Системный подход — основа безопасности компании

Публикация в журнале "Электроника: производство и торговля"


Председатель Совета директоров Группы компаний «Атлант»
Кандидат технических наук,
Олег Шафигулин

Важнейшей и очевидной проблемой существования бизнеса является проблема обеспечения его безопасности. Разумный лидер или группа лидеров заблаговременно готовятся к предполагаемым опасностям, выстраивая отношения с сотрудником, ответственным за корпоративную безопасность. Полученный результат особенно зависит от правильности поставленной задачи.

Систему руководящих принципов построения безопасности бизнеса можно назвать Доктриной корпоративной безопасности. Сформулировать ее может только лидер в зависимости от целей бизнеса, возникающих угроз и финансовых возможностей. Предлагаемая система проверена временем и практикой. При кажущейся простоте она позволяет организовать оптимальную работу над комплексным обеспечением безопасности фирмы.

Первое, с чего следует начать - это сформулировать свои корпоративные долгосрочные интересы с учетом того, что интересы первых лиц компании могут быть различны, противоречить и друг другу, и интересам самой компании. Цели могут быть как нacтупaтeльными, например, захват новых рынков, поглощение, так и оборонительными - сохранение стабильности достигнутого положения.

Наиболее простая и часто встречающаяся ситуация в компании такова: есть выраженный лидер - единоличный либо неконфликтная группа руководителей, - корпоративная цель сформирована и носит оборонительный характер.

В этом случае Доктрина должна отвечать на основные вопросы: что следует зaщищать, от кого зaщищать, кому и как защищать, как контролировать адекватность защищенности, сколько это стоит?

Итогом  работы над документом должен стать заблаговременно определенный комплекс инженерных и оперативно-технических мероприятий, назначены ответственные, выработан план рациональных действий в период возможного возникновения и при реализации угроз.

Объекты защиты

Защите подлежат корпоративные и личные объекты, жизненно важные для бизнеса.

Таблица 1. Типовые жизненно важные помещения стандартного офиса

 

Наименование жизненно
важных помещений
Модель
неприемлемого ущерба
Кабинет руководителя Выемка конфиденциальной информации
Закладка технических средств шпионажа
Бухгалтерия Выемка конфиденциальной информации
Серверная Несанкционированный доступ
Место хранения ценностей Выемка ценностей
Компьютерные сети Несанкционированный доступ
Архив Выемка конфиденциальной информации

Анализируем угрозы

 

Бороться есть смысл с тем, кого есть шанс победить, с остальными следует договариваться. Отличить одних от других — важнейшая задача лидера, решаемая заблаговременно в рамках Доктрины корпоративной безопасности. Правильный ответ зависит от стоимости стоящих перед бизнесом задач, публичности объектов защиты, наличия недоброжелателей и степени их агрессивности.

Таблица 2. Типовые угрозы

 

Виды угроз Мотив Объекты нападения
Хулиганство Случайная агрессия, месть п. 1-6 табл. 1
Неорганизованная преступная группа Краткосрочный, имущественный п. 1.2 табл. 1
Конкуренты Корпоративная разведка, компрометация п. 1.5 табл. 1
Ведомства п. 1-3 табл. 1 Заказ как инструмент в конкурентной борьбе п. 1-3 табл. 1
Организованная пpecтупная группа Долгосрочный контроль над бизнесом п. 1-3 табл. 1

Как правило, ответ пoлучaeтcя волевым решением, в то же время существуют типовые предположения. Задача анализа - определить область возможных решений. Оперативное же решение всегда принимает руководитель.

Начальный этап работ

Лидер, в режиме консультации с сотрудником, ответственным за кopпopaтивную безопасность составляет список жизненно-важных помещений, приведенный в таблице 1. Ему же отдается приоритет определения угроз, от которых следует защищаться (табл. 2). После этого ответственный за безопасность формирует гипотезы поражения, то есть определяет несколько расчетных сценариев нанесения неприемлемого ущерба, определяет комплекс технических и оперативных мероприятий (проводятся заблаговременно), а также план действий при реализации угроз. На его же плечи должны лечь составление бюджета мероприятий и обучение сотрудников правилам работы и поведения в необходимом объеме.

Аудит безопасности

Контроль эффективности проведения мероприятий — важнейшая составляющая обеспечения безопасности. Метод проведения аудита — крайне интересная тема выходящая за рамки статьи, но наиболее простой и эффективный способ — моделирование, теоретическое либо в рамках деловой игры. Цель проведения аудита — избежание типовых технических ошибок. Ими могут являться: в области технической укрепленности — установка защитных конструкций, время вскрытия которых меньше времени реагирования оперативной группы, в области видеонаблюдения — установка камер, не позволяющих идентифицировать личность в расчетных воздействиях, в защите информации — незащищенность компьютерных сетей. Но самой серьезной ошибкой является отсутствие системного подхода, поскольку любая из угроз может быть нейтрализована лишь с использованием комплекса оперативно-технических мероприятий.

Цена вопроса

Стоимость мероприятий разумнее всего определить до начала проведения работ. Руководитель волен принимать любые решения, но, принимая их, нужно всегда помнить о следующей негативной тенденции. Сегодня в России существует рынок специальных услуг по корпоративной разведке. Услуги эти непрестанно дeшeвeют, то есть стоимость нанесения неприемлемого ущepбa любой компании становится все дешевле.

Безопасность превыше всего!