June 2015 Download this article as a PDFAbstract

Многие системы, составляющие наших важнейших инфраструктур – включая электроснабжение, транспорт, здравоохранение, и финансовые системы – разработаны и развернуты в качестве проектов в области информационных технологий (ИТ) с использованием методов управления проектом. Проекты предоставляют единовременное возможность надежно «дизайн в» кибербезопасность ИТ-компонентов критических инфраструктур. Модели зрелости управления проектом используется организациями сегодня для оценки качества и точности методов управления ИТ проектов явно не считают кибербезопасности. Эта статья делает три взносы для восполнения этого пробела. Во-первых, он развивает аргумент что кибербезопасность может и должно быть заботой руководителей ИТ проектов и оценивать в так же, как другие возможности управления проектом. Во-вторых, в нем рассматриваются три модели зрелости широко используются кибербезопасности – i) Национальный институт науки и технологий (NIST) основы для совершенствования критической инфраструктуры кибербезопасности, ii) Соединенных Штатов Америки министерства энергетики кибербезопасности модели зрелости (C2M2) и iii) CERT устойчивости модель управления (CERT RMM) от Carnegie Mellon Software Engineering Institute – для выявления шести тем кибербезопасности, характерных для управления проектами ИТ. В-третьих он предлагает набор расширений кибербезопасности для PjM3, модель зрелости управления широко используются проектами. Расширения принимают форму точки зрения потенциала пяти уровня кибербезопасности, что увеличивает семь стандартных перспектив PjM3 путем явного оценки возможностей управления проектом, которые влияют на шесть тем, где управление проектами и кибербезопасности пересекаются. Эта статья будет иметь отношение к ИТ менеджеров проектов, топ-менеджмент группы организаций, разрабатывать и развертывать ИТ-систем для критических инфраструктур и руководителей организаций, которые обеспечивают и поддержания критических инфраструктур.

Введение

Кибербезопасность нападения на информационные технологии (ИТ) системы становятся все более частыми и сложными (Bailey et al., 2014). Критических инфраструктур – имущество, необходимое для функционирования общества и экономики (общественной безопасности Канады, 2009) такие как финансовых систем – электроэнергии и распределения, транспортные системы и услуги здравоохранения во все большей степени зависят от сетевых систем (Рахман соавт, 2011; Xiao-Juan & Li Жень, 2010). Обеспечение безопасности этих взаимосвязанных систем ИТ от кибер атак является таким образом растущей озабоченности для многих заинтересованных сторон (Merkow & Рагхаван, 2012). Эксперты по безопасности утверждают, что безопасность должна быть «разработан в» для критически важных систем, а не переоборудованных позже (Хьюз & Cybenko, 2013; Макгроу, 2006; Pfleeger и др., 2015).

Модели зрелости возможностей кибербезопасности (например, Caralli и др, 2010; NIST, 2014; США Министерство энергетики, 2014) являются одним из подходов, используемых организациями для оценки возможностей для защиты от кибератак, benchmark кибербезопасности способность против других и выявления возможностей кибербезопасности для улучшения (Мирон & Муита, 2014). Как и модели зрелости в других специализированных областях модели зрелости возможностей кибербезопасности помогают организациям для определения их текущих процессов в отношении установленных отраслевых стандартов. Однако текущие модели зрелости возможностей кибербезопасности подавляющее большинство сосредоточиться на оценке как организации защиты существующих систем (например, процессы для поддержания кибербезопасности) вместо того, чтобы оценки как организации безопасной разработки и внедрения новых безопасных информационных систем (например, процессы для создания кибербезопасности).

Новые ИТ-системы обычно разрабатываются и развертываются как ИТ-проектов (Филлипс, 2010), которые управляются с помощью методов управления проектом (PMI, 2013a). Проекты предоставляют единовременное возможность «дизайн в» кибербезопасность для новых ИТ-систем, развернутых в критических инфраструктур. Хотя Управление проектом имеет свои собственные модели зрелости (например, Соуден соавт 2013; PMI, 2013b), модели управления проектом в пользе сегодня явно не затрагивают кибербезопасности. Для поставщиков критических инфраструктур и заинтересованными сторонами это как пробел, так и возможности.

Эта статья делает три вклад в теорию и практику обеспечения критических инфраструктур. Во-первых он развивает аргумент, что кибербезопасность может и должна быть озабоченность ИТ проектов и проектов спонсоров из критически важных объектов инфраструктуры проектов и что модели зрелости управления проектом может быть продлен для оценки возможностей кибербезопасности в таким же образом, что эти модели оценки других возможностей доменов. Во-вторых в нем определены шесть тем кибербезопасности, характерных для управления проектами ИТ. Для этого, выбрав три модели зрелости возможностей кибербезопасности, анализ содержания и общности и выявления тех аспектов, которые совпадают с областью его управления проектами или могут быть затронуты проектом управленческих решений и мероприятий. Поэтому темы отражают, как создание безопасных систем, а также строительные системы в безопасным способом. Рассмотрены три модели являются: i) Национального института науки и технологий (NIST) основы для совершенствования критической инфраструктуры кибербезопасности, ii) Соединенных Штатов Америки министерства энергетики кибербезопасности модели зрелости (C2M2) и iii) CERT модель устойчивости управления (CERT RMM). В-третьих он выбирает модель зрелости управления проектами – PjM3 – и предлагает новые перспективы потенциала пяти уровня кибербезопасности, которая расширяет перспективы семь возможностей стандартной модели. Объединение модели зрелости возможностей кибербезопасности и модель зрелости управления проектами PjM3 обеспечивает критически важных объектов инфраструктуры организаций со средствами для оценки потенциала вверх по течению «создание кибербезопасности». Такой подход будет особенно полезен для организаций, которые высоко ценят безопасность и одновременно использовать модели зрелости возможностей кибербезопасности для оценки возможностей в нижнем течении «кибербезопасности обслуживания».

Тело этой статьи состоит из четырех разделов. Следующие три раздела разработка одной из трех статьи и четвертый раздел завершается.

Обеспечение безопасности ИТ-проекта

ИТ-системы в критических инфраструктур обычно возникают как ИТ-проектов (Филлипс, 2010). В отличие от операций, которые постоянно и текущих, проекты имеют определенный набор целей и времени четко определенных и конечных границ (Керцнер, 2013). Разработка и развертывание деятельности обычно осуществляется с помощью средства управления проектами и методов, таких, как орган управления проектом знаний (PMBOK; PMI, 2013a) и процесс управления проектом ИТ с четко определенными этапами и ворота между этапами (Филлипс, 2010).

Решения и деятельность в рамках проекта ИТ могут оказать долгосрочное воздействие на кибербезопасности. Закупки и управление цепочками поставок являются одним из примеров. Аутсорсинг дизайн услуги, покупка коммерческого готовые (COTS) программного обеспечения и принятие открытых программных компонентов являются все потенциальные источники уязвимости, которые трудно обнаружить и исправить позже (Эллисон соавт., 2010). Управление качеством является вторым примером. Дефекты проектирования, развертывания или Провизионирование во время ИТ-проекта можно воспользоваться, пока не обнаружены и исправлены – потенциально на протяжении активного жизненного цикла ИТ-системы. Безопасность управления проекта и инфраструктура проекта является также долгосрочных последствий. Инструменты и процессы, используемые для проекта работы, Управление документами и коммуникации в рамках проектной группы являются все компоненты информационной безопасности и целостности. Например артефакты проекта, считается, что частные может быть кладезь злоумышленником, для будущей социальной инженерии нападения. Таким образом проекты предоставляют единовременное возможность надежно «дизайн в» кибербезопасности для новых ИТ-систем, развернутых в критических инфраструктур.

Модели зрелости возможности подхода деятельность как процесс и формально сравнить характеристики процесса использования против характеристики «идеального» процесса (Хамфри, 1988). Такой подход возникла в программной инженерии и широко применяется во многих специализированных областях, в том числе кибербезопасности (Мирон & Муита, 2014), способность использовать open source программное обеспечение (Карбоне, 2007) и готовность предприятия open source программное обеспечение проектов (Золотой, 2008). Модели зрелости управления проектом являются подмножеством модели зрелости возможностей, которые конкретно касаются возможностей управления проектом. Тело эмпирических доказательств связывает использование стандартов управления проектами, процессы и модели зрелости с результатами положительных проекта (Brookes, 2009; Милошевич & Patanakul, 2005).

Два наиболее развитых и широко используются зрелость управления проектом, модели являются:

  1. PjM3, компонент управления проектом портфеля, программы и модель зрелости управления проектами (P3M3), поддерживается государственно частное партнерство с правительством Великобритании (Соуден соавт, 2013)
  2. OPM3, организационная модель зрелости управления проектами, разработанный и поддерживаемый институт управления проектами (PMI, 2013b)

Кроме того есть много производных обеих базовых моделей. Например, модель зрелости PRINCE2 является специализированным производным P3M3, который специально согласованы с PRINCE2 (проекты в контролируемых средах, версия 2) методология управления проектами (Управление государственной торговли, 2009).

Обе эти модели и их различные производные решения управления рисками проекта, но не непосредственно касались кибербезопасности. Тем не менее можно оценивать потенциал кибербезопасности, в то же время и так же, как другие области озабоченности в области управления проектами.

Остаток этой статьи сосредоточена исключительно на модели зрелости возможности управления проектом PjM3. Есть три причины для выбора PjM3, вместо того, чтобы другой модели. Во-первых PjM3 является наиболее широко используемой модели на международном уровне (молодые соавт., 2011). Во-вторых PjM3 обеспечивает дискретный счет 5 уровня в семи перспектив (Соуден соавт, 2013); дискретные и модульные модели более легко расширяется для наших целей чем, например, непрерывной оценки OPM3. В-третьих PjM3 явно не связана с любой структуры управления конкретного проекта или процесса (Соуден соавт, 2013); Таким образом более широкое применение, чем специализированные модели, такие как PRINCE2. Тем не менее большая часть ниже о PjM3 могут быть легко адаптированы к другим моделям управления проектом, повторив шаги, описанные здесь.

PjM3 является компонентом управления проектом P3M3 – более широкой модели зрелости, которая также рассматривает управление портфелем ценных бумаг и управления программами. P3M3 был разработан в 2006 году Управление государственной торговли в Великобритании (OGC, 2006) и совсем недавно был обновлен в 2013 году по Axelos, частно государственное партнерство с правительством Великобритании (Соуден соавт, 2013). Она возникла как расширение зрелости модель управления проектами в OGC, которая адаптировала из оригинальной возможности зрелости модели (ШМ) разработал института программной инженерии (SEI) в Соединенных Штатах (Хамфри, 1988). P3M3 был принят в государственных и частных организаций. Например Министерство финансов и дерегулирования Австралии уполномочило P3M3 в качестве общей методологии для оценки австралийских правительственных учреждений и их организационного потенциала для Комиссии, управления и реализации выгод от инвестиций в ИКТ (молодые соавт., 2011).

PjM3 оценивает потенциал в рамках семи перспектив процесса (Соуден соавт, 2013): i) управление, ii) преимущества управления, iii) финансовое управление, участие заинтересованных сторон iv), v) Управление рисками, vi) организационное управление и vii) ресурсами. Как и другие модели зрелости процессов, каждая перспектива независимо друг от друга проводится на одном из пяти уровней: осознание процесса (уровень 1), repeatable процесс (уровень 2), определенный процесс (уровень 3), управляемый процесс (уровень 4) и оптимизированный процесс (уровень 5). Каждый уровень и с точки зрения каждого процесса встроенные атрибуты. Общие атрибуты касаются всех аспектов процесса на уровне зрелости. Конкретные атрибуты связаны только с точки зрения конкретного процесса. Таким образом PjM3 является потенциально расширяемой с новыми перспективами, которые используют одинаковую структуру и шкалу измерения уровня пяти и предоставить конкретные атрибуты для каждого уровня зрелости.

Кибербезопасность возможности

Существует большой объем предварительной работы по кибербезопасности и критической инфраструктуры, которая может сообщить перспективы кибербезопасности по управлению проектами ИТ. Мирон и Муита (2014) ранее определили девять модели зрелости возможностей опубликованных кибербезопасности для критических инфраструктур. Эти девять моделей были опубликованы пять различных организаций, с различных заявленных целей. Мы использовали следующие шаги, чтобы выбрать три модели для дальнейшего изучения. Во-первых, мы забили каждой из моделей, определенных Мирон и Муита (2014) в следующих пяти областях: i) зрелость и стабильность создания организаций; II) опыт в моделировании зрелости разработки организаций; III) доступность подробной документации; IV) публикация в общественном достоянии или открытых лицензий; v) достаточно рецепта рамок. Во-вторых, мы использовали три критерии отбора: i) высокие баллы в пяти областях, ii) не более чем одной модели от любого одного издателя, и iii) в тех случаях, когда две модели получили аналогичные результаты, мы выступаем за более общую модель или базовая модель над специализированной или производной модели. Этот процесс отбора был предназначен для выбора качества и разнообразия.

Для дальнейшего анализа были отобраны следующие три модели зрелости возможностей кибербезопасности:

  1. Кибербезопасность модели зрелости (C2M2) опубликованной министерством энергетики Соединенных Штатов (2014). Первая модель C2M2 была введена в 2012 году, конкретно посвящен энергии подсектора (ES-C2M2). Он был недавно обновлен до версии 1.1 в феврале 2014 года, и были запущены два новых варианта: основной сектор нейтральной версии (C2M2; версия, используемая здесь) и версия с учетом нефти и природного газа подсектора (Онг-C2M2). Разработка под руководством Соединенных Штатов Министерство энергетики (МЭ) в партнерстве с Департаментом национальной безопасности США (DHS) и в сотрудничестве с экспертами государственного и частного секторов. C2M2 состоит из десяти доменов, каждый из которых содержит набор практик кибербезопасности – деятельность, которые Организация может выполнить для создания и роста возможностей в домене.
  2. Рамки кибербезопасности NIST от национального института науки и технологии (NIST, 2014). Рамки кибербезопасности NIST была разработана в ответ на февраль 2013 года указ президента Соединенных Штатов к «повышения безопасности и гибкости критической инфраструктуры страны и поддерживать кибер среду, которая поощряет эффективность, инновации и экономическое процветание» (президент, 2013). Он определяет набор общих принципов и наилучшей практики для организации разработать свои собственные профили индивидуальной готовности.
  3. CERT устойчивости модель управления (CERT-RMM) из Института программной инженерии (SEI) в университете Карнеги-Меллона (Caralli соавт. 2010). CERT-РММ была первая модель безопасности принять перспективу зрелости возможности. Начиная с первых проектов распространены в 2008 году и теперь в версии 1.1 (2010), CERT-РММ была разработана в качестве основы для процесса совершенствования подхода к управлению оперативной устойчивости. В нем определяются организационные методы, необходимые для управления оперативной устойчивости и реагировать на стресс с зрелой и предсказуемой производительности.

В таблице 1 приводится резюме содержания и основных проблем каждого из этих трех моделей кибербезопасности. Есть общие черты среди всех трех моделей, уникальные проблемы, которые встречаются в только одной модели и проблемы, которые занимают видное место в двух из трех моделей.

 

Таблица 1. Содержание и основные проблемы C2M2, CERT-RMM и NIST рамки

Моделью зрелости возможности кибербезопасности министерства энергетики США (C2M2)

Институт инженерии программного обеспечения Cyber рисков и устойчивости управления (CERT-RMM)

Рамки NIST Министерство торговли США для повышения кибербезопасности критически важных объектов инфраструктуры

  • Управление рисками
  • Активов, изменения и управления конфигурацией
  • Управление идентификацией и доступом
  • Угрозы и управление уязвимостями
  • Ситуационную осведомленность
  • Обмен информацией и связь
  • Событий и реагирования на инциденты, непрерывность операций
  • Цепочки поставок и управления внешними зависимостями
  • Управление персоналом
  • Управление программой кибербезопасности
  • Разработка требований к устойчивости
  • Управление требованиями устойчивости
  • Определение активов и управление
  • Элементы управления
  • Эластичные техническое решение инженерных
  • Непрерывность обслуживания
  • Управление внешними зависимостями
  • Управление доступом
  • Управление идентификацией
  • Управление инцидентами и управление
  • Анализ уязвимости и разрешение
  • Экологический контроль
  • Знания и управление информацией
  • Управление людьми
  • Управление технологиями
  • Мониторинг
  • Определение организационного процесса
  • Фокус организационного процесса
  • Измерение и анализ
  • Управление активами
  • Бизнес-среды
  • Управление
  • Оценка рисков
  • Стратегия управления рисками
  • Управление доступом
  • Осведомленность и обучение
  • Безопасность данных
  • Процессы защиты информации и процедур
  • Техническое обслуживание
  • Защитные технологии
  • Аномалии и события
  • Непрерывный мониторинг безопасности
  • Процессы обнаружения
  • Планирование реагирования
  • Ответ связь
  • Анализ
  • Смягчение последствий
  • Улучшения реагирования
  • Планирование восстановления
  • Улучшения восстановления
  • Восстановление связи

 

Далее мы систематически выявили проблем кибербезопасности из таблицы 1, которые являются наиболее характерными для управления проектами ИТ. Мы устранили проблемы, что мы считается чисто оперативным и сохранил эти опасения, что либо i) совпадают с областью управления ИТ проектами или ii), скорее всего, влияние проектов управленческих решений и мероприятий. И наконец мы сгруппировали остающиеся озабоченности в широкие тематические области, определение шести проектов применимых кибербезопасности темы:

  1. Безопасность среды проекта
  2. Знания рабочей силы
  3. Планирование непрерывности бизнеса
  4. Обеспечение проекта цепочки поставок
  5. Безопасность конечных результатов проекта
  6. Отказоустойчивость конечных результатов проекта

Эти шесть тем обеспечивают потенциальной основой для перспективы кибербезопасности на зрелость возможности управления проектом.

Кибербезопасность расширения PjM3

Для идентификации конкретных атрибутов перспективы кибербезопасности PjM3, мы вновь интерпретировать шесть тем на каждом из пяти уровней общих атрибутов зрелости процессов. Используя одинаковую структуру и шкалу измерений, мы гарантируем, что новая перспектива кибербезопасности полностью совместим с семи стандартных перспектив PjM3 и можно оценить в то же время и в так же, как стандартные ракурсы.

Определенные атрибуты на каждом из пяти уровней зрелости, предоставляются в следующих пяти подразделов.

Уровень 1: Осведомленность

  1. Здесь необходимы не кибербезопасности подготовки или навыков для любых членов проектной группы.
  2. Нет никакой роли проекта по кибербезопасности.
  3. Нет доступа или идентификации контроля над системы сред, используемых участниками группы проекта.
  4. Нет требований кибербезопасности для проектов.
  5. Проект кибербезопасность процессы, такие как заявления чувствительности (SoS), оценка риска угрозы (TRA) и оценки воздействия конфиденциальности (PIA) не выполняются или выполняются в несогласованном специальной форме.
  6. Практика разработки безопасного программного обеспечения (например, сканирование кода, проникновение тестирование, OWASP) не планируются и не выполняются.
  7. Проекты не подписаться стандартов организации закупок или процессов.

Уровень 2: Повторяемые

  1. Некоторые члены команды имеют навыки кибербезопасности, но они применяются непоследовательно по всей команде.
  2. Проектная документация создается, но нет процессов для поддержания или контроля проектной документации или кода.
  3. Каждый проект отвечает за обеспечение соответствующего управления идентификацией и доступом из сред системы проектов.
  4. Кибербезопасность требования разрабатываются непоследовательная и специальным образом.
  5. Кибербезопасность процессы (например, SoS, Пиа, TRA, т. д.) используются в непоследовательной и специальной основе.
  6. Практика разработки безопасного программного обеспечения (например, сканирование кода, проникновение тестирование, OWASP) используются непоследовательно по проектам.
  7. Бизнес-планы непрерывности несогласованно сотрудниками проектов и редко поддерживается.

Уровень 3: Определено

  1. Кибербезопасность навыки включены в описания ключевых проектирования, разработки и тестирования ролей.
  2. Выполняется проверка безопасности ресурсов проекта.
  3. Проектная документация и код активно поддерживается в безопасное хранилище.
  4. Роль проекта определяется как ответственность для кибербезопасности конечных результатов проекта (ов).
  5. Существуют определенные процессы для контроля доступа и идентификации всех сред системы, используемые проектной группой.
  6. Кибербезопасность для предприятия определяются на организационном уровне и являются обязательными для всех ИТ-проектов.
  7. Контрольные перечни, содержащие сведения о всех процессах кибербезопасности проекта (например, SoS, Пиа, TRA, т. д.) доступны для всех членов проектной группы.
  8. Стандарты проекта для разработки безопасного программного обеспечения определены и доступны для всех членов команды.
  9. Стандарты проекта для безопасного управления документации и кода существуют и доступны для всех членов проектной группы.
  10. Процессы корпоративных закупок используются проекты, и все операции аудита.
  11. План непрерывности бизнес-шаблоны доступны для всех членов проектной группы.

Уровень 4: Управляемый

  1. Ключевые дизайн, разработка и тестирование ресурсов проводят поддающиеся проверке кибербезопасности навыки учетные данные.
  2. Доступ и идентичность управления конфигурации проектов систем сред, последовательно проверяются для обеспечения условий безопасности и целостности.
  3. Все документы требований рассматриваются архитектор предприятия кибербезопасности.
  4. Фаза локализации существует, чтобы обеспечить, что все процессы кибербезопасности и стандартов проекта (например, SoS, Пиа, TRA, безопасного разработки программного обеспечения, планы непрерывности бизнеса, и др.) работают надлежащим образом каждого проекта и соответствующего качества.
  5. Проекты использовать только квалифицированных поставщиков, которые среди прочего, оценки рисков безопасности.

Уровень 5: Оптимизация

  1. Ресурсы для улучшения навыков кибербезопасности, которые относятся к проекту работы становятся доступными для всей проектной группы.
  2. Корпоративный центр кибербезопасности передового опыта существует в том, чтобы постоянно улучшать возможности кибербезопасности проектных групп.
  3. Корпоративные стандарты для проекта кибербезопасности процессы постоянно совершенствуются и активно общались.
  4. Корпоративная практика для разработки безопасного программного обеспечения постоянно совершенствуются и активно общались.
  5. Проекты активно использовать свой опыт для содействия кибербезопасности корпоративных знаний.
  6. Кибербезопасность для предприятия постоянно рассматриваются и улучшить корпоративный центр кибербезопасности передового опыта.
  7. Архитектор безопасности предприятия требуется для выхода на всех основных конечных результатов.
  8. Безопасное хранилище с контролем строгой версии поддерживается проектной документации и кода.
  9. Все проектная документация и код артефакты имеют только одну копию, которая поддерживается в безопасное хранилище.
  10. Квалифицированные продавцы постоянно проверяются на риск для безопасности.

Перспективы кибербезопасности на зрелость возможности управления проектом демонстрирует потенциальные отношения между ИТ управления проектами и кибербезопасности критических инфраструктур. Большая часть существующей работы по защите важнейших объектов инфраструктуры, включая различные модели зрелости кибербезопасности, подчеркнул текущие операции. Однако мы предлагаем, что акцент на операции решает лишь половину проблемы кибербезопасности, и мы утверждаем, что ИТ-проектов, проектирование и развертывание новых ИТ-систем, также требуют внимания. Кибербезопасность расширений модели зрелости управления проектом – такие, как перспективы кибербезопасности PjM3 предложенные выше – адрес внедрения новых систем в способ, который будет знаком для опытных руководителей проектов и спонсоров проекта.

Заключение

Как кибербезопасность становится растущей проблемной областью для критически важных объектов инфраструктуры поставщиков, правительств и частных предприятий, она заслуживает больше внимания от его руководителей проектов, отделами управления проектами и спонсоров проекта. Мы утверждали, что проекты дают возможность надежно «дизайн в» кибербезопасности для информационных систем компонентов критических инфраструктур; Таким образом кибербезопасность может и должно быть главной заботой руководителей проектов. Перспективы кибербезопасности на зрелость управления проектом устраняет эту возможность в форме, которая знаком проекта практиков.

Хотя эта работа здесь представлены на раннем этапе и не было доказано в области, мы искренне надеемся, что это искры диалог проекта практиков, специалистов кибербезопасности и поставщиков критических инфраструктур о том, как обеспечить более эффективную защиту систем, которые необходимы для функционирования нашего общества и нашей экономики.

Успешное осуществление потребует действий нескольких групп. Мы призываем руководителей ИТ проектов и сотрудников проекта попробовать эти идеи в области – начиная с неофициальной самооценки кибербезопасности зрелости и следуют планы действий по повышению оценки- а затем представить на их опыте. Мы призываем спонсоров проекта критической инфраструктуры, чтобы предоставить руководителям проектов и проектных групп с властью, стимулы, обучение и ресурсы «дизайн в» кибербезопасность ей проектов и оценки зрелости этих усилий. Мы призываем исследователей эпирически проверить эффективность этих идей, особенно отношения между ИТ проекта кибербезопасности атрибуты и результаты, результаты безопасности и оперативных результатов проекта эффектных результатов, включая традиционные. Если данные из поля показывает этот подход, чтобы быть эффективным, принятие на большем масштабе потребует действий от организаций проекта для включения кибербезопасности более формально в Pj3M и других стандартов управления проектами. Эта формализация откроет новые возможности получения дохода для поставщиков услуг по обучению, для поставщиков услуг по оценке и сертификации, а также для поставщиков инструментов проекта и инфраструктуры, и это позволит ускорить карьеру квалифицированных проектов профессий, которые способны работать на счет высокой зрелости на перспективу кибербезопасности.

 


Ссылки

Бейли, т., дель Мильо, а. & Рихтер, у. 2014. Стратегические риски кибератак рост. McKinsey Quarterly, Май:
17 – 22.http://www.mckinsey.com/insights/business_technology/the_rising_strategi...

Brookes, н. & Кларк, р. 2009. Использование модели зрелости для улучшения практики управления проектом. В ходе разбирательства с POMS двадцатой ежегодной конференции, Орландо, штат Флорида, 1 – 4 мая.

Д. Caralli, р. а., Аллен, Дж. х. & белый, с 2010. Модель управления устойчивости CERT: Модель зрелости для управления оперативной устойчивости (CERT-RMM версии 1.1). Бостон, Массачусетс: Addison-Wesley Professional.

Карбоне, р. 2007. Конкурентоспособным открытым исходным кодом. Open Source бизнес ресурс, Июль:
4 – 6.http://timreview.ca/article/93

Эллисон, р. Дж., Гуденаф, ж. б., Вайншток, C. б. & Вуди, C. 2010. Оценка и смягчение программного обеспечения поставок цепи безопасности риски. № CMU/SEI-2010-TN-016. Институт программного обеспечения Университета Карнеги Меллона: Питтсбург, штат Пенсильвания.

Золотой, б. 2008. Создание открыть источник готов для предприятия: Модель зрелости Open Source. Open Source бизнес ресурс, Май:
4 – 9.http://timreview.ca/article/145

Хьюз, Дж. & Cybenko, 2013 г. Количественные показатели и оценка рисков: Три модели кибербезопасности. Обзор управления инновационной технологии, 3(8):
15-24.http://timreview.ca/article/712

Хамфри, в. S. 1988. Характеристики программного обеспечения процесса: Рамки зрелости. Программное обеспечение IEEE, 5(2):
73-79.http://dx.doi.org/10.1109/52.2014

Керцнер, х. 2013. Управление проектами: Системный подход к планированию, планирования и контроля (11 изд.). Хобокен, Нью-Джерси: Джон Вилей & сыновей.

Макгроу, 2006 г. Безопасность программного обеспечения: Укрепление безопасности в. Верхняя Река седловины, NJ: Addison Уэсли.

Л. Merkow, м. с. & Рагхаван, 2012. Безопасное и эластичные программное обеспечение: Требования, тестовые случаи и методы тестирования. Бока-Ратон, FL: CRC пресс.

Милошевич, д. & Patanakul, р. 2005. Управление проектами стандартизированных может увеличить успех проектов развития. Международный журнал управления проектами, 23(3):
181-192.http://dx.doi.org/10.1016/j.ijproman.2004.11.002

Мирон, у. & Муита, K. 2014. Модели зрелости возможностей кибербезопасности для провайдеров критически важных объектов инфраструктуры. Обзор управления инновационной технологии, 4(10):
33 – 39.http://timreview.ca/article/837

NIST. 2014. Рамки для повышения критической инфраструктуры кибербезопасности, версия 1.0. Гейтерсберг, MD: Национальный институт стандартов и
Technology.http://www.nist.gov/cyberframework/upload/cybersecurity-framework-021214...

Управление государственной торговли. 2006. Портфолио, программа и модель зрелости управления проектами (P3M3). Лондон: Стационарное отделение.

Управление государственной торговли. 2009. Управление успешных проектов с PRINCE2 (2009 ред.). Лондон: Стационарное отделение.

Pfleeger, р. C., Pfleeger, с. л. & Маргулис. к 2015 году. Безопасность в области вычислительной техники (5 изд.). Верхняя Река седловины, NJ: Прентис Холл.

Филлипс, Дж. 2010. Управление проектами: На пути от начала до конца (3-е изд.). Нью-Йорк: McGraw-Hill.

PMI. 2013a. Руководство проектом управления орган знаний (PMBOK Guide) (5 изд.). Площадь Ньютон, PA: Институт управления проектами.

PMI. 2013b. Модель зрелости организационного управления проектами (OPM3) (3-е изд.). Площадь Ньютон, PA: Институт управления проектами.

Общественной безопасности Канады. 2009. Национальная стратегия критической инфраструктуры. Оттава: Правительство
Canada.http://www.publicsafety.gc.ca/cnt/rsrcs/pblctns/srtg-crtcl-nfrstrctr/ind...

Рахман, х. а., Марти, р. & Шривастава, к. д. 2011. Гибридные системы модель для имитации кибер взаимозависимости между критических инфраструктур. Международный журнал критических инфраструктур, 7(4):
265-288.http://dx.doi.org/10.1504/IJCIS.2011.045056

Соуден, р., Hinley д & Кларк, S. 2013. Портфолио, программа и модель зрелости управления проектами (P3M3): Введение и руководство по P3M3, версия 2.1. Лондон: AXELOS Limited. HTTPS://www.axelos.com/Corporate/Media/Files/P3M3%20Model/P3M3_Introduct...

Президент. 2013. Президент Соединенных Штатов Америки: Административный указ 13636 — улучшение критической инфраструктуры кибербезопасности. Федеральный регистр/президентские документы, 78(33): 19 февраля 2013 г. Вашингтон, округ Колумбия: США национальных архивов и
Administration.http://www.gpo.gov/fdsys/pkg/FR-2013-02-19/pdf/2013-03915.pdf

Министерство энергетики США. 2014. Кибербезопасность модели зрелости (C2M2 версии 1.1). Вашингтон, округ Колумбия: Департамент США
Energy.http://energy.gov/oe/downloads/cybersecurity-capability-maturity-model-f...

Сяо Хуан, л & Li Жень, х. 2010. Уязвимость и взаимозависимость критической инфраструктуры: Обзор. Третья Международная конференция по системам инфраструктуры и услуг: Следующее поколение систем инфраструктуры для эко городов (INFRA):
1 – 5.http://dx.doi.org/10.1109/INFRA.2010.5679237

Янг, р., молодой, м. & Сапата, J.R. 2011. Критическая оценка P3M3 в австралийских федерального правительственных учреждений. Канберра, Австралия: ANZSOG институт управления, Университет
Canberra.http://www.governanceinstitute.edu.au/magma/media/upload/media/529_P3M3-...

Доля этой статьи:

Цитируете эту статью:

Оцените содержание: 
Нет голосов были поданы еще. Скажи свое слово!

Ключевые слова: C2M2, модели зрелости возможностей, CERT RMM, критических инфраструктур, кибербезопасности, NIST, P3M3, PjM3, управление проектами

Комментарии

Очень интересная статья! Сегодня так важно быть в курсе проблем кибербезопасности с первого дня!

Добавить новый комментарий

Обычный текст

  • Теги HTML не разрешены.
  • Адреса электронной почты и адреса страниц включите в ссылки автоматически.
  • Строки и параграфы переносятся автоматически.