За три года я провёл gap-анализ по четырём разным моделям зрелости для двенадцати организаций - от субподрядчиков Defense Industrial Base до энергетических компаний с OT-сегментом. Результат один и тот же: команда тратит месяц на заполнение скоркарт, руководство получает PDF с радиальной диаграммой, документ уходит в SharePoint. Через полгода приходит пентест-отчёт и опровергает половину оценок. Dormant accounts, flat network, SIEM с дефолтными правилами - всё это было «Implemented» в Excel, но сломалось за час на внутреннем пентесте.
Проблема не в моделях зрелости. Проблема в том, что фреймворк выбирается по инерции, а self-assessment проводится «по памяти» без верификации. Ниже - конкретная методика выбора модели и пошаговый процесс оценки зрелости ИБ, который даёт результат, а не артефакт для аудитора.
Почему именно эти четыре модели и что осталось за рамками
Моделей зрелости ИБ - десятки: NIST CSF с четырьмя implementation tiers, CIS Controls v8 с тремя implementation groups (IG1–IG3, от 56 до 153 safeguards), OWASP SAMM для оценки зрелости AppSec-программ, ISO 27001 с циклом PDCA. В статье разбираются четыре фреймворка, которые закрывают разные ниши и чаще всего пересекаются в реальных проектах:- CMMC 2.0 - обязательная сертификация для подрядчиков DoD, жёсткая привязка к NIST SP 800-171
- C2M2 - бесплатный инструмент DOE с покрытием IT и OT, изначально для энергетики
- SSE-CMM (ISO/IEC 21827) - стандарт зрелости процессов безопасной инженерии
- BSIMM - дескриптивная модель оценки безопасности, построенная на реальных данных сотен организаций
CMMC сертификация: три уровня для оборонной промышленности
CMMC 2.0 (Cybersecurity Maturity Model Certification) - модель Министерства обороны США для защиты CUI (Controlled Unclassified Information) и FCI (Federal Contract Information) в цепочке поставок. CMMC 1.0 (2020) включала пять уровней; в 2.0 их сократили до трёх:- Level 1 (Foundational): 17 практик из FAR 52.204-21, ежегодная самооценка
- Level 2 (Advanced): 110 практик из NIST SP 800-171 Rev 2, для приоритетных контрактов требуется оценка C3PAO (Certified Third-Party Assessor Organization)
- Level 3 (Expert): практики из NIST SP 800-172, оценка DIBCAC
Типичный gap - домен Access Control: организация имеет политику, но не пересматривает доступ. Глазами атакующего: если доступ не ревьюится, устаревшие учётные записи - вектор initial access через T1078 (Valid Accounts). Никакой эксплойт не нужен - достаточно dormant account с паролем из предыдущего брича.
Ограничения CMMC: привязан к DoD supply chain. Для организаций вне DIB - избыточен. Стоимость C3PAO-оценки Level 2 начинается от $50K и может превышать $200K для крупных компаний. Самооценка по Level 1 бесплатна, но результат нужно подавать в SPRS (Supplier Performance Risk System).
C2M2 фреймворк: десять доменов для оценки IT и OT
C2M2 (Cybersecurity Capability Maturity Model) - бесплатный инструмент Министерства энергетики США. Текущая версия - 2.1, выпущена в июне 2022 года.Модель содержит более 350 практик, сгруппированных в десять доменов: Risk Management, Asset/Change/Configuration Management, Identity and Access Management, Threat and Vulnerability Management, Situational Awareness, Event and Incident Response, Supply Chain Management, Workforce Management, Cybersecurity Architecture и Cybersecurity Program Management.
Каждый домен оценивается по четырём MIL (Maturity Indicator Levels):
- MIL0: практики MIL1 не выполняются
- MIL1: практики выполняются ad hoc - процесс есть, документации нет
- MIL2: практики задокументированы, выделены ресурсы для поддержки
- MIL3: персонал несёт ответственность, действия отслеживаются и оцениваются
Чем полезен для security engineers: модель одинаково покрывает IT- и OT-активы. Домен Threat and Vulnerability Management напрямую маппится на активности vulnerability assessment. Организация на MIL1 в этом домене - сканирование нерегулярное, результаты не приоритизированы. На внутреннем пентесте это значит, что T1082 (System Information Discovery) и T1518 (Software Discovery) дают полную картину инфраструктуры без какого-либо evasion. Просто
nmap -sV - и видно всё.Ограничения C2M2: self-assessment без внешней сертификации. Никто не проверяет достоверность. Организации склонны завышать оценки - в моей практике расхождение на один-два MIL-уровня между самооценкой и реальностью встречалось в большинстве проектов. Модель оптимизирована под энергетику: домены Supply Chain и Situational Awareness отлично работают для OT, но менее специфичны для чистого IT-сектора.
SSE-CMM стандарт: зрелость процессов безопасной инженерии
SSE-CMM (Systems Security Engineering Capability Maturity Model, ISO/IEC 21827) фокусируется не на организационной кибербезопасности, а на инженерных процессах: как организация проектирует, реализует и верифицирует безопасность в продуктах и системах. Модель оценивает процессные области по пяти уровням зрелости - от Performed Informally до Continuously Improving.Где реально применяется: SSE-CMM имеет смысл для вендоров, которые разрабатывают средства защиты информации или критические системы. В российском контексте - для компаний, проходящих сертификацию по ОУД4 (ГОСТ Р ИСО/МЭК 15408). Процессы SSE-CMM пересекаются с требованиями приказа ФСТЭК №76 к разработке и тестированию СрЗИ.
Ограничения: стандарт ISO/IEC 21827 не обновлялся с 2008 года. Концепции актуальны, но терминология и примеры устарели. Для оценки зрелости AppSec-процессов сегодня OWASP SAMM (открытый, регулярно обновляется) - более практичная альтернатива. SSE-CMM - как хороший учебник из 2008-го: фундамент крепкий, но примеры пора менять.
BSIMM оценка безопасности: дескриптивная модель на данных рынка
BSIMM (Building Security In Maturity Model) - принципиально другой подход. CMMC, C2M2 и SSE-CMM - прескриптивные модели: они говорят «что вы должны делать». BSIMM - дескриптивная модель: она показывает «что делают другие», агрегируя данные реальных оценок организаций.Модель структурирована вокруг четырёх доменов: Governance, Intelligence, SSDL Touchpoints (Secure Software Development Lifecycle) и Deployment. Каждый домен содержит 3 практики (12 суммарно) и более 120 активностей, распределённых по трём уровням зрелости.
Главное преимущество - бенчмарк против рынка. Организация видит, что подавляющее большинство участников выполняет конкретную практику, а она - нет. Или что определённая активность внедрена лишь у малой доли - и вкладывать ресурсы в неё прямо сейчас не стоит. Для CISO это аргумент в бюджетном разговоре, подкреплённый данными, а не абстрактной шкалой от 1 до 5.
Ограничения: BSIMM-оценку проводят сертифицированные асессоры, стоимость - десятки тысяч долларов. Модель фокусируется на безопасности ПО, а не на инфраструктурной защите. И ключевой нюанс: BSIMM описывает что есть, но не предписывает что должно быть. Если весь рынок делает что-то недостаточно - BSIMM покажет это как норму. Дескриптивная модель - зеркало, а не компас.
Сравнение фреймворков: trade-off таблица с ограничениями
| Критерий | CMMC 2.0 | C2M2 | SSE-CMM | BSIMM |
|---|---|---|---|---|
| Тип модели | Прескриптивная | Прескриптивная | Прескриптивная | Дескриптивная |
| Уровни зрелости | 3 | 4 (MIL0–MIL3) | 5 | 3 |
| Количество практик | 110 (Level 2) | 350+ | Процессные области | Активности |
| Фокус | Защита CUI/FCI | IT/OT кибербезопасность | Инженерия безопасности | AppSec / SSDL |
| Обязательность | Для DIB-контрактов | Добровольная | Добровольная | Добровольная |
| Стоимость оценки | $50K–$200K+ (C3PAO) | Бесплатно (self) | Зависит от контекста | Десятки тысяч USD |
| Бесплатный инструмент | Нет (шаблон 800-171A) | Да (c2m2.doe.gov) | Нет | Нет |
| IT/OT-покрытие | IT | IT + OT | IT (инженерия) | IT (разработка) |
| Self-assessment | Level 1 - да | Основной режим | Частично | Нет |
| Бенчмарк против рынка | Нет | Нет | Нет | Да |
| Когда использовать | DoD supply chain | Энергетика, CI, OT | Вендоры ПО/СрЗИ | Зрелые AppSec-команды |
| Когда НЕ использовать | Вне DIB | Чистый IT без OT | Не-разработческие орг. | Начальный уровень ИБ |
Как выбрать фреймворк: decision tree
Выбор модели зрелости определяется тремя факторами: регуляторные обязательства, тип инфраструктуры и зрелость ИБ-команды.- Вы подрядчик DoD или работаете с CUI? CMMC 2.0, без вариантов. Это не выбор - это требование. Начинайте с NIST SP 800-171 self-assessment через DoD Assessment Methodology.
- Есть OT-инфраструктура (SCADA, ICS, промышленные контроллеры)? C2M2. Модель спроектирована для среды, где IT и OT пересекаются. Домен Asset, Change, and Configuration Management покрывает реальность энергетических и промышленных компаний лучше, чем что-либо ещё из бесплатного.
- Вы разрабатываете ПО или средства защиты? SSE-CMM для зрелой инженерной организации. OWASP SAMM - если AppSec-программа только строится. Нужен бенчмарк против рынка и бюджет позволяет - BSIMM.
- Нужна быстрая оценка зрелости общей ИБ без привязки к регулятору? C2M2 как бесплатный старт. NIST CSF v2.0 (функции Govern, Identify, Protect, Detect, Respond, Recover) - для более широкого покрытия. CIS Controls IG1–IG3 - прагматичная альтернатива с 18 контролями и чёткими implementation groups.
- Нужно убедить совет директоров? BSIMM, если бюджет есть. Аргумент формата «95% компаний нашей отрасли делают X, а мы нет» работает лучше абстрактной шкалы от 1 до 5. Я видел, как этот аргумент разблокировал бюджет на SIEM за одну встречу.
Self-assessment кибербезопасности: пошаговый процесс
Пример: домен Identity and Access Management в C2M2 на MIL2 требует задокументированной процедуры управления доступом. Политика в Confluence есть - отлично. Но в AD живут 200 dormant accounts, не использовавшихся 90+ дней. Это MIL1, не MIL2. Проверить можно одной командой:
Код:
Search-ADAccount -AccountInactive -TimeSpan 90.00:00:00 | Where-Object {$_.Enabled -eq $true} | Measure-ObjectШаг 3: заполните матрицу честно
Для каждой практики - три варианта:- Implemented: есть свидетельство, есть процесс, он работает
- Partially Implemented: процесс есть, но не для всех систем, не задокументирован или не проверялся
- Not Implemented: нет процесса или нет свидетельства
Шаг 4: постройте heatmap и приоритизируйте
Визуализируйте результат в Excel через условное форматирование по доменам. Красное - Not Implemented, жёлтое - Partially, зелёное - Implemented. Heatmap - инструмент для разговора с руководством, а не внутренний документ ИБ-команды.Приоритизация идёт по двум осям: risk impact (какие домены при низкой зрелости создают наибольший риск - IAM и Threat Management почти всегда в топе) и effort to remediate (документирование политики - неделя; развёртывание SIEM-интеграции - квартал).
Уровни зрелости безопасности глазами пентестера
Каждый домен с низкой оценкой зрелости транслируется в конкретные TTPs, которые атакующий эксплуатирует без особых усилий:| Домен (низкая зрелость) | MITRE ATT&CK | Что это значит на внутреннем пентесте |
|---|---|---|
| Identity and Access Management | Valid Accounts (T1078) | Dormant accounts, shared credentials, нет MFA - initial access без эксплойтов |
| Asset Management | System Information Discovery (T1082) | Неучтённые хосты, shadow IT - recon выдаёт больше, чем знает защита |
| Threat and Vulnerability Mgmt | Software Discovery (T1518) | Устаревшее ПО без патчей - fingerprinting находит exploit surface |
| Cybersecurity Architecture | Unsecured Credentials (T1552) | Credentials в plaintext, нет vault - credential access без brute force |
| Workforce Management | - | Нет awareness-программы - фишинг работает в каждой кампании |
Проверьте password policy - как это делает атакующий при Password Policy Discovery (T1201):
Код:
net accounts /domaingpresult /r (Group Policy Discovery, T1615) получит полную картину GPO. Нет ограничений на lateral movement (нет tiered access, нет LAPS, RDP разрешён всем) - домен Cybersecurity Architecture на MIL0–MIL1, что бы ни стояло в скоркарте.Этот двойной взгляд - audit и offensive - превращает self-assessment из галочки для отчёта в инструмент с верифицируемыми результатами.
Я видел двенадцать таких проектов и могу сказать одно: модель не имеет значения, если оценка проведена нечестно. Организации, которые завышают MIL-уровни при self-assessment, через полгода получают пентест-отчёт, опровергающий каждый второй пункт скоркарты. Dormant accounts, flat network без сегментации, SIEM с дефолтными правилами, пароли в Group Policy Preferences - всё это невидимо для Excel-матрицы, но видно для
net accounts /domain и Permission Groups Discovery (T1069).Выбор фреймворка - вопрос скорее политический, чем технический. CMMC - потому что контракт, C2M2 - потому что DOE порекомендовало, BSIMM - потому что CISO нужен бенчмарк для совета директоров. Техническая совместимость на втором месте. Но один подход работает вне зависимости от модели: проведите self-assessment, а потом отдайте результат вашему пентестеру - пусть попробует опровергнуть каждый «Implemented» за рабочий день. Те пункты, которые он сломает за час, - ваш реальный приоритет. Не MIL-уровень в Excel, не цвет ячейки в heatmap, а конкретный gap, который конвертируется в вектор атаки. Если хочется посмотреть, как discovery-техники из этой таблицы работают на живом стенде без последствий - задачи в категориях network и admin на HackerLab.pro построены именно вокруг таких сценариев.
