Jednym z zadań ENISA jest wspieranie CSIRTów i działanie na rzecz wzmacniania ich zdolności w zarządzaniu incydentami. W tym celu Agencja UE ds. Cyberbezpieczeństwa opracowała nową wersję modelu dojrzałości CSIRT. Model na podstawie ponad czterdziestu parametrów, pochodzących ze standardu OCF SIM3, pozwala określić, na którym z trzech poziomów dojrzałości znajduje się CSIRT. Ponadto do oceny wykorzystuje udoskonaloną metodologię ENISA opartą na systemie samooceny i oceny wzajemnej (tzw. peer-review). Zawiera również wskazówki jak rozwijać zespół CSIRT od etapu wstępnego do zaawansowanego.

Stworzony przez ENISA model może posłużyć do oceny dojrzałości różnych zespołów CSIRT. Jednak został on opracowany w szczególności dla CSIRTów poziomu krajowego, które odgrywają kluczową rolę w koordynacji obsługi incydentów na poziomie krajowym i międzynarodowym. Dbałość o rozwój dojrzałości krajowych zespołów CSIRT przyczynia się do zwiększenia odporności europejskiego ekosystemu bezpieczeństwa. Jednak nie bez znaczenia jest również poziom dojrzałości CSIRT działających w ramach społeczności akademickiej i w sektorze prywatnym. Należy jednak pamiętać, że ze względu na swoje umocowanie, różnią się one sposobem funkcjonowania.

CSIRT wewnętrzny (zlokalizowany w przedsiębiorstwie prywatnym) – działa na poziomie organizacji, firmy prywatnej, organizacji non-profit, szpitala, czy też agencji rządowej. Jedną z jego właściwości jest bezpośredni dostęp do wiedzy w organizacji, która umożliwia obsługę incydentów i wgląd w wewnętrzne systemy IT.

CSIRT zewnętrzny (np. sektorowy) – oferuje usługi dla sektora lub danego obszaru. Ma ograniczony dostęp do systemów IT w organizacjach, które obsługuje. Dlatego jego działania koncentrują się nie na samej obsłudze incydentów, a raczej na koordynacji zarządzania incydentem między organizacjami z jego constituency, a także oferowaniu wsparcia tym organizacjom.

CSIRT poziomu krajowego – zapewnia szybką, zintegrowaną i skoordynowaną reakcję dla incydentów na poziomie krajowym, np. w przedsiębiorstwach handlu elektronicznego, instytucjach finansowych, podmiotach infrastruktury krytycznej i całego społeczeństwa. Jest ważnym ogniwem w międzynarodowej sieci CSIRT. W zależności od porządku prawnego rolę CSIRTU poziomu krajowego może pełnić jeden zespół lub wiele (w Polsce są to trzy zespoły: CSIRT MON, CSIRT GOV i CSIRT NASK). W drugim przypadku ważne, aby podział odpowiedzialności pomiędzy zespołami CSIRT został jasno określony. Zdarza się, że CSIRTy poziomu krajowego są zrzeszone w ramach narodowego centrum cyberbezpieczeństwa, lub podobnej instytucji.

ENISA podkreśla, że poziom dojrzałości zespołów CSIRT na terenie danego państwa wpływa na wzrost zdolności całego ekosystemu cyberbezpieczeństwa w tym kraju, a tym samym ma bezpośredni wpływ na poziom cyberbezpieczeństwa w UE.

Model dojrzałości zespołu CSIRT

Stworzony przez ENISA model dojrzałości zespołów CSIRT pozwala ocenić na jakim etapie znajduje się zespół. Dostrzec jego mocne strony, a także zlokalizować obszary, nad którymi należałoby popracować. Modelu nie należy traktować jako spisu obowiązkowych kroków, a raczej jak zbiór dobrych praktyk i wskazówek, który powstał w celu wspierania i stymulowania wewnętrznych wysiłków zespołów do osiągania coraz wyższych poziomów dojrzałości i doskonałości. 

Model dojrzałości CSIRT jest zbudowany z 3 filarów:

1. Standard OCF SIM3 – opracowany przez Open CSIRT Foundation (OCF) standard SIM3 (Security Incident Management Maturity Model) jest używany od 2008 roku przez zespoły CSIRT na całym świecie. Ostatnia modyfikacja miała miejsce w 2019r. OCF aktualnie pracuje nad drugą wersją standardu[1]. Pojawi się ona pod koniec 2022 r.[2]
2. Trzypoziomowe stopnie dojrzałości ENISA – model dojrzałości CSIRT zbudowany jest w oparciu o standard SIM3, ale wyznacza poziomy dojrzałości opracowane w ramach metodologii ENISA: Podstawowy (basic), średniozaawansowany (intermediate) i zaawansowany (advanced). W przypadku niespełnienia kryteriów poziomu podstawowego organizacja plasuje się na poziomie zero (under-basic).
3. Metodologia samooceny i oceny wzajemnej ENISA – propozycja wdrożenia modelu dojrzałości CSIRT w organizacji.

Aktualny model opiera się na poprzednich publikacjach ENISA, jednak zawiera aktualizacje wynikające zarówno ze zmian w standardzie SIM3, jak i zapisach projektu nowelizacji dyrektywy NIS (NIS2).

Standard SIM3

Standard SIM 3 składa się z 45 parametrów pogrupowanych w 4 kategorie: organizacja (organisational – O), ludzie (human – H), narzędzia (tools – T) i procesy (processes – P).

Organizacja (11 parametrów, od O-1 do O-11)

Parametry w tej kategorii odnoszą się do zakresu działalności CSIRT, tj. mandat, struktura, usługi jakie świadczy zespół, ramy organizacyjne.

Ludzie (7 parametrów, od H-1 do H-7)

Parametry koncentrują się na pracownikach CSIRT – wszystkich, nie tylko na osobach technicznych, a także sposobie organizacji pracy, możliwościach rozwoju pracowników (w tym szkoleniach), kompetencjach zarówno miękkich jak i twardych.

Narzędzia (10 parametrów, od T-1 do T-10)

Parametry opisują narzędzia i technologie, wykorzystywane przez CSIRT.

Procesy (17 parametrów, od P-1 do P-17)

Kategoria odnosi się do procesów, które są niezbędne do prawidłowej działalności zespołu CSIRT. W tym zbiorze mieszą się również parametry związane z innymi kategoriami, o ile opisują kroki, które należy podjąć na drodze realizacji jakiegoś celu.

Każdy z parametrów jest oceniany w skali od 0 do 4, wg. wytycznych:

Ocena	Status
Poziom 0 Nieznany i niezdefiniowany	Ten poziom dotyczy tylko nowo powstałych zespołów CSIRT, które jeszcze nie wypracowały sposobu działania. Jeśli na etapie oceny członkowie zespołu nie są w stanie ocenić parametru, albo są zaskoczeni pytaniem oznacza to, że parametr należy ocenić na 0. Jeżeli w zespole pojawiają się już dyskusje nad danym parametrem, bardzo prawdopodobne, że mamy do czynienia z poziomem 1.
Poziom 1 Nieformalny i niespisany	Poziom 1 odnosi się do tych parametrów, które zespół zna, ale zasady postępowania nigdy nie zostały spisane. Wszyscy wiedzą co należy zrobić, ale nie zadali sobie trudu, aby uzgodnić wspólne kroki działania i spisać je, aby każdy miał dostęp do tej samej wiedzy i łatwiej było szkolić nowych pracowników.
Poziom 2 Nieformalny, ale spisany	Poziom 2 należy przyporządkować tym parametrom, które mają spisane procesy, manuale, zasady postępowania, czy kwalifikacje incydentów w ramach wewnętrznych dokumentów (na wspólnych dyskach, czy stronach). Jednak żaden z tych dokumentów nie został zatwierdzony przez kierownictwo.
Poziom 3 Formalny i zatwierdzony wewnętrznie	Poziom 3 odnosi się do sformalizowanych zasad i dokumentów, które zostały zatwierdzone wewnętrznie.
Poziom 4 Formalny i zatwierdzony zewnętrznie	Poziom 4, czyli najwyższy, przyporządkowujemy jedynie tym parametrom, które zostały formalnie opisane i zatwierdzone nie tylko przez kierownictwo wewnętrzne, ale także poprzez osoby z zewnątrz. Podlegają one okresowym przeglądom, ocenie i audytom.

Etapy dojrzałości – trzypoziomowy model ENISA

ENISA zdefiniowała trzy etapy dojrzałości zespołu CSIRT:

• Podstawowy (basic)

Aby CSIRT mógł wypełniać swoją rolę i współpracować z innymi, konieczny jest podstawowy poziom dojrzałości. Oznacza on, że zespół ma określone miejsce w organizacji, zna swój obszar odpowiedzialności, posiada kontakt z operatorami, których obsługuje, ma opracowany sposób obsługi incydentów itp. Na tym poziomie najwyższe oceny wymagane są w kategorii Organizacja (przynajmniej poziom 3), podczas gdy w pozostałych kategoriach wystarczą niższe noty (poziom 1 lub 2).

• Średniozaawansowany (intermediate)

CSIRT na etapie średniozaawansowanym ma jeszcze większą zdolność organizacyjną i dlatego oceny w tych parametrach powinny sięgać poziomu 4. Inne kategorie również powoli zyskują coraz wyższe noty.

• Zaawansowany (advanced)

CSIRT na zaawansowanym etapie dojrzałości już nie tylko współpracuje w zakresie obsługi incydentów, ale posiada kompleksową zdolność do zarządzania incydentami, w tym skuteczny system wczesnego ostrzegania i udostępniania informacji o zagrożeniach. Na tym etapie parametry w kategoriach Ludzie, Narzędzia i Procesy są oceniane min. na poziomie 3, podczas gdy w kategorii Organizacja noty powinny w większości wynosić 4.

Dodatkowo opisany został poziom 0 (under-basic) dla tych zespołów, które nie osiągnęły jeszcze kryteriów dojrzałości dla etapu podstawowego.

Decyzja, na którym z poziomów dojrzałości znajduje się CSIRT zależy od oceny parametrów w standardzie SIM3. ENISA określiła minimalne oceny dla każdego z 45 parametrów, na każdym z etapów dojrzałości. Metodologia została opracowana dla CSIRTów poziomu krajowego, z uwzględnieniem, że niektóre parametry mogą mieć dla takiego zespołu większe znaczenie niż inne. Przykładowo: ponieważ CSIRT poziomu krajowego jest wyznaczany przez rząd do pełnienia funkcji na terenie całego państwa, powinien odznaczać się wysokim poziomem dojrzałości w parametrach dotyczących organizacji (O). Natomiast parametry odnoszące się do ludzi (H) najczęściej podlegają wewnętrznemu zarządzaniu i tu ta dojrzałość może wyglądać inaczej. Sytuacja różni się w zależności od państwa, gdyż niektóre kraje kontrolują wszystkie aspekty działalności CSIRT (również z kategorii ludzie, czy procesy).

Samoocena i ocena porównawcza – w jaki sposób korzystać z modelu dojrzałości ENISA?

Model oceny dojrzałości zespołu CSIRT, który opracowała ENISA powstał, aby wspierać istniejące i nowo powstałe CSIRTY na drodze doskonalenia. Został stworzony jako wzór i zbiór wskazówek, a nie jedyna słuszna droga, którą należy podążać. Dlatego ENISA nie wskazuje jednoznacznie w jaki sposób należy korzystać z modelu dojrzałości CSIRT, a jedynie pokazuje 3 sposoby, które mogą okazać się przydatne:

1. Samoocena

 Każdy z zespołów CSIRT może na podstawie modelu ENISA dokonać samooceny etapu dojrzałości. Może się to odbyć w ramach przeglądu wewnętrznego, a także jako próba ustalenia poziomu początkowego i opracowania planu dalszego rozwoju (razem z grafikiem czasowym). W zależności od tego, w jakim kierunku zespół chce się rozwijać, można położyć nacisk na polepszenie niektórych parametrów i pominąć pozostałe.

2. Ocena wzajemna

Kolejnym sposobem wykorzystania modelu jest ocena wzajemna. Po wykonaniu samooceny zespół może zwrócić się do innego CSIRT z prośbą o weryfikację. Najlepiej poprosić do tego osoby, które posiadają odpowiednie doświadczenie w ocenianiu dojrzałości CSIRTów. Na wspólnym spotkaniu zespół prezentuje swoją ocenę poszczególnych parametrów i porównuje ją z oceną zewnętrzną, która w naturalny sposób będzie bardziej obiektywna. To wspaniała okazja, aby uczyć się od siebie nawzajem, a także sposób na zbudowanie wzajemnego zaufania i pogłębienia relacji.

3. Audyt, certyfikacja i inne sposoby wykorzystania modelu

Model może być również wykorzystany do przeprowadzenia audytu, a nawet certyfikacji (potwierdzenie spełnienia konkretnych wymagań z danej kategorii). Może również posłużyć jako określenie minimalnego poziomu dojrzałości zespołów CSIRT do uczestnictwa w danym stowarzyszeniu. Możliwości są bardzo szerokie.

Podsumowanie:

1. ENISA opracowała kolejną wersję modelu dojrzałości zespołów CSIRT. Model stanowi zachętę do oceny dojrzałości zespołu, identyfikację jego mocnych i słabych stron, a także opracowanie planu rozwoju. W efekcie ma się on przyczynić do wzmocnienia CSIRTów i ich zdolności w zarządzaniu incydentami. Model został opracowany w szczególności dla zespołów działających na poziomie krajowym.
2. Model dojrzałości CSIRT jest zbudowany ze standardu OCF SIM3 i trzypoziomowych stopni dojrzałości ENISA.
3. Standard SIM3 składa się z 45 parametrów pogrupowanych w kategorie: organizacja (organisational – O), ludzie (human – H), narzędzia (tools – T) i procesy (processes – P). Każdy z parametrów można ocenić w skali od 0 do 4.
4. ENISA zdefiniowała trzy etapy dojrzałości zespołu CSIRT: Podstawowy, Średniozaawansowany, Zaawansowany, a także poziom 0 dla tych zespołów, które nie osiągnęły dojrzałości z etapu podstawowego.
5. Model dojrzałości CSIRT może być wykorzystywany w ramach samooceny, oceny wzajemnej (peer-review), a także jako narzędzie do audytu, certyfikacji itp.
6. Warto pamiętać, że model nie wyznacza jedynej słusznej drogi rozwoju, a raczej stanowi zbiór wskazówek i dobrych praktyk, z których CSIRTy poziomu krajowego mogą korzystać, aby wzmacniać swoje kompetencje w wybranych obszarach.

---

[1] Standard SIM3 nie jest powiązany z normami ISO i IETF, ani nie został zgłoszony do żadnej z organizacji zajmujących się opracowywaniem norm i standardów. Zdaniem OCF ograniczyłoby to elastyczność, spowodowało brak możliwości częstego uaktualniania, a także wpłynęło na wzrost kosztów. Celem OCF było stworzenie standardu, który będzie dostępny bezpłatnie dla wszystkich, co wpłynie na jego szerokie zastosowanie.

[2] ENISA deklaruje, że obecnie prezentowany model był opracowywany we współpracy z OCF i zawiera elementy, które są kompatybilne z nową wersją SIM3.