Статья: Сбалансированный подход к построению корпоративных систем управления информационной безопасностью

В последнее время наметилась тенденция к укрупнению организаций. Слияние компаний и приобретение ими других предприятий происходят всё чаще, поскольку это является одним из основных способов расширения бизнеса. Несмотря на то, что многие компании успешно проводят операции по слиянию и приобретают новые активы, исследования показывают, что большая часть подобных операций снижает стоимость акций, приводя в дальнейшем к изъятию капиталовложений. Основной причиной таких неудач являются сложности, возникающие при объединении различных корпоративных информационных систем. Одной из таких систем, бесспорно, является корпоративная система управления информационной безопасностью.

Специалистам компаний, предоставляющих консалтинговые услуги в сфере информационной безопасности, всё чаще встречаются ситуации, когда в процессе слияния организация получает в своё распоряжение большое количество разнородных информационных систем, которые необходимо интегрировать в действующую систему приобретателя. Традиционно, подобные проекты, проводятся с акцентом на анализ и формирование решений, направленных на развитие IT инфраструктуры, предложений о доработке и интеграции активного сетевого и серверного оборудования в единую структурированную систему сбора и анализа событий информационной безопасности. Практика ведения подобных проектов показывает, что данное решение является половинчатым, поскольку внедрение многоуровневых систем управления подразумевает наличие в организации хорошо структурированной и функционирующей системы управления процессами информационной безопасности.

В свою очередь, многие организации питают определённые иллюзии относительно способности сложных технических систем управления, упуская из виду их истинное предназначение, как инструмента, направленного на мониторинг и сбор информации о событиях безопасности, автоматизацию контроля разработанной и внедрённой политики информационной безопасности. Системы данного класса становятся абсолютно бесполезными при отсутствии должным образом налаженной внутриорганизационной структуры управления.

В процессе слияния, организация наряду с IT инфраструктурой наследует политики и процедуры, которые в большинстве случаев не соответствуют требованиям приобретателя, его собственной наработанной модели управления. Как правило, ситуация усугубляется отсутствием внутренних ресурсов и финансирования на приведение системы к эталонной модели. В таком случае задача формулируется следующим образом: с минимальными затратами, используя существующую IT инфраструктуру и персонал организации, разработать модель управления средствами обеспечения информационной безопасности и соблюдения единой политики, сформированной на базе организации – приобретателя. Очевидно, в данной формулировке, IT и IS выделены в отдельные взаимозависимые прикладные области, а их правильное взаимодействие представляет ключевой фактор успеха при проектировании корпоративных систем управления информационной безопасностью.

Полный текст статьи:

http://www.iso27000.ru/chitalnyi-zai/upravlenie-informacionnoi-bezopasnostyu/sbalansirovannyi-podhod-k-postroeniyu-korporativnyh-sistem-upravleniya-informacionnoi-bezopasnostyu/