Q1: Требования зафиксированы и не будут меняться?
ДА → переход к Q2 (ветка каскадной модели — Waterfall)
НЕТ → ветка Agile
Q2: Есть жёсткий дедлайн от регулятора?
ДА → Каскадная модель — Waterfall классический (SIEM, ISO 27001, миграция AD (Active Directory / Active Directory — служба каталогов))
НЕТ → переход к Q3
Q3: Цена ошибки очень высока (миграция критичной системы)?
ДА → Waterfall + доп. ворота (gate) (платёжная система, внутренний SOC)
НЕТ → гибридная ветка
Q4: Команда умеет работать в Agile?
ДА → Agile/Scrum (разведка об угрозах (threat intelligence), автоматизация ИБ (security automation), моделирование действий противника (adversity simulation))
НЕТ → Гибрид (фазы Waterfall + Agile внутри фазы: IAM (Identity and Access Management / управление удостоверениями и доступом), DLP (Data Loss Prevention / предотвращение утечки данных), обучение)
ТИП ПРОЕКТА → МЕТОДОЛОГИЯ
| Тип проекта | Каскад (Waterfall) | Гибрид (Hybrid) | Agile |
|---|
| Соответствие требованиям (Compliance-driven) | ★★★ | ★☆☆ | ☆☆☆ |
| Инфраструктура (Infrastructure) | ★★★ | ★★☆ | ★☆☆ |
| Собственная разработка (Custom development) | ☆☆☆ | ★★☆ | ★★★ |
| Оптимизация процессов (Process optimization) | ★☆☆ | ★★★ | ★★☆ |
| Операционный (Operational) | ☆☆☆ | ★☆☆ | ★★★ |
Не методология делает проект успешным, а её соответствие типу проекта. CISO (Chief Information Security Officer / руководитель ИБ), который умеет только Waterfall, провалит разработку SOAR (Security Orchestration, Automation and Response / оркестрация, автоматизация и реагирование). CISO, который умеет только Agile, провалит сертификацию ISO. Зрелый CISO выбирает методологию под проект. Ваша роль — проверять обоснованность выбора.