В эпоху ускоренной цифровизации и эволюции киберугроз обеспечение зрелости процессов информационных технологий (ИТ) и информационной безопасности (ИБ) приобретает стратегическое значение для организаций любого масштаба. Методологии оценки зрелости, такие как CMMI или COBIT, давно служат ориентирами для анализа и улучшения практик в этих областях. В 2017 году в практике ИТ-аудита Бейкер Тилли была внедрена методология, ориентированная преимущественно на процессы ИБ, которая позволяла в процессе проведения ИТ-аудита систематически оценивать готовность организаций к угрозам, управлению рисками и комплаенсу. Эта модель, основанная на принципах международных стандартов, способствовала повышению осведомленности о рисках и формированию планов развития, доказав свою эффективность в различных секторах экономики.
Однако к 2025 году, в условиях стремительного развития технологий — включая искусственный интеллект, облачные вычисления и квантовые угрозы, — а также ужесточения регуляторных требований (например, в рамках Госагентства по защите персональных данных КР, Национальных банков региона, GDPR, NIS2 и аналогичных норм), прежняя методология потребовала трансформации. Обновленная версия методологии расширяет охват на комплексное управление ИТ, интегрируя стратегические, финансовые и операционные аспекты, и акцентирует внимание на проактивных мерах, таких как DevSecOps и управление знаниями. Переход на новую методологию не подразумевает обнуления накопленного опыта, а, напротив, стремится сохранить преемственность исторических данных для анализа тенденций и планирования улучшений.
Файл предназначен в первую очередь клиентов Бейкер Тилли в Центральной Азии, для специалистов в области ИТ и ИБ — менеджеров по безопасности, аудиторов, консультантов и руководителей организаций, получивших оценку зрелости от специалистов Бейкер Тилли в прежние периоды. Он будет полезен тем, кто уже проводил оценки по старой методологии и теперь адаптирует их под новую, а также для аналитиков, разрабатывающих отчеты о прогрессе в области governance. Кроме того, документ может служить ориентиром для образовательных целей или в рамках сертификаций, помогая понять эволюцию моделей зрелости.
Информацию в файле следует воспринимать как ориентировочный инструмент для сохранения преемственности, а не как абсолютный стандарт. Формулы и правила переноса разработаны на основе принципов консервативного подхода (с использованием штрафных коэффициентов и ограничений), чтобы избежать завышения оценок и учесть потенциальные пробелы в сопоставлении процессов. Рекомендуется использовать информацию как стартовую точку для расчетов, с последующей верификацией на основе актуальных данных организации. В случае несоответствий или необходимости уточнений целесообразно обращаться к специалистам по методологии или проводить дополнительные аудиты. Такой подход позволит максимально эффективно интегрировать исторические оценки в новую парадигму, способствуя планомерному повышению зрелости процессов ИТ и ИБ.
Ознакомиться с Whitepaper по методологии оценки зрелости 2025 можно, скачав WhitePaper.