Бизнес-приложение Практические рекомендации Андрей ТОРГАШОВ, заместитель генерального директора по безопасности инвестиционного холдинга ФИНАМ, председатель Совета Клуба безопасности «ЗАЩИТА» Что необходимо знать о безопасности учредителю (руководителю) коммерческого предприятия Врезка1 – Кто сказал, что в цивилизованном бизнесе нет проблем безопасности? Проблемы носят более широкий, разнообразный, а зачастую высокоинтеллектуальный характер, это связанно с развитием высоких технологий, общей образованностью, с острой конкуренцией на рынках Врезка2 – Отказ подписать соглашение о неразглашении коммерческой тайны не может быть расценен как нарушение трудовой дисциплины. Но в случае, если для выполнения работы требуется, чтобы сотрудники были ознакомлены с такой информацией, отказ подписать соглашение о неразглашении коммерческой тайны и пройти процедуру допуска к ней лишит сотрудников возможности исполнять свои должностные обязанности, и, соответственно, квалификация таких сотрудников не будет уже соответствовать занимаемой должности*(Журнал «Советник бухгалтера» №5, 2008г.). Врезка3 – Среди профессионалов давно известно, что никакая техника не даст столько своевременной и достоверной информации, сколько заинтересованный человек Врезка4 – Бывает, достаточно узнать о сильных и слабых сторонах своего соперника и его репутации, чтобы скорректировать свое поведение Врезка5 - «Сырые» данные как таковые не содержат в себе никакой информации, если их не рассматривать в сочетании с другими и не увязывать их значение со всем накопленным информационным массивом. Хорошо, когда владелец бизнеса осведомлен о своих рисках. Но чтобы он захотел иметь полное представление об угрозах бизнесу, необходимо объяснить, зачем ему об этом знать, какова актуальность подобной информации и есть ли польза от этих знаний? Что и в каких масштабах он может потерять, если не будет осведомлен обо всех угрозах и рисках? За последние годы стало видно, что рыночная экономика в России развивается, в настоящее время ей присущи признаки цивилизованного ведения бизнеса, она стала более прозрачна и менее криминализована. Но кто сказал, что в цивилизованном бизнесе нет проблем безопасности? Да, эти проблемы менее жесткие и опасные, но зато они носят более широкий, разнообразный, а зачастую высокоинтеллектуальный, изысканный характер, это связанно с развитием высоких технологий, общей образованностью, с острой конкуренцией на рынках. Злоумышленники поумнели и поэтому стали еще опаснее!!! Вместе с тем у нас в стране имеются еще и свои особенности, которые не добавляют чувства защищенности бизнеу. К этому относятся: высокий уровень коррупции, а значит попытки «подоить» или «забрать» бизнес; выстроенная система так называемых откатов; менталитет людей, у которых зачастую занижен порог ощущения страха и опасности; другие потенциально или непосредственно угрожающие безопасности проблемы чисто российского характера. В этих условиях предпринимателю просто необходимо выстраивать свою систему безопасности в целях предотвращения и пресечения возникающих угроз. Угрозы безопасности коммерческого предприятия принято делить на внешние и внутренние. Если внешние угрозы могут исходить от недоброжелателей «со стороны» (финансовые мошенники, воры, грабители, хакеры, недобросовестные конкуренты и экономические шпионы, недобросовестные сотрудники правоохранительных органов, алчные чиновники и т.д.), то внутренние угрозы исходят непосредственно от своих сотрудников, топ-менеджеров или даже партнеров по бизнесу. И когда учредитель (руководитель) этого не видит и не может предотвратить, это обидно вдвойне. Как правило, в каждой из вышеперечисленных категорий могут возникнуть проблемы разного уровня, которые в свою очередь разнообразными методами и средствами смогут воздействовать на бизнес. Причем возникают проблемы в разных сферах часто одновременно, и решать их необходимо бывает не последовательно, а разом, несмотря на то, что у каждой угрозы есть своя конечная цель и определенное время на ее достижение. Кроме угроз, имеющих субъективную причину, присутствуют внешние и внутренние техногенные угрозы, которые также могут привести к большим потерям и проблемам. А теперь представьте, какой широкий комплекс мер должен предпринять руководитель предприятия, чтобы предотвратить хотя бы половину угроз. Чтобы грамотно выстроить систему безопасности предприятия, надо как минимум иметь об этом представление, а лучше обладать хотя бы первоначальными знаниями в области комплексного обеспечения безопасности своего предприятия от внешних и внутренних угроз. В данной статье мы постараемся дать краткий анализ и описать основные направления безопасности. Как уже говорилось ранее, меры по предупреждению, выявлению, предотвращению и пресечению угроз безопасности должны применяться обязательно комплексно и носить системный характер. То есть перед руководителем предприятия или назначенным руководителем службы безопасности должна стоять цель – создание комплексной системы обеспечения безопасности предприятия. Если подход в этом направлении будет однобокий, без учета широкого круга потенциальных угроз, то хозяин предприятия рискует оказаться в опасной и неожиданной для него ситуации, которая фатальным образом скажется на его бизнесе. Как и любая система, система безопасности состоит из определенных элементов, находящихся в постоянной взаимосвязи и взаимодействии. Предприниматель должен обратить внимание на следующие разделы безопасности, которые обязательно должны иметь место в системе обеспечения безопасности. 1. Организация и обеспечение режима защиты коммерческой тайны предприятия Это определенная система мер, которая обеспечивает защиту коммерческих секретов организации, она в свою очередь также должна носить комплексный характер. Различают несколько блоков мер, которые способствуют предотвращению утечки информации, содержащей коммерческую тайну предприятия. Юридическая защита В соответствии с Федеральным законом «О коммерческой тайне» ст.3 «Коммерческая тайна - режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду», следовательно, сотрудники организации должны быть предупреждены о существовании коммерческой тайны предприятия и о том, что она находится под защитой. Для этого в обязательном порядке необходимо разработать, утвердить и довести до всех сотрудников (под роспись) следующие стандартные руководящие и организационные документы: - приказ «Об организации работы по защите коммерческой тайны»; - «Перечень сведений, составляющих коммерческую тайну предприятия»; - «Инструкция по работе с документами и другими носителями информации, составляющими коммерческую тайну предприятия»; - приказ «О компьютерной безопасности»; - «Обязательство о неразглашении коммерческой тайны». Организационные профилактические и режимные меры Они заключаются в организации системы разграничения доступа к конфиденциальной информации, контроля доступа, хранения и передачи носителей информации, содержащей коммерческую тайну. Для достижения этих целей разрабатывается приказ «Об организации работы по защите коммерческой тайны», приказ «О компьютерной безопасности». Эти приказы доводятся до сотрудников устно и под роспись на специальных профилактических занятиях, а впоследствии - при приеме каждого сотрудника на работу. На этих же занятиях сотрудникам рассказывают о требованиях вышеуказанных юридических документов и об ответственности, которая может наступить при нарушении этих мер. Кроме того, ответственность за разглашение коммерческой тайны рекомендуется прописать отдельным пунктом в трудовом договоре, что повысит уровень профилактической и юридической защиты. Справка. Отказ подписать соглашение о неразглашении коммерческой тайны не может быть расценен как нарушение трудовой дисциплины. Но в случае, если для выполнения работы требуется, чтобы сотрудники были ознакомлены с такой информацией, отказ подписать соглашение о неразглашении коммерческой тайны и пройти процедуру допуска к ней лишит сотрудников возможности исполнять свои должностные обязанности, и, соответственно, квалификация таких сотрудников не будет уже соответствовать занимаемой должности. Так, в соответствии с п.3 ст.81 ТК РФ трудовой договор может быть расторгнут работодателем в случае несоответствия работника занимаемой должности или выполняемой работе вследствие недостаточной квалификации, подтвержденной результатами аттестации. (Журнал «Советник бухгалтера» №5, 2008г.). Со стороны руководства или специально назначенных людей (службы защиты информации или службы безопасности) за соблюдением сотрудниками режимных мер должен вестись систематический гласный и негласный контроль. В некоторых случаях рекомендуется назначать приказом в каждое отдельное подразделение организации лиц, ответственных за соблюдение режима защиты коммерческой тайны, проводить дополнительное обучение этих людей, а возможно, и доплачивать им денежное вознаграждение за увеличение объема работы. При уходе сотрудника из компании ему предлагают написать расписку о неразглашении сведений, составляющих коммерческую тайну. Также в расписке указывается, что сотрудник обязуется в будущем сохранять коммерческую тайну организации в соответствии с действующим законодательством и не вести в отношении указанной компании подрывной или негативной деятельности в будущем. Кроме этого с сотрудником проводится профилактическая беседа на предмет сохранности им конфиденциальной информации в ближайшие пять лет. Продуманная и отлаженная процедура увольнения позволяет существенно снизить риск разглашения секретной коммерческой информации. 2. Внутренняя оперативная работа по предупреждению, выявлению и пресечению неблагоприятных факторов, угрожающих безопасности компании Это специальная работа с людьми внутри компании носит упредительный характер по отношению к разнообразным потенциальным угрозам. Эта работа должна проходить с применением специальных методов получения оперативно значимой информации от лояльных сотрудников компании. Такая методика давно используется в работе различных специальных служб государства и доказала свою эффективность в практике контрразведки и борьбы с различными угрозами. В зависимости от уровня профессионализма сотрудника, отвечающего за безопасность, эта защитная деятельность может иметь разные степени охвата и характер и, как следствие, разный уровень эффективности. Руководитель организации (хозяин предприятия) и сам в состоянии (в определенной степени) проводить такую работу, создавая доверительные отношения с некоторыми сотрудниками и используя их в дальнейшем в целях получения сигнальной информации о проводящейся или только возникающей негативной деятельности некоторых должностных или приближенных к ним лиц. Такой сигнал дальше проверяется с использованием того же человеческого ресурса и, возможно, специальной техники. В дальнейшем создается полное представление об угрозе и разрабатывается план по ее локализации и ликвидации. Но среди профессионалов давно известно, что никакая техника не даст столько своевременной и достоверной информации, сколько заинтересованный человек. Предотвратить проблему или расследовать происшествие гораздо эффективнее с использованием доверенных лиц. А их доверие и заинтересованность в том, что они с вами сотрудничают, должны поддерживаться на достаточно высоком уровне. В этом и есть мастерство внутренней оперативной работы с сотрудниками. 3. Внешняя оперативная работа с источниками с целью предотвращения угроз экономической безопасности предприятия Данная деятельность проводится во внешней среде и в контакте с различными людьми из разных сфер деятельности. Заключается эта работа в сборе и проверке информации, которая связана с тем или иным проектом компании, возникшими проблемами, налаживанием новых деловых связей, появлением новых сотрудников и т.д. Основными задачами этой оперативной работы могут являться: - сбор информации о новых партнерах на предмет их порядочности и обязательности; - проверка контрагентов; - проверка клиентов на предмет негативного прошлого; - получение достоверной информации о кандидатах на работу или новых сотрудниках с предыдущих мест работы; - добывание своевременной и попутной информации о негативных планах, действиях нечестных на руку сотрудников правоохранительных органов и чиновников (к сожалению, и такая угроза существует в нашей реальной действительности); - получение заблаговременной информации об угрозах криминального характера. Естественно, что все эти задачи подчинены одной-единственной, но основной для хозяина бизнеса цели – обеспечению безопасности его предприятия, а для этого нельзя пренебрегать никакими законными методами и средствами. Внешняя оперативная работа строится на поиске и поддержании на связи источников информации, доверенных лиц в различных сферах деятельности. Работа с этими людьми должна строиться на доверительных, уважительных отношениях, иногда носящих и материальную заинтересованность. Все это, конечно, зависит от индивидуального опыта и мастерства специалиста, ответственного за эту деятельность. 4. Оперативно-техническая работа в интересах обеспечения безопасности Современные технологии позволяют руководителю или учредителю предприятия осуществлять достаточно качественный контроль профессиональной деятельности своих сотрудников. Главное, чтобы этот так называемый оперативно-технический контроль проходил в рамках существующего правового поля. В связи с этим при поступлении на работу нового сотрудника рекомендуется подписать с ним «письменное согласие» на то, что его разговоры по рабочему телефону, работа на персональном компьютере, переписка по сети может технически контролироваться специально выделенными сотрудниками. Как правило, сотрудники без лишних разговоров подписывают такую бумагу, и тогда руководитель вполне законно может использовать технические ресурсы разного характера действия, имеющиеся в настоящее время в свободной продаже. Основные направления этого контроля: - контроль и фиксация рабочих телефонных переговоров посредством специального программного обеспечения, позволяющего хранить и систематизировать в памяти большое количество информации; - контроль электронной переписки по сети средствами специального программного обеспечения; - визуальный контроль монитора персонального компьютера сотрудника (что сотрудник делает в настоящее время на рабочем столе); - контроль посещаемости интернет-сайтов посредством специальной программы; - видеонаблюдение; - радиоконтроль. Технический контроль может быть организован как выборочный или как постоянный по отношению к отдельному сотруднику или ко всем сразу. Это зависит от объема стоящих задач, степени угрозы, имеющихся человеческих ресурсов и наличия конкретной «сигнальной» информации о негативной деятельности конкретного лица. Руководитель сам определяет степень и масштаб оперативно-технического контроля на предприятии. 5. Конкурентная разведка Конкурентную разведку сейчас ведут компании из самых разных секторов рынка. Основная причина – усиление конкуренции. Если раньше конкурентные разведчики в первую очередь проверяли у бизнес-партнеров, конкурентов наличие криминальных связей, то сейчас они, как и на Западе, в большей степени добывают коммерческую информацию. Многим достаточно узнать о сильных и слабых сторонах своего соперника и его репутации, чтобы скорректировать свое поведение. На практике конкурентной разведкой в коммерческом предприятии могут заниматься: специально выделенные сотрудники отдела маркетинга, сотрудники созданного отдельного подразделения, а также (что, на наш взгляд, наиболее предпочтительно) конкурентная разведка может быть как отдельное направление в работу службы безопасности компании. Часто бывает, что та или иная деятельность конкурентов может создать угрозы экономической безопасности организации, а распознать и предотвратить данные проблемы – это работа службы безопасности. Конечно, последнее слово в определении места подразделения разведки остается за руководителем или хозяином фирмы. Так или иначе, конкурентная разведка при любой организации должна найти свое место, решать свои задачи, действовать своими специфическими методами. Какие же методы используются в этом направлении деятельности? Методы получения информации из открытых источников: 1) мониторинг сети Интернет как поиск новостей о деятельности компаний-конкурентов (КК) и рекламной активности (баннеры) в информационных агентствах, интернетсправочниках, на сайтах компаний-конкурентов, специализированных интернет-форумах. Заранее определяется список сайтов с дальнейшей их корректировкой; 2) мониторинг основных профильных экономических изданий с целью получения актуальной информации о КК, регулярности размещения рекламы и размера бюджета, выделенного на нее КК (журналы, газеты). Специальные оперативные методы получения информации: 1) взаимодействие с «лояльными сотрудниками» всех подразделений компании по вопросам, возникающим в отношении компаний конкурентов: - ведение базы «пришедших из» или «переходящих в» сотрудников КК, поддержание контакта с бывшими сотрудниками; - мотивация сотрудников вашей компании быть внимательными к проявлению конкурентной активности (например, на внутреннем сайте проводится рейтинг «внимательный сотрудник»); 2) метод «таинственный покупатель» - посещение и/или телефонный обзвон компанийконкурентов под видом клиента с целью получения интересующей информации и приобретения дополнительных связей. Составляем отчеты, чтобы в дальнейшем сделать вывод о продвижении конкурентов в плане предложения их услуг по сравнению с вашей компанией (оценка качества обслуживания, продаж и сервиса производится не только у конкурирующих компаний, но и своей); 3) под видом человека, заинтересованного в инвестировании, посещаем выставки, семинары и конференции, в которых участвуют компании-конкуренты (в т.ч. интернетконференции) или организованные ими (с целью получения информации, приобретения дополнительных связей); 4) сбор информации у «своего человека», работающего в конкурирующей компании. Контакт приобретается при неоднократном общении с сотрудником либо сотрудник назначается вашим «персональным менеджером» в случае если вы выразили желание стать клиентом КК (достаточно «разговорить» его на профессиональные темы - и в большинстве случаев он сам поделится «наболевшим»); 5) установление доверительных отношений и контактов в сфере СМИ (журналисты, аналитики, корреспонденты экономических изданий) дает возможность на постоянной основе получать подборку сведений по КК (обычно информация приходит раньше, чем попадает в очередной выпуск); 6) метод «мертвых вакансий» заключается в том, что служба конкурентной разведки взаимодействует с отделом по подбору персонала и заявляет о несуществующей вакансии. Подыскивается специалист, проводится интервью, предлагается зарплата чуть выше, чем на прежнем месте, а компенсационный пакет - чуть больше. Стандартный пункт большинства анкет: «расскажите о ваших достижениях на прежнем месте» позволяет узнать много интересной информации о том, как работает компания-конкурент; 7) не следует пренебрегать посещением и активным участием в тематических форумах и чатах в Интернете для сбора информации в активном режиме, а также для «активных мероприятий» (дезинформации). Информация, поступившая с использованием вышеперечисленных методов, подлежит обязательной систематизации! Существующие виды систематизации: 1) систематизация полученной информации в виде «оперативной справки» по определенным разделам для доведения информации до руководства на периодических совещаниях (в данной справке формируются выводы и выдаются рекомендации); 2) построение графиков, таблиц, диаграмм предоставляемой сравнительной информации, что дает наглядную картину использования рекламных бюджетов и сопоставление их размеров и эффективности с бюджетом и эффективностью своей компании; 3) обновление и пополнение информационного портала по компаниям-конкурентам (ведение глобальной базы, которая систематизирует по разделам всю полученную информацию, с удобным поиском по многим параметрам); 4) составление и пополнение базы по региональным представительствам и филиалам компаний-конкурентов (информация по географии расположения открывающихся офисов и филиалах КК); 5) пополнение базы по сотрудникам компании, имеющим связи в компаниях-конкурентах или ранее работающим в компаниях-конкурентах; 6) ведение и пополнение базы данных бывших сотрудников, ушедших работать к конкурентам; 7) ведение базы «Сотрудники компаний-конкурентов» (заносятся полученные визитки сотрудников КК, запись контактов, если производились звонки в КК, в СМИ о назначениях и отставках менеджмента КК), что способствует более быстрому ведению работы по хедхантингу HR-отделом и поиску сотрудников в регионах; 8) составление и пополнение базы по образовательным и информационным программам КК (на основании отчетов заносятся сведения о регулярности, количестве слушателей... вплоть до материального оснащения аудитории, где проводился обучающий курс); 9) ведение базы рекламной активности конкурентов, отображающей детальную раскладку рекламного бюджета КК, а также образцы интернет-рекламы (баннеры) и рекламы в печатных изданий КК. Информационно-аналитическое направление по линии конкурентной разведки органично входит в общий блок информационно-аналитической работы в целях комплексного обеспечения безопасности. Любой руководитель или хозяин своего предприятия должен обладать не просто объемной и разносторонней информацией, добытой различными способами. В целях принятия жизненно важных для компании решений он должен получать всесторонне проанализированную и систематизированную информацию, причем желательно в виде структурированного, читаемого документа. Для этого должно быть создано соответствующее направление работы, о котором будет написано ниже. 6. Информационно-аналитическая работа в интересах безопасности коммерческого предприятия Данные, собранные в результате проведения специальной оперативной деятельности, не являются информацией до тех пор, пока они не пройдут аналитической обработки экспертом в соответствующей области. «Сырые» данные как таковые не содержат в себе никакой информации, если их не рассматривать в сочетании с другими и не увязывать их значение со всем накопленным информационным массивом. Если взять некоторое количество данных, то мы обнаружим, что хотя каждый элемент в отдельности не имеет почти никакого значения, то, соединенные вместе, они показывают довольно ясную картину происходящего. В результате аналитической обработки потребителю (то есть руководителю бизнеса) выдается осмысленная информация, полученная из оцененных, истолкованных и соотнесенных данных, изложенных таким образом, что ясно видится решение конкретной поставленной задачи. Направления информационно-аналитической работы вытекают из реальной коммерческой деятельности предприятия. Поговорим об основных векторах. Обобщение и анализ информации о действующих и потенциальных партнерах, выдача аналитических заключений и рекомендаций. Анализ информации о крупных клиентах. Всестороннее исследование информационного поля при возникновении проблемных для компании ситуаций с целью наиболее качественного расследования и принятия разумного решения. Информационная подготовка для ведения деловых переговоров. Качество получаемой в результате аналитической обработки информации в большой степени зависит от квалификации аналитика. Не секрет, что человеческая психология такова, что очень часто для подтверждения своей точки зрения отбирают «удобные» данные, а «нежелательные» - недооценивают и оставляют без внимания. Основным методом информационно-аналитической работы подразделения экономической разведки предприятия является интеграция сведений. Признаки угроз и кризисных ситуаций проявляются в разное время и со стороны различных объектов, фиксируются с различной степенью полноты и детализации различными источниками, поэтому установление причинно-следственной связи между происходящими событиями требует проведения многофакторного анализа всей поступающей на предприятие информации. Как показывает практика, объем информации, необходимой для работы аналитиков, достаточно велик. Поэтому для эффективного доступа к имеющейся в распоряжении предприятия информации необходимо создание автоматизированных систем информационно-аналитической поддержки. Для эффективного использования автоматизированных информационно-аналитических технологий необходимо тщательное информационное моделирование предметной области информационно-аналитического подразделения. Как уже говорилось выше, для проведения качественного анализа требуется разноплановая информация, характеризующая политические, экономические, криминальные и другие взаимосвязанные аспекты анализируемой проблемы. Также требуются данные о структуре решаемой задачи, которая должна, как мозаику, соединить между собой различные информационные фрагменты и образовать максимально приближенную к реальности полную и целостную картину проблемной области. Модель предметной области информационно-аналитического подразделения должна включать в себя такие информационные разделы, как «Организация», «Лицо», «Адрес», «Телефон», «Автотранспортное средство», «Реферат о событии», «Кредит», «Контракт» и т.д. При этом необходимо учитывать не только многообразие связей и отношений между объектами учета, но и тот факт, что информация об одних и тех же объектах поступает из разных источников и в разное время, имея при этом ситуационный характер в виде высказываний о совокупности взаимосвязанных объектов. В настоящее время на многих предприятиях разработаны и успешно эксплуатируются интегрированные банки данных, где модель предметной области обладает достаточной эволюционной самостоятельностью и позволяет организовать интеграцию (взаимное дополнение) разнородных сведений по одним и тем же объектам (лицам, фирмам, адресам, телефонам, автотранспортным средствам) путем их идентификации и слияния по мере поступления новых данных. Таким образом, при введении новых объектов происходит установление связей между ними и уже имевшимися объектами, а также дополнение уже имеющихся данных новыми характеристиками. В результате наращивается сетевая структура связей объектов и образуется «производная» информация, не вводившаяся в явном виде в банк данных, становится возможным проследить цепочки взаимосвязанных объектов, показывающих признаки рисковых ситуаций. В условиях такого описания структуры предметной области достаточно выйти на один информационный объект, чтобы по связям исследовать его окружение. Данные интегрированные банки данных позволяют решать как учетно-справочные и статистические (кадры, контакты, события, партнеры, конкуренты, реклама и др.), так и информационно-логические задачи (экспресс-оценка делового партнера, оценка инвестиционного риска, анализ событий, изучение деловых связей конкурента, оценка сферы влияния, конфликтных и кризисных ситуаций и т.д.). Для решения задач данного класса может использовать любую из версий Инструментальной системы управления базами данных: «CRONOS» (для DOS) или «CRONOS PLUS» (для Windows 95), разработанных московской Научнопроизводственной компанией «КРОНОС-ИНФОРМ». Относительно невысокая цена, возможность быстрого освоения системы пользователями-непрограммистами, а также гибкость пакета по отношению как к первоначальной настройке, так и к реорганизации наполненного банка данных служат причиной его использования многими коммерческими структурами. Используя описанную выше методику, подразделение экономической разведки предприятия по разрозненным данным из различных источников имеет возможность отследить и оценить кризисную ситуацию до того, как она станет достоянием всеобщей гласности, а также разработать оптимальную антикризисную программу, что является важным фактором конкурентной борьбы, дающим предприятию прямой экономический эффект. 7. Компьютерная безопасность Чтобы понять, насколько в настоящее время актуальна проблема обеспечения компьютерной безопасности, нужно рассмотреть спектр и характер угроз в этом специфическом направлении. Что же это такое - угроза безопасности компьютерной системы и каковы ее виды? Угрозой безопасности компьютерной системы является любое воздействие на систему, которое может прямо или косвенно нанести ущерб обрабатываемой в ней конфиденциальной информации и вызвать сбои в работе организации. Существуют три вида угроз безопасности компьютерной системы организации: угроза нарушения режима конфиденциальности обрабатываемой информации; угроза нарушения целостности обрабатываемой информации; угроза нарушения работоспособности системы (отказ в обслуживании). Угроза нарушения режима конфиденциальности обрабатываемой информации направлена на разглашение либо утечку конфиденциальной информации организации. Традиционно этот вид угроз обозначается термином «несанкционированный доступ» (НСД). Угроза нарушения целостности обрабатываемой информации представляет собой любое искажение информации или программного обеспечения. Угроза нарушения работоспособности системы (отказ в обслуживании) направлена на создание ситуации, когда временно или постоянно становятся недоступны ресурсы компьютерной системы организации. Источниками этих угроз являются: а) частичная или полная «поломка» оборудования. Причинами этого явления могут быть: - ошибки и намеренные действия персонала организации и посторонних лиц; - активные эксперименты с различными вариантами настройки программного обеспечения, используемого в компьютерной системе организации, которые могут закончиться сбоями в работе компьютерной системы организации и/или потерей информации. Наиболее распространенными причинами являются: - атаки хакеров. Арсенал используемых средств достаточно широк. Атаки хакеров могут привести к разглашению конфиденциальной информации, а также к ее частичной модификации или полному уничтожению; - побочные электромагнитные излучения (ПЭМИН). Одним из побочных факторов работы компьютера является электромагнитное излучение; - диверсии, то есть умышленное нанесение физического повреждения компьютерной системе организации или логического повреждения информации и программному обеспечению. Если противник имеет физический доступ к оборудованию, то он может нанести ущерб; б) кражи. Они делятся на три вида: кражи оборудования. Особенно опасны кражи носителей конфиденциальной информации; кража информации. Утечка данных означает несанкционированное копирование конфиденциальной информации или программного обеспечения сотрудниками и тайный вынос носителей со скопированными данными за территорию организации; кража ресурсов компьютерной системы организации. Спектр угроз велик. Начиная от незаконного предоставления посторонним лицам доступа к автоматизированным базам данных, обычный доступ к которым происходит на коммерческой основе, и заканчивая использованием принтеров для распечатки материалов для личных нужд; в) «логические бомбы». Модификация компьютерной программы, в результате которой данная программа может выполняться несколькими способами в зависимости от определенных обстоятельств. «Логические бомбы» могут использоваться: для организации хищений, когда, например, программа производит начисление некоторой денежной суммы на заранее указанный счет; для удаления файлов после наступления определенных условий; для изменения случайным образом всех данных (диверсия); г) «троянский конь». Любая программа, которая вместо выполнения действий, для которых она якобы предназначена, на самом деле выполняет другие действия. «Троянский конь» может производить самые разные операции, как и любая другая компьютерная программа, включая внесение изменений в записи баз данных, платежных документах, отправку электронной почты или уничтожение файлов; д) «сбор мусора». Набор мероприятий, связанных с кропотливым изучением отходов работы пользователя или организации. Метод, пользующийся популярностью у хакеров, «промышленных шпионов» и сотрудников технической разведки; е) сетевые анализаторы. На сегодняшний день существуют десятки продуктов с названиями LAN Analyzer, Network Analyzer, Protocol Analyzer и WAN Analyzer. Используя аппаратные и программные средства, эти продукты позволяют перехватывать и считывать любые параметры потока данных, циркулирующих в локальной вычислительной сети организации, в том числе и пароли. Многие из сетевых анализаторов реализованы на программном уровне и могут быть установлены на любом компьютере («рабочей станции»), подключенном к локальной вычислительной сети организации; ж) суперзаппинг. Несанкционированное использование любых утилит (компьютерных программ) для модификации, уничтожения, копирования, вскрытия, вставки, применения или запрещения применения доступа к информации или программному обеспечению компьютерной системы организации; з) «маскарад». Данный прием особенно популярен у хакеров и промышленных шпионов. Первые предпочитают «электронный маскарад», вторые - физический. Его основная идея использование права доступа обычного пользователя путем маскировки под него злоумышленника. Очевидно, что защититься от такого количества угроз можно, только создав на предприятии надежную, комплексную систему обеспечения компьютерной безопасности. Любая надежная система защиты включает в себя элементы организационной защиты информации, элементы конфиденциального электронного делопроизводства, инженерно- технические меры, элементы криптографической и аппаратно-программной защиты информации. Данная система должна входить элементом в комплексную систему защиты информации организации. При этом отдельные мероприятия, например пропускной и внутриобъектовый режимы, должны способствовать как системе конфиденциального делопроизводства, так и системе защиты информации в компьютерной системе организации. Необходимо назначить сотрудника организации, ответственного за реализацию мероприятий по организации системы защиты информации в компьютерной системе. Эти задачи можно возложить на структурное подразделение, ответственное за обслуживание компьютерной системы организации. При размещении организации на новой территории сотрудник, отвечающий за безопасность компьютерной системы, обязан согласовать все мероприятия инженернотехнического характера (экранирование помещений, укрепление дверей, прокладка кабеля и сетей электропитания) с сотрудником службы безопасности организации, отвечающим за предотвращение утечки информации по техническим каналам. Вся система компьютерной безопасности, входящая в свою очередь в комплексную систему безопасности предприятия, должна быть прописана в документе – «Правила компьютерной безопасности». Этот документ в обязательном порядке утверждается приказом руководителя и доводится под роспись до каждого сотрудника. Контролировать исполнение этих правил должны сотрудники службы безопасности и сотрудники, отвечающие за безопасность компьютерных сетей, а также руководители отдельных подразделений. 8. Кадровая безопасность Кадровая безопасность - это процесс предотвращения негативных воздействий на экономическую безопасность предприятия за счет рисков и угроз, связанных с персоналом, его интеллектуальным потенциалом и трудовыми отношениями в целом. Невооруженным взглядом видно, что кадровая безопасность занимает доминирующее положение по отношению к другим элементам системы безопасности компании, так как она «работает» с персоналом, кадрами. Интересно, что в кадровой безопасности первична все-таки служба персонала (назовем это подразделение так); она является более важным субъектом в работе с кадрами, чем служба безопасности. Тем не менее служба персонала и служба безопасности должны работать в этом направлении в тесном взаимодействии. Вся деятельность служб персонала может быть распределена на этапы (поиск, отбор, прием, адаптация и т.д. вплоть до увольнения и далее), и на каждом этапе необходимо решать множество вопросов безопасности. Любое действие менеджера по персоналу на любом этапе - это либо усиление, либо ослабление безопасности компании по главной ее составляющей - по кадрам. А теперь немного статистики: около 80% ущерба материальным активам компаний наносится их собственным персоналом. Только 20% попыток взлома сетей и получения несанкционированного доступа к компьютерной информации приходит извне. Остальные 80% случаев спровоцированы с участием персонала компаний. Такие цифры должны настраивать руководителя только на то, что кадровой безопасностью нужно заниматься, и заниматься серьезно. Будучи обеспокоенными этим положением, хозяева бизнеса, руководители, специалисты кадровых служб, специалисты служб безопасности имеют возможность почти на 60% снизить убытки компании, связанные с персоналом и трудовыми отношениями в целом. В определении кадровой безопасности мы отметили, что это процесс предотвращения угроз. О каких угрозах идет речь? Угрозы - это негативные воздействия, отрицательно влияющие на состояние кадровой функциональной составляющей экономической безопасности предприятия. Проще говоря, безопасность - это предотвращение убытков. Для этого необходимо проводить постоянную работу, направленную на предотвращение угроз, вызывающих эти убытки. Следует различать внешние и внутренние угрозы. Внешние негативные воздействия - это действия, явления или процессы, не зависящие от воли и сознания сотрудников предприятия и опосредованно влекущие нанесение ущерба. В свою очередь к внутренним негативным воздействиям относятся действия (умышленные или неосторожные) сотрудников предприятия, также приводящие к ущербу. Обратив внимание на небольшой список профильных угроз, мы еще раз убедимся в том, что обеспечение кадровой безопасности является важнейшей составляющей работы именно менеджера по персоналу. Что, например, мы можем отнести к внутренним опасностям? Несоответствие квалификации сотрудников предъявляемым к ним требованиям (это ли не опасность, ведущая к убыткам?). Недостаточная квалификация сотрудников (это ли не проблема, решить которую обязаны кадровики?). Слабая организация системы управления персоналом. Слабая организация системы обучения. Неэффективная система мотивации (это ли не разрушение лояльности и, следовательно, увеличение ущерба от бездействия, саботажа и т.п.?). Ошибки в планировании ресурсов персонала. Снижение количества рационализаторских предложений и инициатив. Уход квалифицированных сотрудников. Сотрудники ориентированы на решение внутренних тактических задач. Сотрудники ориентированы на соблюдение интересов подразделения. Отсутствие или «слабая» корпоративная политика. Некачественные проверки кандидатов при приеме на работу. Без сомнения, менеджеры по персоналу могут продолжить этот список, что и надо сделать, проанализировав состояние кадровой работы с точки зрения безопасности для понимания безубыточности трудовых отношений на предприятии. Добавим примеры внешних опасностей. Условия мотивации у конкурентов лучше (нетрудно при таком раскладе спрогнозировать уход специалистов к конкурентам - это ли не угроза, повлиять на которую может HR-менеджер?). Установка конкурентов на переманивание. Давление на сотрудников извне. Попадание сотрудников в различные виды зависимости. Инфляционные процессы (их следует непременно учитывать при расчете заработной платы и прогнозировании ее динамики). Бесспорно, все эти негативные воздействия внешней среды оказывают влияние на процессы внутри предприятия в целом, на безопасность его кадровой составляющей. Разобравшись в том, что такое кадровая безопасность и для чего она нужна, попробуем ответить на вопрос: а от чего, от каких основных факторов зависит эта самая кадровая безопасность любой компании? Она зависит от трех основных факторов. 1. Найм. За этим кратким словом скрывается целый комплекс мер безопасности при приеме на работу и прогнозировании благонадежности будущих сотрудников. Здесь работает незатейливая формула: «как примете на работу, такие люди у вас и будут работать» или «скажите мне, как вы принимаете на работу, и я скажу, какие у вас проблемы». Это действительно так! В условное наименование первого фактора «найм» входит рассмотрение вопросов безопасности компании на таких этапах в работе менеджера по персоналу, как поиск кандидатов, процедуры отбора, проверка, документальное и юридическое обеспечение приема на работу, испытательный срок и даже адаптация. Добавим также процедуры безопасности в деятельности кадровиков при подготовке аттестации, планировании обучения. 2. Лояльность. Это комплекс мер по установлению позитивных отношений работников к вам, работодателям. Зависит ли от этого глубина ваших проблем? Конечно! От того, кем ощущает себя сотрудник предприятия - мусором или частью общего дела, заменимым «винтиком» или уважаемым передовиком производства, действительно зависят и проблемы предприятия. В эту составляющую работы по предотвращению угроз безопасности традиционно вкладывается мало средств. Однако, экономя на этом, предприятие вынуждено будет затратить еще больше ресурсов на мероприятия следующего, третьего блока. 3. Контроль. Он представляет собой комплекс мер из установленных для персонала, в том числе для администрации, регламентов, ограничений, режимов, технологических процессов, оценочных, контрольных и других операций, процедур безопасности. Этот комплекс уже непосредственно нацелен на ликвидацию возможностей причинения ущерба и отрабатывается, как правило, службой безопасности или другими подразделениями, но в меньшей степени службой персонала. При этом надо отметить, что здесь работает принцип «компенсации недостаточности внимания» к отдельным факторам. Не сделали прием на работу частью системы безопасности, не заботитесь об укреплении лояльности персонала - серьезные ресурсы потратите на контроль, выявление и расследование убытков. Таким образом, кадровая безопасность, являясь элементом комплексной системы безопасности компании, нацелена на такую работу с персоналом, на установление таких трудовых и этических отношений, которые можно было бы определить как «безубыточные». Вся эта деятельность не является отдельным направлением в функционале менеджера по персоналу, а лишь органично вписывается в него. И здесь практически не привлекаются какие-либо дополнительные ресурсы, но при условии, что в компании присутствуют все этапы организации и управления персоналом. С точки зрения безопасности в подходе к трудовому взаимодействию присутствует одна деталь - каждый кандидат на вакансию, каждый работник предприятия должен рассматриваться в том числе и как источник риска, источник потенциальной угрозы. И не только в части умышленного нанесения ущерба, но и в отношении опасности причинения убытков, связанных с низкой квалификацией, с невозможностью применить высокий профессионализм; с недовольством своей работой и условиями труда; с отсутствием четко и однозначно закрепленных юридических правоотношений; с неадекватной оценкой результатов труда; со слабым прогнозированием и контролем благонадежности и т.д. В этих вопросах мы практически всегда имеем убытки, если служба по работе с персоналом по части кадровой безопасности работает непрофессионально. Служба безопасности компании, работая в плотном взаимодействии со службой персонала, должна в свою очередь использовать свои оперативные методы и средства в работе по части предварительной и попутной проверки кандидатов и сотрудников на предмет выявления личностных и деловых качеств, так или иначе влияющих на производственный процесс. Эта работа должна носить системный характер, схема взаимодействия в этом направлении должна быть прописана в определенный регламент. Надо отметить, что роль службы безопасности проявляется на всех этапах работы с сотрудником, пока он находится в компании вплоть до увольнения. Сотрудники безопасности непосредственно участвуют в контроле повседневной рабочей деятельности (особенно когда имеются угрожающие безопасности сигналы). Служба безопасности является конечной станцией увольняющегося сотрудника, где проводится его «финишная профилактика», о которой говорилось в разделе «Защита коммерческой тайны». 9. Физическая и техническая безопасность В этом разделе мы будем говорить о: - технических системах охраны; - физической охране периметра территории и контроле доступа; - противопожарной безопасности. В последние десятилетия многие руководители все больше осознают необходимость обеспечения безопасности, о чем свидетельствует целенаправленное увеличение расходов фирм на эти цели. Вместе с тем рост непроизводственных затрат, к которым чаще всего относят расходы на безопасность, служит также поводом для беспокойства тех руководителей, которые строят свою политику безопасности в основном на традиционном использовании «живой силы». Поэтому в настоящее время как никогда актуален вопрос о повышении уровня защиты и оптимизации системы безопасности предприятия за счет использования технических средств. Техническая система охраны в ряде случаев достаточно эффективно заменяет людей и является надежным щитом от целого ряда угроз. Под технической системой охраны (ТСО) в данном случае понимается система раннего обнаружения угроз фирме от стихийных бедствий, несанкционированного проникновения нарушителей и ошибочных либо неправомерных действий обслуживающего персонала или клиентов фирмы. При этом обнаружение (а зачастую нейтрализация и даже ликвидация) угроз осуществляется с помощью различных технических средств (ТС) и методов. Для того чтобы не было мучительно больно за бесцельно потраченные деньги, необходимо выбирать правильные, оптимальные направления построения такой системы. При этом выбор должен основываться на концептуальном подходе к анализу особенностях объекта и возможностях современных технологий, на тщательной маркетинговой проработке. Концептуальные вопросы обеспечения безопасности фирмы Для создания оптимальной эффективной системы безопасности объекта необходимо прежде всего разработать обоснованную концепцию, определяющую цели защиты, характер возможных угроз и вероятность их появления, основные направления решения задач защиты тех или иных ценностей от аварий, стихийных бедствий и неправомерных действий потенциальных нарушителей. Предмет защиты - конкретные ценности фирмы, которые подлежат защите с помощью той или иной системы. К таким ценностям относятся: люди - персонал объекта, посетители и клиенты фирмы; материальные и финансовые ценности (деньги, ценные бумаги, документы, оборудование); информация конфиденциального характера. Приоритеты указанных ценностей в большой степени обусловлены характером деятельности фирмы. Объект защиты - физическое пространство, где сосредоточены те или иные ценности, - во многом определяет возможные действия нарушителя безопасности и ответные мероприятия по предотвращению угроз безопасности фирмы. Пути формирования технической системы охраны в значительной степени зависят от характеристик ограждающих конструкций помещений и инженерно-технических систем объекта, а также от предназначения помещения. В каждой фирме существуют помещения, требующие особого подхода к обеспечению их охраны. К таким помещениям в первую очередь относятся: кабинеты руководства фирмы; переговорные комнаты; кассовые помещения; центр вычислительной и телекоммуникационной сети – «серверная»; помещение учрежденческой АТС и коммутационного оборудования телефонной сети; помещения с коммутационно-распределительной аппаратурой информационнотелекоммуникационных систем (ИТКС) и систем безопасности; базовые помещения систем инженерного обеспечения (СИО) - вентиляционная камера, электрощитовая комната, помещения резервного электропитания и диспетчерской службы; помещения службы безопасности фирмы - центральный пост охраны, пост пожарной охраны; архив бумажных и электронных копий; наиболее важные технологические помещения (исходя из характера бизнеспроцесса в фирме). При построении технической системы охраны необходимо сосредотачивать усилия именно на этих объектах. Основные направления построения ТСО Оптимальная политика при создании ТСО состоит в том, чтобы исходя из выделенных ресурсов и намеченных приоритетов,проводить требуемые мероприятия, предусматривающие постепенное повышение эффективности всей системы обеспечения безопасности. Иными словами, при имеющихся ресурсах необходимо стремиться к тому, чтобы обеспечить максимально достижимый на данный момент уровень защиты объекта. При проведении конкретных мероприятий по развертыванию ТСО необходимо придерживаться концептуальных положений обеспечения безопасности, учитывать и особенности защищаемого объекта, и оперативную обстановку на текущий момент, что позволит достичь достаточно высокого уровня безопасности. Необходимость интегрированных решений Определенный уровень безопасности объекта может быть достигнут различными способами, например путем использования многочисленного штата сотрудников охранных структур или установки нескольких автономных технических систем безопасности (ТСБ) разного типа. В целях охраны применяются обычно такие традиционные ТСБ, как: система контроля и управления доступом (СКУД); система пожарной сигнализации (включая аварийное оповещение и управление эвакуацией персонала и посетителей) (СПС); система охранной сигнализации (включая защиту периметра объекта и тревожное оповещение) (СОС); система видеоконтроля (СВК). Развертывание какой-либо отдельной автономной ТСБ требует, как правило, сравнительно небольших финансовых затрат за счет использования традиционной аппаратной базы и опробованных технических решений. Установка всех необходимых для обеспечения эффективной защиты объекта систем требует, как правило, значительных затрат и приводит как к ненужному дублированию функций и высоким эксплуатационным расходам, так и к нестыковкам (отсутствию взаимодействия между отдельными системами). В результате создается комплекс сложных в управлении, дорогостоящих систем безопасности, но с ограниченными возможностями. При построении действительно эффективной комплексной технической системы охраны ее, как и всякую другую систему, необходимо рассматривать в целом как единство организационно-технических мер, направленных на защиту объекта. Если исходить из целевой задачи (а не из традиционных представлений о существующих технических решениях и способах их реализации), то наиболее целесообразным решением при построении ТСО является использование принципов системной интеграции и создание комплексной многофункциональной технической системы, совмещающей в себе функции всех традиционных автономных систем. Интегрированная техническая система охраны (ИТСО) предполагает объединение на базе современных информационных технологий и программно-аппаратной интеграции нескольких подсистем, функционально и информационно связанных друг с другом, и их работу по единому алгоритму. Даже при минимальном уровне интеграции взаимодействие подсистем осуществляется таким образом, что события в одной из подсистем могут воздействовать на другие и вызывать определенную реакцию. Так, ИТСО, созданная на базе традиционных подсистем СКУД, СПС, СОС и СВК, обеспечивает, например, следующие виды взаимодействия между подсистемами: разблокировка дверей и проходов (СКУД), используемых при эвакуации, в зонах возможного пожара или по всему объекту при получении сигнала пожарной тревоги (от СПС); блокировка охранных зон, тамбуров и шлюзов (СКУД) при срабатывании различных охранных детекторов (в СОС) или детекторов активности от видеокамер (в СВК); использование тревожных сигналов (от СПС, СКУД и СОС) для подключения соответствующих видеокамер (СВК), что позволяет уточнить и документировать обстановку в зоне тревоги. По сравнению с простой совокупностью отдельных систем и средств защиты применение интегрированных систем безопасности обеспечивает следующие преимущества: более быструю и точную реакцию на происходящие события; оптимальный анализ текущих ситуаций; значительное снижение риска, связанного с «человеческим фактором», - ошибками и возможными недобросовестными действиями обслуживающего персонала и сотрудников фирмы; уменьшение затрат на оборудование ввиду многофункционального использования отдельных ТС и более полной их загрузки; облегчение работы обслуживающего персонала за счет автоматизации процессов управления, контроля и принятия решений по обеспечению безопасности; снижение затрат на монтаж и эксплуатацию системы безопасности, сокращение обслуживающего персонала и затрат на его обучение и содержание. Не каждая фирма готова к построению систем безопасности высокого уровня интеграции, и не всякая организация способна установить такую систему. Наряду с техническими аспектами существуют аспекты социологические и психологические. Развертывание ИТСО невозможно без психологической готовности как руководства фирмы, так и персонала, осуществляющего обслуживание систем, к работе со сложными информационными технологиями, реструктуризации бизнес-процессов. Рассматривая важность технической безопасности, нельзя при этом забывать об использовании в физической охране человека как наиболее интеллектуальную и незаменимую в отдельных функциях единицу. Техника может помочь человеку, но полностью заменить его не может. Проблемы подбора и использования человеческих ресурсов с целью обеспечения качественной охраны больше лежат в плоскости организации работы частных охранных предприятий и их взаимодействия с коммерческими предприятиями; эти вопросы подлежат отдельному изучению и обсуждению в других статьях и пособиях. Торгашов Андрей Юрьевич, заместитель генерального директора по безопасности инвестиционного холдинга ФИНАМ, председатель Совета Клуба безопасности «ЗАЩИТА» http://www.ruszashita.ru/