu ikiwa tu malengo yote katika kikoa yamefikiwa.

Ikiwa masharti yaliyo hapo juu yatatimizwa, shirika linasemekana kufikia kikoa ambacho kinatokana katika hali ya utendaji: mazoea ambayo yanafafanua kikoa yanaweza kuonekana, lakini hakuna uamuzi unaoweza kufanywa kuhusu kiwango cha mazoea haya.

1. inaweza kurudiwa chini ya hali tofauti
2. inatumika mara kwa mara
3. kuweza kutoa matokeo yanayotabirika na yanayokubalika
4. kuhifadhiwa wakati wa dhiki na taaluma

Masharti haya hujaribiwa kwa kutumia seti ya kawaida ya maswali ya MIL 13 kwenye kikoa, lakini tu baada ya MIL1 kupatikana. Sambamba na usanifu wa kiwango cha MIL, MIL ni limbikizi; ili kufikia MIL katika kikoa mahususi na wahalifu, ni lazima shirika litekeleze mazoea yote katika kiwango hicho na katika MIL zilizotangulia. Kwa mfano, ni lazima shirika litekeleze mazoea yote ya kikoa katika MIL1 na MIL2 ili kufikia MIL2 katika kikoa.

 

Nembo ya Ukaguzi wa Ustahimilivu wa Mtandao wa Idara ya Usalama wa Nchi ya Marekani

 

Maelezo ya Mbinu ya Ustahimilivu wa Mtandao wa DHS na Mwongozo wa Mtumiaji wa Kujitathmini

Matokeo

Washiriki wa CRR hupokea ripoti ya kina iliyo na matokeo kwa kila swali katika vikoa vyote. Ripoti hiyo pia hutoa muhtasari wa picha wa utendaji wa shirika katika viwango vya lengo na kikoa, vinavyoonyeshwa katika matrix ya ramani-joto. Uwakilishi huu wa kina huruhusu mashirika kulenga uboreshaji katika kiwango bora. Mashirika yanayoshiriki katika CRR zilizowezeshwa hupokea seti ya ziada ya grafu inayoonyesha utendaji wa shirika lao ikilinganishwa na washiriki wengine wote wa awali. Ripoti ya CRR inayojumuisha na kuelezea matukio inajumuisha njia inayowezekana ya kuboresha utendaji wa kila mazoezi. Chaguo hizi za kuzingatiwa kimsingi zimetolewa kutoka kwa CERT-RMM na machapisho maalum ya NIST. Mashirika yanaweza pia kutumia matokeo ya CRR kupima utendaji wao kulingana na vigezo vya Mfumo wa Usalama wa Mtandao wa NIST. Kipengele hiki cha uwiano kilianzishwa Februari 2014. ^[12]

Angalia pia

• Ulinzi muhimu wa miundombinu
• Mfumo wa Usalama wa Mtandao wa NIST
• Ustahimilivu wa Mtandao

Marejeleo

2. ^
3. ^
4. ^
5. ^
6. ^
7. ^
8. ^ Caralli, R., Allen, J.,& White, D. (2010)
9. ^ Mehravari, N.(2014)
10. ^
11. ^ Butkovic, M.,& Caralli, R. (2013)
12. ^ Strassman, P. 2014 September 8

1. "Cyber Resilience Review Fact Sheet". Iliwekwa mnamo 27 February 2015.  Check date values in: |accessdate= (help)
2. "Cyber Resilience Review (CRR)". Ilihifadhi kwenye nyaraka kutoka chanzo mnamo 2015-09-05. Iliwekwa mnamo 27 February 2015.  Check date values in: |accessdate= (help)
3. "PCII Fact Sheet". Iliwekwa mnamo 27 February 2015.  Check date values in: |accessdate= (help)
4. "Cyber Resilience Review (CRR)". Ilihifadhi kwenye nyaraka kutoka chanzo mnamo 2015-09-05. Iliwekwa mnamo 27 February 2015.  Check date values in: |accessdate= (help)
5. "DHS Cyber Community Voluntary Program". Ilihifadhi kwenye nyaraka kutoka chanzo mnamo 2015-09-05. Iliwekwa mnamo 27 February 2015.  Check date values in: |accessdate= (help)
6. "NIST Cybersecurity Framework Sheet". 12 November 2013. Iliwekwa mnamo 27 February 2015.  Check date values in: |date=, |accessdate= (help)
7. "Cyber Resilience Review-NIST Cybersecurity Framework Crosswalk". Iliwekwa mnamo 27 February 2015.  Check date values in: |accessdate= (help)
8. Caralli, R., Allen, J.,& White, D. (2010) "CERT Resilience Management Model Version 1". Software Engineering Institute, Carnegie Mellon University. 
9. Mehravari, N.(2014) "Resilience Management Through the Use of CERT-RMM and Associated Success Stories". Software Engineering Institute, Carnegie Mellon University. 
10. "Cyber Resilience Method Description and User Guide". Iliwekwa mnamo 28 February 2015.  Check date values in: |accessdate= (help)
11. Butkovic, M.,& Caralli, R. (2013) "Advancing Cybersecurity Capability Measurement Using the CERT-RMM Maturity Indicator Level Scale". Software Engineering Institute, Carnegie Mellon University. 
12. Strassman, P. 2014 September 8"Cyber Resilience Review". Strassmann's Blog. 

Viungo vya nje

• Mapitio ya Ustahimilivu wa Mtandao wa DHS Archived 5 Septemba 2015 at the Wayback Machine.
• Mfano wa Usimamizi wa Ustahimilivu wa CERT
• HIPAA Compliance
• CMMC Certification