Методика комплексного подхода к обеспечению безопасности организации 1 этап Определение объектов безопасности в организации. Ответ на вопрос: Что мы будем защищать и какая ситуация с защитой объектов безопасности в организации на время ее изучения? (констатация существующих фактов) Наиболее типичными объектами являются - бизнес-процессы Уточнить (проанализировать): какие бизнес-процессы протекают в организации; из чего состоят бизнес-процессы; наличие кризисных ситуаций в прошлой деятельности организации и применяемые пути их решений; возможные кризисные ситуации в ближайшем будущем организации; стоит задача в обеспечении безопасности всех бизнес-процессов или только отдельных элементов; наличие/отсутствие правовой защиты бизнеса; возможные экономические риски и вероятность их наступления; какая структура организации и возможность ее работы в условиях повышенных экономических рисков; кто является акционерами, руководством и владельцами бизнеса – их взгляды на безопасность бизнес-процессов; есть ли диверсификация деятельности; анализ конкурентной среды (конкуренты, поставщики, потребители, совершенство законодательства, административный ресурс, криминальный ресурс и т.д.); какой профессионализм менеджеров организации при работе в условиях повышенных экономических рисков; наличие/отсутствие в штате сотрудников, занимающихся экономической безопасностью; как в настоящее время обеспечивается безопасность бизнес-процессов; какая организация ранее занималась обеспечением безопасности бизнес-процессов; какие бизнес-планы в организации; какая финансовая и налоговая устойчивость в компании; иные вопросы и ответы на них, необходимые для обеспечения безопасности бизнес-процессов организации. - руководство Уточнить (проанализировать): число руководителей, безопасность которых предполагается обеспечивать; индивидуальные требования по безопасности каждого руководителя; Автор Панкратьев Вячеслав Вячеславович www.vvpankrat.ru 2 анализ угроз для каждого руководителя с определением вероятности их реализации; применяемые способы обеспечения безопасности каждого руководителя компании с анализом их эффективности; анализ образа жизни руководителей, соотношение с угрозами и определение возможных способов защиты (физическая защита, юридическая защита, психологическая защита, химическая защита, биологическая защита и т.д.); иные вопросы и ответы на них, необходимые для обеспечения безопасности руководства организации. - активы Уточнить (проанализировать): наличие, структура и рассредоточение активов, их ликвидность; движение и использование активов; юридическое оформление права на получение, владение и использование активов; обременение активов; возможные угрозы активам (в том числе в процессе «враждебных поглощений» и со стороны акционеров); случаи попыток получения незаконного права или незаконного использования активов; иные вопросы и ответы на них, необходимые для обеспечения безопасности активов организации. - финансовые средства Уточнить (проанализировать): порядок получения и транспортировки финансовых средств, возможные угрозы; порядок хранения финансовых средств и возможные угрозы; порядок использования финансовых средств (наличные деньги, безналичные переводы, и т.д.); наличие дебиторской и кредиторской задолженности какой банк используется для осуществления финансовых операций. Определить его надежность; порядок использования пластиковых карт; иные вопросы и ответы на них, необходимые для обеспечения безопасности финансовых средств организации. - материальные ценности Уточнить (проанализировать): объем материальных ценностей (их расположение), которым предполагается обеспечивать безопасность; возможное перемещение материальных ценностей и необходимость обеспечения безопасности в процессе транспортировки; как в настоящее время обеспечивается безопасность материальных ценностей; как проводить охранные мероприятия по обеспечению безопасности материальных ценностей (пожелания владельца компании); Автор Панкратьев Вячеслав Вячеславович www.vvpankrat.ru 3 возможность (необходимость) привлечения к охранным мероприятиям подразделений иных ЧОПов, вневедомственной охраны, ведомственной охраны и т.д.; наличие связей с государственными правоохранительными и контролирующими органами по обеспечению безопасности материальных ценностей; возможность и необходимость страхования материальных ценностей; возможность создания резервов материальных ценностей; имеющиеся технические средства охраны; имеющиеся системы противопожарной безопасности; имеющиеся технические системы охраны периметров; имеющиеся системы видеонаблюдения (охранного телевидения); имеющиеся системы контроля доступа; иные вопросы и ответы, необходимые для обеспечения безопасности материальных ценностей - технологии Уточнить (проанализировать): наличие технологий, имеющихся в организации и потребности в их защите; наличие патентов на технологи, а также иного правового режима и прав как на сами технологии, так и на их использование; наличие режима коммерческой тайны, а также целесообразность его создания для защиты технологий; порядок доступа к технологиям со стороны сотрудников организации; порядок доступа к технологиям со стороны иных организаций (в том числе правоохранительных и контролирующих); иные вопросы и ответы, необходимые для обеспечения безопасности технологий. - информационные ресурсы Уточнить (проанализировать): наличие/отсутствие информации с ограниченным доступом (государственная тайна, коммерческая тайна, персональные данные, врачебная тайна, адвокатская тайна, нотариальная тайна и т.д.); какая информация нуждается в защите; какая организация защищаемых информационных потоков; какие проводятся мероприятия по защите информации с ограниченным доступом; какие применяются организационные способов защиты информации; наличие/отсутствие конфиденциального делопроизводства; требуется ли создание правового режима защиты информации; какие средства IT безопасности применяются для защиты информации; как проводится кадровая политика по минимизации угроз, связанных с разглашением информации через «человеческий фактор»; иные вопросы и ответы, необходимые для обеспечения безопасности информационных ресурсов. - репутация организации Уточнить (проанализировать): Автор Панкратьев Вячеслав Вячеславович www.vvpankrat.ru 4 имеется ли бренд организации и какой порядок его защиты; имеются ли факты неправомерного использования товарных знаков организации; имеются ли случаи подделок продукции (услуг) организации; имеются ли факты черного PR компании; как проводится PR акции и реклама компании; иные вопросы и ответы, необходимые для обеспечения безопасности репутации организации. 2 этап Определение субъектов обеспечения безопасности организации. Отвечаем на вопрос: Кто будет заниматься безопасностью организации. Возможные варианты: 1 вариант – силами только компании. 2 вариант – силами компании и силами должностных лиц или уполномоченного подразделения в организации (например, Службы безопасности). 3 вариант - силами компании и силами внешних компаний, предоставляющих услуги по безопасности (множественный аутсорсинг) 4 вариант – силами компании, силами иных компаний, предоставляющих услуги по безопасности и силами должностных лиц (подразделений) в организации 5 вариант – силами внешних компаний, представляющих услуги по безопасности (эксклюзивный аутсорсинг) После выбора варианта целесообразно определить порядок взаимодействия, координации и подчинения между субъектами обеспечения безопасности 3 этап Определение угроз для организации Отвечаем на вопрос: От чего или от кого мы будем защищать организацию Наиболее типичными внешними угрозами являются - конкуренты Уточнить (проанализировать): основные конкуренты и их правила (способы) ведения конкурентной борьбы; Автор Панкратьев Вячеслав Вячеславович www.vvpankrat.ru 5 анализ конкурентов по методам SWOT анализа, по системе Майкла Портера и иными аналитическими методами; факты неправомерного (незаконного) ведения конкурентной борьбы; факты мошенничества со стороны конкурентов; связи конкурентов с административным и криминальным ресурсами; официальные и неофициальные взаимоотношения и договоренности с конкурентами; определение возможных проблемных точек соприкосновения с конкурентами в бизнесе; иные вопросы и ответы, необходимые для обеспечения защиты со стороны конкурентов. - государство Уточнить (проанализировать): особенности законодательства в сфере деятельности компании; взаимоотношения с государственными проверяющими, контролирующими и правоохранительными органами; коррумпированность государственных органов; интересы государства в организации (активы, госзаказы, акции и т.д.); обострение отношений с государственными органами за прошедший период; возможность сильной юридической защиты со стороны организации в случае обострения борьбы с государственными органами; наличие/отсутствие лобби в государственных органах; анализ поставщиков (потребителей, конкурентов) на предмет взаимоотношений с государством; наличие/отсутствие участия организации в политической борьбе и контактов с политическими партиями; анализ административного ресурса в регионе, городе, административном (муниципальном) образовании; иные вопросы и ответы, необходимые для обеспечения защиты со стороны государства. - организованная преступность Уточнить (проанализировать): уровень организованной преступности в регионе и в данной сфере бизнеса; возможные интересы организованной преступности в организации; существующие способы урегулирования конфликтных ситуаций с преступными группировками; возможность/невозможность использования административного ресурса для урегулирования конфликтных ситуаций с преступными группировками; иные вопросы и ответы, необходимые для обеспечения защиты от организованной преступности. - техногенные и природные факторы Уточнить (проанализировать): зависимость организации от угроз, связанных с техногенными факторами и возможные потери; вероятность наступления техногенных факторов; Автор Панкратьев Вячеслав Вячеславович www.vvpankrat.ru 6 зависимость организации от угроз, связанных с природными факторами (землетрясение, наводнение, оползни, сели, цунами и т.д.); вероятность наступления природных факторов; иные вопросы и ответы, необходимые для обеспечения защиты от техногенных и природных факторов. Наиболее типичными внутренними угрозами являются - человеческий фактор Уточнить (проанализировать): угрозы со стороны «человеческого фактора», наиболее часто встречающиеся в деятельности организации (мошенничество, воровство, откаты и т.д.); порядок проверки сотрудников при приеме на работу; порядок контроля за сотрудниками в процессе их работы в компании; порядок проведения внутрикорпоративных расследований по фактам совершения сотрудниками противоправных действий; как проводится политика кадровой безопасности в организации; какая система мотивации сотрудников в компании; уровень профессионализма сотрудников организации; подготовленность сотрудников к грамотным действиям во внештатных ситуациях; защита организации от переманивания персонала; какие сотрудники (должности) или группы сотрудников (перечень должностей) представляют наибольшую угрозу для организации; возможные конфликты между владельцами, учредителями, руководителями, топменеджерами; порядок увольнения сотрудников из компании; иные вопросы и ответы, необходимые для обеспечения защиты со стороны «человеческого фактора». - несовершенная организационная структура организации Уточнить (проанализировать): организационно-правовая форма; наличие/отсутствие дочерних/материнских организаций; наличие/отсутствие холдинга; наличие/отсутствие защищенной структуры бизнеса (разделение на владеющие и операционные организации); наличие/отсутствие большого количества акционеров; иные вопросы и ответы, необходимые для совершенствования организационной структуры организации. - несовершенная правовая защита организации Уточнить (проанализировать): анализ Устава и иных учредительных документов на предмет правовой защищенности организации; Автор Панкратьев Вячеслав Вячеславович www.vvpankrat.ru 7 анализ создания и функционирования организации в соответствии/с нарушением законодательства Российской Федерации; наличие/отсутствие судебных исков против организации; наличие/отсутствие корпоративных конфликтов, основанных на нарушении корпоративного права; наличие в штате юристов и их профессионализм; наличие/отсутствие привлечение внешних адвокатов и юридических организаций для защиты организации; иные вопросы и ответы, необходимые для совершенствования правовой защиты организации. 4 этап Определение возможных вариантов реализации угроз для организации Отвечаем на вопрос: Как будут реализовываться угрозы, спрогнозированные на 3 этапе. Определяем возможные сценарии развитий событий и модели потенциальных правонарушителей. При возможности вычисляем вероятность наступления событий (статистический метод, метод аналогии, теория больших чисел и т.д.) Данный этап проводится на основании информации, полученной на 3 этапе 5 этап Построение системы безопасности для организации Отвечаем на вопрос: Как будем строить систему безопасности для организации Система безопасности подсистем: организации может состоять - информационная безопасность Достигается проведением следующих мероприятий: режимными мероприятиями; техническими мероприятиями; организационными мероприятиями; созданием конфиденциального делопроизводства; правовыми мероприятиями; IT мероприятиями; кадровыми мероприятиями; иными мероприятиями. - кадровая безопасность Достигается проведением следующих мероприятий: мероприятиями при приеме сотрудников; Автор Панкратьев Вячеслав Вячеславович www.vvpankrat.ru из следующих 8 мероприятиями по защите организации от противоправных (некомпетентных) действий со стороны сотрудников; мероприятиями при увольнении сотрудников иными мероприятиями. - экономическая безопасность Достигается проведением следующих мероприятий: мероприятиями по управлению и минимизации экономических рисков; информационно-аналитической работой (бизнес-разведкой); мероприятиями по защите от мошенничества; мероприятиями по взаимодействию с государственными и правоохранительными органами; мероприятиями по защите от враждебного поглощения; мероприятиями по взысканию долгов; иными мероприятиями - личная безопасность Достигается проведением следующих мероприятий: мероприятиями по физической защите; мероприятиями по юридической защите; мероприятиями по психологической защите; мероприятиями по химической, биологической и радиационной защите; иными мероприятиями. - инженерно-техническая безопасность Достигается проведением следующих мероприятий: противопожарными мероприятиями; создание контроля и управлением доступом в компанию; установкой систем видеонаблюдения; мероприятиями по контролю периметров компании; установкой систем сигнализации; иными мероприятиями. - техническая безопасность Достигается проведением следующих мероприятий: мероприятиями по защите акустического канала утечки информации; мероприятиями по защите визуального канала утечки информации; мероприятиями по защите от побочных электромагнитных излучений и наводок; иными мероприятиями. - IT – безопасность Достигается проведением следующих мероприятий: мероприятиями по защите автономной информации; мероприятиями по защите информации, находящейся в корпоративной сети; мероприятиями по защите информации при передаче ее между территориально разрозненными объектами; Автор Панкратьев Вячеслав Вячеславович www.vvpankrat.ru 9 иными мероприятиями. - правовая защита бизнеса Достигается проведением следующих мероприятий: созданием защищенных учредительных документов; юридическим сопровождением деятельности компании; адвокатским сопровождением деятельности компании; иными юридическими мероприятиями. 6 этап Создание основного документа по защите организации: «Политика безопасности организации» или «Концепция обеспечения безопасности организации Отвечаем на вопрос: Как будем создавать данный документ Данный документ может состоять из следующих разделов Раздел 1 Описание ситуации в области безопасности компании - - - определение состояния окружающей конкурентной среды; анализ экономического состояния компании, его ресурсного потенциала, степени защищенности объектов безопасности, надежности кадрового потенциала, состояния его функциональных составляющих: финансовой, кадровой и интеллектуальной, правовой, информационной, технико-технологической, экологической, силовой и т. д.; выявление потенциальных и реальных угроз и экономических рисков, их ранжирование по степени значимости или опасности по времени наступления или величине возможно нанесенного ущерба; определение причин и факторов зарождения угроз и экономических рисков; прогнозирование возможных негативных последствий отдельных угроз и экономических рисков, расчет возможного ущерба; формулировка проблемной ситуации. Раздел 2. Определение целевой установки обеспечения безопасности - формулирование политики и стратегии безопасности; определение цели безопасности; постановка задач, способствующих достижению цели и реализации сформулированной политики и выбранного типа стратегии. Раздел 3 Построение системы безопасности компании - формулирование функций системы безопасности компании и выбор тех принципов, на которых она строится; определение объектов безопасности и анализ состояния их защищенности; создание органов (субъектов) обеспечения безопасности; разработка механизмов обеспечения безопасности; Автор Панкратьев Вячеслав Вячеславович www.vvpankrat.ru 10 - создание организационной структуры управления системой безопасности компании Раздел 4. Разработка методов оценки состояния безопасности компании - определение основополагающих критериев и показателей состояния безопасности компании; выбор методов оценки состояния безопасности компании; формирование системы методов анализа экономических рисков Раздел 5. Расчет сил и средств, необходимых для обеспечения безопасности - расчет необходимого количества материально-технических ресурсов, средств защиты и охраны объектов безопасности; определение необходимого количества людских ресурсов и затрат на их содержание и стимулирование труда; определение финансовых затрат, необходимых для обеспечения безопасности компании; сопоставление необходимых затрат с возможным ущербом от воздействия угроз и экономических рисков. Раздел 6. Разработка мер по реализации основных положений концепции безопасности компании - - определение условий, необходимых и достаточных для реализации концепции; нахождение источников ресурсного обеспечения концепции; выделение финансовых средств для реализации концепции; разработка стратегического плана (или программы), а также планов работы структурных подразделений службы безопасности по решению задач, определенных концепцией; подготовка профессиональных кадров для службы безопасности, а также обучение сотрудников компании (в части, их касающейся) вопросам соблюдения правил безопасности, действиям в чрезвычайных ситуациях, правилам пропускного режима, работы с документами, соблюдению коммерческой тайны и т. д.; создание определенного типа службы безопасности и организация управления ею; установление технических средств защиты и др.; контроль за эффективностью выполнения основных положений концепции экономической безопасности; развитие системы безопасности компании, постоянная адаптация ее к изменяющимся условиям, совершенствование форм и методов ее работы. Автор Панкратьев Вячеслав Вячеславович www.vvpankrat.ru