Maturity Level (ч.1)

Maturity Level (ч.1)
Последнее время очень часто многие неудачи в ИБ-инициативах и ИБ-проектах «списывают» на низкий уровень зрелости, при этом не утоняется уровень зрелости чего (сервиса, процесса, организации или отдельно взятой личности).

В рамках цикла заметок я хотел бы рассмотреть существующие на практике подходы, а точнее шкалы по оценке уровня зрелости, применимые к области информационной безопасности, обозначив зону из применения.

Сразу же стоит отметить, что, безусловно, оценка нужна не ради оценки, а чтобы понять, где вы (насколько достигаются поставленные цели) и куда вам идти дальше/выше.

Начать хотелось наверно с самой популярной шкалы от ISACA, представленной в COBIT.
Данная шкала предназначена для оценки зрелости процессов.
Под процессом понимается следующее:
b63ac75e9a9f0847a3c453d98958b124.png

А в части шкалы речь идет об оценке зрелости процессов из COBIT 4.1, включающей 6 уровней:
- «0»: Несуществующий процесс;
- «1»: Начальный процесс;
- «2»: Повторяемый процесс;
- «3»: Определенный (документированный) процесс;
- «4»: Измеряемый и управляемый процесс;
- «5»: Оптимизируемый процесс.
c3aedf7eb52df20f1d37f07cafdf9ab3.png
59bfac6907b3fff47958eb34686339fe.png


Сейчас всё чаще упоминается «модель зрелости» из COBIT 5, но это не совсем корректно, т.к. в COBIT 5 представлена модель возможностей процессов (Process Capability Model), а не их зрелости.

Данная модель сформирована на базе серии стандартов ISO/IEC 15504 «Information technology -- Process assessment», первая часть данного стандарта ISO/IEC 15504-1:2004 «Information technology -- Process assessment -- Part 1: Concepts and vocabulary» была в 2015 году заменена на ISO/IEC 33001:2015 «Information technology – Process assessment – Concepts and terminology».
52fb1e28edb29cee614b4f6ec3ff98f9.png


В данном «окружении» уже используются другие понятия:
- возможность процесса оценки (Process Capability): Характеристика способности процесса оценки к достижению текущих или планируемых бизнес-целей;
- уровень возможности процесса оценки (Process Capability Level): Положение по шестиразрядной упорядоченной шкале возможности процесса, которое характеризует возможность процесса;
- уровень зрелости процесса (Process Maturity Level): Определенная по порядковой шкале организационная зрелость процесса (степень, в которой организационное подразделение последовательно выполняет процессы в определенной области, что способствует достижению бизнес-потребностей)), которая характеризует организационную зрелость подразделения с точки зрения используемой модели зрелости.
 
Продолжение следует …
Alt text

Александр Кузнецов

Заметки про управление в области информационной безопасности и не только

Какие зарубежные новостные сайты по информационной безопасности вы читаете?