Valstybių kibernetinio saugumo brandos vertinimo modelis
Pasaulio valstybės vystosi vis labiau pasitikėdamos informacinėmis ir ryšių technologijomis, tokiomis kaip internetas.
Kibernetinės erdvės gyvybingumas priklausys nuo kiekvienos šalies sėkmės kuriant gebėjimus atsižvelgiant į kintančias kibernetines grėsmes, nesvarbu, ar tai susiję su technologijų sklaidos tendencijomis, technikos pažanga, socialiniais ir politiniais pokyčiais.
Spartus elektroninės erdvės vystymas suteikia ne tik daugybę galimybių, bet ir gali būti puiki terpė kibernetiniams nusikaltimams. Todėl, siekiant minimalizuoti spragas, procesų ir veiklų skaitmenizavimas turi žengti koja kojon su kibernetiniu saugumu. Kibernetinis saugumas neapsiriboja tik technologijomis ir sistemomis – tai ištisa ekosistema, kuri apjungia viešojo sektoriaus įstaigas, įvairias organizacijas, verslo subjektus, akademinę bendruomenę ir visuomenę. Tad ir priemonės, kurios užtikrina šalių kibernetinį atsparumą, turi būti kompleksinės.
Oksfordo Universiteto Pasaulinis kibernetinio saugumo gebėjimų centras (angl. Global Cyber Security Capacity Centre, GCSCC), po konsultacijų su tarptautiniais ekspertais iš viso pasaulio, sukūrė Valstybių Kibernetinio Saugumo Brandos Vertinimo Modelį (Oxford CMM), kuris padeda šalims suprasti, kas veikia, kas neveikia, ir kodėl, jų kibernetinio saugumo ekosistemose. Be to, modelis padeda sprendimų priėmėjams vyriausybėse, tarptautinėse organizacijose ir gebėjimų stiprinimo institucijose visame pasaulyje atlikti išsamius nacionalinių kibernetinio saugumo gebėjimų vertinimus, idant tinkamai nustatyti investicijų ir gebėjimų ugdymo prioritetus bei palyginti kibernetinio saugumo pajėgumus įvairiose pasaulio šalyse.
Modelis ypatingas tuo, kad padeda įvertinti visą šalies kibernetinę ekosistemą per penkias pagrindines tarpusavyje susijusias dimensijas:
NRD Cyber Security yra Oksfordo universiteto pasaulinio kibernetinio saugumo gebėjimų centro strateginė partnerė kibernetinio saugumo brandos modelio taikymui ir įgyvendinimui.
Kaip mes tai darome?
- Kvietimas: vyriausybė kviečia NRD Cyber Security atlikti Oxford CMM vertinimą;
- Dokumentų/šaltinių tyrimo vykdymas: NRD Cyber Security komanda atlieka pirminį dokumentų/šaltinių tyrimą, kad suprastų kibernetinio saugumo kontekstą šalyje;
- Konsultacijos su suinteresuotomis šalimis: valstybės kibernetinio saugumo suinteresuotos grupės kviečiamos į konsultacijas ir tikslinių grupių diskusijas, kuriose renkama informacija apie šalies kibernetinio saugumo brandą;
- Analizė ir brandos vertinimo ataskaitos rengimas: NRD Cyber Security komanda analizuoja informaciją, surinktą taikant struktūrizuoto lauko kodavimo procesą, ir rengia įrodymais pagrįstą pradinį CMM kibernetinio saugumo brandos vertinimo ataskaitos projektą, kuris įvertina valstybės kibernetinio saugumo brandą, nurodo, kokios sritys yra labiausiai pažeidžiamos ir kur labiausiai vertėtų skirti dėmesį ir resursus;
- Ataskaitos projekto peržiūra techninėje taryboje: pradinį CMM kibernetino saugumo brandos vertinimo ataskaitos projektą peržiūri Oksfordo Universiteto GCSCC techninė taryba, kurią sudaro patyrę akademikai ir kibernetinio saugumo ekspertai;
- Ataskaitos tvirtinimas: pradinis CMM kibernetinio saugumo brandos vertinimo ataskaitos projektas siunčiamas vyriausybei įvertinimui ir tvirtinimui;
- Leidyba: vyriausybė savo nuožiūra paskelbia CMM kibernetinio saugumo brandos vertinimo ataskaitą.
Kokios šio modelio taikymo naudos?
- Skatina informuotumą apie kibernetinį saugumą, gebėjimų stiprinimą ir prisideda prie glaudesnio bendradarbiavimo vyriausybėje;
- Padeda apibrėžti vaidmenis ir pareigas vyriausybėje;
- Didina vidinį kibernetinio saugumo darbotvarkės patikimumą ir tęstinumą vyriausybėje;
- Skatina visos vyriausybės/visos visuomenės bendradarbiavimą, įtraukiant visus kibernetinio saugumo ekosistemos dalyvius iš skirtingų sričių, tokių kaip akademinė bendruomenė, visuomenė, verslas, ypatingos svarbos infrastruktūros objektai, kibernetinių incidentų reagavimo komandos, teisėsaugos ir saugumo institucijos;
- Padidina finansavimą ir investicijų prioritizavimą kibernetinio saugumo gebėjimų stiprinimo srityje;
- Nacionalinis procesas, paremtas neutraliu išorės vertinimu;
- Pateikiamas raportas, kuris padeda suplanuoti investavimo prioritetus ir užtikrinti efektyvų nacionalinės kibernetinio saugumo strategijos ir politikos kūrimą.
