Нашел, пожалуй, лучший каталог метрик по ИБ

Нашел, пожалуй, лучший каталог метрик по ИБ
Сегодня нашел, пожалуй, лучший каталог метрик по информационной безопасности -  http://nistcsf.societyinforisk.org/doku.php

Причем это некоммерческий проект:
"The SIRA NIST CSF Metrics Project was created to help analysts and organizations create meaningful measures for the Functions, Categories, and where possible, Sub-Categories of the NIST CSF.
By creating metrics for the NIST CSF we hope we can help analysts who want to turn what might be simply a paperwork exercise into a performance-focused effort. In other words, if we're going to have to do this, we might as well try to do it so that it actually helps us defend our organizations."
По сути, ребята взяли все группы мер из NIST Cybersecurity Framework  и, используя подход GQIM (про него я писал отдельную заметку, сначала ознакомьтесь с ней , будет понятнее суть), выбрали цели, вопросы и метрики. 

Ну, и еще все свели к майндкартам, а это я люблю особо...

Что с этим делать нам? Можно просто выбрать необходимые нам метрики из списка по нужным доменам методологии NIST (они ниже), или по аналогичной схеме придумать свои метрики и показатели.

Вообще, каталог довольно интересный, требует более глубокого изучения и осмысления. Пожалуй, погружусь в эту пучину на новогодние праздники...
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!

Andrey Prozorov

Информационная безопасность в России и мире