Af Eskil Sørensen, 04/03/24
DKCERT er ikke længere akkrediteret medlem af Trusted Introducer. Til gengæld er vi blevet certificeret medlem, hvilket er resultatet af den SIM3-certificering, som vi blev tildelt og fik overrakt af Open CSIRT Foundation på Open Cyber Security-konferencen den 26. februar.
Dermed er den proces, der blev indledt i marts 2023 foreløbig afsluttet. ”Foreløbig”, fordi et team årligt skal auditeres for at opretholde sin certificering.
Fire parametre
SIM3 står for Security Incident Management Maturity Model og er et udtryk for, hvor godt et team styrer, dokumenterer, udfører og måler sin funktion. Meningen med SIM3 er bl.a., at temaet kontinuerligt skal forsøge at forbedre sine egne processer og dermed forbedre resultatet af de services, der leveres under SIM3. Modellen består af fire parametre, som et Cyber Security Incident Response Teams (CSIRT) modenhed måles efter. De fire parametre er hhv. "Organisation", "Human", "Tools" og "Processes".
Med ”Organisation” menes ressourcer, værktøjer, personer og infrastruktur, der anvendes i teamet på en struktureret og på forhånd tilrettelagte måder. Området omfatter bl.a. definering af mandat for teamet, ”kundekreds”, beskrivelse af de tjenester teamet leverer, ansvarsfordeling, evaluering af processer mv.
”Humans” refererer til det personale, der arbejder sammen om at levere de beskrevne tjenester i Organisationsområdet. Har de involverede personer den tekniske og ledelsesmæssige uddannelse, den nødvendige erfaring og bliver de løbende videreuddannet mhp. at udfylde funktionen? 'H'-parametrene handler således om det menneskelige aspekt i enhver CSIRT.
”Tools” handler om de programmer, applikationer, tjenester, instrumenter og udstyr, som bruges af personalet i CSIRT’en, og som tilbydes ift. de i organisationsområdets beskrevne tjenester, fx ved håndteringen af sikkerhedshændelser.
Den sidste parameter, ”Processer”, refererer til de handlinger, som udføres af mennesker (”Human”) eller værktøjer (”Tools”) for at udfylde de tjenester der leveres (som er defineret i "Organisation"). Det kan fx være håndtering af sikkerhedshændelser eller de andre tjenester, som tilbydes af CSIRT’en. Modenheden i procesparameteret måles bl.a. på, hvor god organisationen er til at levere servicen, at den er dokumenteret, målbar og gentagelig, med det formål, kontinuerligt at forbedre de tjenester, der leveres.
Brugervenligt modenhedsværktøj
At blive cerficeret kræver i første omgang, at man som team gennemfører en selvevaluering ved anvendelse af et modenhedsværktøj, der er udviklet efter SIM3-modellen. Efter selvevalueringen sker auditeringen, hvor en auditør kommer på besøg og bl.a. gennemfører workshops og interviews med teamet for at vurdere om den selvevaluerede modenhed svarer til virkeligheden. Året efter certificeringen er opnået, kommer auditøren igen på besøg for at vurdere om teamet opretholder det beskrevne og krævede niveau. Dette sikrer, at teamet hele tiden holder sit niveau, og at certificeringsmetoden kan opretholde sin troværdighed.
Modenhedsværktøjet, der er tilgængelig på Open CSIRT Foundations hjemmeside, er nemt at bruge og giver ved anvendelse et godt indblik i, hvad man skal opnå og hvilke kriterier der skal opfyldes for at blive certificeret i henhold til Trusted Introducer-kravene. Værktøjet anvendes også til at beskrive, hvilket krav der skal opfyldes for at kunne opnå medlemsskab af FIRST - Forum of Incident Response and Security Teams.
Links:
https://opencsirt.org/csirt-maturity/sim3-and-references/
https://sim3-check.opencsirt.org/#/