📊 Учимся выбирать метрики ИБ Ключевым инструментом оценки эффективности ИБ, позволяющим «держать руку на пульсе» остаются измеряемые показатели — метрики, KPI, KRI, ODM и другие. В большинстве компаний набор таких показателей все еще фрагментарный, и причин тут много: от зрелости процессов (для выстраивания системы нужны зрелые, стандартизированные и повторяемые процессы (хаотичный процесс сложно измерять) до методологических проблем (нужно понимать, что и зачем измерять, а не собирать «все подряд» и то, что легко измерить). Хороший материал, с чего можно начать – свежая книга «Security Metrics Workbook» Митчелла Телатника. Интересен формат – это своего рода не книга даже, а рабочая тетрадь, которую нужно заполнять ручкой. Книга помогает последовательно пройти от определения показателей, до закрепления частоты их измерения, приоритезации, оценки источника и определения владельца метрики. Книга вводит три принципа осмысленных метрик: 1️⃣ Простота — если метрику не понимают, её не используют. 2️⃣ Действенность — метрика должна вести к решению или действию. 3️⃣ Устойчивость — если нельзя измерять постоянно, не стоит и начинать А также три типа показелей, которые нужны каждой команде ИБ: 🔹 Performance Indicators — показывают прогресс к цели 🔹 Risk Indicators — сигнализируют о росте угроз 🔹 Control Indicators — оценивают работу защитных механизмов В рабочей тетради куча примеров, диаграмм, графиков – читается классно. Мне также понравился контрольный список вопросов для интервью с заинтересованными сторонами. #metrics