Безопасность компании в повседневной деятельности
Работа по обеспечению безопасности требует в первую очередь взвешенных управленческих действий в различных направлениях, согласованных по времени, продолжительности и объему затрат ресурсов. Чтобы такая деятельность была целеустремленным движением вперед, а не представляла собой хаотические порывы без смысла и понятной цели, необходим общий фундамент. Важно преподнести работу по повышению без
опасности не как личный произвол начальника, вызванный внезапным "озарением", а как обоснованные и направленные действия на основе четко проработанной нормативной базы. Начальственный произвол от нормальной управленческой деятельности отличается тем, что первый основывается на волевом решении руководителя, а вторая имеет в качестве базы определенный свод правил, по которым живут все без исключения сотрудники и руководители организации. Создание системы безопасности или даже попытки повлиять на ее развитие требуют минимальных знаний о сути обсуждаемых вопросов. Эта область деятельности сама по себе очень логична и структурирована, поэтому при усвоении базовых принципов ориентироваться в проблеме вам будет гораздо проще. Рассмотрим основу основ системы безопасности - ее нормативную базу, а по ходу изложения приведем примеры, которые пояснят суть некоторых вопросов, непосредственно касающихся работы с персоналом.
Нормативная база должна быть представлена пакетом из нескольких основных документов. Взгляды на этот счет у различных авторов различаются. Как первоочередные чаще всего упоминаются следующие документы.
Концепция безопасности, описывающая общие принципы и подходы к организации системы безопасности. Этот документ должен быть основательно проработан и обязательно утвержден руководством организации.
Стандарты безопасности, в которых разъясняются основные понятия, определения, термины, строятся модели систем организации, дается набор признаков и показателей безопасного состояния объектов и систем. Например, транспортное средство обеспечивает безопасную перевозку грузов, если эксплуатируется в соответствии с рядом требований, в соответствующем порядке проходит техобслуживание и имеет свидетельство о прохождении техосмотра. Подобные описания должны быть составлены для основных объектов и подсистем организации.
Процедуры безопасности. В этом документе указывается, что следует делать в данной организации для того, чтобы уровень информационной безопасности соответствовал определенному принятому стандарту.
Методы безопасности. Этим понятием обозначают документы для конечных пользователей и рядовых сотрудников, подробные инструкции к действиям. Например, инструкцию по резервному копированию личных данных в выделенную для каждого сотрудника папку на сервере.
Аварийный план. Документ, который описывает действия в случае нанесения какого-либо существенного ущерба организации, а также действия по восстановлению ее нормальной деятельности. Подробно и развернуто суть этого понятия описывается в специальной литературе и статьях по обеспечению непрерывности бизнеса. Если попытаться изложить смысл этого понятия упрощенно, то в аварийном плане должен быть представлен подробный ответ на вопрос: "Что делать, если .". Например, что делать, если вышла из строя офисная мини-АТС? Что делать, если случился пожар? Кто отвечает за восстановление работоспособности локальной сети и какими именно ресурсами обеспечен этот сотрудник? В качестве примера можно привести одну из российских компаний. В результате пожара ее помещения выгорели полностью, но спустя несколько дней работа возобновилась, причем в нормальном режиме. Мало того, этот случай стал своеобразной рекламой самой фирме, показав надежность ее работы партнерам и заказчикам.
Остановимся более подробно на концепции безопасности. Если описать ее суть коротко, то она определяет следующие моменты:
- что является целями и задачами безопасности;
- что защищает и с кем взаимодействует организация;
- от чего защищается организация;
- с помощью чего защищается организация;
- каким образом осуществляется защита;
- как управляется система безопасности и как контролируется ее эффективность.
Целью обеспечения безопасности может быть, например, обеспечение устойчивого круглосуточного сервиса для пользователей услугами компании, а задачей - учет ресурсов компании, позволяющих достичь этой цели, внедрение технологий гибкого управления этими ресурсами.
К объектам защиты относят:
- персонал и руководство;
- материальные и нематериальные активы;
- информационные ресурсы с ограниченным доступом, составляющие служебную и коммерческую тайну, а также иную конфиденциальную информацию на любых материальных носителях, базы данных, программное обеспечение, информативные физические поля различного характера;
- средства и системы информатизации (автоматизированные системы и вычислительные сети различного уровня и назначения, линии телеграфной, телефонной, факсимильной, радио- и космической связи, технические средства передачи информации, средства размножения и отображения информации, вспомогательные технические средства и системы);
- технические средства и системы охраны и защиты материальных и информационных ресурсов.
Обратите внимание на выделенные пункты. К защищаемым объектам относят информацию в различном виде, средства ее обработки, а также саму систему защиты. Далее исходя из фактора уязвимости, степени возможного ущерба и важности все объекты, в отношении которых могут быть осуществлены угрозы безопасности (посягательства физических или юридических лиц, стихийные бедствия), должны быть разделены по уровням уязвимости и степени риска. Также необходимо описать угрозы и их источники, соответствующие объектам.
Например, для фермерского хозяйства объектом защиты будут посевы, а источниками угрозы - климатические отклонения и их проявления (засуха, паводок). Для промышленной компании это, скорее, оборудование, дорогостоящее сырье, продукция на стадии транспортировки, а источники угрозы - криминальные группировки, политическая нестабильность в стране, поставляющей редкое сырье, и т.д.
Для банка уязвимость могут представлять финансовые средства (особенно в процессе транспортировки), информационные ресурсы и люди, занимающие руководящие должности, как объекты посягательств со стороны злоумышленников.
Вообще, к источникам угроз может относиться все, начиная от падения покупательской способности до эпидемии гриппа в офисе.
В статье Анатолия Брединского "Концепция безопасности коммерческого банка" приводится список угроз для сотрудников банка:
- похищения и угрозы похищения сотрудников, членов их семей и близких родственников;
- убийства, сопровождаемые насилием, издевательствами и пытками;
- психологический террор, угрозы, запугивание, шантаж, вымогательство;
- нападение с целью овладения денежными средствами, ценностями и документами.
Финансовой деятельности организации могут угрожать:
- экономические кризисы;