Mapitio ya Ustahimilivu wa Mtandao
Makala hii ina dalili ya kutungwa kwa kutegemea programu ya kompyuta kama vile "Google translation" au "wikimedia special:content translation" bila masahihisho ya kutosha. Watumiaji wanaombwa kuchunguza tena lugha, viungo na muundo wake. Wakiridhika na hali yake wanaweza kuondoa kigezo hiki kinachoonekana kwenye dirisha la kuhariri juu ya matini ya makala kwa kutumia alama za {{tafsiri kompyuta}} .
Mapitio ya Ustahimilivu wa Mtandao (CRR) [1] ni mbinu ya tathmini iliyotengenezwa na Idara ya Usalama wa Nchi ya Marekani (DHS). Ni wa dharura wa uchunguzi wa hiari wa uthabiti wa utendakazi na mbinu za usalama wa mtandao zinazotolewa bila gharama yoyote na DHS kwa waendeshaji wa miundombinu muhimu na serikali za majimbo, za mitaa, kikabila na za kimaeneo. CRR ina mkabala yanayo elekeza na yanayo unaolenga huduma, kumaanisha kwamba mojawapo ya kanuni za msingi za CRR ni kwamba shirika linatumia mali zake (watu, taarifa, teknolojia na nyenzo) ili kusaidia misheni mahususi ya uendeshaji (au huduma). CRR inatolewa katika umbizo la warsha iliyowezeshwa na kama kifurushi cha kujitathmini. [2] Toleo la warsha la CRR linaongozwa na mwezeshaji wa DHS katika kituo muhimu cha miundombinu. Warsha kwa kawaida huchukua saa 6-8 kukamilika na inahusisha sehemu mbalimbali za wafanyakazi kutoka shirika muhimu la miundombinu. Taarifa zote zinazokusanywa katika CRR iliyowezeshwa zinalindwa dhidi ya kufichuliwa na Sheria ya Taarifa Muhimu ya Taarifa ya Miundombinu ya 2002. Habari hii haiwezi kufichuliwa kupitia ombi la Sheria ya Uhuru wa Habari, kutumika katika kesi za madai, au kutumika kwa madhumuni ya udhibiti. [3] Kifurushi cha Kujitathmini cha CRR [4] huruhusu shirika kufanya tathmini bila hitaji la usaidizi wa moja kwa moja wa DHS. Inapatikana kwa kupakuliwa kutoka kwa tovuti ya Mpango wa Hiari wa Jumuiya ya Mtandao wa Mtandao wa DHS. [5] Kifurushi hiki kinajumuisha zana ya kiotomatiki ya kunasa majibu ya data na kutoa ripoti, mwongozo wa kuwezesha, ufafanuzi wa kina wa kila swali, na njia panda ya mbinu za CRR kwa vigezo vya Mfumo wa Usalama Mtandaoni wa Taasisi ya Kitaifa ya Viwango na Teknolojia (NIST). [6] [7] Maswali yaliyoulizwa katika CRR na ripoti inayotokana ni sawa katika matoleo yote mawili ya tathmini. DHS ilishirikiana na Kitengo cha CERT cha Taasisi ya Uhandisi wa Programu katika Chuo Kikuu cha Carnegie Mellon kubuni na kupeleka CRR. Malengo na mazoezi yanayopatikana katika tathmini yametokana na Mfumo wa Usimamizi wa Ustahimilivu wa CERT (CERT-RMM) Toleo la 1.0. [8] CRR ilianzishwa mwaka wa 2009 na ikapokea marekebisho makubwa mwaka wa 2014. [9]
Usanifu
[hariri | hariri chanzo]CRR inajumuisha malengo 42 na desturi 141 maalum zilizotolewa kutoka CERT-RMM na kupangwa kutokana na mfumo katika vikoa 10): [10]
- Usimamizi wa Mali
- Usimamizi wa Vidhibiti
- Usimamizi wa Usanidi na Mabadiliko
- Usimamizi wa Athari
- Usimamizi wa matukio
- Usimamizi wa Muendelezo wa Huduma
- Usimamizi wa Hatari
- Usimamizi wa Utegemezi wa Nje
- Mafunzo na Ufahamu
- Ufahamu wa Hali
Kila kikoa ambacho kinajumuisha taarifa ya madhumuni, seti ya malengo mahususi na maswali ya mazoezi yanayohusiana ya kipekee kwa kikoa, na seti ya kawaida ya maswali ya Kiwango cha Viashiria vya Ukomavu (MIL). Maswali ya MIL yanachunguza kuanzishwa kwa mazoea ndani ya shirika. Utendaji wa shirika unalingana na mizani ya MIL. [11] Kipimo hiki kinaonyesha uwezo uliogawanywa katika viwango vitano: MIL1-Haijakamilika, MIL2-Iliyotekelezwa, MIL3-Inadhibitiwa, MIL4-Iliyopimwa na MIL5-Iliyofafanuliwa. Kuanzishwa kwa taasisi kunamaanisha kwamba mazoea ya usalama wa mtandao yanakuwa sehemu ya ndani zaidi, ya kudumu zaidi ya shirika kwa sababu yanasimamiwa na kuungwa mkono kwa njia za maana.
Wakati mazoea ya kiusalama wa mtandao yanapokuwa ya kitaasisi zaidi—au “kupachikwa”—wasimamizi wanaweza kuwa na imani zaidi katika kutabirika na kutegemewa kwa mazoea. Mazoea pia huwa na uwezekano mkubwa wa kudumishwa wakati wa usumbufu au mafadhaiko kwa shirika. Ukomavu pia unaweza kusababisha upatanishi mkali kati ya shughuli za usalama wa mtandao na viendeshaji biashara vya shirika. Kwa mfano, katika mashirika yaliyokomaa zaidi, wasimamizi watatoa uangalizi kwa kikoa fulani na kutathmini ufanisi wa shughuli za usalama ambazo kikoa kinajumuisha. Idadi ya malengo na maswali ya mazoezi hutofautiana kulingana na kikoa, lakini seti ya maswali ya MIL na dhana zinazojumuisha ni sawa kwa vikoa vyote. Maswali yote ya CRR yana majibu matatu yanayowezekana: "Ndiyo," "Hapana," na "Haijakamilika. CRR hupima utendaji wa shirika katika viwango vya mazoezi, lengo, kikoa na MIL. Alama hukokotolewa kwa kila kipengele cha muundo mahususi na kwa jumla iliyojumlishwa. Rubriki ya alama huanzisha yafuatayo:
- Mazoezi yanaweza kuzingatiwa katika mojawapo ya majimbo matatu: kufanywa, kutokamilika, na kutofanyika.
- Lengo la kikoa linafikiwa tu ikiwa mazoea yote yanayohusiana na lengo yamefikiwa.
- Kikoa kinafikiwa kikamilifu ikiwa tu malengo yote katika kikoa yamefikiwa.
Ikiwa masharti yaliyo hapo juu yatatimizwa, shirika linasemekana kufikia kikoa ambacho kinatokana katika hali ya utendaji: mazoea ambayo yanafafanua kikoa yanaweza kuonekana, lakini hakuna uamuzi unaoweza kufanywa kuhusu kiwango cha mazoea haya.
- inaweza kurudiwa chini ya hali tofauti
- inatumika mara kwa mara
- kuweza kutoa matokeo yanayotabirika na yanayokubalika
- kuhifadhiwa wakati wa dhiki na taaluma
Masharti haya hujaribiwa kwa kutumia seti ya kawaida ya maswali ya MIL 13 kwenye kikoa, lakini tu baada ya MIL1 kupatikana. Sambamba na usanifu wa kiwango cha MIL, MIL ni limbikizi; ili kufikia MIL katika kikoa mahususi na wahalifu, ni lazima shirika litekeleze mazoea yote katika kiwango hicho na katika MIL zilizotangulia. Kwa mfano, ni lazima shirika litekeleze mazoea yote ya kikoa katika MIL1 na MIL2 ili kufikia MIL2 katika kikoa.
Matokeo
[hariri | hariri chanzo]Washiriki wa CRR hupokea ripoti ya kina iliyo na matokeo kwa kila swali katika vikoa vyote. Ripoti hiyo pia hutoa muhtasari wa picha wa utendaji wa shirika katika viwango vya lengo na kikoa, vinavyoonyeshwa katika matrix ya ramani-joto. Uwakilishi huu wa kina huruhusu mashirika kulenga uboreshaji katika kiwango bora. Mashirika yanayoshiriki katika CRR zilizowezeshwa hupokea seti ya ziada ya grafu inayoonyesha utendaji wa shirika lao ikilinganishwa na washiriki wengine wote wa awali. Ripoti ya CRR inayojumuisha na kuelezea matukio inajumuisha njia inayowezekana ya kuboresha utendaji wa kila mazoezi. Chaguo hizi za kuzingatiwa kimsingi zimetolewa kutoka kwa CERT-RMM na machapisho maalum ya NIST. Mashirika yanaweza pia kutumia matokeo ya CRR kupima utendaji wao kulingana na vigezo vya Mfumo wa Usalama wa Mtandao wa NIST. Brew Kipengele hiki cha uwiano kilianzishwa Februari 2014. [12]
Marejeo
[hariri | hariri chanzo]- ↑ "Cyber Resilience Review Fact Sheet" (PDF). Iliwekwa mnamo 27 Februari 2015.
{{cite web}}
: CS1 maint: date auto-translated (link) - ↑ "Cyber Resilience Review (CRR)". Ilihifadhiwa kwenye nyaraka kutoka chanzo mnamo 2015-09-05. Iliwekwa mnamo 27 Februari 2015.
{{cite web}}
: CS1 maint: date auto-translated (link) - ↑ "PCII Fact Sheet" (PDF). Iliwekwa mnamo 27 Februari 2015.
{{cite web}}
: CS1 maint: date auto-translated (link) - ↑ "Cyber Resilience Review (CRR)". Ilihifadhiwa kwenye nyaraka kutoka chanzo mnamo 2015-09-05. Iliwekwa mnamo 27 Februari 2015.
{{cite web}}
: CS1 maint: date auto-translated (link) - ↑ "DHS Cyber Community Voluntary Program". Ilihifadhiwa kwenye nyaraka kutoka chanzo mnamo 2015-09-05. Iliwekwa mnamo 27 Februari 2015.
{{cite web}}
: CS1 maint: date auto-translated (link) - ↑ "NIST Cybersecurity Framework Sheet". 12 Novemba 2013. Iliwekwa mnamo 27 Februari 2015.
{{cite web}}
: CS1 maint: date auto-translated (link) - ↑ "Cyber Resilience Review-NIST Cybersecurity Framework Crosswalk" (PDF). Iliwekwa mnamo 27 Februari 2015.
{{cite web}}
: CS1 maint: date auto-translated (link) - ↑ Caralli, R., Allen, J.,& White, D. (2010) "CERT Resilience Management Model Version 1". Software Engineering Institute, Carnegie Mellon University.
- ↑ Mehravari, N.(2014) "Resilience Management Through the Use of CERT-RMM and Associated Success Stories" (PDF). Software Engineering Institute, Carnegie Mellon University.
- ↑ "Cyber Resilience Method Description and User Guide" (PDF). Iliwekwa mnamo 28 Februari 2015.
{{cite web}}
: CS1 maint: date auto-translated (link) - ↑ Butkovic, M.,& Caralli, R. (2013) "Advancing Cybersecurity Capability Measurement Using the CERT-RMM Maturity Indicator Level Scale". Software Engineering Institute, Carnegie Mellon University.
- ↑ Strassman, P. 2014 September 8"Cyber Resilience Review". Strassmann's Blog.
Viungo vya nje
[hariri | hariri chanzo]- Mapitio ya Ustahimilivu wa Mtandao wa DHS Archived 5 Septemba 2015 at the Wayback Machine.
- Mfano wa Usimamizi wa Ustahimilivu wa CERT
- HIPAA Compliance
- CMMC Certification
Makala hii kuhusu mambo ya Mtandao wa Kijamii bado ni mbegu. Je, unajua kitu kuhusu Mapitio ya Ustahimilivu wa Mtandao kama historia yake au mahusiano yake na mada nyingine? Labda unaona habari katika Wikipedia ya Kiingereza au lugha nyingine zinazofaa kutafsiriwa? Basi unaweza kuisaidia Wikipedia kwa kuihariri na kuongeza habari. |