Прошу обратить Ваше внимание, что в данной статье все указанные события, примеры, ссылки являются вымышленными, все совпадения фамилий, должностных лиц, названий населенных пунктов, компаний являются случайными.
Всё ниже написанное основано на моем личном опыте и опыте моих некоторых коллег, является моим частным мнением, которое я не пытаюсь никому навязывать.
Надеюсь, что данная статья покажется кому-то интересной и будет полезной.
Более подробно все темы, связанные с построением комплексной безопасности описаны в моей книге «Комплексная безопасность компании», которую можно заказать у автора.
Данная статья предназначена для руководителей и сотрудников службы безопасности как крупных холдинговых компаний, имеющих в штате значительное количество сотрудников СБ, так и не больших предприятий, где сотрудник СБ работает в единственном числе.
Кроме того, изучение данной темы помогло бы собственникам бизнеса в понимании необходимости построения системы комплексной безопасности компании, а также роли и значении службы безопасности.
Проработав в разных производственно-торговых компаниях, получив определенный опыт и приняв активное участие в развитии системы безопасности, у меня сложилось ясное понимание целей обеспечения комплексной безопасности компании (далее КБК), способов и методов решения стоящих при этом задач, с большим количеством реальных примеров, что я и попытаюсь изложить.
К пониманию необходимости написания этой статьи подтолкнули несколько факторов.
Во-первых, практически невозможно найти методическую литературу, в которой были бы четко описаны не только основные принципы обеспечения комплексной безопасности компании, но и практические методы и формы построения данной системы. А так как изучить данное направление негде, то большинство сотрудников службы безопасности, являясь в основной своей массе выходцами из различных силовых структур, попав на работу в коммерческую организацию и не владея понимаем проблем КБК совершают те или иные ошибки, в большей или меньшей степени.
Часть сотрудников СБ, в ходе приобретения практических навыков, путем проб и ошибок, получит необходимые знания и опыт, станут опытными «безопасниками», другая часть так и не разобравшись по объективным или субъективным причинам в проблемах организации КБК уйдет из данной сферы деятельности, а часть станет «серой массой» сотрудников СБ, основным принципом которых является желание «пересидеть», особо не напрягаться, «пробивать» через знакомых действующих сотрудников правоохранительных органов кандидатов на работу, не вникая в проблемы обеспечения безопасности компании.
Во-вторых, появился значительный опыт работы, понимание основ построения КБК, методов достижения поставленных целей. На практике была выстроена эффективная система безопасности, которая постоянна совершенствовалась, осуществлялось профессиональное развитие и повышение уровня подготовки кадров СБ.
В процессе организации работы внедрялись современные передовые формы и методы, был организован процесс обучения сотрудников. В этих целях сотрудники СБ постоянно участвовали в различных специализированных форумах, семинарах, вебинарах, конференциях, где получали новые знания, возможность обмениваться самым передовым опытом.
Большую роль в процессе приобретения новых навыков сыграли лучшие специалисты в своих направлениях по конкурентной разведке и аналитической работе, разработчики информационных систем и различных сервисов, практикующие руководители СБ в крупных компаниях.
В-третьих, пришло понимание того, что для передачи опыта коллегам, работающим в данной сфере необходимо подготовить методическое пособие, которое позволит систематизировать процесс получения практических знаний по организации КБК, раскрыть методы реализации задач, стоящих перед СБ.
В-четвертых, собственникам бизнеса необходимо донести понимание необходимости создание системы КБК, её целей и задач, методов их достижения.
В настоящее время сложилась тревожная тенденция, которая развивает мнение собственников бизнеса о снижении роли и значения СБ, необходимости цифровизации всех направлений безопасности, передачи части полномочий СБ руководителям других подразделений.
Считаю, что данное мнение наносит ущерб общей безопасности компании, сводит на нет роль и место СБ.
В этой связи, перед сообществом сотрудников СБ стоит задача путем постоянного совершенствования форм и методов обеспечения КБК, доказать свою необходимость, важность для бизнеса, обеспечить максимальную защиту бизнеса и показать эффективность своей работы.
ФАКТОРЫ ВЛИЯЮЩИЕ НА ВОЗМОЖНОСТЬ
СОЗДАНИЯ КБК.
Давайте определимся, что такое комплексная безопасность компании, ее цели, какие задачи при этом придётся решать и самое главное вникнув во всю проблематику, связанную с данным направлением, понять готовы ли Вы посвятить себя профессиональной организации системы безопасности.
При правильной организации работы по построению КБК собственник получает полный контроль за всеми бизнес-процессами в компании, имеет полную, объективную и независимую информацию, необходимую для оценки имеющихся рисков, и на этой основе максимально эффективно выстраивает систему управления.
При этом конкретные условия в той или иной сфере деятельности, требование собственников бизнеса и квалификация сотрудников СБ могут значительно влиять на возможность реализации мер, направленных на обеспечение безопасности, но тем не менее основные принципы одинаковы в любых условиях.
Можно выделить два основных фактора, влияющих на возможность построения системы комплексной безопасности в компании.
Первый – это понимание собственника бизнеса о необходимости обеспечения КБК и его поддержка при организации необходимых мероприятий.
Второй – профессиональные и личные качества руководителя СБ, который будет заниматься реализацией построения системы КБК.
Прежде чем перейти к рассмотрению этих факторов я хочу классифицировать категории собственников бизнеса и «безопасников». Эта классификация определена лично мною исходя из своего опыта и понимания процессов обеспечения безопасности.
Данная классификация строится на основании отношения собственников бизнеса и «безопасников» к построению системы КБК. Конечно, это деление в определенной мере условное, так как вряд ли всех можно классифицировать строго по одному конкретному признаку, но в общем считаю представленную ниже классификацию, вполне отражающую сложившиеся тенденции.
Собственников бизнеса по моему мнению можно условно разделить на четыре категории по их отношению к обеспечению безопасности компании:
· первая – собственники принимают решение о создании службы безопасности потому, что так во всех компаниях, т.е. по принципу «у других есть, а чем я хуже».
В этом случае собственник абсолютно не понимает для чего вообще нужна безопасность, имеет смутное представление как он будет использовать данное подразделение.
При таком подходе зачастую на работу принимается сотрудник не по деловым качествам, а из-за его званий, связей и т.д. Подтверждение этому можно увидеть в многочисленных объявлениях о приеме на работу – «требуется руководитель СБ, звание не ниже полковник, наличие связей в госструктурах обязательно».
· вторая – эта категория собственников считает себя специалистами во всех направлениях бизнеса. Они лучшие технологи, продавцы, маркетологи, финансовые работники и в том числе лучшие «безопасники».
Данная категория собственников самостоятельно выстраивает все процессы обеспечения безопасности в соответствии со своими представлениями, которые зачастую не соответствуют профессиональным критериям построения системы безопасности.
Сотрудник СБ в этом случае окружён различными правилами, инструкциями и регламентами, которые лишают его инициативы и возможности самостоятельно правильно организовать процессы обеспечения безопасности.
· третья – данная категория практически не участвует в управлении собственной компанией, отдав всю полноту исполнительной власти одному или группе должностных лиц. В данном случае сотрудник службы безопасности изолирован от общения с собственником бизнеса и будет работать уже не в интересах компании, а в интересах должностных лиц, имеющих реальную власть. А это согласитесь разные направления.
· четвертая – в отличии от первых трех данная категория собственников четко понимает необходимость обеспечения безопасности своего бизнеса, осознает угрозы, стоящие перед компанией и при этом понимает, что для обеспечения безопасности ему нужен профессионал своего дела.
В этом случае решение о приеме на работу «безопасника» принимается взвешенно, ему предлагается изложить концепцию обеспечения КБК, оценивается деловые и личностные качества.
В дальнейшем такой «безопасник» имеет поддержку проводимых мероприятий со стороны собственника, что имеет решающее значение для построения системы КБК.
Понятно, что в жизни сложно руководствоваться только данным описанием категорий и возможны различные вариации, но в целом считаю такую классификацию вполне жизнеспособной и позволяющей для «безопасника» принять правильное решение о стратегии построения системы безопасности компании.
Как вы уже, наверное, догадались первая, вторая и третья категория собственников наиболее многочисленная, а встретить на своём пути четвертую категорию большая удача не только для «безопасника», но и для любого другого представителя той или иной профессии, так как у таких собственников бизнеса есть понимание того, что они не могут быть специалистами во всех сферах и для обеспечения развития компании необходимы профессионалы своего дела.
Рассмотрим теперь классификацию «безопасников», которые по моему мнению можно также условно разделить на четыре категории:
· первая – представители данной категории вышли на пенсию после службы в силовых структурах, устроились в коммерческую организацию, их устраивает не большая зарплата. Живут по принципу – «есть пенсия, плюс зарплата, перенапрягаться не надо». Сотрудники такой категории обычно занимаются в компании незначительными проверками, например на судимость через действующих коллег в правоохранительной системе и организацией физической охраны. Повышать свой профессиональный уровень не желают.
Таких в нашей профессии, к сожалению, абсолютное большинство, и собственники бизнеса сталкиваясь с такими «безопасниками», считают службу безопасности практически бесполезным подразделением (очень часто обоснованно). В этой связи и вкладывать серьезные средства в это направление, в том числе и в заработную плату «безопасников», по их мнению, не имеет никакого смысла.
· Вторая – данная категория состоит из сотрудников, которые и на своей службе, и на работе в коммерческой организации привыкли извлекать выгоду из своего должностного положения. Такие сотрудники обычно высоко профессиональны, многое знают и умеют, имеют связи в правоохранительных органах, но их цель – личная выгода.
Собственники бизнеса прекрасно осведомлены о таких рисках и испытывают при работе с «безопасниками» определенную настороженность.
· третья – ранее я данную категорию не выделял, но с опытом работы появилась понимание, что она упущена. Это категория «безопасников», которые умеют произвести впечатление грамотно поставленной речью, понимают внутреннее состояние собственника бизнеса, говорят ему только то, что он желает слышать, таким образом маскируя свое неумение или нежелание правильно организовать работу.
Сотрудники данной категории как правило имеют опыт руководящей и оперативной работы, умеют построить беседу таким образом, чтобы войти в доверие, рассказывая о некой «очень значимой оперативной информации».
Такие безопасники кроме длительных рассуждений, зачастую очень поверхностных, не могут организовать построение в компании правильной системы безопасности. И чем скорее собственник бизнеса это начинает понимать, тем лучше.
· четвертая – эта категория имеет опыт (либо желание его получить) организации правильной системы безопасности, постоянно совершенствует свои профессиональные качества, стремится применять все современные прогрессивные формы и методы работы, а также благодаря высоким моральным качествам преданны своей профессии и интересам компании.
Так достаточно подробно пришлось остановиться на классификации наших работодателей и представителей нашей специальности, потому что правильно организовать систему КБК, можно только при взаимодействии определенных этих категорий.
Сразу хочу определиться с категориями безопасников, эта статья только для четвертой категории, а также для собственников всех категорий.
С собственниками бизнеса не все так однозначно. Конечно, будет замечательно если вы попадете на работу к четвертой категории, но в жизни такое случается не всегда, потому что данная категория не так многочисленна, как хотелось бы.
Кроме того «безопаснику» вообще сложно устроиться на работу из-за небольшого числа имеющихся вакансий на рынке труда и огромного количества соискателей, а попасть к работодателю из четвертой категории вообще сложно, так как их мало, и они как правило очень взвешенно и осознанно подходят к отбору кандидатов на эту позицию, изучают рекомендации, обсуждают предложенную концепцию обеспечения безопасности. Поэтому для результативного собеседования кандидат должен будет готов показать свой профессиональный опыт, предоставить концепцию обеспечения КБК, доказать свои положительные личностные качества.
При этом часто от самого «безопасника» результаты собеседования практически не зависят, так как собственники предпочитают поручать осуществление подбора службе персонала, а последующие финальные собеседования одному из должностных лиц (например, своему заместителю).
В этом случае сотрудники проводящие интервью, не имея абсолютно никакого представления о построении системы безопасности в компании, её целях и задачах, конечно не могут принять решения о том соответствует ли кандидат имеющейся вакансии. Данные должностные лица часто интуитивно чувствуют четвертую категорию «безопасника», которая для них лично может представлять серьёзную угрозу и ими такие кандидаты моментально отсеиваются.
Поэтому, если собственник желает действительно построить в своей компании эффективную систему комплексной безопасности в его понимании, а не безопасную работу тех должностных лиц, которым он перепоручил подбор, ему необходимо лично поручить подбор профессиональному и независимому кадровому агентству с серьёзной репутацией, а собеседования с финальным кандидатом проводить лично, не передоверяя этот процесс никому.
Мы немного поговорили о собственниках четвертой категории, но и работа с владельцами бизнеса других категорий не исключает возможность построения системы безопасности.
Для этого необходимо поэтапное, осторожное внедрение тех или иных процессов, терпеливое пояснение для чего они нужны, анализ их применения с обязательным рассмотрением полученных для бизнеса преимуществ.
Если в случае с первой категорией собственников это достаточно несложно, то со второй категорией нужно соблюдать осторожность, проявлять терпение и такт. Самое сложное что-то изменить в работе с третьей категорией, так как контакт с собственником либо ограничен, либо исключен вообще.
Для всех категорий собственников необходимо одно очень важное условие, без которого трудно добиться построения эффективной системы обеспечения безопасности – это доверие собственника бизнеса к «безопаснику». Так как обеспечение безопасности бизнеса очень чувствительная тема для владельцев, то без доверия, понимания того, что «безопасник» полностью лоялен собственнику, невозможно реализовать все мероприятия по обеспечению КБК.
Добиться этого не просто и только честные, профессиональные, преданные делу сотрудники могут получить доверие собственника, которое станет важнейшим фактором его эффективной работы в компании.
ОСНОВНЫЕ ЦЕЛИ ПОСТРОЕНИЯ КБК.
Комплексная безопасность – это состояние защищенности интересов компании от различных видов угроз, достигаемое путем реализации совокупности мероприятий, представляющей единую целостность, по обеспечению безопасности бизнеса.
Для успешного функционирования системы комплексной безопасности компании необходимо принятие стратегической концепции обеспечения безопасности и на этой основе осуществление комплекса тактических действий.
Обеспечить комплексную безопасность компании можно только путем общей вовлеченности в данный процесс всех служб и подразделений, их руководителей и рядовых сотрудников, а не только действиями сотрудников СБ.
Вместе с тем основным держателем процессов обеспечения КБК и подразделением, осуществляющим контроль за действиями всех структурных подразделений компании по обеспечению безопасности, должна является СБ.
Для обеспечения КБК руководителю СБ необходимо разработать документ, в котором отражается организация системы безопасности, принципы и методы её реализации.
Таким документом является концепция обеспечения КБК. Разработанную концепцию необходимо согласовать с собственником бизнеса, во-первых, для того, чтобы у него появилось понимание что предлагается для обеспечения КБК, и во-вторых, у СБ появляется документ, утвержденный собственником, на который всегда можно опираться для обоснования тех или иных мероприятий, проводимых СБ.
Концепция комплексной безопасности выражает систему взглядов на проблемы безопасности на различных этапах и уровнях, а также основные принципы реализации мер безопасности.
Главной целью построения системы комплексной безопасности является предотвращение различного ущерба компании от как умышленных, так и неумышленных действий, осуществляемых следующими внутренними и внешними силами:
· сотрудниками компании;
· внешними структурами и организациями, наделёнными контролирующими, разрешительными и другими регулирующими функциями;
· конкурентами и криминальной средой.
Достижение цели предотвращения ущерба компании осуществляется посредством решения задач по обеспечению:
· кадровой безопасности;
· физической безопасности;
· экономической безопасности;
· информационной безопасности.
КАДРОВАЯ БЕЗОПАСНОСТЬ.
Кадровая безопасность — это процесс предотвращения негативных воздействий на безопасность компании за счет ликвидации или снижения рисков и угроз, связанных с персоналом, его интеллектуальным потенциалом и трудовыми отношениями в целом.
Основной целью организации процессов обеспечения кадровой безопасности является минимизация рисков и угроз со стороны персонала путём подбора кандидатов по трём основным критериям:
· Психофизиологическая надёжность – определяется свойствами организма и психики человека, позволяющими работнику выполнять свои трудовые и служебные функции, не подвергая риску безопасность предприятия. При этом важным фактором является сохранение трудоспособности в условиях длительных стрессов, физических и психологических перегрузок.
· Профессиональная надёжность – обеспечивается уровнем знаний, квалификации и опыта, высокими деловыми качествами, развитой корпоративной профессиональной культурой.
· Личностная надёжность – преданность сотрудника своей организации, его лояльность с позиции оценки присущих ему моральных качеств, социального окружения и зависимостей.
Существуют следующие риски и угрозы для компании со стороны персонала:
· Умышленные действия, направленные на причинение ущерба предприятию (хищение имущества, мошеннические действия, использование ресурсов предприятия в собственных целях, получение заработной платы за невыполняемую работу, завышения оплат партнерам компании и получение за это «откатов» и т.д.).
· Нелояльность компании и как следствие действия, предпринимаемые сотрудниками для перехода в другую компанию, причинение различных видов ущерба компании, в том числе имиджевых потерь.
· Разглашение сведений, являющихся коммерческой тайной, несет серьёзные риски передачи данных конкурентам, как следствие нанесение серьёзного экономического ущерба.
· Дисциплинарные нарушения создают в компании нездоровую рабочую обстановку, отрицательно влияющую на организацию процессов, состояние трудовой дисциплины.
· Несоответствие квалификации сотрудников предъявляемым к ним требованиям - опасность, ведущая к нанесению не умышленного ущерба Компании из-за невозможности качественного и своевременного выполнения поставленных задач.
Для решения основной цели обеспечения кадровой безопасности компании необходимо обеспечить решение следующих задач:
· Регламентирование процесса подбора кандидатов. Для этого необходимо разработать и внедрить регламент «Подбор и оформление персонала» и обеспечить контроль за его четким соблюдением.
· Всестороннее изучение кандидата при приеме на работу, с целью недопущения возникновения трудовых отношений с лицом не соответствующим морально-деловым качествам необходимым для компании.
· Осуществление дополнительной проверки при переводе сотрудника компании на вышестоящую должность.
· Контроль за заключением договоров о полной материальной ответственности, если вновь принимаемый сотрудник является материально-ответственным лицом.
· Контроль за ознакомлением вновь принятого сотрудника с регламентирующими документами предприятия и локально-нормативными актами.
· Учёт лиц, допустивших различного рода нарушения и привлеченных к дисциплинарной ответственности, проведение с ними индивидуально-профилактической работы.
· Контроль наличия у всех сотрудников предприятия должностных инструкций.
· Организация процесса постоянного обучения и повышения квалификации персонала.
· Разработка системы эффективной мотивации персонала, в том числе не материальными методами.
ФИЗИЧЕСКАЯ БЕЗОПАСНОСТЬ.
Физическая безопасность это одна из важнейших составляющих комплексной безопасности компании.
Целью организации физической безопасности компании является обеспечение сохранности имущества на охраняемых объектах, защита руководства и персонала, обеспечение соблюдения персоналом и посетителями правил, принятых в компании.
Достижение данной цели обеспечивается решением задач по контролю за соблюдения пропускного и внутриобъектового режима, а также обеспечения безопасности руководства Компании (рис.2).
Правильно организованный и неукоснительно соблюдаемый пропускной и внутриобъектовый режим является основой системы обеспечения физической безопасности.
Установление пропускного режима необходимо для обеспечения:
· антитеррористической защищённости;
· предотвращения проникновения посторонних лиц на территорию объекта;
· контроля за перемещением с (на) охраняемого объекта товарно-материальных ценностей;
· обеспечение сохранности и защиты конфиденциальной информации.
Соблюдение внутриобъектового режима обеспечивает:
· сохранность товарно-материальных ценностей;
· пресечение несанкционированных перемещения по объекту;
· соблюдение ПВТР, трудовой дисциплины, поддержание организованности и общественного порядка;
· своевременные действия охраны и всего персонала при возникновении ЧС.
Для обеспечения организации пропускного и внутриобъектового режима необходимо осуществить следующие мероприятия:
· Разработать и внедрить положение «О пропускном и внутриобъектовом режимах», в котором применительно к конкретным условиям подробно описать правила пропускного режима, организацию работы технических средств охраны, правила допуска на территорию контролирующих органов, действия при ЧО и ЧС, основные требования к внутриобъектовому режиму, силы и средства, задействованные при этом;
· Обеспечить контроль за порядком прохода на территорию охраняемого объекта и в его отдельные помещения людей и выхода их обратно, въезда и выезда автомобильного и другого вида транспорта;
· Определить порядок вывоза, выноса, ввоза и вноса товарно-материальных ценностей на территорию охраняемого объекта;
· Внедрить современные технических системы охраны - аудио записи, видеонаблюдения, СКУД, тревожной-пожарной сигнализации и т.д.
· Обеспечить контроль за соблюдением сотрудниками правил внутреннего трудового распорядка (ПВТР) и других локально-нормативных актов на территории охраняемых объектов;
· Обеспечить недопущение несанкционированного осуществления ауди-видео записей на территории объектов Компании как сотрудниками, так и посетителями.
ЭКОНОМИЧЕСКАЯ БЕЗОПАСНОСТЬ.
Экономическая безопасность – это состояние защищенности жизненно важных интересов компании от реальных и потенциальных источников опасности или экономических угроз.
Поэтому основной целью обеспечения экономической безопасности является минимизация внешних и внутренних угроз экономическому состоянию предприятия, в том числе его финансовым, материальным, ресурсам, на основе разработанного и реализуемого комплекса мероприятий.
Для достижения основной цели обеспечения экономической безопасности необходимо обеспечить решение задач, которые можно разделить на четыре основных блока (рис.3):
· создание системы управления рисками
· обеспечение безопасности производственного блока;
· обеспечение безопасности коммерческого блока;
· обеспечение безопасности финансового блока.
Для решения задач по обеспечению экономической безопасности Компании необходимо организовать проведение следующих мероприятий:
1. Разработать и внедрить систему управления экономическими рисками. При разработке данной системы в нее необходимо включить следующие блоки:
· прогнозирование рисковой ситуации;
· оценка риска;
· определение допустимых пределов риска;
· разработка методов управления рисками;
· выбор наиболее предпочтительного варианта действий по управлению риском и недопущению возникновения критического предела риска;
· практические действия по реализации принятого решения;
· контроль за выполнением принятого решения и принятие мер в случае необходимости по корректировке принятых решений.
Основные направления экономической деятельности компании, для которых будут применятся принципы управления рисками, следующие:
· Порядок заключение договоров с контрагентами, на основе принятия решения их классификации по уровню риска;
· Определение максимально безопасных условий работы с контрагентами (лимит товарного кредита, отсрочка платежа, размер предоплаты, сроки исполнения обязательств и т.д.);
· Тендерная работа, направленная на получение наиболее выгодных и безопасных условий работы с контрагентами;
· Организация работы с дебиторской задолженностью контрагентов, ведение претензионной и судебной работы с целью взыскания возникшей задолженности.
2. Разработать процессы контроля за следующими направлениями финансово-хозяйственной деятельности:
В производственном блоке:
· Поступление и списание ТМЦ, используемого для производимого продукта;
· Обеспечение сохранности ТМЦ, организация на складах процессов приемки, хранения и отгрузки продукции, проведение своевременных инвентаризаций;
· Организация контроля процессов на основном производстве компании;
· Контроль работы производственного учета;
· Процессы, связанные с транспортной и складской логистикой;
· Организация контроля за работой собственного транспорта компании;
· Контроль за работой по обеспечения соблюдения Правил безопасности и охраны труда.
В коммерческом блоке:
· Определение наиболее эффективных и безопасных условий работы с контрагентами с учетом системы управления рисками. Это ценообразование реализуемой продукции, установление отсрочек платежей и лимитов отгрузки;
· Контроль за ДЗ/ПДЗ и возвратами продукции;
· Контроль за созданием и функционированием бонусной и акционной системами;
· Контроль за деятельностью направления маркетинга по заключению договоров, соблюдению тендерных процедур.
В финансовом блоке:
· Обеспечение контроля за формированием бюджетов;
· Контроль за процессом привлечения финансирования в компанию;
· Создание системы согласования и контроля осуществляемых платежей;
· Контроль за ведением учета ТМЦ;
· Регулярное и своевременное проведение сверок с контрагентами;
· Контроль за ведением кассовых операций;
· Контроль за обоснованностью выдачи подотчетных средств и обоснованностью предоставляемых авансовых отчетов.
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ.
Информационная безопасность компании — это защищенность информации и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести ущерб владельцам или пользователям информации.
Основной целью обеспечения информационной безопасности компании (далее ИБ) является внедрение комплекса мероприятий, обеспечивающих необходимую защиту при обработке, передачи и хранении информации. При этом информация не должна быть ограничена в использовании и динамичном развитии для уполномоченных лиц.
Существуют следующие актуальные угрозы информационной безопасности компании:
· Утечка информации ограниченного доступа и иной конфиденциальной информации в следствии внешних кибератак;
· Утечка информации ограниченного доступа и иной конфиденциальной информации в следствии противоправных действий персонала;
· Несанкционированная передача информации ограниченного доступа и иной конфиденциальной информации третьему лицу (разглашение) в следствии нарушения политики работы с данными;
· Заражение компьютерной инфраструктуры посредством методов социальной инженерии и эксплуатации уязвимости;
· Вымогательство посредством методов социальной инженерии.
Главными задачами для достижения информационной безопасности предприятия являются обеспечение:
- конфиденциальности (исключение или затруднение неправомерного доступа к информации);
- целостности (исключение или затруднение неправомочного изменения данных);
- ограничение доступности (исключение или затруднение действий, делающих невозможным или ограничивающих доступ к ресурсам информационной системы).
Можно выделить четыре уровня обеспечения ИБ (рис.4):
§ законодательный, включает применение правовых документов в области ИБ федерального уровня (Международные договоры РФ, Конституция РФ, Законы федерального уровня, Указы Президента РФ, Постановления правительства РФ, Нормативные правовые акты федеральных министерств и ведомств, Нормативные правовые акты субъектов РФ, органов местного самоуправления);
§ административный, включает совокупность документированных решений руководства предприятия, которые направлены на защиту информации или, другими словами, политику безопасности предприятия;
§ программно-технический, включает в себя различные сервисы безопасности используемые для предотвращения утечки данных (например система DLP) и системы для информирования о риск-инцидентах (например система SIEM);
§ процедурный, включает меры, реализуемые должностными лицами при обнаружении риск-инцидентов (восстановительные работы, меры реагирование на нарушение безопасного режима).
В целях обеспечения информационной безопасности компании разрабатываются регламентирующие документы, которые подробно описывают все необходимые мероприятия, проводимые в данных направлениях.
На основании регламента обеспечения ИБ разрабатываются и осуществляется проведение практических мероприятия программно-технического характера, аналитической работы и реагирования на полученную информацию, с целью построения системы защиты компании в данном направлении.
ОСНОВНЫЕ СТРАТЕГИЧЕСКИЕ НАПРАВЛЕНИЯ
ПОСТРОЕНИЯ КБК.
Для построения системы комплексной безопасности важно создать условия необходимые для её функционирования и развития, опираясь на последовательно реализованные этапы ее построения.
Стратегические этапы построения КБК:
· правовые основы комплексной безопасности;
· Организационная структура СБ;
· Создание системы контроля за финансово-хозяйственной деятельностью.
По каждому направлению необходимо провести определенную работу, принять управленческие и организационные решения, так как каждый из данных этапов имеет огромное значение для эффективного построения КБК.
Для этого сначала создаются правовые основы обеспечения комплексной безопасности, принимается решение о том, какими силами и средствами необходимо обеспечить безопасность компании, т.е. готовится организационно-штатная структура и на основании этих подготовительных мероприятий обеспечивается контроль за финансово-хозяйственной деятельностью компании.
Рассмотрим более подробно каждое из направлений.
ПРАВОВЫЕ ОСНОВЫ ПОСТРОЕНИЯ СИСТЕМЫ КОМПЛЕКСНОЙ БЕЗОПАСНОСТИ.
Правовыми основами, определяющими существование, функционирование любого государства, муниципального субъекта, государственных органов являются законы и подзаконные акты. Без них трудно представить организацию жизнедеятельности, взаимоотношения между органами власти и населением, регулирование различных процессов.
Точно также и коммерческие структуры не могут существовать без своих правил, которые определяются регламентами, положениями, распоряжениями и называются локально-нормативными актами.
Часто приходится сталкиваться с мнением руководителей различного уровня, что разработка и внедрение регламентирующих документов в компании является выстраиванием бюрократических процессов, тормозящих бизнес.
В ответ приведу простые примеры. Если в государстве отменить основные регламентирующие документы как мы будем жить? Ну к примеру правила дорожного движения упразднить. Или гражданский кодекс или любые другие правила? Что получится – хаос. Точно также и в любой компании - общие правила необходимы!
Для любой компании, для различных бизнес-структур, крайне важно создать правовые основы работы функций бизнеса, регламентирующие различные основные процессы документы.
При этом необходимо, чтобы действующие документы описывали реальные процессы, соблюдались всеми участниками, а в случае нарушений принятых правил, виновные неотвратимо привлекались к ответственности.
Отсутствие необходимых регламентирующих документов создает предпосылки к созданию в компании хаоса, безнаказанности, вседозволенности, когда определенный порядок начинают диктовать в своих интересах те или иные силы, получившие наибольший политический (управленческий) вес.
В основе мер по обеспечению комплексной безопасности компании лежит концепция, определяющая прежде всего правовые основы системы обеспечения безопасности, утвержденная Собственником бизнеса, локально-нормативные документы описывающие утвержденные правила в различных бизнес-процессах и регламентирующий документ, наделяющий службу безопасности контрольными функциями.
· Концепция комплексной безопасности компании.
Данная концепция определяет цели обеспечения безопасности, её задачи, принципы деятельности, стратегию и тактику, основные виды угроз безопасности компании, ресурсы, подлежащие защите, а также основные направления организации системы безопасности, необходимые для этого силы и средства.
· Локально-нормативные акты.
Основным инструментом реализации концепции обеспечения комплексной безопасности компании, следованию ее стратегическим направлением являются разработка и принятие основных локально-нормативных актов, по всем основным направлениям финансово-хозяйственной деятельности. Их соблюдение должно стать безусловным правилом для всех должностных лиц.
Правильно разработанные регламентирующие документы обеспечивают вовлеченность в процесс организации безопасности компании всех необходимых служб и подразделений.
Одним из важнейших таких документов является «Положение о порядке разработки, согласования и утверждения регламентирующих и распорядительных документов компании». Данное положение закрепляет коллегиальный порядок разработки, обсуждения и согласования всеми заинтересованными службами регламентирующих документов, приказов, распоряжений. Обязательными службами (помимо всех остальных), участвующими в разработке и согласовании всех регламентирующих и распорядительных документов, должны являться СБ и юридический департамент.
СБ должна является структурой уполномоченной обеспечить контроль за принятием регламентирующих документов, не несущих угрозы безопасности компании, безусловным соблюдением всеми подразделениями принятых локально-нормативных актов, а юридический департамент обеспечивает соблюдение требований действующего законодательства применительно к конкретному документу.
· Документ, закрепляющий контрольную функцию СБ.
Контрольную функцию СБ в компании необходимо закрепить отдельным регламентирующим документом.
Таким документом могут стать «правила и стандарты обеспечения безопасности компании» утвержденным Собственником бизнеса.
В данном документе подробно описываются контрольные мероприятия, сроки их исполнения, система оценки и подготовки отчетов для Собственника о состоянии работы по обеспечению комплексной безопасности компании.
ОРГАНИЗАЦИОННЫЕ ФОРМЫ И ШТАТНАЯ СТРУКТУРА
СЛУЖБЫ БЕЗОПАСНОСТИ
Основным подразделением уполномоченным организовать и поддерживать непрерывно и на должном уровне мероприятия по обеспечению безопасности компании должна является СБ.
Для организации работы СБ существует несколько основных организационно-штатных форм построения службы безопасности компании:
Объектовый – на каждом объекте компании (отдельном юрлице), имеется в штате руководитель службы безопасности и при необходимости (в зависимости от масштабов объекта) подчиненный ему отдел. Данный метод наиболее применим к небольшим компаниям, обычно существующим в одном юрлице.
Линейный – безопасность обеспечивается по линейному принципу, например отдел по контролю автотранспорта, информационно-аналитический отдел и другие отделы, которые занимаются контрольными мероприятиями, не находясь при этом на отдельном объекте.
Объектово-линейный – наиболее универсальный и эффективный подход в обеспечении комплексной безопасности. При таком методе на каждом объекте имеется в штате руководитель службы безопасности, а также применяется линейный метод по наиболее важным с точки зрения обеспечения безопасности направлениям. Кроме того, внедрение линейных отделов позволяет подготовить небольшое количество квалифицированных специалистов в конкретном узком направлении.
Объектово-линейный метод обычно используется в достаточно крупных холдинговых структурах регионального и федерального уровня.
Для решения задач по обеспечению КБК от руководителя СБ требуется четкое понимание какими силами они будут решаться. То есть нужна штатная структура подразделения.
При планировании штатной структуры необходимо учитывать следующие факторы:
· Для каждой запланированной штатной должности необходимо определить четкий круг обязанностей. В противном случае возникнет хаос в работе подразделения и как следствие отсутствие эффективной работы;
· Количество сотрудников в СБ должно быть оптимальным. Нельзя создавать ненужных должностей, но и недостаточное количество сотрудников отрицательно скажется на результатах работы;
· Всегда нужно помнить, что Собственник бизнеса должен понимать эффективность и обоснованность затрат на персонал, не только СБ, но и всех других подразделений. Как достичь этого понимания рассмотрим немного позже, но основной способ обосновать эффективность работы подразделения – это ежемесячное информирование Собственника бизнеса о результатах своей работы. Формы отчетов о результатах работы при этом разные, это и финансовые показатели (возмещенный ущерб), и профилактические мероприятия (предотвращенный ущерб), и важные для компании имиджевые потери (например, ложная информация в СМИ) и многие другие показатели.
Понятно, что штатная структура зависит от модели бизнеса, структуры компании, количества сотрудников, финансовых результатов и многих других особенностей.
В случае если компания не большая и достаточно одного «безопасника», то он должен выполнять те же функции, что подразделения СБ в крупных компаниях, обеспечивая комплексную безопасность компании по всем направлениям.
Для средних и крупных компаний приведу примерную организационно-штатную структуру, которая по моему мнению минимально необходима и конечно может трансформироваться под стоящие перед СБ задачи.
В организационно-штатную структуру СБ входят следующие должностные лица и подразделения:
Директор по безопасности – назначается Собственником компании в целях централизации принятия решений, обеспечения оперативного руководства СБ, сбора и анализа информации.
По согласованию с Собственником директор по безопасности готовит предложения по организационно-штатной структуре СБ, а также осуществляет разработку годового бюджета СБ и его соблюдение.
Директор по безопасности осуществляет управление всей системой безопасности компании, определяет стратегические направления развития безопасности, осуществляет контроль за деятельностью всей СБ компании, обеспечивает взаимодействие с должностными лицами, докладывает о результатах работы Собственнику бизнеса.
· Руководитель отдела экономической безопасности – обеспечивает кадровую и экономическую безопасность:
- Обеспечение контроля за кадровой работой;
- Участие в договорной работе;
- разработка и контроль за соблюдением регламентов;
- организация проведения тендеров;
- контроль за движением ТМЦ;
- контроль за осуществлением платежей;
- контроль за объемом выполненных работ и оплатой.
- работа с ДЗ/ПДЗ.
· Руководитель отдела по информационной безопасности – обеспечивает комплекс мероприятий по обеспечению информационной безопасности компании.
· Руководитель информационно-аналитического отдела – одел выполняющий несколько основных функций:
- Сбор, анализ, обобщение информации поступающей от всех сотрудников СБ компании. Подготовка на основании полученных данных справок, отчетов, рекомендаций. Разработка форм отчетов.
- Оценка действующих регламентирующих документов, внесение предложений по их изменению, для своевременного реагирования на возникающие угрозы, непосредственное участие в их разработке.
- Разработка и внедрение во всех подразделениях СБ методики проверки контрагентов и физлиц. Проверка наиболее значимых контрагентов и кандидатов на вакансии топ-менеджеров компании.
- Внесение предложений при разработке концепции «Об управлении рисками в компании». Непосредственное участие в работе кредитного комитета.
- Организация работы по направлению «Конкурентная разведка», которая включает информационно-аналитическую работу, сбор и обработку специальной информации, противодействию недобросовестной конкурентной борьбы и т.д.
· Руководитель отдела внутреннего аудита – подразделение, которое выполняет следующие задачи:
- Организация контрольных мероприятий по соблюдению всеми подразделениями компании действующих регламентирующих документов, оценка эффективности практического применения данных документов. При необходимости внесение предложений об изменениях и дополнениях в локально-нормативные акты.
- Осуществление постоянного контроля за финансово-хозяйственной деятельностью компании.
- Проведение плановых и внеплановых выездных проверок всех обособленных подразделений компании. Организация инвентаризаций, ревизий и других необходимых мероприятий обеспечивающих сохранность ТМЦ.
- Разработка и внедрение во всех подразделениях СБ алгоритмов основных контрольных мероприятий. Подготовка рекомендаций и оказание практической помощи ЗГД по безопасности на каждом объекте.
· ЗГД по безопасности отдельного юрлица – все руководители СБ на объектах компании входят в штат данных подразделений в должности заместителя ГД по безопасности. Данная должность обеспечивает возможность наиболее полного выполнения функциональных обязанностей, возложенных на ЗГД по безопасности, а также придает необходимый статус руководителю СБ обособленного подразделения. Функционально ЗГД по безопасности подчиняется Директору по безопасности, назначается и освобождается от должности только по согласованию с ним.
Давайте разберемся почему необходимо создание именно вышеперечисленных подразделений в СБ.
Директор по безопасности – понятно, что без руководителя ни одно подразделение функционировать не может. На нем лежат задачи по обеспечению общего руководства подразделением, общением с собственником бизнеса, принятие стратегических решений, контроль за работой СБ, подготовка бюджета, взаимодействие с топ-менеджерами компании, подбор и расстановка кадров в подразделении.
Руководитель отдела экономической безопасности – на данного руководителя возлагается обязанность организации и управления отделом, непосредственно занимающегося контрольными, профилактическими и оперативными мероприятиями по обеспечению безопасности в рамках всей компании. Данный сотрудник в случае необходимости должен уметь временно заменить директора по безопасности.
Руководитель отдела по информационной безопасности – наличие в СБ специалиста по ИБ обязательно, т.к. у сотрудников подразделений экономической безопасности обычно недостаточная компетентность в современных ИТ-технологиях и в этих целях важно иметь узконаправленных специалистов в штате СБ.
Возникает вопрос зачем СБ этим заниматься, ведь есть IT-отдел, отдел ИБ может быть самостоятельным и т.д. В этом кроется основная ошибка многих руководителей СБ, которые не желая разбираться в этой достаточно сложной сфере никак не участвуют в обеспечении информационной безопасности компании. Но прямая обязанность руководителя СБ обеспечить КБК, в которую конечно входит и информационная безопасность. Необходимость обеспечения ИБ именно со стороны СБ обуславливается следующими реалиями:
· Существует чрезмерное доверие руководства компании, а иногда и собственников, к руководителям ИТ-подразделений, их оценкам и выводам;
· Зачастую происходит выделение ИТ-функции по реализации инвестиционных проектов в обособленные, слабо контролируемые, подразделения (проектные офисы) или передача их на аутсорсинг;
· Отмечается нестабильность кадрового состава ИТ-подразделений вследствие «перегретого» и «переоцененного» рынка ИТ-специалистов;
· В большинстве компаний руководители отделов ИБ являются выходцами из IT-подразделений и не имеют ни малейшего понимания о правилах обращения с получаемой информацией, реализацией полученных сведений, конфиденциальностью. Таким образом сами являются высоко рисковым подразделением, подлежащим контролю.
Руководитель информационно-аналитического отдела – в настоящее время в открытом доступе находится колоссальное количество информации, важной для использования СБ. Это и информация о конкурентах, потенциальных или действующих партнерах, физлицах, состоянии рынка и многое другое.
Необходимо не только уметь её получить, но и обобщить, проанализировать, сделать правильные выводы, правильно представить информацию руководству компании. Данная работа очень творческая, не имеющая единых алгоритмов и получить сотрудников необходимой квалификации очень не просто.
Кроме функции сбора внешней информации, данное подразделение осуществляет сбор, анализ и обобщение внутренний информации необходимой для принятия важных управленческих решений.
Руководитель отдела внутреннего аудита – роль и значение данного подразделения для организации работы СБ невозможно переоценить.
СБ, получив ту или иную информацию, собрав материал и представив его руководству компании, зачастую от оппонентов слышит один важный и часто встречающийся аргумент – «да, безопасники хорошие ребята, но не все так однозначно, они же не бухгалтера и не специалисты, где-то не до разобрались…». Дальше идут манипуляции с цифрами, проводками, умными терминами и казалось вполне логичные аргументы СБ у руководителя поддержки не находят.
При наличии в штате грамотного специалиста с опытом внутреннего аудита, хорошо разбирающегося в учетных системах (1С, ERP и др.) данный аргумент не принимается, так как аудитор четким профессиональным языком описывает ситуацию и сказать об отсутствии необходимых знаний не получится.
Таким образом при создании СБ вышеперечисленные структуры и сотрудники необходимы для обеспечения КБК.
Часто у меня коллеги спрашивают, «что возьмёт так сразу руководство компании и это все предоставит». Конечно нет. Это процесс, сложный процесс становления СБ, постепенного понимания Собственником необходимости проводимых мероприятий, появление доверия к руководителю СБ. И тогда все это становится реальностью.
ОБЕСПЕЧЕНИЕ КОНТРОЛЯ ЗА ФИНАНСОВО-ХОЗЯЙСТВЕННОЙ ДЕЯТЕЛЬНОСТЬЮ КОМПАНИИ
Решив первых два стратегически важных для обеспечения безопасности вопроса по подготовки правовых основ и формированию организационно-штатной структуры необходимо разработать комплекс практических мероприятий по организации контроля за всеми основными процессами финансово-хозяйственной деятельности компании, оказывающими значительное влияние на Комплексную безопасность.
Все мероприятия, необходимые для обеспечения контроля за ФХД, важно учесть при разработке документа «Правила и стандарты обеспечения безопасности», разделив их по четырем блокам – кадровой, физической, экономической и информационной безопасности.
На основе разработанного комплекса мероприятий по данным направлениям обеспечения безопасности компании, необходимо четко распределить обязанности по их реализации и исполнению между сотрудниками подразделения СБ.
Описание и закрепление за конкретными исполнителями мероприятий по обеспечению безопасности поможет эффективно организовать их проведение, обеспечить контроль за результатами проведенной работы, оценить их эффективность и при необходимости внести корректировки, а также своевременно проводить необходимую аналитическую работу по общему состоянию системы КБК и готовить необходимые аналитические отчеты для собственника бизнеса.
Более подробно организацию контроля за ФХД компании мы рассмотрим в следующей статье по организации практической работы СБ.