Методика комплексного подхода к обеспечению безопасности организации

Методика комплексного подхода к

обеспечению безопасности организации

1 этап

Определение объектов безопасности в организации.

Ответ на вопрос: Что мы будем защищать и какая ситуация с защитой объектов безопасности в организации на время ее изучения? (констатация существующих фактов)

Наиболее типичными объектами являются

-  бизнес-процессы

Уточнить (проанализировать):

·  какие бизнес-процессы протекают в организации;

·  из чего состоят бизнес-процессы;

·  наличие кризисных ситуаций в прошлой деятельности организации и применяемые пути их решений;

·  возможные кризисные ситуации в ближайшем будущем организации;

·  стоит задача в обеспечении безопасности всех бизнес-процессов или только отдельных элементов;

·  наличие/отсутствие правовой защиты бизнеса;

·  возможные экономические риски и вероятность их наступления;

·  какая структура организации и возможность ее работы в условиях повышенных экономических рисков;

·  кто является акционерами, руководством и владельцами бизнеса – их взгляды на безопасность бизнес-процессов;

·  есть ли диверсификация деятельности;

·  анализ конкурентной среды (конкуренты, поставщики, потребители, совершенство законодательства, административный ресурс, криминальный ресурс и т. д.);

·  какой профессионализм менеджеров организации при работе в условиях повышенных экономических рисков;

·  наличие/отсутствие в штате сотрудников, занимающихся экономической безопасностью;

·  как в настоящее время обеспечивается безопасность бизнес-процессов;

·  какая организация ранее занималась обеспечением безопасности бизнес-процессов;

·  какие бизнес-планы в организации;

·  какая финансовая и налоговая устойчивость в компании;

·  иные вопросы и ответы на них, необходимые для обеспечения безопасности бизнес-процессов организации.

-  руководство

Уточнить (проанализировать):

·  число руководителей, безопасность которых предполагается обеспечивать;

·  индивидуальные требования по безопасности каждого руководителя;

·  анализ угроз для каждого руководителя с определением вероятности их реализации;

·  применяемые способы обеспечения безопасности каждого руководителя компании с анализом их эффективности;

·  анализ образа жизни руководителей, соотношение с угрозами и определение возможных способов защиты (физическая защита, юридическая защита, психологическая защита, химическая защита, биологическая защита и т. д.);

·  иные вопросы и ответы на них, необходимые для обеспечения безопасности руководства организации.

-  активы

Уточнить (проанализировать):

·  наличие, структура и рассредоточение активов, их ликвидность;

·  движение и использование активов;

·  юридическое оформление права на получение, владение и использование активов;

·  обременение активов;

·  возможные угрозы активам (в том числе в процессе «враждебных поглощений» и со стороны акционеров);

·  случаи попыток получения незаконного права или незаконного использования активов;

·  иные вопросы и ответы на них, необходимые для обеспечения безопасности активов организации.

-  финансовые средства

Уточнить (проанализировать):

·  порядок получения и транспортировки финансовых средств, возможные угрозы;

·  порядок хранения финансовых средств и возможные угрозы;

·  порядок использования финансовых средств (наличные деньги, безналичные переводы, и т. д.);

·  наличие дебиторской и кредиторской задолженности

·  какой банк используется для осуществления финансовых операций. Определить его надежность;

·  порядок использования пластиковых карт;

·  иные вопросы и ответы на них, необходимые для обеспечения безопасности финансовых средств организации.

-  материальные ценности

Уточнить (проанализировать):

·  объем материальных ценностей (их расположение), которым предполагается обеспечивать безопасность;

·  возможное перемещение материальных ценностей и необходимость обеспечения безопасности в процессе транспортировки;

·  как в настоящее время обеспечивается безопасность материальных ценностей;

·  как проводить охранные мероприятия по обеспечению безопасности материальных ценностей (пожелания владельца компании);

·  возможность (необходимость) привлечения к охранным мероприятиям подразделений иных ЧОПов, вневедомственной охраны, ведомственной охраны и т. д.;

·  наличие связей с государственными правоохранительными и контролирующими органами по обеспечению безопасности материальных ценностей;

·  возможность и необходимость страхования материальных ценностей;

·  возможность создания резервов материальных ценностей;

·  имеющиеся технические средства охраны;

·  имеющиеся системы противопожарной безопасности;

·  имеющиеся технические системы охраны периметров;

·  имеющиеся системы видеонаблюдения (охранного телевидения);

·  имеющиеся системы контроля доступа;

·  иные вопросы и ответы, необходимые для обеспечения безопасности материальных ценностей

-  технологии

Уточнить (проанализировать):

·  наличие технологий, имеющихся в организации и потребности в их защите;

·  наличие патентов на технологи, а также иного правового режима и прав как на сами технологии, так и на их использование;

·  наличие режима коммерческой тайны, а также целесообразность его создания для защиты технологий;

·  порядок доступа к технологиям со стороны сотрудников организации;

·  порядок доступа к технологиям со стороны иных организаций (в том числе правоохранительных и контролирующих);

·  иные вопросы и ответы, необходимые для обеспечения безопасности технологий.

-  информационные ресурсы

Уточнить (проанализировать):

·  наличие/отсутствие информации с ограниченным доступом (государственная тайна, коммерческая тайна, персональные данные, врачебная тайна, адвокатская тайна, нотариальная тайна и т. д.);

·  какая информация нуждается в защите;

·  какая организация защищаемых информационных потоков;

·  какие проводятся мероприятия по защите информации с ограниченным доступом;

·  какие применяются организационные способов защиты информации;

·  наличие/отсутствие конфиденциального делопроизводства;

·  требуется ли создание правового режима защиты информации;

·  какие средства IT безопасности применяются для защиты информации;

·  как проводится кадровая политика по минимизации угроз, связанных с разглашением информации через «человеческий фактор»;

·  иные вопросы и ответы, необходимые для обеспечения безопасности информационных ресурсов.

-  репутация организации

Уточнить (проанализировать):

·  имеется ли бренд организации и какой порядок его защиты;

·  имеются ли факты неправомерного использования товарных знаков организации;

·  имеются ли случаи подделок продукции (услуг) организации;

·  имеются ли факты черного PR компании;

·  как проводится PR акции и реклама компании;

·  иные вопросы и ответы, необходимые для обеспечения безопасности репутации организации.

2 этап

Определение субъектов обеспечения безопасности организации.

Отвечаем на вопрос: Кто будет заниматься безопасностью организации.

Возможные варианты:

1 вариант – силами только компании.

2 вариант – силами компании и силами должностных лиц или уполномоченного подразделения в организации (например, Службы безопасности).

3 вариант - силами компании и силами внешних компаний, предоставляющих услуги по безопасности (множественный аутсорсинг)

4 вариант – силами компании, силами иных компаний, предоставляющих услуги по безопасности и силами должностных лиц (подразделений) в организации

5 вариант – силами внешних компаний, представляющих услуги по безопасности (эксклюзивный аутсорсинг)

После выбора варианта целесообразно определить порядок взаимодействия, координации и подчинения между субъектами обеспечения безопасности

3 этап

Определение угроз для организации

Отвечаем на вопрос: От чего или от кого мы будем защищать организацию

Наиболее типичными внешними угрозами являются

-  конкуренты

Уточнить (проанализировать):

·  основные конкуренты и их правила (способы) ведения конкурентной борьбы;

·  анализ конкурентов по методам SWOT анализа, по системе Майкла Портера и иными аналитическими методами;

·  факты неправомерного (незаконного) ведения конкурентной борьбы;

·  факты мошенничества со стороны конкурентов;

·  связи конкурентов с административным и криминальным ресурсами;

·  официальные и неофициальные взаимоотношения и договоренности с конкурентами;

·  определение возможных проблемных точек соприкосновения с конкурентами в бизнесе;

·  иные вопросы и ответы, необходимые для обеспечения защиты со стороны конкурентов.

-  государство

Уточнить (проанализировать):

·  особенности законодательства в сфере деятельности компании;

·  взаимоотношения с государственными проверяющими, контролирующими и правоохранительными органами;

·  коррумпированность государственных органов;

·  интересы государства в организации (активы, госзаказы, акции и т. д.);

·  обострение отношений с государственными органами за прошедший период;

·  возможность сильной юридической защиты со стороны организации в случае обострения борьбы с государственными органами;

·  наличие/отсутствие лобби в государственных органах;

·  анализ поставщиков (потребителей, конкурентов) на предмет взаимоотношений с государством;

·  наличие/отсутствие участия организации в политической борьбе и контактов с политическими партиями;

·  анализ административного ресурса в регионе, городе, административном (муниципальном) образовании;

·  иные вопросы и ответы, необходимые для обеспечения защиты со стороны государства.

-  организованная преступность

Уточнить (проанализировать):

·  уровень организованной преступности в регионе и в данной сфере бизнеса;

·  возможные интересы организованной преступности в организации;

·  существующие способы урегулирования конфликтных ситуаций с преступными группировками;

·  возможность/невозможность использования административного ресурса для урегулирования конфликтных ситуаций с преступными группировками;

·  иные вопросы и ответы, необходимые для обеспечения защиты от организованной преступности.

-  техногенные и природные факторы

Уточнить (проанализировать):

·  зависимость организации от угроз, связанных с техногенными факторами и возможные потери;

·  вероятность наступления техногенных факторов;

·  зависимость организации от угроз, связанных с природными факторами (землетрясение, наводнение, оползни, сели, цунами и т. д.);

·  вероятность наступления природных факторов;

·  иные вопросы и ответы, необходимые для обеспечения защиты от техногенных и природных факторов.

Наиболее типичными внутренними угрозами являются

-  человеческий фактор

Уточнить (проанализировать):

·  угрозы со стороны «человеческого фактора», наиболее часто встречающиеся в деятельности организации (мошенничество, воровство, откаты и т. д.);

·  порядок проверки сотрудников при приеме на работу;

·  порядок контроля за сотрудниками в процессе их работы в компании;

·  порядок проведения внутрикорпоративных расследований по фактам совершения сотрудниками противоправных действий;

·  как проводится политика кадровой безопасности в организации;

·  какая система мотивации сотрудников в компании;

·  уровень профессионализма сотрудников организации;

·  подготовленность сотрудников к грамотным действиям во внештатных ситуациях;

·  защита организации от переманивания персонала;

·  какие сотрудники (должности) или группы сотрудников (перечень должностей) представляют наибольшую угрозу для организации;

·  возможные конфликты между владельцами, учредителями, руководителями, топ-менеджерами;

·  порядок увольнения сотрудников из компании;

·  иные вопросы и ответы, необходимые для обеспечения защиты со стороны «человеческого фактора».

-  несовершенная организационная структура организации

Уточнить (проанализировать):

·  организационно-правовая форма;

·  наличие/отсутствие дочерних/материнских организаций;

·  наличие/отсутствие холдинга;

·  наличие/отсутствие защищенной структуры бизнеса (разделение на владеющие и операционные организации);

·  наличие/отсутствие большого количества акционеров;

·  иные вопросы и ответы, необходимые для совершенствования организационной структуры организации.

-  несовершенная правовая защита организации

Уточнить (проанализировать):

·  анализ Устава и иных учредительных документов на предмет правовой защищенности организации;

·  анализ создания и функционирования организации в соответствии/с нарушением законодательства Российской Федерации;

·  наличие/отсутствие судебных исков против организации;

·  наличие/отсутствие корпоративных конфликтов, основанных на нарушении корпоративного права;

·  наличие в штате юристов и их профессионализм;

·  наличие/отсутствие привлечение внешних адвокатов и юридических организаций для защиты организации;

·  иные вопросы и ответы, необходимые для совершенствования правовой защиты организации.

4 этап

Определение возможных вариантов реализации угроз для организации

Отвечаем на вопрос: Как будут реализовываться угрозы, спрогнозированные на 3 этапе. Определяем возможные сценарии развитий событий и модели потенциальных правонарушителей. При возможности вычисляем вероятность наступления событий (статистический метод, метод аналогии, теория больших чисел и т. д.)

Данный этап проводится на основании информации, полученной на 3 этапе

5 этап

Построение системы безопасности для организации

Отвечаем на вопрос: Как будем строить систему безопасности для организации

Система безопасности организации может состоять из следующих подсистем:

-  информационная безопасность

Достигается проведением следующих мероприятий:

·  режимными мероприятиями;

·  техническими мероприятиями;

·  организационными мероприятиями;

·  созданием конфиденциального делопроизводства;

·  правовыми мероприятиями;

·  IT мероприятиями;

·  кадровыми мероприятиями;

·  иными мероприятиями.

-  кадровая безопасность

Достигается проведением следующих мероприятий:

·  мероприятиями при приеме сотрудников;

·  мероприятиями по защите организации от противоправных (некомпетентных) действий со стороны сотрудников;

·  мероприятиями при увольнении сотрудников

·  иными мероприятиями.

-  экономическая безопасность

Достигается проведением следующих мероприятий:

·  мероприятиями по управлению и минимизации экономических рисков;

·  информационно-аналитической работой (бизнес-разведкой);

·  мероприятиями по защите от мошенничества;

·  мероприятиями по взаимодействию с государственными и правоохранительными органами;

·  мероприятиями по защите от враждебного поглощения;

·  мероприятиями по взысканию долгов;

·  иными мероприятиями

-  личная безопасность

Достигается проведением следующих мероприятий:

·  мероприятиями по физической защите;

·  мероприятиями по юридической защите;

·  мероприятиями по психологической защите;

·  мероприятиями по химической, биологической и радиационной защите;

·  иными мероприятиями.

-  инженерно-техническая безопасность

Достигается проведением следующих мероприятий:

·  противопожарными мероприятиями;

·  создание контроля и управлением доступом в компанию;

·  установкой систем видеонаблюдения;

·  мероприятиями по контролю периметров компании;

·  установкой систем сигнализации;

·  иными мероприятиями.

-  техническая безопасность

Достигается проведением следующих мероприятий:

·  мероприятиями по защите акустического канала утечки информации;

·  мероприятиями по защите визуального канала утечки информации;

·  мероприятиями по защите от побочных электромагнитных излучений и наводок;

·  иными мероприятиями.

-  IT – безопасность

Достигается проведением следующих мероприятий:

·  мероприятиями по защите автономной информации;

·  мероприятиями по защите информации, находящейся в корпоративной сети;

·  мероприятиями по защите информации при передаче ее между территориально разрозненными объектами;

·  иными мероприятиями.

-  правовая защита бизнеса

Достигается проведением следующих мероприятий:

·  созданием защищенных учредительных документов;

·  юридическим сопровождением деятельности компании;

·  адвокатским сопровождением деятельности компании;

·  иными юридическими мероприятиями.

6 этап

Создание основного документа по защите организации:

«Политика безопасности организации» или

«Концепция обеспечения безопасности организации

Отвечаем на вопрос: Как будем создавать данный документ

Данный документ может состоять из следующих разделов

Раздел 1 Описание ситуации в области безопасности компании

-  определение состояния окружающей конкурентной среды;

-  анализ экономического состояния компании, его ресурсного потенциала, степени защищенности объектов безопасности, надежности кадрового потенциала, состояния его функциональных составляющих: финансовой, кадровой и интеллектуальной, правовой, информационной, технико-технологической, экологической, силовой и т. д.;

-  выявление потенциальных и реальных угроз и экономических рисков, их ранжирование по степени значимости или опасности по времени наступления или величине возможно нанесенного ущерба;

-  определение причин и факторов зарождения угроз и экономических рисков;

-  прогнозирование возможных негативных последствий отдельных угроз и экономических рисков, расчет возможного ущерба;

-  формулировка проблемной ситуации.

Раздел 2. Определение целевой установки обеспечения безопасности

-  формулирование политики и стратегии безопасности;

-  определение цели безопасности;

-  постановка задач, способствующих достижению цели и реализации сформулированной политики и выбранного типа стратегии.

Раздел 3 Построение системы безопасности компании

-  формулирование функций системы безопасности компании и выбор тех принципов, на которых она строится;

-  определение объектов безопасности и анализ состояния их защищенности;

-  создание органов (субъектов) обеспечения безопасности;

-  разработка механизмов обеспечения безопасности;

-  создание организационной структуры управления системой безопасности компании

Раздел 4. Разработка методов оценки состояния безопасности компании

-  определение основополагающих критериев и показателей состояния безопасности компании;

-  выбор методов оценки состояния безопасности компании;

-  формирование системы методов анализа экономических рисков

Раздел 5. Расчет сил и средств, необходимых для обеспечения безопасности

-  расчет необходимого количества материально-технических ресурсов, средств защиты и охраны объектов безопасности;

-  определение необходимого количества людских ресурсов и затрат на их содержание и стимулирование труда;

-  определение финансовых затрат, необходимых для обеспечения безопасности компании;

-  сопоставление необходимых затрат с возможным ущербом от воздействия угроз и экономических рисков.

Раздел 6. Разработка мер по реализации основных положений концепции безопасности компании

-  определение условий, необходимых и достаточных для реализации концепции;

-  нахождение источников ресурсного обеспечения концепции;

-  выделение финансовых средств для реализации концепции;

-  разработка стратегического плана (или программы), а также планов работы структурных подразделений службы безопасности по решению задач, определенных концепцией;

-  подготовка профессиональных кадров для службы безопасности, а также обучение сотрудников компании (в части, их касающейся) вопросам соблюдения правил безопасности, действиям в чрезвычайных ситуациях, правилам пропускного режима, работы с документами, соблюдению коммерческой тайны и т. д.;

-  создание определенного типа службы безопасности и организация управления ею;

-  установление технических средств защиты и др.;

-  контроль за эффективностью выполнения основных положений концепции экономической безопасности;

-  развитие системы безопасности компании, постоянная адаптация ее к изменяющимся условиям, совершенствование форм и методов ее работы.