Сегодня нашел, пожалуй, лучший каталог метрик по информационной безопасности - http://nistcsf.societyinforisk.org/doku.php .
Причем это некоммерческий проект:
"The SIRA NIST CSF Metrics Project was created to help analysts and organizations create meaningful measures for the Functions, Categories, and where possible, Sub-Categories of the NIST CSF.
By creating metrics for the NIST CSF we hope we can help analysts who want to turn what might be simply a paperwork exercise into a performance-focused effort. In other words, if we're going to have to do this, we might as well try to do it so that it actually helps us defend our organizations."
По сути, ребята взяли все группы мер из NIST Cybersecurity Framework и, используя подход GQIM (про него я писал отдельную заметку, сначала ознакомьтесь с ней , будет понятнее суть), выбрали цели, вопросы и метрики.
Ну, и еще все свели к майндкартам, а это я люблю особо...
Что с этим делать нам? Можно просто выбрать необходимые нам метрики из списка по нужным доменам методологии NIST (они ниже), или по аналогичной схеме придумать свои метрики и показатели.
Вообще, каталог довольно интересный, требует более глубокого изучения и осмысления. Пожалуй, погружусь в эту пучину на новогодние праздники...
