Обеспечение безопасности организации. Задачи и функции службы безопасности предприятия Основные документы регламентирующие организационную безопасность на предприятии

Служба безопасности предприятия: ее цели, принципы и задания

Все многообразие структур и форм деятельности служб безопасности можно условно подразделить на два основных вида:

входящие в структуру предприятий и полностью содержащиеся за их счет;

существующие как самостоятельные коммерческие или государственные организации и нанимаемые предприятием для выполнения функций по обеспечению некоторых аспектов его безопасности.

Организационная структура служб первого вида может представляться многофункциональной службой предприятия, решающей весь комплекс проблем его безопасности. Она присуща, как правило, крупным, финансово стабильным организациям: коммерческим банкам, инвестиционным фондам, финансово-промышленным группам, использующим собственный персонал и технические средства.

Ко второму виду относятся структуры, специализирующиеся на оказании услуг в сфере безопасности. Они могут решать широкий круг вопросов: от комплексной защиты предприятия до выполнения конкретных функций (например, выявление подслушивающих устройств, охрана транзитных перевозок, личная охрана сотрудников). В ряде случаев предприятию оказывается экономически выгоднее привлечь для выполнения некоторых функций безопасности специализированную организацию, чем содержать собственную структуру. То же можно отнести и к привлечению, например, частных фирм в разрешении проблем, связанных с угрозами безопасности предприятия, в частности с угрозами, обусловленными техническим проникновением: выявление подслушивающих устройств, контроль эфира, особенно в тех случаях, когда нужны разовые мероприятия подобного рода. Учитывая весьма высокую стоимость аппаратуры, необходимой для выявления угроз технического проникновения, экономически целесообразней оказывается наем специалистов из сторонней организации, чем содержание на предприятии соответствующего оборудования и штата сотрудников. При этом еще следует учитывать значительные затраты на профилактику этой техники, ее обслуживание и обновление взамен морально устаревшей, обучение персонала.

В данной лекции речь пойдет о службах безопасности предприятия.

В соответствии с типовым положением, высшим органом управления любым акционерным предприятием является общее собрание акционеров. Наряду с выработкой генеральной цели и принципиальных направлений деятельности, экономической и технической политики предприятия, как это и предусмотрено положением, прерогативой общего собрания, по-видимому, должно быть также определение потребности в обеспечении безопасности, санкционирование организации, установление объемов и источников финансирования этой деятельности. Однако типовые положение и устав акционерного предприятия такие полномочия общего собрания не предусматривают. Например, в работе рекомендуется установить перечень сведений, составляющих коммерческую тайну, определить порядок и условия передачи коммерческой информации другим физическим и юридическим лицам, определить основы системы защиты объектов, входящих в АО.

Типовые учредительные документы также регламентируют, что в период между общими собраниями акционеров полномочным органом управления является совет директоров, возглавляемый генеральным директором АО. Именно генеральный директор должен обладать всей полнотой полномочий по обеспечению безопасности АО и в пределах свой компетенции:

§ утверждает порядок организации работ но обеспечению безопасности АО и контролирует ее состояние;

§ устанавливает порядок регулирования отношений в области защиты АО во всех сферах деятельности и на всех уровнях его управления;

§ применяет меры дисциплинарного воздействия к должностным лицам, не обеспечившим надежную защиту объектов АО;

§ вправе делегировать часть своих полномочий по обеспечению безопасности другим должностным лицам АО.

Координация работ по обеспечению безопасности на уровне функциональных служб должна возлагаться на правление АО в пределах компетенции, определяемой уставом общества.

Синтез системы, практическая реализация ее функций должна находиться в компетенции специальных подразделений службы безопасности АО. Состав таких функций может быть расширен за счет комплексов задач прогнозирования, выявления и оценки угроз безопасности, структуризации задач защиты, их оптимизации, технико-экономической оценки и выбора предпочтительного варианта обеспечения безопасности.

Проведенные сопоставления результатов деятельности служб безопасности показали, что наиболее эффективно они функционируют там, где решение проблем безопасности постоянно находится в сфере внимания первых руководителей, увязывается ими с результатами производственно-хозяйственной деятельности предприятия. Именно на этих предприятиях руководитель службы безопасности обладает максимально возможным кругом полномочий, позволяющим оказывать влияние на различные области деятельности объекта, как того требуют интересы его безопасности. Так, на крупных предприятиях, где служба безопасности состоит из нескольких подразделений, выполняет различные функции по охране, сыску, анализу реальных и потенциальных угроз, ее руководитель, как правило, является одновременно и заместителем генерального директора, а на объектах с повышенной системой защищенности -- и первым заместителем. Используются и другие варианты построения организационной структуры, при которых в аппарате управления выделяется должность специального директора по безопасности. Он руководит службой безопасности, включающей службу охраны, специальные системы связи и информации, противопожарные службы, специальные группы реагирования.

Но даже и в тех случаях, когда служба безопасности хотя и немногочисленна (в малых формах бизнеса), но рационально организована, положение ее руководителя позволяет принимать самостоятельные решения в рамках своей компетенции и своевременно реагировать на возникающие угрозы безопасности предприятия, т. е. его статус на объекте выделен и поддержан руководством. Это выражается в разработке таких функциональных обязанностей руководителя службы безопасности, которые закрепляют его особое положение. Например, ему подчиняются другие, равные по штатному уровню руководители, в решении кадровых вопросов. Этот статус может проявляться и в том, что руководитель службы безопасности наделен определенными запретительными правами по отношению к другим службам предприятия на переговорах с клиентами, правами санкционирования выбора клиентов и соисполнителей.

Что касается собственно организационной структуры службы безопасности, то в процессе исследований удалось выявить определенную закономерность ее построения в зависимости от следующих факторов (рис. 1).

Рис. 1 - Факторы, влияющие на особенности построения организационной структуры службы безопасности промышленного предприятия

Особенности построения организационной структуры службы безопасности зависят от:

характера и масштабов производственной деятельности предприятия (особенности выпускаемой продукции и прогрессивность применяемых технологий, наличие товаров-новинок, патентов и лицензий, производственная мощность, численность работающих, темпы технического развития);

рыночной позиции предприятия (темпы развития отрасли, к которой относится предприятие, вид кривой жизненного цикла, динамика его продаж и доля рынка, наличие стратегических зон хозяйствования, уровень конкурентоспособности товаров и услуг, репутация в деловых кругах, имидж и гудвил);

достигнутого уровня финансовой состоятельности (общая экономическая рентабельность, рентабельность капитала и продукции, платежеспособность, уровень деловой активности, инвестиционная привлекательность);

наличия субъектов специальной защиты (носители государственной или коммерческой тайны, крупные материальные ценности, Экологически опасные производства, взрыво- и пожароопасные участки и т. п.);

наличия конкурентной среды (активность конкурентов и криминалитета).

Кроме отмеченных объективных факторов на выбор структуры службы безопасности могут воздействовать и факторы субъективного порядка. Например, наличие свободных финансовых ресурсов, которые можно направить на обеспечение безопасности, или субъективное мнение руководителя предприятия, считающего, что затраты на службу безопасности себя не окупают и поэтому в ее организации нет необходимости.

Разумеется, представить универсальную структуру службы безопасности того или иного предприятия -- объекта защиты -- будет весьма сложно из-за многообразия форм проявления на нем отмеченных факторов. Однако, по-видимому, можно говорить о некотором наборе типовых направлений деятельности служб безопасности, исходя из условного деления множества объектов защиты на следующие группы:

крупные финансово-промышленные группы и акционерные общества с частным и смешанным капиталом;

государственные производственные объединения;

акционерные и частные коммерческие структуры (крупные, средние, мелкие).

Первое направление -- юридическая безопасность предпринимательской деятельности, под которой следует понимать юридически корректное оформление прав, порядка и условий осуществления этой конкретной деятельности (устава, регистрационных документов, прав собственности на имущество, патентов, лицензий, арендных и контрагентских договоров, соглашений, ведение бухгалтерской документации и др.). Необходимость разработок и реализации соответствующего комплекса задач достаточно очевидна в условиях несовершенной нормативно-правовой базы предпринимательства и его безопасности.

Второе -- физическая безопасность субъектов предпринимательской деятельности. В качестве объектов следует при этом рассматривать как сам вид предпринимательской деятельности, так и ресурсы предпринимателя: финансовые, материальные, информационные. Отдельного рассмотрения требует безопасность трудовых и интеллектуальных ресурсов: персонала, акционеров и работников предприятия.

Третье -- информационная (информационно-коммерческая) безопасность, защита информационных ресурсов хозяйствующего субъекта, а также объектов его интеллектуальной собственности. Коммерчески значимая информация может быть связана со всеми теми объектами, которые упоминались при рассмотрении физической безопасности.

Одно из важнейших по значимости -- четвертое направление -- это вопросы безопасности людей, персонала: охрана труда и техника безопасности, производственная санитария и экология, аспекты психологии деловых отношений, вопросы личной безопасности сотрудников и членов их семей.

Следует отметить, что универсального способа или методики выбора структуры службы безопасности до настоящего времени не предложено, хотя практическая потребность в этом очевидна.

Исходя из проведенных обобщений в организации службы безопасности, можно предложить следующий укрупненный алгоритм выработки решений по ее структуризации применительно к особенностям деятельности того или иного хозяйствующего субъекта:

шаг 1 -- принимается некоторое состояние объекта, фиксированное во времени, и определяются его жизненно важные интересы на этот момент;

шаг 2 -- определяются наиболее вероятные для данного объекта угрозы его безопасности;

шаг 3 -- оценивается степень риска при реализации каждого вида угроз, которые ранжируются по степени вероятного ущерба в случае их проявления;

шаг 4 -- разрабатывается план реализации соответствующих мероприятий по локализации каждой из угроз с оценкой потребности в ресурсах, а значит, и предполагаемых затрат;

шаг 5 -- исходя из сопоставления наличных ресурсов и предполагаемых затрат на реализацию функций и задач комплексной системы защиты по каждой из выявленных угроз, формируется служба безопасности;

шаг 6 --в зависимости от изменения характера вновь возникающих угроз и ресурсных возможностей предприятия, на основе постоянного анализа всех этих составляющих корректируются структура и задачи службы безопасности

Таким образом, можно обобщить, что предложенная концептуальная организация управления системой безопасности, имеющая ярко выраженную вертикаль подчиненности и взаимной ответственности, исходит из практического опыта в сфере защиты государственной и коммерческой тайны. Выбор такой концепции предопределен высоким уровнем издержек -- экономических потерь, которые вынуждено понести предприятие в случаях реализации угроз его безопасности, а также взаимообусловленностью проблем безопасности предприятия, безопасности личности, общества и государства.

Рис. 2. Универсальный алгоритм построения системы безопасности

Служба безопасности (СБ) на предприятии -- подразделение предприятия, специально созданное для обеспечения безопасности его законных прав и интересов от криминальной конкуренции со стороны социальных организаций и физических лиц.

Службы безопасности -- неотъемлемая часть хозяйственной и иной предпринимательской деятельности в странах с развитой рыночной экономикой. Затраты зарубежных фирм только на охрану коммерческой тайны достигают 25 % всех расходов на производство. В Западной Европе ассигнования на мероприятия, связанные с обеспечением безопасности, составляют от 15 до 20% стоимости охраняемых ценностей, в Украине - не более 1 %.

Руководитель предприятия, определяя характер службы безопасности, должен исходить из особенностей сферы и масштабов деятельности предприятия, объектов, подлежащих защите, учитывать возможности материально-технического и финансового обеспечения мероприятий по обеспечению безопасности.

Все подразделения службы безопасности в полном объеме создаются лишь крупнейшими экономическими субъектами. Небольшие предприятия ограничиваются группами внутренней безопасности, состоящими из охранников и персонала, занимающегося настройкой и ремонтом технических средств обеспечения безопасности.

В некоторых случаях создавать службу безопасности на предприятии не следует. В таком случае для обеспечения безопасности от криминальной конкуренции можно использовать технические средства. На основной персонал предприятия при этом возлагаются соответствующие дополнительные функции. К проектированию системы обеспечения безопасности - опирающейся в основном на технические средства, целесообразно привлечь специализированные консультативные фирмы.

Основные принципы деятельности СБ :

законность, соблюдение прав и свобод человека и гражданина, уважение личной, семейной тайны (сбор сведений в отношении сотрудника, кандидата на работу осуществляется только с его письменного согласия; автоматизированные информационные системы создаются и используются с соблюдением требований законодательных актов относительно персональных данных);

приоритет предупредительных мероприятий;

профессионализм (использование собственных специалистов или обращение за помощью к специализированным государственным или частным организациям);

взаимодействие с государственными правоохранительными органами и службами безопасности других фирм;

системный подход, который предполагает, в частности, учет всех факторов, оказывающих влияние на безопасность предприятия, полный охват защитными мероприятиями всех объектов в соответствии с их значимостью, использование не только режимных мер и административных методов, но и экономических рычагов и стимулов, циркулярного информирования, других способов воздействия;

использование доступных зарубежных средств и систем безопасности;

активность, опережающий по сравнению с имеющими место посягательствами поиск новых способов и возможностей обеспечения безопасности;

сочетание единоначалия и коллегиальности в руководстве;

подотчетность и подконтрольность лично руководителю предприятия, поскольку он знает в деталях приоритеты в управлении, имеет возможность оперативно принимать решения и эффективно их реализовывать;

сочетание гласных и негласных форм деятельности, так как применение предприятиями-конкурентами, службами промышленного шпионажа, организованной преступностью негласных форм деятельности обусловливает необходимость аналогичных форм противодействия;

рациональное использование сил и средств;

плановая основа деятельности;

повышение квалификации сотрудников СБ.

Цель создания СБ -- обеспечение для предприятия условий защищенности от криминальной конкуренции -- деятельности социальных организаций или физических лиц, направленной на получение односторонних преимуществ в бизнесе и основанной а нарушениях законодательства, деловой этики, наносящей экономический или иной ущерб цивилизованному бизнесу.

Основные задачи СБ на предприятии:

1) распознавание угроз его безопасности;

2) предотвращение возможного ущерба от криминальной конкуренции;

3) противодействие физическим лицам и социальным организациям, использующим методы криминальной конкуренции;

4) минимизация последствий от конкретных фактов криминальной конкуренции;

5) противодействие физическому, техническому несанкционированному проникновению на служебные объекты;

6) информационное обеспечение деятельности по вопросам безопасности;

7) взаимодействие и координация службы безопасности с государственными правоохранительными органами;

8) обеспечение физической безопасности руководителей и сотрудников предприятия;

9) обеспечение безопасности коллектива от проникновения лиц с криминальным прошлым, от разрушения благоприятного психологического климата;

10) исключение несанкционированного доступа к информации, составляющей коммерческую тайну;

11) обеспечение сохранности материальных ценностей и финансовых средств предприятия;

12) предотвращение возможного ущерба имиджу предприятия;

13) противодействие возможным попыткам со стороны конкурентов получить соответствующие рычаги управления предприятием (бизнесом).

Литература

1. Гусев В.С., Демин В.А., Кузин Б.І. и др. Экономика и организация безопасности хозяйствующих субъектов, 2-е изд. - СПб.: Питер, 2008. - 288 с.

2. Одинцов А.А. Экономическая и информационная безопасность предпринимательства: учеб.пособие для вузов. - М.:академия, 2008. - 336 с.

3. Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации. Учеб. Пособие для вузов. -М.: Горячая линия -Телеком, 2004 . - 280с.

4. Курочкин А.С. Управление предприятием: Уч.пособие. - Киев, 2009.

5. Амитан В.Н. Экономическая безопасность: концепция и основные модели // Економічна кібернетика. - 2009. - №3-4. - С.13-20.

      Глубоко заблуждается тот, кто считает, что безопасность бизнеса — эдакое «отдельно стоящее пугало» — зависит только от наличия крепких мускулистых парней и высоких заборов. Настоящая безопасность не должна быть очевидной. Здесь совершенно неуместны разовые меры или кавалерийские наскоки, дающие сиюминутный результат. Эффективная безопасность подразумевает целую систему мер при общей заинтересованности каждого сотрудника в пользовании ею.

Безопасность — фундамент бизнеса
Оперативная обстановка в компании, непосредственно влияющая на состояние ее дел, если она занимается металлоторговлей, и вытекающие из этого задачи службы безопасности — фундамент, на котором строится защита бизнеса. По понятным причинам уровень требований к прочности такого фундамента весьма высок.
Прежде всего, хотелось бы обозначить видение проблемы, без понимания которой нецелесообразно не только организовывать службу безопасности, но даже и обсуждать эту тему. Речь идет об устойчивых заблуждениях руководителей некоторых компаний насчет истинной роли безопасности. Неверные представления приводят к ситуации, когда руководитель превращает систему защиты либо в пугало, либо в подразделение типа «чего изволите?». И то и другое бесперспективно — примеров множество, в том числе и в мировой истории. Когда усилия безопасности были направлены на ложный путь, бесследно исчезали не только фирмы и медиагруппы, но и целые государства с хорошо обученной армией с высоким боевым духом.
Средств обеспечения безопасности работы компании много. Рекомендации по их применению тоже встречаются часто — выбор есть. Дело за малым: что именно взять на вооружение? Перед тем как принять решение, руководителю нужно, во-первых, максимально четко обозначить конкретные задачи подразделения безопасности, а затем доверить организацию этой работы профессионально подготовленному специалисту. Уважающий себя профессионал не возьмется за создание системы безопасности, если ее задачи размыты или неконкретны. Во-вторых, если специалист взялся за их выполнение, то теперь уже руководитель фирмы должен проявить терпение. Особенно если решение о создании службы безопасности принято не одновременно с основанием фирмы, а на пятом, шестом и т. д. году ее существования.

Если появляются недовольные, значит, вы на правильном пути
От руководителя службы безопасности невозможно ждать сиюминутных результатов, какие бы меры он ни принимал.

      Настоящая безопасность достигается не столько за счет отдельных мер, сколько за счет внедрения их системы. А чтобы эта система заработала, нужно время.

В первую очередь, к требованиям безопасности должен адаптироваться персонал компании, особенно если ранее такое подразделение на предприятии отсутствовало. Что особенно важно в период становления подобной службы?
1. Задача службы безопасности — вырабатывать, координировать и совершенствовать меры безопасности. Но свою причастность к обеспечению безопасности должны усвоить все сотрудники без исключения.
2. Не старайтесь понравиться всем. Главное внимание уделяйте своим задачам и их профессиональному выполнению. Не стоит бояться недовольных вашей работой: если таковые появляются — скорее всего, вы на правильном пути.
3. Объективно оценивайте оперативную обстановку. Для максимально полной оценки ситуации учитывайте информацию разного «калибра»: от финансово-экономического состояния конкурентов, криминальных структур, проявляющих интерес к предприятиям, работающим на рынке металлоторговли), до социально-психологического климата в коллективе, стиля работы руководителей, их планов, видения перспектив, наличия в компании «неформальных лидеров», их роли и т. д.
А теперь главное: какой должна быть система мер по обеспечению безопасности предприятия (см. рис. 1).

Предлагаемая схема довольно проста, но требует некоторых комментариев. Подразделения безопасности, подчиненные руководителю службы, создаются с учетом каждого конкретного предприятия. Они могут формироваться по линейному принципу (например, «организация работы по предотвращению хищений на объектах компании») или по объектовому («комплекс мер по обеспечению безопасности цеха пластмасс»). Если бизнес компании имеет специфические особенности, можно использовать смешанный принцип.
На большинстве предприятий подразделения безопасности формируются по следующим направлениям: экономическая безопасность, внутренняя безопасность, информационная безопасность, информационно-аналитическая работа... Перечисленные направления организационно входят в обозначенный на схеме блок «Подразделения безопасности». Смысл функционирования системы заключается в следующем.
Наряду с выполнением своих прямых должностных обязанностей руководитель подразделения безопасности опосредованно влияет на действия персонала компании, используя утвержденные генеральным директором нормативные документы компании (приказы, указания, инструкции и т. п.). При их подготовке руководитель службы безопасности органично вписывает в регламентирующие документы задачи безопасности или какую-то их часть.
Для качественной организации работы предлагается схема управления и контроля эффективности функционирования системы, представленная на рис. 2.

Все без исключения сотрудники службы безопасности от начальника до дежурного на пропускном пункте обязаны четко усвоить содержание нормативных документов. Руководителям подразделений следует периодически проводить проверку усвоения материалов путем инструктажа или принятия зачетов.
Положения, изложенные на этапах 1-3, должны быть обязательно отражены в плане работы службы безопасности. Запланированные мероприятия должны удовлетворять следующим требованиям:

  • соответствовать уровню поставленных задач, содержащихся в приказах и должностных инструкциях;
  • иметь практическую преломляемость;
  • предусматривать конкретные сроки выполнения;
  • обеспечивать возможность проверки результата.
    В отчете кратко излагаются результаты выполнения запланированных, а также непредвиденных задач (возникших в связи с изменениями в оперативной обстановке, под влиянием неожиданных ситуаций и т. п.). В случае неисполнения некоторых плановых позиций указываются причины.
    С помощью анализа определяются:
  • оценка эффективности выполнения поставленных задач;
  • пути совершенствования деятельности службы безопасности и компании в целом.

    Анализируй и совершенствуй
    Результаты аналитической работы должны привносить качественные изменения в задачи, нормативные документы, должностные инструкции и т. д. в целях обновления фундаментальной базы безопасности путем ее подъема на более высокий и качественный уровень.
    Каждое направление блока имеет свою систему организационной деятельности. В качестве примера можно детализировать и представить схематически работу по направлению «экономическая безопасность» (рис. 3).
    В свою очередь каждый из вышеперечисленных элементов экономической безопасности также может быть конкретизирован, снабжен соответствующей нормативной базой. Для примера возьмем такое направление, как «возврат просроченной дебиторской задолженности», и изобразим схематично, как можно организовать подобную работу (рис. 4).
    Каждое направление блока имеет свою систему организационной деятельности. По аналогии с разделом «экономическая безопасность» организуется работа и по другим направлениям. Возникает своеобразная цепная реакция. Контроль службы безопасности присутствует практически во всех звеньях компании. Из рис. 4 видно, как вовлекается в обеспечение безопасности персонал компании.

        Существенный элемент системы — аналитическая работа подразделения, постоянные интеллектуальные усилия всех и каждого по выработке основного аналитического продукта, отвечающего на вопрос: что делать компании завтра?

    Составными частями данного продукта являются:

  • объективная оценка исследуемого направления в деятельности фирмы;
  • основные причины, повлиявшие на положительные или отрицательные результаты работы;
  • прогноз развития обстановки по основным составляющим предпринимательской деятельности;
  • конкретные меры по совершенствованию управления компанией (уточнение нормативной базы, стратегия и тактика кадровой политики и т. п.)
    Этот продукт должен быть качественным, так как он обеспечивает ту самую обратную связь между генеральным директором и руководителем службы безопасности, на основании которой руководитель компании убеждается, что не зря выделяет средства на службу безопасности. А если система защитных мер станет осью совершенствования работы компании, то применение известной формулы «деньги-товар-деньги» должно, на наш взгляд, положительно сказаться на росте заработной платы подразделения.

    Защищая бизнес, мы приумножаем доходы от него
    Главный признак стабильного бизнеса — наличие команды. Ее основные характеристики знакомы всем: общая нацеленность на результат, взаимозаменяемость, единая система вознаграждения. Важно, чтобы работали все организационные принципы команды. Баланс интересов обязателен. В противном случае, особенно если баланс нарушается довольно часто, команда превращается в группу со всеми вытекающими отсюда последствиями, в том числе и для фирмы.

    Подведем итог
    Меры безопасности должны не только действовать в каждом звене компании, но и вплетаться во все виды коммерческой, хозяйственной и иной деятельности. Поскольку важнейшим показателем эффективности работы коммерческой структуры является прибыль, умело выстроенная система мер обязана стать активом в достижении этой цели.
    Став равноправными членами команды, обеспечивая стабильность, сотрудники службы безопасности завоюют репутацию не только надежных защитников бизнеса, но и активных его участников.

    • Чтобысоздать службу безопасности, крупным компаниям достаточно выделить средства из бюджета. Гораздо труднее решить подобную задачу малому и среднему бизнесу.

    Собственная служба безопасности малому предприятию кажется излишней роскошью. Однако многие руководители недооценивают важность этой службы. Ведь именно она защитит то, что вы создавали. Задачу по созданию службы безопасности в организации можно упростить, разбив ее на пять этапов.

    Как предприятию создать свою службу безопасности

    Шаг 1. Определить цель

    Прежде всего ответьте на вопрос: зачем предприятию служба безопасности? Потенциальные угрозы различны: от криминальных до неочевидных. Одна из них – хищение имущества компании работниками и недобросовестными контрагентами. Другая – необоснованные претензии налоговых и правоохранительных органов. В некоторых компаниях угрозой может стать даже некомпетентность персонала.

    Пример. Служба безопасности мебельной фабрики выявила потенциальную угрозу – рядом открыли АЗС. Заправка не соответствовала нормам безопасности, поэтому вероятность пожара была велика. В этом случае пострадали бы склады и продукция фабрики. Служба безопасности компании собрала материалы, подтверждающие незаконность АЗС, и передала их в органы надзора. В результате заправку закрыли.

    Шаг 2. Поставить задачи

    После того как вы определите, какие риски грозят компании, оцените последствия. Работу службы безопасности направьте на преодоление конкретных угроз. Число остальных функций минимизируйте.

    Расставляя приоритеты, советуйтесь с человеком, которому вы доверите руководство службой безопасности своего предприятия. Так, защита ювелирной компании направлена на пресечение хищений со стороны работников и на предотвращение нападений преступников. IT-компании важно защитить продукты интеллектуального труда от шпионажа и хищения. В первом случае речь пойдет о создании службы охраны, во втором – службы конкурентной разведки.

    Пример. Директор предприятия по производству комбикорма для животных создал службу экономической безопасности. За два месяца она выявила схему хищения, которой долго пользовались сотрудники. Водитель, получив материалы от поставщика, по дороге делал остановку, сгружая часть пособникам. На предприятие он завозил на 10–15% меньше материалов. Кладовщик, который был в доле, приходовал материалы в первоначальном объеме, списывая их в производство. Третий участник схемы – сотрудник производства – подписывал бумаги о получении материалов. Дальше материалы перерабатывали в готовый продукт.

    Схему раскрыли так: служба безопасности установила сканер на проходной. Обнаружили, что в середине кузова автомобиля есть пустое место. Дальше установили контроль за движением сырья на всех этапах производства, проводили беседы с работниками. Получив доказательства, устроили внезапную ревизию, которая выявила недостачу. После раскрытия схемы экономия на себестоимости продукта составила 10%

    Шаг 3. Сформировать отдел

    На крупных предприятиях подразделение безопасности отвечает за ряд направлений: юридическая защита, работа с персоналом и т. д. Но в малом и среднем бизнесе это невозможно. Если возложить все задачи на небольшое подразделение, то у него не будет времени на выявление реальных угроз для компании. Оптимальный состав службы безопасности для малых фирм – три человека:

    • начальник службы, лучше бывший оперативный работник;
    • заместитель начальника, например следователь или аналитик;
    • специалист, это может быть аудитор.

    Как обманывает служба безопасности: 9 мошеннических схем

    Способы обмана собственника бизнеса зависят от размера компании, ее организационной структуры и степени вовлеченности учредителя в дела фирмы.

    Как мошенничают самые доверенные люди - сотрудники службы безопасности, узнайте из статьи электронного журнала «Генеральный директор».

    Желание тратить меньше на службу безопасности обоснованно. Она не увеличивает прибыль, а предотвращает потери, которых может и не быть. Однако не экономьте на трех статьях.

    1. Зарплата сотрудников. Доходы специалистов службы безопасности должны соответствовать доходам других сотрудников. Цифра зависит от региона, но не ниже оплаты в правоохранительных органах: от 50 до 120 тыс. руб. – для рядового сотрудника, не менее 200 тыс. руб. – для руководителя службы.
    2. Доступ к информационным системам. Вашей службе безопасности понадобятся системы для проверки контрагентов, например: «Спарк», «Кронус» и т. п. На это нужно 100–300 тыс. руб. в год. Сюда же включите оперативные расходы сотрудников службы, которые составят не менее 100 тыс. руб. в год.
    3. Переподготовка сотрудников. Обучение на курсах дает знание о новых видах угроз, позволяет наладить связи со службами безопасности других компаний. На это заложите 100 тыс. руб. в год.

    В целом на содержание службы безопасности придется тратить не меньше 3 млн руб. в год. Оценив затраты, вы, возможно, сделаете вывод, что дешевле отдать функции безопасности на аутсорсинг. Помните: в этом случае полностью контролировать безопасность компании не удастся. Сторонняя организация может создавать проблемы ради увеличения бюджета и расширения штата.

    Шаг 5. Найти специалистов

    Оценивая кандидата на должность начальника службы безопасности, обратите внимание на его послужной список. Обязанности должны быть аналогичны поставленным задачам.

    Для охраны объекта подойдет человек, служивший в отделе вневедомственной охраны в МВД, или бывший сотрудник ФСО. Для защиты коммерческой тайны, предотвращения хищений нужны бывшие оперативные сотрудники МВД, ФСКН, ФСБ. Лучше тот, кто имел опыт руководящей работы, но не занимал высоких постов: руководитель группы, отдела. Выбирая между бывшим оперативником уголовного розыска и сотрудником отдела противодействия экономической преступности, предпочтите второго.

    Пример

    В компании решили создать службу безопасности. Заместитель директора посоветовал своего друга, который работал начальником отдела в правоохранительных органах. У него было высшее юридическое образование, 15-летний опыт оперативной работы. Приглашенный сотрудник обнаружил:

    • обманные действия поставщиков сырья и покупателей;
    • хищения персонала;
    • нарушения в работе предприятия.

    Начальник службы безопасности наладил систему учета материалов, поручил охране проверять грузы и документы. Изменили график дежурства охранников: поставили их на объекты, а не на посты. Контракты на поставку продукции заключали только после проверки фирм. Выявили контрагентов с плохой репутацией. Установили дополнительные видеокамеры, технический контроль по периметру предприятия. Кроме того, служба безопасности провела анализ документов компании. Обнаружили, что на только что построенную газовую котельную нет лицензии. Это позволило избежать претензий со стороны правоохранительных органов.

    Дополнительные рекомендации по организации службы безопасности на предприятии

    1. Если у компании небольшой штат, то служба безопасности предприятия может состоять из одного человека. Компания сэкономит на оплате труда. Но останется риск подкупа этого сотрудника недобросовестными конкурентами или криминальными структурами.
    2. Подбирая кандидата на роль начальника службы безопасности, не стоит ограничиваться близкими знакомыми. Не у всякого директора есть друг детства, который служил в МВД. Не все бывшие оперативники в период службы занимались раскрытием преступлений или безопасностью объектов. Подобранный по такому принципу руководитель может неправильно оценить вашу благосклонность и отнесется к порученному делу спустя рукава.
    3. Начальник службы безопасности принимает решения в условиях цейтнота. Например, о приостановке отгрузки товара недобросовестному контрагенту. Наделите начальника службы безопасности полномочиями не ниже заместителя директора.
    4. В контракте с начальником службы безопасности пропишите жесткие штрафные санкции, если он необоснованно воспользуется возложенными на него полномочиями. Поручите руководителям отделов сообщать вам о злоупотреблениях со стороны службы безопасности предприятия. Обяжите начальника службы докладывать о результатах работы и эффективности отдела.

    Копирование материала без согласования допустимо при наличии dofollow-ссылки на эту страницу

    Служба безопасности – одна из важнейших структурных единиц любого современного предприятия, отвечающая за обеспечение безопасности проведения производственных и прочих внутренних процессов от несанкционированных посягательств. Ознакомившись с нижеизложенной информацией, вы узнаете, чем занимается служба безопасности предприятия и какими полномочиями она располагает.


    Задачи и функции службы безопасности

    Служба охраны занимается следующими задачами:

    • обеспечением безопасности деятельности компании;
    • организацией грамотных правовых и прочих взаимодействий;
    • исключением вероятности несанкционированного доступа к информации;
    • контролем соблюдения правил доступа и допуска к предметам коммерческой тайны;
    • своевременным выявлением и перекрытием каналов утечки информации;
    • охраной зданий, помещений, всевозможного оборудования и прочей собственности компании.

    Таким образом, служба охраны отвечает за обеспечение безопасности внутри компании по всем возможным направлениям деятельности.

    Среди ключевых функций рассматриваемой службы следует выделить нижеперечисленные положения:

    • организация и обеспечение с последующим контролем соблюдения установленного пропускного режима;
    • контроль выполнения работ по вопросам организационного и правового урегулирования;
    • участие в подготовке основополагающих документов, тем или иным образом затрагивающих вопросы безопасности;
    • изучение всевозможных коммерческих, финансовых, производственных и прочих тайн с целью их последующей защиты;
    • организация и контроль за проведением служебных расследований при выявлении факта любого рода нарушений;
    • организация и проведение регулярной подготовки сотрудников по направлениям, затрагивающим вопросы коммерческой тайны, с целью обеспечения защиты секретов компании;
    • ведение учета сейфов и прочих подобных хранилищ;
    • поддержание контактов с правоохранительными органами и прочими подведомственными структурами в случае появления такой необходимости.

    Состав, права и обязанности службы безопасности

    Служба безопасности относится к числу самостоятельных организационных единиц. Подчиняется руководителю предприятия. Во главе службы – начальник, по совокупности выполняющий функции зама руководителя по безопасности.

    В состав службы безопасности входят нижеперечисленные структурные единицы:

    • отделы охраны и режима;
    • спецотдел, уполномоченный заниматься обработкой секретной документации;
    • инженерно-техническая группа;
    • служба безопасности, осуществляющая контроль внешней деятельности компании.

    Служба охраны имеет право на:

    • требование от работников компании, клиентов и партнеров соблюдения положений, тем или иным образом затрагивающих вопросы коммерческой тайны;
    • внесение предложений по всестороннему улучшению мероприятий, направленных на защиту коммерческой тайны.

    Перечень обязанностей сотрудников службы безопасности состоит из следующих пунктов:

    • осуществление контроля за выполнением положений по соблюдению коммерческой тайны;
    • подготовка докладов для непосредственного руководства об имеющихся нарушениях в отношении защиты коммерческой тайны и прочих положений, способных навредить компании;
    • исключение возможности несанкционированного доступа к коммерческой тайне и прочим материалам, требующим соответствующей защиты.

    Представители службы безопасности несут личную ответственность за нарушение коммерческой тайны и не использование своих полномочий во время выполнения прямых функциональных обязанностей.

    Положения, которые были рассмотрены выше, могут меняться, дополняться и сокращаться в зависимости от особенностей деятельности конкретного предприятия и особенностей его внутренней политики.

    Служба безопасности предприятия выполняет следующие общие функции:

    Организует и обеспечивает пропускной и внутри объектовый режим в зданиях и помещениях, порядок несения службы охраны, контролирует соблюдение требований режима сотрудниками, смежниками, партнерами и посетителями;

    Руководит работами по правовому и организационному регулированию отношений по защите коммерческой тайны;

    Участвует в разработке основополагающих документов с целью закрепления в них требований обеспечение безопасности и защиты коммерческой тайны, в частности, Устава, Коллективного договора, Правил внутреннего трудового распорядка, Положений о подразделениях, а также трудовых договоров, соглашений, подрядов, должностных инструкций и обязанностей руководства, специалистов, рабочих и служащих;

    Разрабатывает и осуществляет совместно с другими подразделениями мероприятия по обеспечению работы с документами, содержащими сведения, являющиеся коммерческой тайной, при всех видах работ, -организует и контролирует выполнение требований «ИНСТРУКЦИИ по защите коммерческой тайны»;

    Изучает все стороны коммерческой, производственной, финансовой и другой деятельности для выявления и закрытия возможных каналов утечки конфиденциальной информации, ведет учет и анализ нарушений режима безопасности, накапливает и анализирует данные о злоумышленных устремлениях конкурентов и других организаций о деятельности предприятия и его клиентов, партнеров, смежников;

    Организует и проводит служебные расследования по фактам разглашения сведений, утрат документов и других нарушений безопасности предприятия;

    Разрабатывает, ведет, обновляет и пополняет «Перечень сведений, составляющих коммерческую тайну» и другие

    нормативные акты, регламентирующие порядок обеспечения безопасности и защиты информации;

    Обеспечивает строгое выполнение требований нормативных документов по защите коммерческой тайны;

    Осуществляет руководство службами и подразделениями безопасности подведомственных предприятий, организаций, учреждений и других в части оговоренных в договорах условиях по защите коммерческой тайны;

    Организует и регулярно проводит учебу сотрудников предприятия и службы безопасности по всем направлениям защиты коммерческой тайны, добиваясь, чтобы к защите коммерческих секретов был глубоко осознанный подход;

    Ведет учет сейфов, металлических шкафов, специальных хранилищ и других помещений, в которых разрешено постоянное или временное хранение конфиденциальных документов;

    Ведет учет выделенных для конфиденциальной работы помещений, технических средств в них, обладающих потенциальными каналами утечки информации;

    Поддерживает контакты с правоохранительными органами и службами безопасности соседних предприятий в интересах изучения криминогенной обстановки в районе (зоне).

    52. Дискреционное управление доступом. Дискреционная политика безопасности. Матрица доступа. Основные свойства. Достоинства и недостатки. Области применения. Мандатное управление доступом. Мандатная политика безопасности. Метки безопасности. Основные свойства. Достоинства и недостатки в сравнении с дискреционной моделью. Области применения.

    Механизмы управления доступом являются основой защиты ресурсов, обеспечивая решение задачи разграничения доступа субъектов к защищаемым информационным и техническим ресурсам - объектам. В качестве субъектов в простейшем случае понимается пользователь. Однако в дальнейшем это понятие будет нами расширено.

    На практике наличие механизмов управления доступом необходимо, даже если в системе может находиться только один прикладной пользователь. Это вызвано тем, что, как правило, в системе должен быть также заведен пользователь с правами администратора, который настраивает параметры системы защиты и права доступа к ресурсам защищаемого объекта. При этом у администратора принципиально иные права, чем у прикладного пользователя.

    Дискреционная (матричная) модель

    Рассмотрим так называемую матричную модель защиты (ее еще называют дискреционной моделью), получившую на сегодняшний день наибольшее распространение на практике. В терминах матричной модели, состояние системы защиты описывается следующей тройкой:

    S - множество субъектов, являющихся активными структурными элементами модели;

    O - множество объектов доступа, являющихся пассивными защищаемыми элементами модели. Каждый объект однозначно идентифицируется с помощью имени объекта;

    М - матрица доступа. Значение элемента матрицы М определяет права доступа субъекта S к объекту О.

    Права доступа регламентируют способы обращения субъекта S к различным типам объектов доступа. В частности, права доступа субъектов к файловым объектам обычно определяют как чтение (R), запись (W) и выполнение (Е).

    Основу реализации управления доступом составляет анализ строки матрицы доступа при обращении субъекта к объекту. При этом проверяется строка матрицы, соответствующая объекту, и анализируется есть ли в ней разрешенные прав доступа для субъекта или нет. На основе этого принимается решение о предоставлении доступа.

    При всей наглядности и гибкости возможных настроек разграничительной политики доступа к ресурсам, матричным моделям присущи серьезные недостатки. Основной из них - это излишне детализированный уровень описания отношений субъектов и объектов. Из-за этого усложняется процедура администрирования системы защиты. Причем это происходит как при задании настроек, так и при поддержании их в актуальном состоянии при включении в схему разграничения доступа новых субъектов и объектов. Как следствие, усложнение администрирования может приводить к возникновению ошибок.

    Дискреционная модель управления доступом

    Следуя формализованным требованиям к системе защиты информации, основой реализации разграничительной политики доступа к ресурсам при обработке сведений конфиденциального характера является дискреционный механизм управления доступом. При этом к нему предъявляются следующие требования:

    Система защиты должна контролировать доступ наименованных субъектов (пользователей) к наименованным объектам (файлам, программам, томам и т.д.);

    Для каждой пары (субъект - объект) в средстве вычислительной техники (СВТ) должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т.д.), т.е. тех типов доступа, которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу СВТ (объекту);

    Система защиты должна содержать механизм, претворяющий в жизнь дискреционные правила разграничения доступа;

    Контроль доступа должен быть применим к каждому объекту и каждому субъекту (индивиду или группе равноправных индивидов);

    Механизм, реализующий дискреционный принцип контроля доступа, должен предусматривать возможности санкционированного изменения правил или прав разграничения доступа (ПРД), в том числе возможность санкционированного изменения списка пользователей СВТ и списка защищаемых объектов.

    Право изменять ПРД должно предоставляться выделенным субъектам (администрации, службе безопасности и т.д.);

    Должны быть предусмотрены средства управления, ограничивающие распространения прав на доступ;

    Многоуровневые (мандатные) модели

    С целью устранения недостатков матричных моделей были разработаны так называемые многоуровневые модели защиты, классическими примерами которых являются модель конечных состояний Белла и Ла-Падулы, а также решетчатая модель Д.Деннинг. Многоуровневые модели предполагают формализацию процедуры назначения прав доступа посредством использования так называемых меток конфиденциальности или мандатов, назначаемых субъектам и объектам доступа.

    Так, для субъекта доступа метки, например, могут определяться в соответствии с уровнем допуска лица к информации, а для объекта доступа (собственно данные) - признаками конфиденциальности информации. Признаки конфиденциальности фиксируются в метке объекта.

    Примечание

    В связи с использованием терминов «мандат», «метка», «полномочия» многоуровневую защиту часто называют соответственно либо мандатной защитой, либо защитой с метками конфиденциальности, либо полномочной защитой.

    Права доступа каждого субъекта и характеристики конфиденциальности каждого объекта отображаются в виде совокупности уровня конфиденциальности и набора категорий конфиденциальности. Уровень конфиденциальности может принимать одно из строго упорядоченного ряда фиксированных значений, например: "конфиденциально", "секретно", "для служебного пользования", "несекретно" и т.п.

    Основу реализации управления доступом составляют:

    Формальное сравнение метки субъекта, запросившего доступ, и метки объекта, к которому запрошен доступ.

    Принятие решений о предоставлении доступа на основе некоторых правил, основу которых составляет противодействие снижению уровня конфиденциальности защищаемой информации.

    Таким образом, многоуровневая модель предупреждает возможность преднамеренного или случайного снижения уровня конфиденциальности защищаемой информации за счет ее утечки (умышленного переноса). То есть эта модель препятствует переходу информации из объектов с высоким уровнем конфиденциальности и узким набором категорий доступа в объекты с меньшим уровнем конфиденциальности и более широким набором категорий доступа.

    Практика показывает, что многоуровневые модели защиты находятся гораздо ближе к потребностям реальной жизни, нежели матричные модели, и представляют собой хорошую основу для построения автоматизированных систем разграничения доступа. Причем, так как отдельно взятые категории одного уровня равнозначны, то, чтобы их разграничить наряду с многоуровневой (мандатной) моделью, требуется применение матричной модели.

    С помощью многоуровневых моделей возможно существенное упрощение задачи администрирования (настройки). Причем это касается как исходной настройки разграничительной политики доступа (не требуется столь высокого уровня детализации задания отношения субъект-объект), так и последующего включения в схему администрирования новых объектов и субъектов доступа.

    Мандатная модель управления доступом

    Основу реализации разграничительной политики доступа к ресурсам при защите секретной информации является требование к реализации, помимо дискреционного, мандатного механизма управления доступом. Требования к мандатному механизму состоят в следующем :

    Каждому субъекту и объекту доступа должны сопоставляться классификационные метки, отражающие их место в соответсвующей иерархии (метки конфиденциальности). Посредством этих меток субъектам и объектам должны назначаться классификационные уровни (уровни уязвимости, категории секретности и т. п.), являющиеся комбинациями иерархических и неиерархических категорий. Данные метки должны служить основой мандатного принципа разграничения доступа.

    Система защиты при вводе новых данных в систему должна запрашивать и получать от санкционированного пользователя классификационные метки этих данных. При санкционированном занесении в список пользователей нового субъекта ему должны назначаться классификационные метки. Внешние классификационные метки (субъектов, объектов) должны точно соответствовать внутренним меткам (внутри системы защиты).

    Система защиты должна реализовывать мандатный принцип контроля доступа применительно ко всем объектам при явном и скрытом доступе со стороны любого из субъектов:

    субъект может читать объект, только если иерархическая классификация в классификационном уровне субъекта не меньше, чем иерархическая классификация в классификационном уровне объекта. При этом иерархические категории в классификационном уровне субъекта должны включать в себя все иерархические категории в классификационном уровне объекта;

    субъект осуществляет запись в объект, только если классификационный уровень субъекта в иерархической классификации не больше, чем классификационный уровень объекта в иерархической классификации. При этом все иерархические категории в классификационном уровне субъекта должны включаться в иерархические категории в классификационном уровне объекта.

    Реализация мандатных ПРД должна предусматривать возможность сопровождения, изменения классификационных уровней субъектов и объектов специально выделенными субъектами.

    В СВТ должен быть реализован диспетчер доступа, т.е. средство, во-первых, осуществляющее перехват всех обращений субъектов к объектам, а во-вторых, разграничивающее доступ в соответствии с заданным принципом разграничения доступа. При этом решение о санкционированности запроса на доступ должно приниматься только при одновременном разрешении его и дискреционными, и мандатными ПРД. Таким образом, должны контролироваться не только единичный акт доступа, но и потоки информации.

    Выбор модели

    Следуя формализованным требованиям к системе защиты информации, основой реализации разграничительной политики доступа к ресурсам при обработке сведений конфиденциального характера является дискреционный механизм управления доступом, а секретных сведений - мандатный механизм управления доступом.

    Как было показано ранее, в теории защиты информации известны и иные модели управления доступом. Причем нами были рассмотрены лишь основные из них. Однако, ввиду их более теоретического, нежели практического интереса, а также с учетом ярко выраженной практической направленности книги на рассмотрении данных подходов мы останавливаться не станем. Мы будем рассматривать решения, реализованные на практике встроенными и добавочными средствами защиты.

    При этом в данной работе рассматриваются две основных модели, нашедших отражение в соответствующих нормативных документах в области защиты информации и реализуемых на практике современными ОС и добавочными средствами защиты. Это дискреционная и мандатная модели управления доступом.

    Дальнейшее описание дискреционного и мандатного механизмов управления доступом представим в виде рассмотрения формализованных требований к соответствующим механизмам защиты.

    Требования непосредственно к дискреционному и мандатному механизмам

    При защите секретной информации используется и дискреционная и мандатная модели управления доступом. Требования к реализации мандатной модели в рамках защиты секретной информации были приведены выше. Что касается требований к дискреционному механизму, то при защите секретной информации следует придерживаться тех же требований, что и для защиты конфиденциальной информации. Однако в дополнение к последним добавляется еще пара требований:

    Система защиты должна содержать механизм, претворяющий в жизнь дискреционные ПРД, как для явных действий пользователя, так и для скрытых, обеспечивая тем самым защиту объектов от НСД (т.е. от доступа, недопустимого с точки зрения заданного ПРД). Под «явными» подразумеваются действия, осуществляемые с использованием системных средств - системных макрокоманд, инструкций языков высокого уровня и т.д. Под «скрытыми» - иные действия, в том числе с использованием злоумышленником собственных программ работы с устройствами.

    Дискреционные ПРД для систем данного класса являются дополнением мандатных ПРД.

    Кроме того, отдельно сформулированы требования к управлению доступом к устройства

    Похожие статьи