Скинути
Контраст
Розмір
Сховати налаштування
Гаряча лінія МОЗ
0800 505 201
Налаштування доступності
Close
Налаштування доступності
Гаряча лінія МОЗ
0800 505 201
Facebook Youtube Telegram X White
Про міністерство
Стратегія Керівництво Положення про міністерство Міжнародні партнери Очищення влади Внутрішній аудит
Воєнний стан
Громадянам
Заявка на лікування за кордоном Доступні ліки Здоров'я А-Я Всеукраїнський тур ЗміниТИ Закупівлі ліків Безоплатна правнича допомога Опитування Створення безбар`єрного простору Медичний канабіс Військово-лікарські комісії Протидія COVID-19
Медичним працівникам
Освіта
Науково-дослідні установи Вступ на спеціальності галузі знань 22 «Охорона здоров'я» Цикли спеціалізації, тематичного удосконалення та заходи БПР у 2024 році
Пресцентр
Документи
Е-здоров'я
e-Stock Електронна інтегрована система спостереження за захворюваннями (ЕЛІССЗ) Система Meddata
Контакти

Удосконалення системи кібербезпеки

Тема 6.5. Удосконалення системи кібербезпеки

6.5.1. Глосарій

Принцип Кірхгофа - у спрощеній формі принцип Кірхгофа можна пояснити наступним чином: вартість системи захисту інформації не повинна бути дорожчою за цінність інформації, яку вона захищає.

Модель зрілості системи кібербезпеки - формалізована модель для виміру рівнів вдосконалення системи кібербезпеки організації. Зазвичай моделі зрілості кібербезпеки фокусуються на процесному підході до побудови кібербезпеки та розраховані на вище керівництво організації в якості цільової аудиторії.

Принцип Демінга-Шухарта (цикл PDCA) - алгоритм дій по управлінню процесом з метою його вдосконалення, що включає етапи: Планування, Виконання, Перевірка, Коригування.

6.5.2. Вступ

Розбудова системи кібербезпеки – це поетапний процес. Після впровадження базових заходів організації слід переходити до планування побудови посилених механізмів кібербезпеки.

Оскільки впровадження і розвиток системи кібербезпеки потребує певних фінансових та часових інвестицій, важливо при плануванні цільового стану кібербезпеки керуватися принципом Кірхгофа.

6.5.3. Моделі зрілості системи кібербезпеки

Для того, щоб організації мали спільний орієнтир при розвитку системи кібербезпеки, хорошою практикою вважається застосування моделей зрілості системи кібербезпеки.

Модель зрілості системи кібербезпеки допомагає вирішити низку таких завдань:

  • об'єктивна самооцінка поточного стану кібербезпеки;
  • порівняння власного стану кібербезпеки з середнім рівнем по галузі;
  • формування стратегії розвитку кібербезпеки;
  • пошук «спільної мови» між технічними спеціалістами та керівництвом організації.

Популярними стандартизованими моделями зрілості системи кібербезпеки є наступні:

  • Cybersecurity Capability Maturity Model – C2M2 (розроблено для Департаменту енергетики США)
  • NIST Cybersecurity Framework (розроблено Національним інститутом стандартів США)
  • Cybersecurity Maturity Model Certification (розроблено для Департаменту оборони США)


Таблиця 1. Порівняльна характеристика моделей зрілості системи кібербезпеки

Коротка назва моделі

С2М2

NIST CSF

Cybersecurity Maturity Model Certification

Кількість рівнів зрілості

3

4

5

Кількість категорій заходів (доменів) кібербезпеки

10

21

17

Тип оцінки

Самооцінка

Самооцінка

Зовнішня оцінка/ сертифікація

Рік публікації

2012

2013

2020

6.5.4. Модель зрілості системи кібербезпеки NIST CSF

Розглянемо модель зрілості системи кібербезпеки NIST CSF більш детально, оскільки методологію NIST CSF було адаптовано в українському законодавчому полі, а саме, як підхід до організації кібербезпеки об‘єктів критичної інформаційної інфраструктури.


Таблиця 2. Чотири рівні зрілості Моделі NIST CSF

Рівень зрілості NIST CSF

Коротка назва

Опис

1

Частковий

Заходи кібербезпеки не формалізовано. Обмежена поінформованість персоналу про ризики кібербезпеки

2

Поінформований

Поінформованість про ризики кібербезпеки присутня. Заходи з кібербезпеки офіційно затверджено керівництвом, але відсутній систематичний та всеохоплюючий підхід керівництва до кібербезпеки

3

Повторюваний

Заходи кібербезпеки запроваджено на рівні формальних політик організації. Запроваджено системний підхід до управління ризиками в сфері кібербезпеки

4

Адаптивний

Організація аналізує попередній досвід та поточну ситуацію для постійної адаптації системи кібербезпеки до поточних ризиків

Передбачається, що організація виконує самооцінку для визначення поточного стану процесів системи кібербезпеки. Після чого керівництво має обрати бажаний рівень зрілості, на досягнення якого направити ресурси та час. Необов'язково, щоб кожна організація ставила собі за мету досягнення максимального рівня зрілості в короткий час (рівень Адаптивний). Розвиток системи кібербезпеки відбувається поступово і з огляду на присутні на поточний момент загрози кібербезпеці організації.

6.5.5. Принцип Демінга-Шухарта

У менеджменті популярною методологією безперервного вдосконалення процесів є Принцип Демінга-Шухарта, також відомий як принцип або цикл PDCA: Plan-Do-Check-Act – Плануй-Роби-Перевіряй-Дій (див. рисунок 1).


Рисунок 1. Принцип Демінга-Шухарта або цикл PDCA


Принцип Демінга-Шухарта – це алгоритм дій по управлінню процесом з метою його вдосконалення:

  • Планування: постановка цілей, планування їх досягнення, а також розподіл ресурсів;
  • Виконання: реалізація запланованих робіт;
  • Перевірка: збір інформації про результати роботи згідно процесу, зокрема, вимір ключових індикаторів виконання (key performance indicators); у випадку відхилень — пошук причини проблеми;
  • Коригування: застосування заходів для уникнення відхилень від плану в подальшому, внесення змін в розподіл ресурсів та майбутнє планування.

Принцип Демінга-Шухарта є дуже популярним методом підвищення зрілості системи кібербезпеки в організації.

Ключові слова / теги

Модель зрілості кіберзахисту, Принцип безперервного вдосконалення

Наступна сторінка: Захист персональних даних пацієнта при роботі з інформаційно-комунікаційними системами електронної охорони здоров’я