Maturity Level (ч.5)

Maturity Level (ч.5)
Продолжая рассмотрение существующих на практике подходов, а точнее шкал по оценке уровня зрелости, применяемых к области информационной безопасности, в данной заметке будет рассмотрен PRISMA ( http://csrc.nist.gov/groups/SMA/prisma/index.html ), который был включен в Special Publication 800-53 (Revision 3).

Сразу стоит отметить, что сейчас готовиться уже 5-ая версия документа SP 800-53 и, скорее всего, данный подход претерпит определенные изменения.

Программа Program Review for Information Security Management Assistance (PRISMA) базируется на Federal Information Security Management Act (FISMA), руководствах от NIST и других признанных лучших практиках в области информационной безопасности, а также Capability Maturity Model (CMM).

PRISMA позволяет осуществлять оценку зрелости программ информационной безопасности (Information Security Program).

Данная модель интересна своей структурой, она пятиуровневая:
 - IT Security Maturity Level 1: Policies;
 - IT Security Maturity Level 2: Procedures;
 - IT Security Maturity Level 3: Implementation;
 - IT Security Maturity Level 4: Test;
 - IT Security Maturity Level 5: Integration,
и акцентирована на 9 областях:
 - Information Security Management and Culture;
 - Information Security Planning;
 - Security Awareness, Training, and Education;
 - Budget and Resources;
 - Life Cycle Management;
 - Certification and Accreditation;
 - Critical Infrastructure;
 - Incident Response;
 - Security Controls.
И далее устанавливается 3 значения:
 - Compliant (красный);
 - Partially Compliant (желтый);
 - Noncompliant (зеленый).

9ccb90940bcabfb699d65e97b0f17d82.png

Интересен данный подход тем, что в документе «NISTIR 7358 Program Review for Information Security Management Assistance (PRISMA)» описывается и сам процесс, и вовлекаемые в него работники (Key Personnel Contact Request List), и шаблон отчета, и многое другое.

Продолжение следует ...
Alt text

Тени в интернете всегда следят за вами

Станьте невидимкой – подключайтесь к нашему каналу.
article-title

Александр Кузнецов

Заметки про управление в области информационной безопасности и не только