Понимаю, что сама по себе постановка вопроса, вынесенная в заголовок, звучит достаточно странно, и многие до сих пор считают, что у нас госорганы занимаются ИБ только для "галочки" и только "когда припрет", но бывают и исключения. И вот для таких случаев данная заметка будет интересной. Хотя ровно та же идея может быть реализована и в любом другом случае, например, в финансовой организации, внедряющей 382-П или СТО БР ИББС, или на критической инфраструктуре, внедряющей приказ ФСТЭК №31 или IEC 62443.
Идея проста - на базе радарной (лепестковой) диаграммы, предложенной позавчера , оценивать подразделения госоргана, его филиалы и даже отдельных руководителей и сравнивать их между собой. Это может выглядеть вот так:
Может быть и вот такой вариант - использовать вместе радарной диаграммы гистограмму. Суть от этого не меняется.
Я не раз обращался к теме геймификации в ИБ и данная заметка говорит о том же, но применительно к оценке соответствия требованиям по безопасности. Это трансляция известной, но не очень популярной услуги security benchmark, которую предлагают некоторые компании "большой четверки" аудиторов. Обладая большой базой проведенной аудитов они могут сравнивать схожие компании по различным параметрам и выдавать вердикт - лучше обратившийся заказчик выглядит на фоне других (без конкретных имен) или хуже. Если лучше, то это способ возгордиться собой и повесить на грудь бляху тому, кто помог в достижении такого результата. Если хуже, то есть куда стремиться - ориентир дается вполне себе четкий.
В предлагаемом мной варианте аналогичный метод используется для сравнения подразделений одного предприятия между собой. Если данные диаграммы/гистограммы "вывешивать" на каких-либо досках объявлений или на внутреннем портале, то можно сделать их достоянием гласности, мотивируя подразделения быть лучше (если у них, конечно, такая мотивация есть). Взяв же за основу вчерашние и позавчерашние размышления, можно развить эту идею "ИБ-соревнований" и на всю страну. Но это уже отдельная тема...
Идея проста - на базе радарной (лепестковой) диаграммы, предложенной позавчера , оценивать подразделения госоргана, его филиалы и даже отдельных руководителей и сравнивать их между собой. Это может выглядеть вот так:
Я не раз обращался к теме геймификации в ИБ и данная заметка говорит о том же, но применительно к оценке соответствия требованиям по безопасности. Это трансляция известной, но не очень популярной услуги security benchmark, которую предлагают некоторые компании "большой четверки" аудиторов. Обладая большой базой проведенной аудитов они могут сравнивать схожие компании по различным параметрам и выдавать вердикт - лучше обратившийся заказчик выглядит на фоне других (без конкретных имен) или хуже. Если лучше, то это способ возгордиться собой и повесить на грудь бляху тому, кто помог в достижении такого результата. Если хуже, то есть куда стремиться - ориентир дается вполне себе четкий.
В предлагаемом мной варианте аналогичный метод используется для сравнения подразделений одного предприятия между собой. Если данные диаграммы/гистограммы "вывешивать" на каких-либо досках объявлений или на внутреннем портале, то можно сделать их достоянием гласности, мотивируя подразделения быть лучше (если у них, конечно, такая мотивация есть). Взяв же за основу вчерашние и позавчерашние размышления, можно развить эту идею "ИБ-соревнований" и на всю страну. Но это уже отдельная тема...
