Maturity Level (ч.7)

Maturity Level (ч.7)
В виду высокой загрузки никак не успевал завершить цикл заметок, посвященных рассмотрению существующих на практике подходов, а точнее шкал по оценке уровня зрелости, применяемых к области информационной безопасности.
c24e8cc9c141c19c4ee18f9bd6cb3911.png


Но вот этот день настал, что в итоге удалось рассмотреть:
- ч.1: COBIT от ISACA ( ссылка );
- ч.2: SSE-CMM от ISO/IEC и ISSEA ( ссылка );
- ч.3: CMM от SMI Carnegie Mellon и EIM MM от Gartner ( ссылка );
- ч.4: вендорные шкалы от RSA, HP, Symantec, EclecticIQ, Cisco и IBM ( ссылка );
- ч.5: PRISMA от NIST ( ссылка );
- ч.6: уровни корпоративной культу в ИБ-команде на базе материалов от Дэйва Логана, Джона Кинга, Хэли Фишер-Райт ( ссылка ).

Стоит отметить, что конечно же есть ещё и другие подходы, например:
-   Cybersecurity Capability Maturity Model от Министерства внутренней безопасности США (Department of Homeland Security)
b80be98279d33b925ff301f01f357bea.png
- Community Cyber Security Maturity Model (CCSMM) от The Center for Infrastructure Assurance and Security The University of Texas at San Antonio

b2fad2ed2d826fe9172875a6c40fe34b.png
 - Open Information Security Management Maturity Model (O-ISM3) от The Open Group

eef10177d8850bf13833ffdb9917fd57.png
 - Cybersecurity Capability Maturity Model от Carnegie Mellon University
5b07f289e1ac147273b13634f6ac02a1.png


Но рассматривать их до бесконечности не имеет смысла, пора делать выводы.

В итоге, на мой взгляд, всё вращается вокруг различных CMM от Software Engineering Institute Carnegie Mellon University и Systems Security Engineering CMM (SSE-CMM) от International Systems Security Engineering Association, что действительно здраво, зачем каждый раз "изобретать велосипед".

Уровней практически всегда 6, если считать первым (нулевым) – отсутствие какой-либо деятельности в области информационной безопасности. Стоит отметить, что есть парочка трехуровневых моделей (у IBM и Department of Homeland Security), что, на мой взгляд, путем «склеивания» двух соседних уровней получается из любой шестиуровневой модели.

При этом стоит отметить, что с точки зрения терминологии идет постоянное перемешивание понятий «Managed» и «Defined».

Для себя оставил следующие описания уровней, которые можно применять к любой сущности в области информационной безопасности (в первую очередь к процессу):
- «0»: Не выполняется (отсутствует);
- «1»: Выполняется неформально;
- «2»: Повторяемый;
- «3»: Определенный;
- «4»: Измеряемый и управляемый;
- «5»: Улучшаемый (оптимизируемый).

Плюс, увязал это с циклом Деминга, т.к. получается странная ситуация, с одной стороны мы постоянно оперируем данным циклом непрерывного совершенствования, а с другой – никак не увязываем его с результатами оценки по уровням зрелости.

На мой взгляд, эти вещи находятся в самой прямой зависимости:
7ff94c668e3bb6389cf5bcaad023ff1a.png

В завершении хотел обратить внимание, что погоня за повышением уровня зрелости может быть не всегда уместной, а местами даже губительной.

Успехов на пути развития и оценки вашей деятельности в рамках обеспечения информационной безопасности организаций!
Alt text

Александр Кузнецов

Заметки про управление в области информационной безопасности и не только