| Identify | Protect | Detect | Respond | Recover |
|---|
| Devices | CMDB | MFA/EDR | EDR | SOAR | ✗ |
| Applications | SAST | WAF | RASP | ✗ | ✗ |
| Networks | Nmap | FW/IDS | SIEM | NDR | BCP |
| Data | DLP | Encrypt | UEBA | ✗ | ✗ |
| Users | IAM | MFA | ✗ | IRP | Comms |
Покрытие подтверждено
Частичное покрытие
Пробел = приоритет стратегии
Топ-3 пробела → Инвестиции
Users/Detect: UEBA
Data/Respond: SOAR + automated containment
Apps/Recover: tested recovery plan
13 из 25 ячеек = пробелы или частичное покрытие
Кейс: CISO показал правлению список из 7 инструментов — директор спросил «И что? Это хорошо или плохо?». На следующий год: та же программа через CDM — сразу видны 3 красных зоны. Директор: «Теперь понятно. Что нужно для закрытия?»
CDM переводит «у нас есть SIEM, firewall и EDR» в структурированную карту — и сразу видно что из 25 ячеек покрыто 12, а 13 — пробелы. Это язык стратегии, а не инвентаря.