Методика комплексного подхода к обеспечению безопасности

реклама
Методика комплексного подхода к
обеспечению безопасности организации
1 этап
Определение объектов безопасности в организации.
Ответ на вопрос: Что мы будем защищать и какая ситуация с защитой
объектов безопасности в организации на время ее изучения? (констатация
существующих фактов)
Наиболее типичными объектами являются
- бизнес-процессы
Уточнить (проанализировать):


















какие бизнес-процессы протекают в организации;
из чего состоят бизнес-процессы;
наличие кризисных ситуаций в прошлой деятельности организации и применяемые
пути их решений;
возможные кризисные ситуации в ближайшем будущем организации;
стоит задача в обеспечении безопасности всех бизнес-процессов или только
отдельных элементов;
наличие/отсутствие правовой защиты бизнеса;
возможные экономические риски и вероятность их наступления;
какая структура организации и возможность ее работы в условиях повышенных
экономических рисков;
кто является акционерами, руководством и владельцами бизнеса – их взгляды на
безопасность бизнес-процессов;
есть ли диверсификация деятельности;
анализ конкурентной среды (конкуренты, поставщики, потребители,
совершенство законодательства, административный ресурс, криминальный
ресурс и т.д.);
какой профессионализм менеджеров организации при работе в условиях
повышенных экономических рисков;
наличие/отсутствие в штате сотрудников, занимающихся экономической
безопасностью;
как в настоящее время обеспечивается безопасность бизнес-процессов;
какая организация ранее занималась обеспечением безопасности бизнес-процессов;
какие бизнес-планы в организации;
какая финансовая и налоговая устойчивость в компании;
иные вопросы и ответы на них, необходимые для обеспечения безопасности
бизнес-процессов организации.
- руководство
Уточнить (проанализировать):


число руководителей, безопасность которых предполагается обеспечивать;
индивидуальные требования по безопасности каждого руководителя;
Автор Панкратьев Вячеслав Вячеславович www.vvpankrat.ru
2




анализ угроз для каждого руководителя с определением
вероятности их
реализации;
применяемые способы обеспечения безопасности каждого руководителя компании
с анализом их эффективности;
анализ образа жизни руководителей, соотношение с угрозами и определение
возможных способов защиты (физическая защита, юридическая защита,
психологическая защита, химическая защита, биологическая защита и т.д.);
иные вопросы и ответы на них, необходимые для обеспечения безопасности
руководства организации.
- активы
Уточнить (проанализировать):







наличие, структура и рассредоточение активов, их ликвидность;
движение и использование активов;
юридическое оформление права на получение, владение и использование активов;
обременение активов;
возможные угрозы активам (в том числе в процессе «враждебных поглощений» и
со стороны акционеров);
случаи попыток получения незаконного права или незаконного использования
активов;
иные вопросы и ответы на них, необходимые для обеспечения безопасности
активов организации.
- финансовые средства
Уточнить (проанализировать):







порядок получения и транспортировки финансовых средств, возможные угрозы;
порядок хранения финансовых средств и возможные угрозы;
порядок использования финансовых средств (наличные деньги, безналичные
переводы, и т.д.);
наличие дебиторской и кредиторской задолженности
какой банк используется для осуществления финансовых операций. Определить его
надежность;
порядок использования пластиковых карт;
иные вопросы и ответы на них, необходимые для обеспечения безопасности
финансовых средств организации.
- материальные ценности
Уточнить (проанализировать):




объем материальных ценностей (их расположение), которым предполагается
обеспечивать безопасность;
возможное перемещение материальных ценностей и необходимость обеспечения
безопасности в процессе транспортировки;
как в настоящее время обеспечивается безопасность материальных ценностей;
как проводить охранные мероприятия по обеспечению безопасности
материальных ценностей (пожелания владельца компании);
Автор Панкратьев Вячеслав Вячеславович www.vvpankrat.ru
3










возможность (необходимость) привлечения к охранным мероприятиям
подразделений иных ЧОПов, вневедомственной охраны, ведомственной охраны и
т.д.;
наличие связей с государственными правоохранительными и контролирующими
органами по обеспечению безопасности материальных ценностей;
возможность и необходимость страхования материальных ценностей;
возможность создания резервов материальных ценностей;
имеющиеся технические средства охраны;
имеющиеся системы противопожарной безопасности;
имеющиеся технические системы охраны периметров;
имеющиеся системы видеонаблюдения (охранного телевидения);
имеющиеся системы контроля доступа;
иные вопросы и ответы, необходимые для обеспечения безопасности
материальных ценностей
- технологии
Уточнить (проанализировать):






наличие технологий, имеющихся в организации и потребности в их защите;
наличие патентов на технологи, а также иного правового режима и прав как на
сами технологии, так и на их использование;
наличие режима коммерческой тайны, а также целесообразность его создания
для защиты технологий;
порядок доступа к технологиям со стороны сотрудников организации;
порядок доступа к технологиям со стороны иных организаций (в том числе
правоохранительных и контролирующих);
иные вопросы и ответы, необходимые для обеспечения безопасности технологий.
- информационные ресурсы
Уточнить (проанализировать):










наличие/отсутствие информации с ограниченным доступом (государственная
тайна, коммерческая тайна, персональные данные, врачебная тайна, адвокатская
тайна, нотариальная тайна и т.д.);
какая информация нуждается в защите;
какая организация защищаемых информационных потоков;
какие проводятся мероприятия
по защите информации с ограниченным
доступом;
какие применяются организационные способов защиты информации;
наличие/отсутствие конфиденциального делопроизводства;
требуется ли создание правового режима защиты информации;
какие средства IT безопасности применяются для защиты информации;
как проводится кадровая политика по минимизации угроз, связанных с
разглашением информации через «человеческий фактор»;
иные вопросы и ответы, необходимые для обеспечения безопасности
информационных ресурсов.
- репутация организации
Уточнить (проанализировать):
Автор Панкратьев Вячеслав Вячеславович www.vvpankrat.ru
4






имеется ли бренд организации и какой порядок его защиты;
имеются ли факты неправомерного использования товарных знаков организации;
имеются ли случаи подделок продукции (услуг) организации;
имеются ли факты черного PR компании;
как проводится PR акции и реклама компании;
иные вопросы и ответы, необходимые для обеспечения безопасности репутации
организации.
2 этап
Определение субъектов обеспечения безопасности организации.
Отвечаем на вопрос: Кто будет заниматься безопасностью организации.
Возможные варианты:
1 вариант – силами только компании.
2 вариант – силами компании и силами должностных лиц или
уполномоченного подразделения в организации (например, Службы
безопасности).
3 вариант
- силами компании и силами внешних компаний,
предоставляющих услуги по безопасности (множественный аутсорсинг)
4 вариант – силами компании, силами иных компаний, предоставляющих
услуги по безопасности и силами должностных лиц (подразделений) в
организации
5 вариант – силами внешних компаний, представляющих услуги по
безопасности (эксклюзивный аутсорсинг)
После выбора варианта целесообразно определить порядок взаимодействия, координации и
подчинения между субъектами обеспечения безопасности
3 этап
Определение угроз для организации
Отвечаем на вопрос: От чего или от кого мы будем защищать организацию
Наиболее типичными внешними угрозами являются
- конкуренты
Уточнить (проанализировать):

основные конкуренты и их правила (способы) ведения конкурентной борьбы;
Автор Панкратьев Вячеслав Вячеславович www.vvpankrat.ru
5







анализ конкурентов по методам SWOT анализа, по системе Майкла Портера и
иными аналитическими методами;
факты неправомерного (незаконного) ведения конкурентной борьбы;
факты мошенничества со стороны конкурентов;
связи конкурентов с административным и криминальным ресурсами;
официальные и неофициальные взаимоотношения и договоренности с
конкурентами;
определение возможных проблемных точек соприкосновения с конкурентами в
бизнесе;
иные вопросы и ответы, необходимые для обеспечения защиты со стороны
конкурентов.
- государство
Уточнить (проанализировать):











особенности законодательства в сфере деятельности компании;
взаимоотношения с государственными проверяющими, контролирующими и
правоохранительными органами;
коррумпированность государственных органов;
интересы государства в организации (активы, госзаказы, акции и т.д.);
обострение отношений с государственными органами за прошедший период;
возможность сильной юридической защиты со стороны организации в случае
обострения борьбы с государственными органами;
наличие/отсутствие лобби в государственных органах;
анализ поставщиков (потребителей, конкурентов) на предмет взаимоотношений с
государством;
наличие/отсутствие участия организации в политической борьбе и контактов с
политическими партиями;
анализ административного ресурса в регионе, городе, административном
(муниципальном) образовании;
иные вопросы и ответы, необходимые для обеспечения защиты со стороны
государства.
- организованная преступность
Уточнить (проанализировать):





уровень организованной преступности в регионе и в данной сфере бизнеса;
возможные интересы организованной преступности в организации;
существующие способы урегулирования конфликтных ситуаций с преступными
группировками;
возможность/невозможность использования административного ресурса для
урегулирования конфликтных ситуаций с преступными группировками;
иные вопросы и ответы, необходимые для обеспечения защиты от организованной
преступности.
- техногенные и природные факторы
Уточнить (проанализировать):


зависимость организации от угроз, связанных с техногенными факторами и
возможные потери;
вероятность наступления техногенных факторов;
Автор Панкратьев Вячеслав Вячеславович www.vvpankrat.ru
6



зависимость организации от угроз, связанных с природными факторами
(землетрясение, наводнение, оползни, сели, цунами и т.д.);
вероятность наступления природных факторов;
иные вопросы и ответы, необходимые для обеспечения защиты от техногенных и
природных факторов.
Наиболее типичными внутренними угрозами являются
- человеческий фактор
Уточнить (проанализировать):













угрозы со стороны «человеческого фактора», наиболее часто встречающиеся в
деятельности организации (мошенничество, воровство, откаты и т.д.);
порядок проверки сотрудников при приеме на работу;
порядок контроля за сотрудниками в процессе их работы в компании;
порядок проведения внутрикорпоративных расследований по фактам совершения
сотрудниками противоправных действий;
как проводится политика кадровой безопасности в организации;
какая система мотивации сотрудников в компании;
уровень профессионализма сотрудников организации;
подготовленность сотрудников к грамотным действиям во внештатных
ситуациях;
защита организации от переманивания персонала;
какие сотрудники (должности) или группы сотрудников (перечень должностей)
представляют наибольшую угрозу для организации;
возможные конфликты между владельцами, учредителями, руководителями, топменеджерами;
порядок увольнения сотрудников из компании;
иные вопросы и ответы, необходимые для обеспечения защиты со стороны
«человеческого фактора».
- несовершенная организационная структура организации
Уточнить (проанализировать):






организационно-правовая форма;
наличие/отсутствие дочерних/материнских организаций;
наличие/отсутствие холдинга;
наличие/отсутствие защищенной структуры бизнеса (разделение на владеющие и
операционные организации);
наличие/отсутствие большого количества акционеров;
иные вопросы и ответы, необходимые для совершенствования организационной
структуры организации.
- несовершенная правовая защита организации
Уточнить (проанализировать):

анализ Устава и иных учредительных документов на предмет правовой
защищенности организации;
Автор Панкратьев Вячеслав Вячеславович www.vvpankrat.ru
7






анализ создания и функционирования организации в соответствии/с нарушением
законодательства Российской Федерации;
наличие/отсутствие судебных исков против организации;
наличие/отсутствие корпоративных конфликтов, основанных на нарушении
корпоративного права;
наличие в штате юристов и их профессионализм;
наличие/отсутствие привлечение внешних адвокатов и юридических организаций
для защиты организации;
иные вопросы и ответы, необходимые для совершенствования правовой защиты
организации.
4 этап
Определение возможных вариантов реализации угроз для организации
Отвечаем на вопрос: Как будут реализовываться угрозы, спрогнозированные
на 3 этапе. Определяем возможные сценарии развитий событий и модели
потенциальных правонарушителей.
При возможности вычисляем
вероятность наступления событий (статистический метод, метод
аналогии, теория больших чисел и т.д.)
Данный этап проводится на основании информации, полученной на 3 этапе
5 этап
Построение системы безопасности для организации
Отвечаем на вопрос: Как будем строить систему безопасности для
организации
Система безопасности
подсистем:
организации
может
состоять
- информационная безопасность
Достигается проведением следующих мероприятий:








режимными мероприятиями;
техническими мероприятиями;
организационными мероприятиями;
созданием конфиденциального делопроизводства;
правовыми мероприятиями;
IT мероприятиями;
кадровыми мероприятиями;
иными мероприятиями.
- кадровая безопасность
Достигается проведением следующих мероприятий:

мероприятиями при приеме сотрудников;
Автор Панкратьев Вячеслав Вячеславович www.vvpankrat.ru
из
следующих
8



мероприятиями по защите организации от противоправных (некомпетентных)
действий со стороны сотрудников;
мероприятиями при увольнении сотрудников
иными мероприятиями.
- экономическая безопасность
Достигается проведением следующих мероприятий:







мероприятиями по управлению и минимизации экономических рисков;
информационно-аналитической работой (бизнес-разведкой);
мероприятиями по защите от мошенничества;
мероприятиями по взаимодействию с государственными и правоохранительными
органами;
мероприятиями по защите от враждебного поглощения;
мероприятиями по взысканию долгов;
иными мероприятиями
- личная безопасность
Достигается проведением следующих мероприятий:





мероприятиями по физической защите;
мероприятиями по юридической защите;
мероприятиями по психологической защите;
мероприятиями по химической, биологической и радиационной защите;
иными мероприятиями.
- инженерно-техническая безопасность
Достигается проведением следующих мероприятий:






противопожарными мероприятиями;
создание контроля и управлением доступом в компанию;
установкой систем видеонаблюдения;
мероприятиями по контролю периметров компании;
установкой систем сигнализации;
иными мероприятиями.
- техническая безопасность
Достигается проведением следующих мероприятий:




мероприятиями по защите акустического канала утечки информации;
мероприятиями по защите визуального канала утечки информации;
мероприятиями по защите от побочных электромагнитных излучений и наводок;
иными мероприятиями.
- IT – безопасность
Достигается проведением следующих мероприятий:



мероприятиями по защите автономной информации;
мероприятиями по защите информации, находящейся в корпоративной сети;
мероприятиями по защите информации при передаче ее между территориально
разрозненными объектами;
Автор Панкратьев Вячеслав Вячеславович www.vvpankrat.ru
9

иными мероприятиями.
- правовая защита бизнеса
Достигается проведением следующих мероприятий:




созданием защищенных учредительных документов;
юридическим сопровождением деятельности компании;
адвокатским сопровождением деятельности компании;
иными юридическими мероприятиями.
6 этап
Создание основного документа по защите организации:
«Политика безопасности организации» или
«Концепция обеспечения безопасности организации
Отвечаем на вопрос: Как будем создавать данный документ
Данный документ может состоять из следующих разделов
Раздел 1 Описание ситуации в области безопасности компании
-
-
-
определение состояния окружающей конкурентной среды;
анализ экономического состояния компании, его ресурсного потенциала, степени
защищенности объектов безопасности, надежности кадрового потенциала, состояния его
функциональных составляющих: финансовой, кадровой и интеллектуальной, правовой,
информационной, технико-технологической, экологической, силовой и т. д.;
выявление потенциальных и реальных угроз и экономических рисков, их ранжирование по
степени значимости или опасности по времени наступления или величине возможно
нанесенного ущерба;
определение причин и факторов зарождения угроз и экономических рисков;
прогнозирование возможных негативных последствий отдельных угроз и экономических
рисков, расчет возможного ущерба;
формулировка проблемной ситуации.
Раздел 2. Определение целевой установки обеспечения безопасности
-
формулирование политики и стратегии безопасности;
определение цели безопасности;
постановка задач, способствующих достижению цели и реализации сформулированной
политики и выбранного типа стратегии.
Раздел 3 Построение системы безопасности компании
-
формулирование функций системы безопасности компании и выбор тех принципов, на
которых она строится;
определение объектов безопасности и анализ состояния их защищенности;
создание органов (субъектов) обеспечения безопасности;
разработка механизмов обеспечения безопасности;
Автор Панкратьев Вячеслав Вячеславович www.vvpankrat.ru
10
-
создание организационной структуры управления системой безопасности компании
Раздел 4. Разработка методов оценки состояния безопасности компании
-
определение основополагающих критериев и показателей состояния безопасности компании;
выбор методов оценки состояния безопасности компании;
формирование системы методов анализа экономических рисков
Раздел 5. Расчет сил и средств, необходимых для обеспечения безопасности
-
расчет необходимого количества материально-технических ресурсов, средств защиты и
охраны объектов безопасности;
определение необходимого количества людских ресурсов и затрат на их содержание и
стимулирование труда;
определение финансовых затрат, необходимых для обеспечения безопасности компании;
сопоставление необходимых затрат с возможным ущербом от воздействия угроз и
экономических рисков.
Раздел 6. Разработка мер по реализации основных положений концепции
безопасности компании
-
-
определение условий, необходимых и достаточных для реализации концепции;
нахождение источников ресурсного обеспечения концепции;
выделение финансовых средств для реализации концепции;
разработка стратегического плана (или программы), а также планов работы структурных
подразделений службы безопасности по решению задач, определенных концепцией;
подготовка профессиональных кадров для службы безопасности, а также обучение
сотрудников компании (в части, их касающейся) вопросам соблюдения правил безопасности,
действиям в чрезвычайных ситуациях, правилам пропускного режима, работы с документами,
соблюдению коммерческой тайны и т. д.;
создание определенного типа службы безопасности и организация управления ею;
установление технических средств защиты и др.;
контроль за эффективностью выполнения основных положений концепции экономической
безопасности;
развитие системы безопасности компании, постоянная адаптация ее к изменяющимся
условиям, совершенствование форм и методов ее работы.
Автор Панкратьев Вячеслав Вячеславович www.vvpankrat.ru
Скачать