Maturity Level (ч.5)

Maturity Level (ч.5)
Продолжая рассмотрение существующих на практике подходов, а точнее шкал по оценке уровня зрелости, применяемых к области информационной безопасности, в данной заметке будет рассмотрен PRISMA ( http://csrc.nist.gov/groups/SMA/prisma/index.html ), который был включен в Special Publication 800-53 (Revision 3).

Сразу стоит отметить, что сейчас готовиться уже 5-ая версия документа SP 800-53 и, скорее всего, данный подход претерпит определенные изменения.

Программа Program Review for Information Security Management Assistance (PRISMA) базируется на Federal Information Security Management Act (FISMA), руководствах от NIST и других признанных лучших практиках в области информационной безопасности, а также Capability Maturity Model (CMM).

PRISMA позволяет осуществлять оценку зрелости программ информационной безопасности (Information Security Program).

Данная модель интересна своей структурой, она пятиуровневая:
 - IT Security Maturity Level 1: Policies;
 - IT Security Maturity Level 2: Procedures;
 - IT Security Maturity Level 3: Implementation;
 - IT Security Maturity Level 4: Test;
 - IT Security Maturity Level 5: Integration,
и акцентирована на 9 областях:
 - Information Security Management and Culture;
 - Information Security Planning;
 - Security Awareness, Training, and Education;
 - Budget and Resources;
 - Life Cycle Management;
 - Certification and Accreditation;
 - Critical Infrastructure;
 - Incident Response;
 - Security Controls.
И далее устанавливается 3 значения:
 - Compliant (красный);
 - Partially Compliant (желтый);
 - Noncompliant (зеленый).

9ccb90940bcabfb699d65e97b0f17d82.png

Интересен данный подход тем, что в документе «NISTIR 7358 Program Review for Information Security Management Assistance (PRISMA)» описывается и сам процесс, и вовлекаемые в него работники (Key Personnel Contact Request List), и шаблон отчета, и многое другое.

Продолжение следует ...
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Реальные атаки. Эффективные решения. Практический опыт.

Standoff Defend* — это онлайн-полигон, где ты сможешь испытать себя. Попробуй себя в расследовании инцидентов и поборись за победу в конкурсе

Присоединяйся и участвуй

*Защищать. Реклама. АО «Позитив Текнолоджиз», ИНН 7718668887

article-title

Александр Кузнецов

Заметки про управление в области информационной безопасности и не только