Чем занимается служба корпоративной защиты
Служба корпоративной защиты
Работа службы корпоративной защиты (СКЗ) связана со всеми сферами деятельности Общества и основана на триаде: экономическая и информационная безопасность, комплексное обеспечение физической и технической защиты объектов предприятия.
История службы началась в 1993 году, когда в соответствии с законом «О частной детективной и охранной деятельности в Российской Федерации», приказами Министерства газовой промышленности РФ и ГП «Оренбурггазпром» была создана служба безопасности предприятия.
С 1 ноября 2018 года служба корпоративной защиты как подразделение при администрации преобразовано в обособленное структурное подразделение.
В состав СКЗ входят: отделы обеспечения защиты имущества, экономической и информационной безопасности, инженерно-технических средств охраны, информационно-аналитический отдел, дежурная служба, а так же подразделения и специалисты по линии бухгалтерского учета, организации и охраны труда.
На объектах Общества для обеспечения безопасности ведется постоянное видеонаблюдение
Деятельность подразделения по обеспечению безопасности осуществляется в тесном взаимодействии и под руководством СКЗ ПАО «Газпром». Служба работает в тесном сотрудничестве с руководителями и трудовыми коллективами структурных подразделений и дочерних предприятий, эффективно взаимодействует с правоохранительными органами и специальными службами региона. Осуществляется постоянный контакт с подразделениями безопасности группы компаний «Газпром» в регионе, с филиалом ПАО «Газпром» «Приволжское межрегиональное управление охраны ПАО „Газпром“ в г. Самаре».
Объекты предприятия оснащены инженерными и техническими средствами охраны
При непосредственном участии СКЗ в Обществе реализуются федеральные законы «О безопасности топливно-энергетического комплекса Российской Федерации», «О безопасности критической информационной инфраструктуры Российской Федерации», «О персональных данных» и др.
Бюро пропусков работает в строгом соответствии с инструкциями о пропускном и внутриобъектовом режимах
Досмотр автотранспорта перед въездом на территорию административного комплекса. Функции по защите объектов ООО «Газпром добыча Оренбург» реализуются отделом обеспечения защиты имущества
Созданный и постоянно совершенствуемый механизм взаимодействия всех субъектов, напрямую или косвенно участвующих в обеспечении безопасности Общества, позволяет успешно преодолевать большинство проблем, а также противостоять возникновению различного рода рисков и угроз.
Служба безопасности и ее роль в обеспечении комплексной защиты предприятия
Олег ПАНИН, независимый эксперт
Источник: БДИ
Понятие безопасности многогранно. В условиях конкурентной борьбы и криминализации рынка наряду с традиционными задачами охраны объектов у службы безопасности (СБ) появились новые задачи детективного характера, в том числе противодействие экономическому шпионажу, выявление ненадежных деловых партнеров и многое другое. В статье в структурированной форме представлены задачи и функции СБ, дано представление о методах и средствах ее деятельности, описаны виды организации подразделений охраны, нормативно-правовые аспекты охранной деятельности.
Виды охраны. Правовые основы охранной деятельности
Система защиты представляет собой совокупность сил и средств для обеспечения требуемого уровня безопасности объекта. В ней можно выделить следующие структурные компоненты (рис. 1):
• комплекс организационных мероприятий;
• инженерно-технические средства защиты;
• действия сотрудников СБ.
Рис. 1. Обобщенная структура системы защиты
Организационная поддержка функционирования системы защиты включает в себя комплекс мер по управлению службой безопасности, а также регламентирующие эти меры организационно-распорядительные документы. Инженерно-технические средства защиты предназначены для выполнения следующих задач:
• обеспечение санкционированного доступа;
• обнаружение проникновения нарушителя на объект;
• создание препятствий нарушителю при движении к цели акции;
• контроль проноса запрещенных предметов и т.п.
Задача обеспечения безопасности объекта возлагается на специально создаваемое структурное подразделение – СБ. Формы организации этой структурной единицы могут быть разными в зависимости от формы собственности объекта, его важности, количества сотрудников, а также прочих факторов. Охрана объекта может осуществляться:
• войсковой охраной (подразделением внутренних войск МВД России);
• отрядом ведомственной охраны;
• подразделением вневедомственной охраны МВД России, а также военизированным или сторожевым подразделением при органах внутренних дел;
• частным охранным предприятием.
Рассмотрим правовую базу каждого из видов охраны (табл. 1).
Таблица 1. Правовая база охранной деятельности
Внутренние войска
Охрана важных государственных объектов осуществляется внутренними войсками МВД России. Федеральный закон «О внутренних войсках МВД РФ» от 6 февраля 1997 года № 27-ФЗ определяет правовые основы деятельности частей и подразделений внутренних войск по охране таких объектов. Порядок выполнения военнослужащими внутренних войск служебно-боевых задач, организации и несения караульной службы определен в «Уставе гарнизонной и караульной службы Вооруженных Сил Российской Федерации».
Ведомственная охрана
Ведомственная охрана осуществляет защиту охраняемых объектов, являющихся государственной собственностью. Защита объектов иных форм собственности осуществляется в соответствии с заключенными договорами. На основании указанного закона федеральные органы исполнительной власти, министерства и ведомства, имеющие право на создание ведомственной охраны, разрабатывают «Положения о ведомственной охране» подведомственных им объектов. Перечень федеральных органов исполнительной власти, имеющих право создавать ведомственную охрану, определен Постановлением Правительства РФ от 12 июля 2000 года «Об организации ведомственной охраны».
Основными задачами ведомственной охраны являются:
• защита охраняемых объектов от противоправных посягательств;
• обеспечение на охраняемых объектах пропускного и внутриобъектового режимов;
• предупреждение и пресечение преступлений и административных правонарушений на охраняемых объектах.
Структура и полномочия органов ведомственной охраны, нормы численности работников, а также порядок организации их деятельности определяются «Положением о ведомственной охране».
Вневедомственная охрана
В соответствии с «Положением о вневедомственной охране при органах внутренних дел РФ» (Постановление Правительства РФ от 14 августа 1992 года) при органах внутренних дел создаются подразделения вневедомственной охраны. Основными задачами вневедомственной охраны являются:
• охрана имущества собственников на договорной основе;
• участие в инспектировании ведомственной охраны предприятий, учреждений и организаций;
• организация и проведение испытаний средств охранной сигнализации, выдача сертификатов;
• технический надзор за выполнением проектных и монтажных работ по оборудованию объектов средствами охранной сигнализации.
Кроме того, при органах внутренних дел существуют военизированные и сторожевые подразделения, осуществляющие на договорной основе охрану объектов всех форм собственности независимо от ведомственной принадлежности. До принятия закона о вневедомственной охране на них распространяется действие Федерального закона «О ведомственной охране».
Частные охранные предприятия
В соответствии с Федеральным законом «О частной детективной и охранной деятельности в Российской Федерации» от 11 марта 1992 года № 2487-1 частным охранным предприятиям разрешается оказывать услуги в виде вооруженной охраны имущества собственников. Частная детективная и охранная деятельность осуществляется для сыска и охраны. В целях охраны разрешается предоставление следующих видов услуг:
• защита жизни и здоровья граждан;
• охрана имущества собственников, в том числе при его транспортировке:
• проектирование, монтаж и эксплуатационное обслуживание средств охранно-пожарной сигнализации;
• консультирование и подготовка рекомендаций клиентам по вопросам правомерной защиты от противоправных посягательств;
• обеспечение порядка в местах проведения массовых мероприятий.
Охранная деятельность таких предприятий не распространяется на объекты, подлежащие государственной охране, перечень которых утверждается Правительством Российской Федерации (приложение 1 к Постановлению Правительства «Вопросы частной детективной и охранной деятельности» от 14 августа 1992 года с последующими изменениями).
Широко применяется и смешанный вид охраны, например объект может охраняться ведомственной охраной и внутренними войсками, внутренними войсками и собственной службой безопасности.
Дальнейшее описание ведется применительно к СБ, которая может быть организована на базе ведомственной охраны, частного охранного предприятия а также вневедомственной охраны.
Служба безопасности: задачи и функции
В соответствии с законом РФ «О безопасности» от 5 марта 1992 года: «Безопасность – это состояние защищенности жизненно важных интересов личности, общества и государства от угроз внутреннего и внешнего характера». Угроза безопасности – потенциальная возможность действия, способного причинить ущерб интересам объекта. СБ является структурным подразделением предприятия, предназначенным для обеспечения защиты предприятия от прогнозируемых угроз.
Рассматривая безопасность как комплексное понятие, можно выделить следующие его составляющие:
• безопасность внешней деятельности;
Задачи СБ по обеспечению безопасности показаны на рис. 2. В свою очередь, выполнение каждой задачи обеспечивается следующими функциями.
Рис. 2. Задачи СБ по обеспечению безопасности
Составляющие
Задачи СБ
по обеспечению безопасности
и сотрудников предприятия
Функциями СБ по обеспечению физической безопасности являются:
• обнаружение проникновения нарушителя на охраняемую территорию;
• охрана имущества предприятия;
• защита персонала предприятия от преступных посягательств;
• обеспечение пропускного режима, разграничение доступа на объект;
• организация инженерно-технической защиты охраняемых зданий, помещений.
Безопасность внешней деятельности обеспечивается комплексом мер по выявлению и локализации угроз, затрагивающих коммерческие интересы предприятия.
В том числе, сюда входит:
• изучение криминальных аспектов рынка;
• противодействие экономическому шпионажу;
• выявление ненадежных деловых партнеров, сбор информации о лицах, заключающих контракты с предприятием;
• борьба с недобросовестной конкуренцией;
• выявление фактов незаконного использования товарных знаков и т.п.
Мероприятия по обеспечению информационной безопасности направлены на предотвращение утечки конфиденциальной информации с охраняемого объекта и включают в себя:
• организацию конфиденциального делопроизводства;
• ограничение круга лиц, работающих с конфиденциальными документами;
• организацию ведения конфиденциальных переговоров;
• расследование обстоятельств разглашения сведений, составляющих коммерческую тайну и т.д.;
• мероприятия по противодействию техническим способам несанкционированного съема информации;
• мероприятия по защите информации, циркулирующей в компьютерах, вычислительных сетях.
Психологическая безопасность достигается комплексом мер по выявлению неблагонадежных сотрудников предприятия, в том числе:
• выявление неблагонадежных сотрудников и их групп путем проведения оперативно-розыскных мероприятий (в рамках полномочий СБ);
• выявление неблагонадежных сотрудников и их групп путем психологического тестирования;
• профилактические мероприятия по формированию правосознательного поведения сотрудников.
Служба безопасности: структура, методы и средства деятельности
Структура и состав СБ определяются реальными потребностями предприятия и зависят от многих факторов: важности (потенциальной опасности) объекта, формы собственности, рода деятельности, количества сотрудников, места расположения и т.п. Типовая структура СБ приведена в табл. 2.
Таблица 2. Типовая структура СБ
| Подразделение СБ | Внутренняя структура | Функции |
| 1. Отдел физической охраны и режима | 1. Группа охраны 2. Группа сопровождения 3. Тревожная группа 4. Группа инженерно-технической защиты 6. Бюро пропусков | 1. Обеспечение физической безопасности людей 2. Обеспечение пропускного и внутриобъектового режима |
| 2. Отдел безопасности внешней деятельности | 1. Разведывательная группа 2. Контрразведывательная группа 3. Аналитическая группа | Сбор и анализ разведывательной информации |
| 3. Отдел защиты информации | 1. Группа технической защиты информации 2. Группа конфиденциального делопроизводства | Предотвращение утечки конфиденциальной информации с охраняемого объекта |
| 4. Отдел психологической безопасности | – | Проверка благонадежности сотрудников, защита от «внутреннего» нарушителя |
Отдел физической охраны и режима
Охрана и режим – традиционные виды охранной деятельности. Основная задача отдела – обнаружение несанкционированного доступа на территорию объекта, а также осуществление контрольно-пропускного режима. Основными методами деятельности являются:
• патрулирование (периодический обход территории);
• выставление постов (пост – это участок местности, порученный часовому для охраны и обороны);
• контрольно-пропускные функции (операторы КПП);
• сопровождение (охрана физических лиц).
К техническим средствам относятся все приспособления, повышающие эффективность охранной деятельности, в том числе:
• технические средства охраны (датчики охранной сигнализации, периметровые системы охраны, средства теленаблюдения, средства тревожно-вызывной сигнализации и т.д.);
• средства управления доступом (турникеты, кодонаборные устройства, тамбур-шлюзы, металлодетекторы и т.п.);
• инженерные средства защиты (периметровые заграждения, физические барьеры, решетки, строительные конструкции зданий, сооружений и т.п.);
Отдел безопасности внешней деятельности
Задача отдела – сбор и анализ разведывательной информации. К методам деятельности относятся:
• замаскированный опрос сотрудников;
• негласное наведение справок;
• скрытое наблюдение и т.д.
К техническими средствам сбора информации относятся:
• средства негласного съема информации;
• средства скрытого видеонаблюдения;
• средства компьютерного шпионажа и т.п.
Наличие этого отдела в структуре СБ зависит, прежде всего, от степени вовлеченности предприятия в конкурентную борьбу, прогнозирования угроз его экономической безопасности.
Отдел защиты информации
Задача отдела – предотвращение утечки конфиденциальной информации с охраняемого объекта. Все меры по защите информации можно разделить на две группы:
Организационно защита охраняемых сведений обеспечивается комплексом мероприятий по работе с бумажными носителями информации и персоналом, в том числе:
• ведением конфиденциального делопроизводства;
• ограничением круга доступа лиц, допущенных к работе с документами;
• установлением определенного порядка ведения телефонных переговоров, применения радио- и телеграфной связи на предприятии;
• воспитательно-профилактической работой с сотрудниками предприятия;
• совершенствованием внутриобъектового и пропускного режима.
К техническим мероприятиям по предотвращению утечки информации можно отнести:
• периодические испытания выделенных помещений на наличие средств негласного съема информации;
• реализацию набора механизмов по защите компьютерной информации от несанкционированного доступа.
Отдел психологической безопасности
Задача отдела – выявление неблагонадежных сотрудников. К основным методам работы относятся:
• профилактическая работа с персоналом (вывешивание стендов, бюллетеней, разъяснительная работа);
• личная беседа с сотрудником, опрос;
В качестве материально-технического обеспечения технологий оценки персонала применяется аппаратура для психофизиологических исследований с использованием полиграфа.
Нормативное обеспечение деятельности
Все нормативные документы по охране объектов можно разделить на три вида:
• документы федерального уровня;
• документы ведомственного уровня;
• документы локального уровня.
Во-первых, это федеральные нормативно-правовые акты (законы, постановления Правительства), являющиеся правовой базой создания СБ (см. табл. 1).
Во-вторых, существуют документы ведомственного уровня, такие как упомянутое выше «Положение о ведомственной охране Министерства». Они регулируют вопросы организации охранной деятельности в отрасли.
В-третьих, в качестве «бумажного обеспечения» деятельности СБ на объекте должен быть разработан комплект организационно-распорядительных документов локального уровня (табл. 3). Их состав и содержание не регламентированы, а определяются исходя из практических потребностей.
Таблица 3. Комплект организационно-распорядительных документов локального уровня, регламентирующих деятельность СБ
| № | Название | Содержание |
| 1 | Положение о СБ предприятия (Устав СБ) | См. в тексте |
| 2 | Комплект положений о подразделениях СБ | Определяет задачи и функции подразделения, его место в составе СБ, внутреннюю организацию. На основе положения составляется штатное расписание подразделения |
| 3 | Комплект должностных инструкций персонала СБ | Определяет права и обязанности персонала СБ, а также вопросы его ответственности |
| 4 | Инструкция по организации охраны предприятия | Определяет предметы защиты, способы охраны (посты, рубежи защиты, порядок патрулирования территории) и т.д. |
| 5 | Инструкция по защите информации | Определяет основные организационно-технические мероприятия по защите информации на объекте |
| 6 | Инструкция об организации пропускного режима | Регламентирует порядок пропуска сотрудников и транспортных средств через КПП, виды пропусков, порядок их оформления и хранения |
| 7 | Инструкция об организации внутриобъектового режима | Определяет правила внутреннего трудового распорядка, техники безопасности и противопожарной безопасности на территории объекта |
| 8 | Инструкция по организации эксплуатации технических средств и систем охраны | Регламентирует порядок проведения техобслуживания и ремонта технических средств, ведения учетной документации, вопросы хранения, консервации и списания |
| 9 | Инструкция о действиях в нештатных ситуациях | Определяет порядок действий персонала СБ при нападении нарушителей, а также в других чрезвычайных ситуациях (пожар, авария, стихийные бедствия и пр.) |
Основным нормативным документом, регулирующим деятельность СБ, является Положение о службе безопасности (Устав). В нем должны быть отражены следующие вопросы:
• нормативно-правовое обеспечение деятельности СБ;
• кадровые ресурсы, сотрудники СБ, их права и обязанности;
• взаимодействие с правоохранительными органами;
• контроль деятельности СБ.
В заключение коснемся вопросов контроля за обеспечением безопасности на объекте. Контроль – одна из функций управления, необходимая для оценки качества работы. Применительно к СБ качество работы оценивается числом отраженных угроз к общему числу реализованных угроз за определенный интервал времени. Конкретно это выражается через:
• число пресеченных попыток проникновения на охраняемую территорию;
• число пресеченных попыток нарушений пропускного режима;
• число пресеченных попыток хищения конфиденциальной информации,
• число своевременно выявленных и локализованных угроз безопасности внешней деятельности предприятия.
Отметим, что в полном объеме описанная структура СБ реализуется, как правило, на крупных или ведущих активную коммерческую деятельность объектах. На средних и малых объектах она корректируется с учетом реальных потребностей предприятия.
Основной инстинкт бизнеса: грани корпоративной безопасности
Вы когда-то пробовали внедрить в компании новые регламенты и инструкции? Если да, то наверняка знаете, какая буря возмущения обрушивается со стороны коллектива. Как минимум, вас начинают тихо ненавидеть, как максимум — появляются сплетни, какие-то немотивированные заявления об уходе и общая паника. Стоит ли откатывать процесс? Нет. Если появилось возмущение и сопротивление такому «ограничению свободы», скорее всего вы задели чьи-то интересы. И вроде вы не перегибаете, а вводите минимальные меры по защите, но по мнению части сотрудников, закручиваете гайки, насаждаете режим, давите авторитетом и перекрываете воздух свободы. Успокойтесь — вы на правильном пути. И перекрыв тот самый «воздух свободы», вы позволяете своей компании не про*****, а сохранить «полимеры». Потому что работаете с корпоративной безопасностью, которая в последние несколько лет изменила лицо. Так что давайте познакомимся с ней снова.
А что, нам кто-то или что-то угрожает?
Этой статьи не должно было быть — в планах стояли совсем другие, мирные темы. Но обсуждение предыдущего поста в комментариях и не только натолкнуло нас на мысль, что с безопасностью в российском бизнесе дела обстоят примерно так же, как и с CRM-системами: крупные и опытные и так всё знают, а остальным не надо — «эксельки» (MS Excel) хватит. Тем удивительнее было видеть некоторые высказывания именно на Хабре. Нет, ребята. Проблема безопасности стоит абсолютно перед любой компанией вне зависимости от её размера, отраслевой принадлежности и оборота. Просто потому что ваша компания работает во внешней среде, в ней есть сотрудники, компьютеры, сети, программное обеспечение, клиенты и сам продукт или услуга. И если никто не пытается вас хакнуть или DDoS-ить, это не значит, что компания в полной безопасности. Слишком много аспектов стоит брать во внимание.
Давайте начнём с обзорной схемы корпоративной безопасности компании.
Как видите, в списке угроз субъектам деятельности бизнеса нет ничего неординарного — с подобными аспектами работы сталкивается каждый бизнес, и все они таят угрозы. Рвануть может там, где вы и не ждёте.
Теперь у нас вырисовываются компоненты корпоративной безопасности, о половине которых компании не помнят, а то и вовсе не знают.
Информационная безопасность — на сегодня это тот тип безопасности, обеспечением которого нужно заняться всем. Риск есть на всех уровнях: начиная от нечаянного запуска вредоноса из почтового сообщения, заканчивая рисками, связанными с облачными технологиями, сторонними сервисами и злонамеренными действиями сотрудников.
Экономическая (финансовая) безопасность должна противостоять всем источникам «ухода» либо неполучения денег. Она также актуальна для любой компании и напрямую сопряжена с работой с документами, уплатой налогов, бухгалтерским учётом, вложениями в рекламу и маркетинг и т.д. Кстати, этот тип безопасности наиболее уязвим перед человеческим фактором.
Правовая безопасность — защита от неправомерных действий и правонарушений, идущих вразрез с нормами законодательства: подделка документов, использование мошеннических схем в работе, откаты и проч. Отличается от экономической тем, что нарушения этого типа безопасности чаще всего направлены не на чью-то финансовую выгоду, а на защиту интересов от уже свершившихся фактов (провёз лишний груз — купил маршрутный лист, перерасходовал деньги — подделал акт, потерял пару серверов — сфабриковал акт списания и т.д.).
Физическая и личная безопасность сотрудников — защита сотрудников от проникновения недоброжелателей на территорию компании и от покушения на их жизнь и здоровье. Формулировка звучит утрированно и её полнота восприятия зависит от статуса компании. Но обычно минимальные требования к физической безопасности соблюдаются (охрана, пропускная система, камеры, иные типы аутентификации).
Физическая безопасность инфраструктуры — защита оборудования, сетей и программ от доступа посторонних и лиц, в служебную деятельность которых не входит контакт с этими элементами инфраструктуры. Обязательно должен быть внешний и внутренний контур безопасности. Нарушения безопасности в этой сфере со стороны сотрудников не всегда злонамеренны — иногда это может быть пролитый на дорогостоящее оборудование чай или тонер, рассыпанный вблизи чувствительных приборов.
Безопасность управления рисками — один из самых неочевидных типов, который любит шутить шутки с теми, кто им пренебрегает. Риски нарушения этого вида безопасности связаны с тем, что топ-менеджмент не оценивает проекты, инвестиции и иные перспективы, в которые вкладывает какие-либо ресурсы. Сюда можно отнести рисковые венчурные инвестиции, закупку б/у оборудования, работу с ненадёжными поставщиками за скидку и т.д.
Кадровая (HR) безопасность — защищает компанию от «утечки мозгов». Хорошие специалисты нужны всем, поэтому если ваша компания хотя бы немного засветилась на рынке, ваши сотрудники уже стали желанными кандидатами у конкурентов (идеально — если с вашими наработками или клиентской базой, об этом мы писали). Кроме того, отвечает за систему мер, связанных с обучением сотрудников безопасному диалогу с конкурентами и иными внешними агентами — например, во время интервью, конференций, митапов, семинаров и т.д.
Репутационная безопасность — защита деловой репутации и имиджа компании на рынке. В современных условиях высокоскоростного распространения информации потерять несколько уровней своей репутации — дело одного твита/статьи/выступления/жалобы… Неудачная реклама, неграмотная контентная политика, взломы и утечки данных, попытки влиться в интересы не своей аудитории — всё это может ударить по компании и неминуемо привести к финансовым потерям.
Новая парадигма ответственности и палки в колёсах
Служба безопасности не справится
А теперь давайте посмотрим, в чём же произошла главная трансформация. Кто отвечает за безопасность управления рисками? Топ-менеджмент. Кто отвечает за кадры? HR-служба, менеджер по внутреннему PR, если вы разработчик, то ещё и DevRel. Кто отвечает за репутацию? Пиарщик, маркетолог, менеджер по рекламе. За всем служба безопасности больше не способна уследить (особенно, если её в компании нет). Каждый своими действиями отвечает за безопасность на своём месте, часто не подозревая об этом. И это неправильно. Итак, встаёт задача минимум:
Универсальный, в общем-то, совет. Но трудно исполнимый
Что больше всего мешает выстраивать систему безопасности?
Бизнес в отношении безопасности часто надеется «на авось». В предыдущем посте мы провели опрос и получили такие результаты: 64% из ответивших имеют проблемы с безопасностью, при этом самыми популярными методами обеспечения информационной безопасности являются сложные политики для паролей, отказ от облачных систем, запрет публичных дисков и хранилищ и выделение пула IP-адресов. Чуть больше трети не делают ничего. Конечно, выборка не ахти, но определённые сигналы можно уловить. Причины невнимания к безопасности у каждой компании свои, но есть пять базовых факторов, которые встречаются в компаниях любых размеров и любой отраслевой принадлежности.
Какие задачи стоят перед системой безопасности компании?
Думать, что безопасность это только тотальный контроль и строгая отчётность, может лишь человек не в теме. Перед комплексом корпоративной безопасности стоят серьёзные задачи, напрямую связанные с успехом компании.
Принципы обеспечения безопасности в компании
Подотчётность данных. Вся информация в компании должна быть обязательно классифицирована и ранжирована, чтобы сотрудники имели чёткое понимание, какие доступы у них есть и насколько информация может транслироваться за пределы его компетенций. Например, информация о компании может иметь полностью конфиденциальный характер, иметь хождение внутри фирмы, быть общей для всех филиалов и партнёров и свободно распространяемой.
Установленные политики. Политики безопасности в первую очередь должны касаться сетевой инфраструктуры и рабочих станций сотрудников, чтобы предотвращать вторжение со стороны либо утечку информации. Дополнительно должны существовать регламентирующие политики для распространения коммерческой и иной значимой информации (например, пиарщик в пресс-релизе может сообщить, что оборот компании за два года вырос на 27%, а вот какой он в денежном отношении — нет, если только ваша компания не является публичной, а информация о финансовых показателях открытой).
Постреакция на инциденты, выводы из ситуации. Каждый случай нарушения безопасности должен быть проанализирован и обработан — по итогам стоит сформировать комплекс упреждающих мер и внести правки в базу знаний об управлении безопасностью. Если из инцидента не извлечены уроки — скорее всего, он к вам вернётся.
Управление безопасностью не должно быть лоскутным — хорошая стратегия обеспечения безопасности даёт общую картину текущей ситуации и позволяет управлять безопасностью в комплексе. Целостный подход помогает отслеживать взаимосвязи между бизнес-процессами и охватывать все стороны деятельности компании, не позволяя отбрасывать не важные на первый взгляд факторы. Кстати, современные CRM-системы — хорошее подспорье для максимального обзора бизнес-процессов, ведь они давно не сосредоточены на одних лишь продажах, а автоматизируют максимум аспектов деятельности компаний (особенно универсальные — такие как RegionSoft CRM).
Хотите реальную историю про комплексность безопасности? Один мужчина создал бизнес, связанный с довольно нужной В2В-услугой. Нанял сотрудников, даже безопасника, потихоньку раскачался. Ему не хватало маркетолога. Он взял маркетолога, но чем-то они не сошлись — новый сотрудник хотел гор до небес, желательно золотых. Маркетолог решил хлопнуть дверью, бухгалтер сплошала и вовремя не перечислила расчёт. Злой бывший сотрудник решил, что мир несправедлив и написал в пожарную инспекцию, что нет огнетушителя, в трудовую, что сразу не сделали запись в книжку, в налоговую с сообщением «о возможных нарушениях», в соцсети о том, как его обидели (наврал). На бедного молодого бизнесмена обрушились все органы, какие только могли. Компания закрылась. А всего-то: вовремя сделать свою работу кадровику и бухгалтеру, купить огнетушитель безопаснику, проконтролировать сеть админу, т.к. этот маркетолог ничего на работе не делал и это можно было «вылить» хотя бы на его посты в соц. сетях, не говоря уже о более серьёзных мерах. Вот вам и комплексность для малого бизнеса.
Непрерывность безопасности. Работать над снижением рисков в компании необходимо постоянно, а не от случая к случаю, и тем более от инцидента к инциденту. Каждый сотрудник, выполняя свои обязанности, должен помнить о том, что он отвечает за свои бизнес-процессы, за их безопасное функционирование и за безопасность всех интересов компании в целом.
Безопасность должна быть экономной. Можно нанять компанию на аутсорсе, создать службу безопасности, вложиться в дорогостоящие системы мониторинга, понатыкать камеры, но это выйдет в три раза дороже чем стоят все активы вашей компании, включая клиентскую базу. Выстраивая систему безопасности, исходите из соображений целесообразности, то есть не должен теряться экономический смысл мер. Нелишне также помнить, что дешевле всего обходятся своевременная профилактика и упреждение, а дороже всего — реагирование и ликвидация последствий инцидента.
Безопасность должна быть скоординированной. На этапах упреждения, обнаружения, реагирования и анализа все подразделения должны работать слаженно, быстро и профессионально. На этапе обнаружения и реагирования не стоит устраивать разборки на тему «Кто виноват?», на это у вас будет время сразу после окончания действий по обеспечению безопасности. Для того, чтобы координация была оптимальной, нужно тщательно прописать должностные инструкции и регламенты действий в критической ситуации.
Безопасность должна быть понятной, прозрачной, но открытой для ограниченного круга лиц. Все сотрудники должны понимать, какие действия могут привести к нарушениям безопасности, что нужно делать в случае наступления проблем и какие последствия несёт то или иное событие. Все постулаты, изложенные в инструкциях и донесённые до сотрудников, должны трактоваться однозначно. Но полное видение ситуации, равно как и арсенал средств по защите и минимизации ущерба должен быть в руках нескольких ответственных лиц. Чем больше сотрудников владеют информацией о системе противодействия различным нарушениям, тем выше вероятность инцидентов.
Управлять безопасностью должны профессионалы. Безусловно, большинству компаний малого и среднего бизнеса не по карману содержание службы безопасности. Первый и очевидный вариант — отдать безопасность на аутсорсинг, даже здесь, на Хабре, немало таких компаний для разных сфер, не только ИТ. Второй вариант — приоритизировать угрозы безопасности и сформировать «группу реагирования» на базе своих сотрудников по самым критичным точкам. Это довольно действенная мера, поскольку знание и понимание бизнес-процесса не менее важно, чем арсенал инструментов, которые вы выберете и изучите в процессе мер по упреждению. К тому же, соотнесение целей компании и вероятностей угроз, то есть формирование приоритетов безопасности, даёт хорошую экономию расходов на меры защиты. Главное — не оставлять корпоративную безопасность без внимания и ответственных.
И помните — о безопасности бизнеса прежде всего должны заботиться его владельцы и сотрудники. Не стоит обижаться на хостеров, провайдеров, вендоров, поставщиков услуг, если у вас есть очевидные проблемы, начиная от физической безопасности и заканчивая информационной. В открытую дверь обязательно кто-то войдёт.
Пока мы писали статью и просматривали практики управления безопасностью, чтобы ничего не упустить, нас занесло в начало лихих 90-х на один сайт, где в развёрнутой статье про безопасность компании есть вот такой вот абзац про — внимание! — «негосударственные организации». Тоже своеобразный опыт. Надеемся, что не в ИТ-сфере 🙂
Шпаргалка распознавания угроз
Один из главных факторов успеха в борьбе с проблемами в безопасности — увидеть вовремя маркеры, которые свидетельствуют о том, что где-то что-то пошло не так. Вот базовая схема действий при управлении корпоративной безопасностью:
Картинка кликабельна
Итак, общие рекомендации по работе с угрозами корпоративной безопасности.
Наш Телеграм-канал BizBreeze. Всякое про CRM и бизнес, по уму, без копипаста и на 90% без рекламы. Вступайте в нестройные ряды.