Стаття "Організація комплексної системи забезпечення безпеки підприємства"

Організація комплексної системи забезпечення

безпеки підприємства

Для зручності читання скачайте статтю в Для зручності читання скачайте статтю в .PDF

Стаття написана для журналу "Бізнес і безпека" і опублікована в №4 / 2012 (90)

Безпека .... Безпека? Бе-зо-пас-ність ??? Мабуть, приблизно так можна описати ставлення до проблеми безпеки бізнесу у багатьох керівників підприємств. Сучасний ринок пропонує досить велику кількість відповідей на проблемні питання у вигляді проектів, що реалізуються різними консалтинговими фірмами, та й наука на місці не стоїть, розвиваючи та вдосконалюючи практичні методики забезпечення безпеки бізнесу. Зрозуміло, останнє слово у виборі конкретних систем безпеки, методик і способів захисту бізнесу залишається за його власником. В результаті власнику будь-якого підприємства необхідно чітке уявлення, якими саме способами і засобами можна захистити його власність і права.

У пропонованій увазі шановного читача статті викладені погляди автора на застосування комплексної методики забезпечення безпеки будь-якого підприємства, засновані на багаторічному досвіді розробок і створення спеціалізованих структур безпеки. Отже, мова піде про створення Комплексних Систем Забезпечення Безпеки Підприємства (КСОБП).

Сама назва «Комплексна система забезпечення безпеки підприємства» здається, на перший погляд, досить незрозумілими і наукоподібним ... Але давайте розберемося в кожному основному терміні, з якого складається ця назва. Це необхідно для того, щоб автор і читач «розмовляли однією мовою».

Комплекс - має на увазі використання для досягнення однієї мети різних засобів, способів і прийомів.
Система - сукупність елементів, пов'язаних між собою різними зв'язками. Системи створюються на певний час для досягнення конкретних цілей.
Забезпечення - будь-яка система для реалізації своїх цілей і завдань повинна мати необхідні ресурси.
Безпека - стан захищеності будь-якого об'єкта від зовнішніх і внутрішніх ризиків, небезпек і загроз.
Підприємство - будь-який господарюючий суб'єкт ринку.

Як ми тепер бачимо, нічого надскладного сама назва з себе не представляє. Складно тільки втілення на практиці розуміння керівником проблем, пов'язаних із забезпеченням безпеки власного бізнесу. У найзагальнішому вигляді ця задача звучить наступним чином:

Створити і змусити функціонувати на підприємстві систему взаємопов'язаних між собою структурних елементів, яка б адекватно реагувала на виникаючі ризики, небезпеки і загрози, а також дозволяла власнику бізнесу оцінити витрати для їх нейтралізації.

Чи реальна ця задача? Багаторічний досвід автора показує, що - цілком!

Практичний приклад. Поволжі, 2007 рік, велике машинобудівне підприємство ... Впровадження на підприємстві комплексного підходу до функціонування системи безпеки за три місяці знизив втрати підприємства на 800 тисяч рублів. Правда, це призвело і до відходу за власним бажанням кількох провідних співробітників з відділу продажів, конструкторського відділу і складського господарства ... .Не здогадуєтеся про причини такого радикального кроку?

Автор далекий від думки про те, що шановні читачі ніколи не стикалися з тим, що підприємства, на яких вони працюють, в тому чи іншому вигляді реалізують функцію забезпечення безпеки. Палітра застосовуваних при цьому способів і методів найширша! Це може бути і один охоронець в красивій формі біля входу, і утикається камерами відеоспостереження фасад офісної будівлі, і спеціально призначені люди в строгих костюмах і при краватках, що задають співробітникам «спеціальні питання» ...

Зрозуміло, всі перераховані вище елементи системи безпеки мають право на існування. Наше ж завдання полягає в тому, щоб ці різні за своєю суттю елементи стали частинами єдиного стабільно функціонуючого організму.
Отже, з чого ж почати?

Крок перший - оціните те, що вже існує!
Як це зробити? Проведіть аудит безпеки. Для цього не треба величезних фінансових і тимчасових затрат.Нет необхідності запрошувати «групу експертів» (зазвичай це прийнятий шлях), результатом роботи яких і звітним матеріалом стане товста і солідна папка мертвонароджених положень та інструкцій, які ніхто так і не збереться виконувати. Організуйте самостійно ряд тестів по відношенню до власного підприємству.

Тест №1 - тест на фізичне проникнення. Нехай спеціально підібраний для цієї мети людина спробує в звичайний робочий день під вигаданим легендою проникнути на територію Вашого об'єкту знаходження (офісу, будівлі, складського господарства) і перебувати там якомога довше, не привертаючи уваги і збираючи інформацію про підприємство і співробітників. Відстежите час реакції (якщо, зрозуміло, така буде) Вашої системи безпеки на таке втручання.

Тест №2 - тест на проникнення в мережі і комунікації. Зараз не складає ніяких труднощів домовитися з фахівцем в сфері комп'ютерних технологій, що володіє «хакерськими методами», про організацію ним спроби проникнення в комп'ютерну мережу Вашого підприємства і скачуванні комерційно цінної інформації. Чи помітять ваші співробітники таке віртуальна подорож?

Тест №3 - тест на диверсійну вразливість. На жаль, в даний час нерідко намагаються вести конкурентну боротьбу нецивілізованими методами плюс не виключаються терористичні прояви. Проаналізуйте наявність вразливих точок на підприємстві, вплив на які може привести підприємство до повної зупинки або знищення. Організуйте спробу доступу до цих крапок спеціально підібраного людини, що імітує проведення диверсії.

Практичний приклад. Аналіз наявності вразливих точок на складальному підприємстві телевізійної техніки показав, що існує пристрій, виведення з ладу якого за допомогою короткого замикання може привести підприємство до зупинки на строк до двох місяців. Причому доступ до цього пристрою був абсолютно вільний. Зараз, зрозуміло, цей пристрій розміщується в спеціально виділеному приміщенні з обмеженим доступом і є особливо охороняється.

Якщо ж Ви, шановний читачу, відчуваєте труднощі в проведенні подібного роду тестів, то довірте це професіоналам. У цьому випадку результати тестування будуть відомі тільки Вам і додатково Ви отримаєте рекомендації по «забивання дірок» у Вашій системі безпеки.

Крок другий - визначте та оцініть ризики, небезпеки і загрози, які існують щодо конкретно Вашого підприємства і саме в цей час.

Ризик - можлива небезпека невдачі скоєних дій.
Небезпеки - це можливі або реальні явища, події та процеси, які можуть завдати шкоди підприємству аж до його знищення.
Загроза - це небезпека на стадії переходу з можливості в дійсність, висловлений намір або демонстрація готовності одних суб'єктів завдати шкоди іншим.

І ризики, і небезпеки, і загрози не є чимось раз і назавжди визначеним ... .З плином часу вони змінюються і Ваша система безпеки повинна реагувати саме на ті з них, які є особливо актуальними і діють в даний час. Але об'єктом найпильнішої уваги повинні бути, на погляд автора, саме загрози.

Крок третій - створіть Комплексну Систему Забезпечення Безпеки Підприємства, включивши в неї всі необхідні елементи.
Які ж саме елементи необхідно включити в КСОБП?
Приблизний варіант виглядає наступним чином:

1. Відповідальний керівник КСОБП
2. Рада з питань безпеки;
3. Спеціалізоване структурний підрозділ, що займається питаннями безпеки.
4. Персонал.
5. Технічні засоби.
6. Регламенти.
7. Ресурси.
8. Інформація.
9. Сторонні (залучені) сили.

Розглянемо кожен з елементів детально.

1. Відповідальний керівник КСОБП.

Їм може бути власник підприємства особисто, найманий генеральний або виконавчий директор і т.п.Главное, щоб вказівки і рішення цієї людини були обов'язкові для виконання всім іншим персоналом.

2. Рада з питань безпеки.

З назви зрозуміло, що це колективно-дорадчий орган при відповідальному керівникові КСОБП. У нього входять керівники всіх основних структурних підрозділів підприємства і, в разі необхідності, залучаються сили. Треба сказати, що існують різні погляди на необхідність існування цього елемента КСОБП. Часто можна почути думку, що подібний Рада - ще одне бюрократичне перешкоду на шляху проходження рішень всередині підприємстві і додаткове навантаження на бюджет.

На думку автора, подібний орган абсолютно необхідний, але ось забюрократизованим він бути не повинен ні в якому разі! Немає необхідності в якихось періодичних засіданнях Ради з безпеки для вирішення поточних питань. Для цього існують виробничі наради. Але ось при виникненні будь-яких кризових ситуацій засідання Ради з безпеки збирається екстрено. Входити в нього повинні необхідні керівники за посадою!

Склад Ради з безпеки оформляється наказом і доводиться під розпис до кожного участніка.Основная мета засідання Ради з безпеки - оголошення «кризового плану» і чітке доведення до кожного виконавця порядку його дій в даний момент. Самі ж «кризові плани» складаються заздалегідь згідно з маємо погрозами стосовно підприємства в даний момент часу. Зберігаються «кризові плани» у відповідального керівник КСОБП, одного з його заступників і спеціально уповноваженої особи (наприклад, начальника служби безпеки).

3. Спеціалізоване структурний підрозділ безпеки.

Неважливо, як саме цей елемент називається (служба безпеки, департамент з внутрішнього контролю, відділ управління ризиками і т.п.). Важливо, щоб на підприємстві було структурний підрозділ або спеціально уповноважена посадова особа, для якого забезпечення безпеки є основним видом діяльності.

4. Персонал.

Мається на увазі весь (!) Персонал підприємства. Тому що на підприємстві не повинно бути людей, байдуже ставляться до питань безпеки.

5. Технічні засоби.

Ринок їх величезний, видів незліченна безліч. Досить сказати, що в розвинених країнах приріст ринку технічних засобів забезпечення безпеки становить до 40% в рік! Нас же цікавлять тільки ті, які в змозі адекватно реагувати на виникаючі конкретні загрози.

6. Регламенти.

Тут маються на увазі обов'язкові для виконання всім персоналом нормативно-правові документи. Головне завдання при розробці регламентів - не нашкодити функціонуванню КСОБП.

7. Ресурси.

Це і матеріальні, і фінансові, і людські ресурси, що дозволяють КСОБП функціонувати ритмічно і без збоїв.

8. Інформація.

В даному випадку мова йде про спеціалізовану інформації, що відноситься до питань безпеки. Вона повинна доставлятися негайно зацікавленому споживачеві, а забезпечується це введенням відповідних регламентів.

9. Сторонні (залучені) сили.

У цю гідну когорту входять представники правоохоронних органів (при виникненні кризових ситуацій, що відносяться до їх компетентності), а також експерти, консультанти, технічні фахівці.

При створенні на підприємстві комплексної системи забезпечення безпеки виникне неминуче питання: які принципи функціонування повинні бути закладені в цю систему?
Перелічимо основні:

  • Законність. Діяльність системи безпеки повинна бути заснована на існуючих в країні законах. Тільки це дозволить підприємству відчувати надійність свого існування і компенсувати понесені збитки з найменшим ризиком.
  • Розумна достатність. Ступінь загрози повинна викликати адекватну ступінь реакції. Тобто якщо людині на голову села метелик, можна її просто зігнати, а не бити по голові молотком.
  • Швидкість реагування. Ключовим словом при введенні цього принципу має бути слово «негайно».
  • Комплексність. Система безпеки повинна задіяти всі маємо на підприємстві різноманітні ресурси для забезпечення реагування на загрози.
  • Ефективність. Система безпеки повинна не бути даниною моді, а повинна реально мінімізувати втрати і, при правильній постановці справи, приносити дохід.

Проводячи аналогію між комплексною системою безпеки підприємства і людським організмом, можна припустити наступне:

Відповідальний керівник КСОБП мозок Рада з безпеки властивості розуму Спец.структурное підрозділ імунітет Персонал тіло Технічні засоби шкірний покрив Регламенти нервова система Ресурси ресурси організму Інформація кров Сторонні сили ліки

Чи не правда, такі порівняння можуть мати право на існування? Виникає питання: а що ж найважче налагодити в створеному нами організмі? На думку автора, в цьому випадку мова йде про регламентах ... Саме вони, як нервова система організму, повинні управляти всією схемою функціонування створеної нами структури. Недосконалі або невірні регламенти здатні «звести з розуму» будь-яку, навіть саму досконалу систему.

Крок четвертий - виробіть критерії оцінки ефективності діяльності КСОБП.
Це також досить складне питання, оскільки для кожної системи, як правило, розробляються свої критерії. Загальний підхід один - критерій повинен оцінити реакцію системи на конкретну загрозу в даний момент часу.

Види критеріїв оцінки:
• Кількісні (стільки-то випадків за такий-то період ....);
• Якісні (втрати зменшилися на стільки-то, доходи зросли ...);
• Порівняльні (в порівнянні з минулим роком ....)

Крок п'ятий - протестуйте створену Вами систему.
Про це йшлося вище ....

Крок шостий - прийміть рішення про вдосконалення Вашої КСОБП.

Як відомо, межі досконалості немає ... Важливо пам'ятати тільки про те, що існує основний економічний закон забезпечення безпеки, який говорить: «Витрати на забезпечення безпеки не повинні перевищувати ефективності від впровадження системи безпеки».

Виникає питання: а чи можливо створити абсолютно досконалу систему безпеки, повністю виключає втрати підприємства? На думку автора - немає! Можна звести ці втрати до рівня «прийнятного мінімуму». Часто наводяться цифри, що в роздрібній торгівлі, наприклад, це 2-2,5% від обороту. У будь-якому випадку, рішення про прийняття «допустимого мінімуму втрат» залишається прерогативою власника підприємства.

І на закінчення автор бажає шановним читачам творчого підходу і скрупульозності в побудові системи безпеки, згадуючи при цьому слова одного з великих полководців минулого: «Нічого немає страшного, якщо вас перемогли в битві ... Страшно, якщо вас застали зненацька».

Сергій Козлов

Консультант по бізнес-безпеки

Національне тренінгове агентство

Безпека?
Бе-зо-пас-ність ?
Чи реальна ця задача?
Не здогадуєтеся про причини такого радикального кроку?
Отже, з чого ж почати?
Як це зробити?
Чи помітять ваші співробітники таке віртуальна подорож?
Які ж саме елементи необхідно включити в КСОБП?
При створенні на підприємстві комплексної системи забезпечення безпеки виникне неминуче питання: які принципи функціонування повинні бути закладені в цю систему?
Виникає питання: а що ж найважче налагодити в створеному нами організмі?
IRC (Internet Relay Chat)