Maturity Level (ч.3)

Maturity Level (ч.3)
Продолжая рассмотрение существующих на практике подходов, а точнее шкал по оценке уровня зрелости, применяемых к области информационной безопасности, в данной заметке будет рассмотрен ряд источников, упомянутых в довольно интересном документе по данному вопросу от SANS Institute, а именно «Improving Detection, Prevention and Response with Security Maturity Modeling».

В первую очередь в нем упоминается Capability Maturity Model (CMM) и Capability Maturity Model Integration (CMMI), которые зарегистрированы от имени частного университета Карнеги-Меллон.

Здесь интересно то, что в рамках CMMI определяются области для измерения:
- стоимость;
- сроки;
- качество;
- удовлетворенность;
- возврат инвестиций.


Дополнительно со стороны SANS Institute даются комментарии к данным областям в разрезе ИБ:
1b7ed30f9f06adc619d65e53e29bb41a.png
 
Сама шкала пятиуровневая и предназначена для оценки процессов:
- «1»: Начальный;
- «2»: Управляемый;
- «3»: Определенный;
- «4»: Количественно управляемый;
- «5»: Оптимизируемый.
6adf86b86e54b9da17ae71ab89be029d.png
 
Далее упоминается подход от Gartner, Inc., используемый в рамках «ITScore for Information Security».

Здесь уже область применения шире процессов, на мой взгляд, речь об обеспечении ИБ, хотя в преамбуле сказано только о risk control processes.
9bc0eb4ec8a631ff891b2ee066e8a0a5.png

Шкала пятиуровневая:
- «1»: Начальный;
- «2»: Развивающийся;
- «3»: Определенный;
- «4»: Управляемый;
- «5»: Оптимизируемый.
f37ef4a477b9435b563b16cdbc2606c4.png


fe7aa587ed52a9c5501837cf248d325c.png

Продолжение следует …
Alt text

Александр Кузнецов

Заметки про управление в области информационной безопасности и не только