Безопасность предприятия.
Что делать?
Игорь Чернов,
Директор ТОО «Informsecurity»
Вначале было слово.
Евангелие от Иоанна (гл. 1 ст.1).
В одной из своих статей я рассказал о наиболее типичных ошибках, которые допускают наши бизнесмены при организации служб безопасности своих предприятий. То есть рассказал о том, чего не надо делать. Естественно возникает вопрос - а что делать надо? Как создать или преобразовать службу безопасности предприятия, чтобы она была действительно эффективным инструментом для противодействия угрозам? Благо угроз этих в наше сложное время предостаточно. И главное - как сделать так, чтобы служба безопасности окупала своё существование? На первый взгляд ответ прост. Необходимо разработать и ввести ряд стандартов (любимое слово квалифицированных и сертифицированных специалистов по продвижению бизнеса, которые всегда всё знают), привести службу безопасности к этим стандартам и контролировать исполнение этих стандартов. На деле же не всё так просто.
Итак, с чего начать? Естественно с начала. С теории. Со слова. Необходимо сделать две вещи. Первая - определение реальных угроз для предприятия и их классификация по степени опасности. Их много, этих угроз, и для разных компаний они разные. Приведу примеры. Для многих производственных предприятий угрозой является производство и реализация контрафактной продукции под маркой товаров, выпускаемых этими предприятиями. Для многих страховых компаний угрозой является реализация поддельных страховых полисов якобы от имени этих компаний. Компании, у которых в офисах регулярно бывают крупные суммы наличных денег, должны быть готовы к гостевому визиту лихих ребят в балаклавах и с автоматами Калашникова. Практически для всех компаний представляет угрозу утечка информации, являющейся коммерческой или банковской тайной. Но негативные последствия, которые могут наступить для компании в результате такой утечки, для разных компаний тоже разные. И так далее.
Вторая - необходимо определить охраняемые ресурсы компании. И тоже классифицировать их по степени важности. У всех компаний охраняемые ресурсы в принципе одинаковы. Это: финансовые ресурсы; материальные ресурсы; человеческие ресурсы; информационные ресурсы; а также экономические и деловые интересы компании, то есть её бизнес-процессы, определяемые видом деятельности компании и её положением на рынке. А вот важность охраняемых ресурсов у различных компаний разная. Она определяется уровнем ущерба, который может понести компания при утрате такого ресурса. Приведу пример. Одна компания понесёт максимальный ущерб когда её склад обворуют и утащат дорогие эксклюзивные предметы, которыми она торгует. Другая компания много потеряет от того, что её клиентская база утекла к конкурентам. Ну а третья компания потерпит наибольшие убытки когда потеряет крупную сумму наличных денег. О ребятах с автоматами Калашникова я уже упоминал.
Как это сделать? Для этого лучше всего провести аудит безопасности. И в результате получить ответы на заданные вопросы. Есть два пути при проведении аудита. И у каждого есть свои плюсы и свои минусы. Можно поручить эту работу действующей службе безопасности предприятия. Плюс тут один - на этом можно здорово сэкономить. Минус - данные, полученные таким путём, с большой долей вероятности будут необъективны. Человеческий фактор пока ещё никто не отменял. Во-первых собственные сотрудники могут не обладать квалификацией, необходимой для проведения такого исследования. Во-вторых собственные сотрудники зависимы от мнения владельцев и руководителей предприятия и могут подогнать результаты исследования под это, зачастую неправильное, мнение. Такое часто бывает. Ну и в-третьих. При проведении полного аудита безопасности в обязательном порядке проверке на профпригодность подлежит и служба безопасности компании. А покажите мне хоть одного вменяемого человека, который скажет о себе плохо.
Путь второй - нанять посторонних специалистов, имеющих необходимую квалификацию для проведения таких работ. Плюс - получение максимально объективных данных, необходимых для качественной работы службы безопасности. Минус - влетит это в копеечку. Удовольствие не из дешёвых.
Ещё несколько слов об аудите безопасности. Многие не совсем правильно понимают назначение этой процедуры. Почему-то когда заходит речь об аудите безопасности многие думают что это мероприятие связано с защитой информации, хранящейся на компьютерах и передаваемой по компьютерным сетям. Это не так. Аудит безопасности - сложное и многоплановое мероприятие. Проводится оно по четырём направлениям: физическая охрана; экономическая безопасность; информационная безопасность; внутренняя безопасность. А аудит информационных систем является составной частью направления информационной безопасности.
Итак, аудит безопасности проведён. Что дальше? А дальше на основе данных аудита разрабатывается Концепция безопасности предприятия. Что это? Поясню. Концепция безопасности предприятия представляет собой официально утвержденный документ, в котором отражена система мер, требований и условий организации безопасности предприятия. Это довольно большой документ, в котором перечислены все возможные угрозы для компании, все ресурсы компании, подлежащие защите, прописаны формы, механизмы, методики и действия, необходимые для предотвращения угроз и защиты ресурсов. Также в этом документе прописываются полномочия и общие обязанности различных подразделений, а при необходимости и отдельных сотрудников компании, в области обеспечения безопасности.
После принятия и утверждения Концепции безопасности предприятия работа по организации системы безопасности предприятия разделяется на два направления. Первое - разработка и утверждение различных положений, инструкций и иных нормативных документов. Их много. Это и Положение о службе безопасности компании, и Положение о коммерческой тайне, и различные должностные инструкции и Обязательство о неразглашении коммерческой тайны, прочее. Второе направление - разработка плана мероприятий по реализации мер безопасности. Этих мер тоже много и они разные. Это и оптимизация постов физической охраны. Это и установка либо при необходимости изменение конфигурации системы видеонаблюдения, охранной и пожарной сигнализации. Это и установка при необходимости систем доступа. Это и закупки и установка программного обеспечения и технических средств защиты информации. Да много чего ещё. Сколько ж денег на это всё нужно? - скажут многие. Да, придётся раскошелиться. Но во-первых безопасность и не бывает дешёвой. По статистике до 20 % затрат компаний в мире приходится именно на безопасность. А во-вторых никто не заставляет одномоментно на всё это тратиться. План должен быть реальным не только по количеству мероприятий, но и по срокам. Никто не мешает установить систему видеонаблюдения сейчас, а систему ограничения доступа в следующем году. Главное чтобы всё выполнялось.
На этом вся бумажная работа заканчивается и начинается самое интересное. Можно сказать что вы приняли законодательную базу, необходимую для работы вашей системы безопасности в целом и службы безопасности в частности. Теперь дело за малым. Сделать так, чтобы эти законы заработали. А сделать это всегда сложнее чем написать десяток документов. К слову, это одна из самых распространённых ошибок при организации работы служб безопасности. Принять все документы и думать, что дальше всё само собой образуется. Не образуется. Про человеческий фактор я уже упоминал. Так что придётся поработать.
И работать придётся в двух направлениях. Направление первое - работа непосредственно со службой безопасности. С её сотрудниками. Здесь проще. Сотрудники службы безопасности уже «заточены» на выполнение всех правил, норм и принципов, прописанных в Концепции безопасности компании. Более того, их работа в этом и состоит, чтобы выполнять эти нормы и правила и требовать их выполнения от остальных работников компании. Кроме того сотрудники службы безопасности как правило являются «бывшими», проходившими службу в силовых структурах, и не понаслышке знают что такое дисциплина и субординация. Но и здесь не всё так просто. Профессионалов в этой области, впрочем как и в других областях народного хозяйства в нашей стране, не хватает. Так что есть риск принять на работу совсем не то, что вы ожидаете. И надежды на рекрутинговые агентства тут мало. Рекрутинговые компании не могут оценить уровень профессионализма того или другого кандидата на должность сотрудника службы безопасности. Просто потому что сами работники таких компаний в этом деле ничего не смыслят. Так что поработать придётся. Определить направления работы. Закрепить за этими направлениями конкретных сотрудников. Определить, какие мероприятия будут проводиться силами службы безопасности а какие приглашёнными специалистами. Переобучить при необходимости действующих сотрудников службы безопасности. Да много чего ещё.
Направление второе - работа непосредственно с работниками компании. Вот здесь будет весело. Готовьтесь к тому, что все нормы и правила, предусмотренные Концепцией безопасности, первое время выполняться не будут. Причин тут несколько. Первая причина - неумение работников. Приведу пример. Мало отобрать у работника Обязательство о неразглашении коммерческой тайны. Необходимо ещё и научить работника исполнять режим коммерческой тайны. Провести с ним занятия. Проверить знания. Проверить выполняет ли он все правила. И так далее. К сожалению, в подавляющем большинстве наших компаний этого не делается. Причина вторая - исполнение всех процедур, мер и правил, предусмотренных Концепцией безопасности, вносит в жизнь работников предприятия определённые неудобства. А это не всем нравится и поэтому не все это воспримут с пониманием. Так что ждите скрытого саботажа. Он будет обязательно. И придётся вам заставлять своих работников, причём жёстко. А это займёт время. Причина третья более серьёзна. В любой компании есть работники, использующие эту работу в этих компаниях в личных целях. Как правило в целях обогащения. Кто-то завышает или занижает сметы, а разницу кладёт в карман. Кто-то таскает со склада. А кто-то продаёт информацию конкурентам. И наведение порядка на предприятии будет означать для этих людей только одно - потерю дохода. И бороться они с этим будут серьёзно. Надо быть к этому готовым.
Ну вот, собственно, и всё. Проделав всё вышеописанное вы получите эффективную систему безопасности на предприятии и службу безопасности, которая будет не чай пить и кроссворды разгадывать, не бить по хвостам, расследуя свершившиеся происшествия, не выдумывать себе абсолютно бесполезные задания для того чтобы показать руководству свою значимость, а работать на упреждение. Да, на все эти мероприятия у вас уйдёт где-то в районе полугода. У кого-то чуть больше, у кого-то меньше. Процедура внедрения системы безопасности универсальна. Она подходит для всех компаний, естественно с корректировкой, зависящей от размера компании. Как, например, для крупной производственной компании или банка так и для небольшой торговой фирмы, в которой работают двадцать человек, и службы безопасности нет как таковой. У такой фирмы тоже есть ресурсы, которые нужно охранять и утрата которых нанесёт значительный ущерб этой маленькой фирме.
И в заключение несколько слов по вопросу окупаемости. Не стоит ждать что служба безопасности будет приносить чистую прибыль. У неё нет такой задачи. Задача у неё - предотвращать убытки. И принцип работы службы безопасности - сохранил, значит заработал. Роме того необходимо знать, что хорошо организованная и успешно работающая служба безопасности повышает конкурентоспособность предприятия и тем самым действительно окупает своё существование. Впрочем, это уже другая история.
Берегите себя.