7.1. Системы безопасности в торговле
Системы защиты от краж из торговых залов это – комплексное решение, которое включает такие элементы систем безопасности как: цифровая система видеозаписи и видеонаблюдения, система контроля кассовых операций, система контроля антикражных устройств, система контроля доступа.
Применение системы защиты от краж, дает возможность значительно уменьшить потери. Суммарные потери в торговле и сфере услуг составляют около 2 % от оборота. Потери могут быть сокращены до 0,2 % (на 90 %) при использовании специальных охранных систем. Например, система контроля кассовых операций решает задачу предотвращения воровства кассирами в торговле и сфере услуг, отслеживая операции, проводящиеся на кассах и терминалах. Существует система, которая обеспечивает контроль работы противокражных устройств, установленных у входов, выходов, кассовых боксов и терминалов, сокращая процент воровства и потерь в торговле.
Данное оборудование может использоваться в тандеме с системами автоматизации торговли – тем самым обеспечивается интеграция систем безопасности с учетными системами предприятий, повышается их управляемость и экономическая безопасность. Также решения могут интегрироваться с различным оборудованием в супермаркетах (гипермаркетах), например, со счетчиками проходов (people counter), обеспечивая автоматизацию сборки и обработки информации о посетителях торгового предприятия.
Системы защиты от краж из торговых залов служат для надежной защиты товаров от несанкционированного выноса самообслуживания; На товар укрепляют различные защитные элементы (незаметные для вора или которые может снять только сам продавец при помощи специального устройства). На выходе устанавливают сенсорные рамки – антенны, которые подают сигнал (звуковой и световой), при попадании такого элемента в зону их действия. Таким образом, персонал оповещается о попытке кражи. Правильно установленная противокражная система может снизить кражи покупателей, а также помогает администрации в профилактике краж персоналом магазина. При выборе противокражного оборудования необходимо следовать следующим правилам: определить тип товара в свободном доступе, требующий защиты.
Исходя из видов товара необходимо выбрать аксессуары (многоразовые и одноразовые этикетки), оптимальные для его защиты, определить требуемую ширину, защищаемого прохода, подобрать дизайн антенн.
7.2. Проверка и оценка потенциального бизнес-партнера
Рассмотрим более подробно одну из наиболее часто встречающихся в жизни задач – проверка и оценка потенциального партнера или конкурента. Как показывает мировая практика, процедура поиска и изучения (оценки) фирмы-партнера должна быть одной из важнейших составляющих отечественного бизнеса.
Выбирая партнера, важно удостовериться не только в его надежности и добросовестности, но и в оптимальности выбора именно этого партнера, а также проанализировать его на возможность долговременного (перспективного) сотрудничества. Всегда следует учитывать, что внешнее и внутреннее положение предприятия со временем может измениться, поэтому необходимо пополнять и актуализировать информацию о состоянии партнера. В нашей экономической ситуации с предприятием-партнером может произойти все что угодно. Так, в один прекрасный день можно обнаружить, что надежный партнер, с которым компания сотрудничает не один год, перестает выполнять договоры. Компания начинает выяснять, в чем дело. Оказывается: поменялись владельцы (учредители, топ-менеджеры) фирмы. Новые руководители уже по каким-то причинам не заинтересованы в добросовестном выполнении своих обязательств. Или руководство компании-партнера неправильно оценило свою рыночную нишу, выбрало неверную маркетинговую и сбытовую политику, неожиданно прекратились арендные отношения и т. п. Все эти факторы необходимо также учитывать при налаживании деловых контактов с другой фирмой.
Как показывает практика, сложный многоаспектный анализ всех сфер надежности партнера или конкурента довольно непросто осуществить одной службе безопасности даже крупной компании. Поэтому за рубежом достаточно популярны и востребованы услуги специализированных компаний, т. н. «кредит-бюро». Они помогут сделать оценку рыночной ситуации, обзор сектора рынка отдельной отрасли или региона, анализ политической и экономической ситуации. В арсенал их услуг входят: оценка организованной преступности и криминогенной ситуации в отдельных регионах, анализ доступных материалов по отдельным политическим фигурам и руководителям крупных компаний и банков, а также отдельным сферам деловых отношений, таким как вексельное обращение, медицинское страхование и многим другим.
С практической точки зрения, представляют интерес рекомендации по оценке и предотвращению возможных потерь от действий недобросовестных партнеров. Процесс заключения договора может быть разделен на три условных этапа: подготовительный (подготовка к подписанию), основной (процесс определения условий договора), заключительный (оформление и непосредственное подписание). Каждый этап имеет свою специфику в обеспечении экономической безопасности. Но именно на подготовительном этапе задача руководителя – определить свое отношение к предполагаемому договору, или точнее, – к потенциальному партнеру. Особое внимание необходимо уделить следующей информации:
1. Правовая форма, предусмотренная учредительными документами компании-партнера (поскольку все они имеют разную степень ответственности).
2. Подтверждаются ли сведения о государственной регистрации компании официальными регистрирующими органами (поскольку возможно, что это лицо является фиктивным).
3. Соответствует ли юридический адрес регистрации фактическому. Особое внимание следует обратить на факт наличия у компании-партнера собственного помещения, наличия договора и сроков аренды с арендодателем.
4. Разрешена ли подобная деятельность в уставе компании-партнера, имеется ли лицензия на осуществление данного вида деятельности (так как в противном случае сделка может быть признана недействительной).
5. Организационная форма компании-партнера (количество работающих, структура фирмы, система управления, степень самостоятельности фирмы, наличие филиалов, территориальный охват деятельности).
6. Сведения об управленческом персонале компании (образование, наличие судимости, компетентность, деловая репутация).
7. Рыночной статус (контролируемая доля рынка, имидж фирмы, возможность конкуренции с ней, постоянные контрагенты).
8. Наличие специфической информации (наличие “теневого оборота”, участие в нелегальных сделках, связи с преступными группировками и т. п.).
Полномочия самого подписанта (лишь первый руководитель на основании устава вправе заключать договор без доверенности). Заключающее сделку предприятие может оказаться уже ликвидированным, а подписант – подставным лицом или откровенным мошенником. Не стесняйтесь спросить паспорт и переписать из него все данные. Не доверяйте визиткам и удостоверениям.
Если контракт «серьезный», то следует внимательно проанализировать учредительные и иные документы контрагента, желательно также произвести их предварительную экспертизу. Криминалистическая экспертиза документов производится прежде всего на предмет установления их подлинности и отсутствия признаков подделки, таких как: подчистки, дописки, травление, допечатки на пишущих машинках, подделки печатей и штампов, подделки подписей.
В особых случаях запрашивайте у потенциального партнера отдельные финансовые документы. Например, для контролирующих и правоохранительных органов индикаторами низкого уровня экономической безопасности и наличия теневой деятельности на предприятии служат отчетные экономические показатели. В большинстве случаев манипуляция ими затруднена или невозможна в принципе. К таким показателям относятся: низкая заработная плата, реализация продукции через посредников по заниженным ценам, низкие налоговые поступления, низкий оборот, регулярные крупные сделки с мелкими фирмами, высокий уровень потребления электроэнергии и т. п.
При заключении любого возмездного договора (когда придется отдавать деньги по предоплате) убедитесь в наличии и качестве товара и т. п., проверьте подлинники документов контракта.
После сбора общей информации о компании-партнере необходимо проанализировать полученные сведения и определить степень ее надежности как потенциального контрагента. Для этого используются методы рейтинговой оценки либо принимается решение на основании положительной информации по всем (или большинству) аспектам ее деятельности.
В самом общем виде все потенциальные партнеры по степени надежности могут быть разделены на три группы. Первая группа – наиболее надежные партнеры. Вся собранная информация по вышеназванным критериям является положительной – это позволяет сделать вывод о том, что данный партнер выполняет свои обязательства и имеет высокую исполнительскую дисциплину по совершаемым сделкам.
Вторая группа – партнеры средней степени надежности. Информация свидетельствует, что в большинстве случаев партнер старается выполнять свои обязательства, хотя имели место единичные нарушения условий сделок.
Третья группа – контрагенты с низкой степенью надежности. Они, как правило, не выполняют взятых на себя обязательств, используют нелегальные методы в своей деятельности, зачастую занимаются запрещенными видами деятельности, либо связаны с организованными преступными группировками.
Рекомендовать универсальные методы, надежно защищающие от мошенничества партнеров, невозможно из-за многообразия жульнических приемов. Наиболее важными являются следующие методы защиты от мошенников.
Не спешите расставаться с собственными деньгами.
Стремитесь оплачивать товар только после его поставки вам. В крайнем случае выставляйте аккредитив с выгодными для вас условиями его раскрытия (после поставки товара). Вместе с тем существует вероятность подделки документов, необходимых для раскрытия аккредитива.
Если вы провели с новым партнером одну-две небольшие сделки, не считайте, что обязательно будет удачной и третья, крупная сделка. Особенно в случае, если при совершении крупной сделки вашими деньгами будет распоряжаться партнер.
При заключении договора о совместной деятельности предусмотрите ваше обязательное участие во всех основных операциях по совместной деятельности, ваш жесткий контроль за расходованием средств и распределением доходов.
В договоре четко оговаривайте свои экономические интересы. Если контракт не будет выполнен, по условиям договора стремитесь получить максимальную компенсацию.
Поступайте осторожно, если вам будут предлагать чрезвычайно выгодные условия договора.
При заключении договоров на покупку товара и его продажу контролируйте оговариваемые размеры получаемых и выплачиваемых штрафных санкций в случае срыва договоров.
Если партнер ссылается на солидных учредителей, проверьте это в учредительном договоре.
Проверьте паспорт и полномочия лица, подписывающего с вами договор, а также совпадение названия предприятия-партнера в тексте договора, в других документах и на печати.
В тексте договора должны отсутствовать ссылки на обязательства других юридических и физических лиц, кроме подписавших договор.
Необходимо быть особенно внимательным в случае, если договор заключается от имени известной фирмы, а деньги направляются в адрес другого предприятия (даже если последнее называет себя дочерней структурой или региональным представителем известной фирмы).
Проверяйте предоставляемые залоги на предмет их возможного многократного перезакладывания.
При предоставлении вам поручительств (гарантий) других предприятий или организаций проверьте состоятельность поручителя (гаранта) и выясните, давал ли он вообще предоставленную вам гарантию.
В счетах-фактурах, в актах приемки-сдачи работ и в накладных всегда проверяйте соответствие указанного в документах и фактического количества и качества поставляемых товаров, а также объемов выполненных работ и услуг.
Контролируйте своих работников, не создавайте им условий, когда они могут «перепродаться» другой фирме.
7.3. Система защиты коммерческого предприятия
Количественный и качественный анализ угроз позволяет сделать вывод о том, что надежная защита экономики любой компании возможна только при комплексном и системном подходе к ее организации.
К числу основных задач СЭБ любой коммерческой структуры относятся:
– защита законных прав и интересов предприятия и его сотрудников;
– сбор, анализ, оценка данных и прогнозирование развития обстановки;
– изучение партнеров, клиентов, конкурентов, кандидатов на работу в компании;
– своевременное выявление возможных устремлений к предприятию и его сотрудникам со стороны источников внешних угроз безопасности;
– недопущение проникновения на предприятие структур экономической разведки конкурентов, организованной преступности и отдельных лиц с противоправными намерениями;
– противодействие техническому проникновению в преступных целях;
– выявление, предупреждение и пресечение возможной противоправной и иной негативной деятельности сотрудников предприятия в ущерб его безопасности;
– защита сотрудников предприятия от насильственных посягательств;
– обеспечение сохранности материальных ценностей и сведений, составляющих коммерческую тайну предприятия;
– добывание необходимой информации для выработки наиболее оптимальных управленческих решений по вопросам стратегии и тактики экономической деятельности компании;
– физическая и техническая охрана зданий, сооружений, территории и транспортных средств;
– формирование среди населения и деловых партнеров благоприятного мнения о предприятии, способствующего реализации планов экономической деятельности и уставных целей;
– возмещение материального и морального ущерба, нанесенного в результате неправомерных действий организаций и отдельных лиц;
– контроль за эффективностью функционирования системы безопасности, совершенствование ее элементов.
С учетом перечисленных задач, условий конкурентной борьбы, специфики бизнеса предприятия строится его система экономической безопасности. Необходимо отметить, что СЭБ каждой компании также сугубо индивидуальна. Ее полнота и действенность во многом зависят от имеющейся в государстве законодательной базы, выделяемых руководителем предприятия материально-технических и финансовых ресурсов, понимания каждым из сотрудников важности обеспечения безопасности бизнеса, а также от знаний и практического опыта начальника СЭБ, непосредственно занимающегося построением и поддержанием в «рабочем состоянии» самой системы.
Построение СЭБ предприятия должно осуществляться на основе соблюдения принципов:
– законности;
– прав и свобод граждан;
– централизованного управления;
– компетентности;
– конфиденциальности;
– разумной достаточности, соответствия внешним и внутренним угрозам безопасности;
– комплексного использования сил и средств;
– самостоятельности и ответственности за обеспечение безопасности;
– передовой материально-технической оснащенности;
– корпоративной этики;
– координации и взаимодействия с органами власти и управления.
К основным элементам СЭБ предприятия относятся:
1) защита коммерческой тайны и конфиденциальной информации;
2) компьютерная безопасность;
3) внутренняя безопасность;
4) безопасность зданий и сооружений;
5) физическая безопасность;
6) техническая безопасность;
7) безопасность связи;
8) безопасность хозяйственно-договорной деятельности;
9) безопасность перевозок грузов и лиц;
10) безопасность рекламных, культурных, массовых мероприятий, деловых встреч и переговоров;
11) противопожарная безопасность;
12) экологическая безопасность;
13) радиационно-химическая безопасность;
14) конкурентная разведка;
15) информационно-аналитическая работа;
16) пропагандистское обеспечение, социально-психологическая, предупредительно-профилактическая работа среди персонала и его обучение по вопросам экономической безопасности;
17) экспертная проверка механизма системы безопасности.
В наши дни все большую актуальность приобретает защита интересов предприятия от противоправной деятельности коррумпированных представителей контролирующих и правоохранительных органов. В связи с этим, данное направление работы многими начальниками служб экономической безопасности коммерческих структур выделяется в качестве отдельного элемента СЭБ.
Основной смысл подобной системы состоит в том, что она должна носить упреждающий характер, а основными критериями оценки ее надежности и эффективности являются:
– обеспечение стабильной работы предприятия, сохранности и приумножения финансов и материальных ценностей;
– предупреждение кризисных ситуаций, в том числе различных чрезвычайных происшествий, связанных с деятельностью «внешних» и/или «внутренних» недоброжелателей.
Особенностью и, одновременно, сложностью при построении системы экономической безопасности является тот факт, что ее действенность практически полностью зависит от человеческого фактора. Как показывает практика, даже при наличии на предприятии профессионально подготовленного начальника службы безопасности, современных технические средств, Вы не добьетесь желаемых результатов до тех пор, пока в Вашем коллективе каждый сотрудник не осознает важность и необходимость внедряемых мер экономической безопасности.
А они будут не популярны:
– кто-то утратит возможность в рабочее время или после работы развлекаться в Интернете, скачивать музыку и иную информацию, читать книги в электронном варианте и т. д.;
– кому-то покажется в тягость один раз в неделю менять пароль на своем компьютере;
– кто-то посчитает ниже своего достоинства всякий раз подниматься для того, чтобы уничтожить черновик в бумагорезательной машинке, убрать со стола документы и закрыть окно после окончания рабочего дня, опечатывать и сдавать свой рабочий кабинет под роспись в журнале службе охраны;
– у кого-то исчезнет возможность приводить на работу (в том числе и по выходным дням) своих друзей либо бахвалиться на стороне личными достижениями в работе или успехами фирмы;
– некоторые не смогут использовать служебные автотранспорт и мобильный телефон в личных целях, а также часами вести личные разговоры по служебным проводным каналам телефонной связи и т. д.
Поэтому для юридически правильного, эффективного и всестороннего использования СЭБ в защите интересов предприятия от всех видов недоброжелателей требования по обеспечению безопасности бизнеса излагаются в соответствующих приказах руководителя, трудовых договорах с сотрудниками и их должностных обязанностях, специальных инструкциях, положениях, контрактах с деловыми партнерами и т. д. После чего доводятся до персонала под роспись в процессе занятий и инструктажей.
В вопросах экономической безопасности как никогда важна роль и понимание актуальности проблемы в первую очередь самим руководителем предприятия. Директор и, при наличии, начальник службы безопасности, должны пропагандировать среди персонала одно из основных корпоративных правил: «Фирма – это твоя вторая семья. Предприятие дает всем сотрудникам работу, материальные блага, перспективы служебного роста и т. д. В связи с этим задача каждого сотрудника – приумножать успех и материальное положение компании (как и своей семьи). Ведь успех предприятия – это стабильность и перспективы его персонала».
Вместе с тем, как показывает практика, кто-то из Ваших сотрудников может не выполнять установленные в компании требования или допускать ошибки по забывчивости, кто-то по неаккуратности, а кто-то – из мести. У кого-то могут возникнуть финансовые затруднения в связи с болезнью близких или в связи с проигрышем в казино, и он решит их «компенсировать» за счет фирмы. Кто-то посчитает, что был незаслуженно наказан директором, что давно достоин повышения в должности или что его вклад в деятельность компании заслуживает гораздо более высокой зарплаты, а руководство этого не замечает и т. д.
Словом, с возрастом, изменением социального статуса, материального благосостояния, появлением вредных наклонностей, а также при возникновении некоторых объективных обстоятельств люди могут меняться либо вести себя неадекватно.
При этом необходимо понимать, что в вопросах обеспечения экономической безопасности «второстепенных» должностных лиц нет, а есть только особенности (в связи с выполняемыми каждым из сотрудников функциями и обязанностями).
Секретарь – наверное никто не будет возражать, что эта категория обладает серьезным объемом самой разноплановой информации о фирме.
Уборщица может похитить с рабочего стола директора документ с важной информацией или переписать, запомнить, ксерокопировать его содержание, добросовестно выбросить из мусорной корзины неуничтоженные документы либо документы, уничтоженные таким образом, что не составляет никакого труда их восстановить.
Охранник в состоянии сделать все то же самое, а в ночное время и выходные дни у него появляется дополнительная возможность впустить в офис посторонних, которые, в свою очередь, могут Вам навредить (начиная от банального хищения документов и имущества и заканчивая постановкой в Вашем кабинете подслушивающей техники или «перекачки» закрытой информации из вашего компьютера).
С учетом изложенного, можно сделать вывод о том, что СЭБ предприятия только тогда будет соответствовать предъявляемым к ней требованиям, когда весь персонал понимает важность обеспечения безопасности компании и сознательно выполняет все установленные указанной системой требования. Достигается же данная цель в результате проведения непрерывной, кропотливой воспитательной и профилактической работы с сотрудниками предприятия, их обучения и специальной подготовки по вопросам действующего законодательства и различным аспектам экономической безопасности.
Алгоритм построения.
После получения информации о том, что такое система экономической безопасности предприятия и ее структурные элементы, принципы построения и задачи, резонно возникает вопрос: «Каким образом СЭБ строится?»
У каждого начальника службы безопасности свой подход к решению данной проблемы.
С нашей точки зрения, алгоритм построения СЭБ должен включать в себя следующие этапы:
1) Изучение специфики бизнеса предприятия, занимаемого им сегмента на рынке, штатного расписания, знакомство с персоналом компании.
2) Анализ внешних и внутренних угроз экономике предприятия. Получение информации о возможно имевших место ранее кризисных ситуациях, их причинах и результатах разрешения.
3) Проведение аудита имеющихся (ранее введенных) мер по обеспечению безопасности и анализ их соответствия выявленным угрозам.
4) Моделирование новой системы экономической безопасности предприятия:
– план устранения выявленных в процессе аудита замечаний;
– предложения по совершенствованию СЭБ, расчет всех видов необходимых дополнительных ресурсов;
– планируемые ежемесячные затраты (бюджет) на обеспечение функционирования СЭБ.
5) Утверждение руководителем предприятия модели новой СЭБ и бюджета на ее поддержание.
6) Непосредственное построение СЭБ предприятия.
7) Экспертная оценка действенности построенной СЭБ, доводка ее до совершенства.
Вместе с тем, даже если сегодня на Вашем предприятии отработана действенная СЭБ, все равно не стоит обольщаться и «почивать на лаврах».
Система экономической безопасности – это живой организм, который требует постоянного контроля, совершенствования и управления им в связи с:
– изменениями в действующем законодательстве государства;
– развитием компании и избранием ею новых направлений хозяйственной деятельности;
– увеличением количества персонала, изменениями в штатном расписании фирмы;
– изменением перечня сведений, составляющих коммерческую тайну и конфиденциальную информацию предприятия;
– необходимостью совершенствования телефонной и компьютерной сетей компании;
– изобретением недоброжелателями новых технологий промышленного шпионажа и мошенничества;
– появлением на рынке недобросовестных конкурентов и изменением форм и методов их противоправной деятельности;
– состоянием криминогенной обстановки в регионе и т. д.
7.4. Обеспечения комплексной безопасности на предприятиях электроэнергетики
Прежде всего, следует выделить основные принципы построения систем безопасности:
– принцип законности.
Реализация этого принципа осуществляется за счёт тщательного соблюдения и выполнения при разработке и построении систем безопасности требований действующего законодательства;
– принцип своевременности.
Реализуется принятием упреждающих мер обеспечения безопасности;
– принцип совмещения комплексности и эффективности и экономической целесообразности.
Реализуется за счёт построения системы безопасности, обеспечивающей надежную защиту комплекса имеющихся на предприятии ресурсов от комплекса возможных угроз с минимально возможными, но не превышающими 20 % стоимость защищаемых ресурсов затратами.
– принцип модульности.
Реализуется за счёт построения системы на базе гибких аппаратно-программных модулей. Модульность программы позволяет ей работать в двух режимах – дежурном и инсталляции, позволяет наращивать, изменять конфигурацию системы и вносить другие изменения без замены основного оборудования;
– принцип иерархичности.
Реализуется за счёт построения многоуровневой структуры, состоящей из оборудования Центра, оборудования среднего звена и объектового оборудования. Модульность и иерархичность позволяют разрабатывать системы безопасности для самого высокого организационно – структурного уровня;
– принцип преимущественно программной настройки.
– Реализуется за счёт использования для перенастройки оборудования способ ввода новых управляющих программ – модулей;
– принцип совместимости технологических, программных, информационных, конструктивных, энергетических и эксплуатационных элементов в применяемых технических средствах.
Технологическая совместимость обеспечивает технологическое единство и взаимозаменяемость компонентов. Это требование достигается унификацией технологии производства составных элементов системы. Информационная совместимость подсистем систем безопасности обеспечивает их оптимальное взаимодействие при выполнении заданных функций. Для её достижения используются стандартные блоки связи, выдерживается строгая регламентация входных и выходных параметров модулей на всех иерархических уровнях системы, входных и выходных сигналов для управляющих воздействий.
Комплексные системы безопасности – это совокупность взаимоувязанных организационных мероприятий (мер, способов) и технических средств, объединённых каналами связи; и совокупность мероприятий обеспечивающих поддержание безопасного состояния объекта, обнаружение и ликвидацию максимально полного перечня (комплекса) угроз жизни, здоровью, среде обитания, имуществу и информации; совокупность имеющая общие средства сбора и обработки информации и управления.
В состав, в качестве технических средств обеспечения безопасности, входит комплексная система технических средств охраны – совокупность технических средств и/или систем (тревожной, охранной и охранно-пожарной сигнализации, контроля и управления доступом, видеонаблюдения и др.), обеспечивающих выполнение комплекса задач системы безопасности.
В типовой состав оснащения объектов энергетики входят следующие технические средства и системы:
– сбора, обработки и отображения информации (ССОИ);
– охранной и тревожной сигнализации (ОС и ТС);
– управления и контроля доступом (СКУД);
– телевизионного видеонаблюдения и видеорегистрации (ТСВ);
– охранно-пожарной сигнализации (ОПС);
– оповещения о пожаре и дымоудаления (ОС и ДУ);
– пожаротушения (ПТ);
– защиты от несанкционированного съёма информации (ЗНСИ);
– бесперебойного электропитания (СБП);
– оперативной связи, оповещения и радиотрансляции;
– средств технической укреплённости (СТУ).
Количество и состав подсистем может варьироваться в зависимости от потребностей объекта.
Типовые задачи:
– защита жизни и здоровья лиц, находящихся на объекте;
– защита материальных и информационных ценностей;
– защита собственных ресурсов и технических средств при попытках несанкционированного доступа к ним;
– организация доступа сотрудников и посетителей на территорию объекта и в режимные помещения;
– табельный учет;
– обнаружение и регистрация фактов несанкционированного проникновения нарушителя на территорию объекта, в здания и режимные помещения, а также оповещение охраны или службы безопасности о нештатных ситуациях; организация тревожно-вызывной сигнализации и тревожного оперативного оповещения;
– наблюдение за территорией, прилегающей к зданиям объекта, и за транспортными потоками на ней с созданием видеоархива;
– защищённость объектов энергетики, особенно от проникновения посторонних лиц, должна быть высокой.
Отдельное внимание следует уделить безопасности гидротехнических сооружений, поскольку любые производственные циклы этой отрасли являются опасными и могут создавать угрозу для экологии, здоровья и жизни людей. Кроме этого, обеспечение безопасности и надёжности гидроэлектростанций (ГЭС) является требованием законодательной базы Российской Федерации.
В настоящее время комплексная защита ГЭС строится преимущественно на основе датчиковых средств охраны, основанных на различных физических принципах, которые не всегда и не во всех условиях гарантируют надежную работу в условиях ГЭС.
Так, например, изменение уровня воды зачастую приводит к нестабильной работе датчиковых систем, которые настраиваются на определённый уровень воды, и потенциальный нарушитель может проникнуть на объект, воспользовавшись приливом или отливом.
В настоящее время на рынке систем безопасности появилась Радиолокационная система (РЛС) охраны периметра и территории объектов, которая соответствует высоким требованиям и позволит повысить безопасность ГЭС. РЛС предназначены для круглосуточной, всепогодной охраны объектов посредством радиолокационного наблюдения периметра и территории, обнаружения движущихся целей, измерения их координат и скорости, распознавания класса и автосопровождения обнаруженных целей. РЛС может интегрироваться с поворотной видеокамерой (тепловизором) и выполнять функции целеуказания, при этом получаемое оператором видео (тепловизионное) изображение достаточно для верификации нарушителя (или ситуации) и принятия правильного решения. Особенностью применения РЛС является работа в местах постоянного присутствия людей, поэтому уровень электромагнитного излучения должен быть предельно низок и соответствовать требованиям СанПиН.
РЛС позволяет обеспечить охрану водосброса, шлюза и прилегающей территории ГЭС. Система в автоматическом режиме информирует оператора о проникновении нарушителя на объект как со стороны суши, так и со стороны прилегающей акватории.
На основе РЛС можно создавать сети радиолокационных станций для охраны территорий и периметра большой протяжённости. В состав системы могут также включаться неподвижные и поворотные видеокамеры и тепловизоры, любые датчиковые системы. Информация о целевой обстановке отображается на автоматизированном рабочем месте оператора со всех РЛС, видеокамер и тепловизоров, что позволяет контролировать весь периметр и территорию объекта из единого центра.
Общий уровень безопасности объектов зависит не только от использования высокотехнологичных систем, но и от способности этих систем обмениваться информацией в единой базе данных, обеспечивая принципиально более высокий уровень защиты.
Новым направлением в обеспечении безопасности объектов энергетики является взаимодействие с разработчиками эксклюзивных охранных систем с целью обеспечения комплексными системами безопасности.
Телевизионное видеонаблюдение и видеорегистрация (ТСВ)
На данный момент многие предприятия, устанавливая системы ТСВ, не учитывают расширяющихся потребностей и увеличения мощностей. Лучшим предлагается использование видеосерверов. Так как система видеосерверов позволяет организовывать и расширять системы до бесконечности.
Система строится на видеосерверах Пандора российского производства, которые позволяют не только работать с массивами видео, но и транслировать реальное видео в компьютерную сеть предприятия. Разграничивать права доступа и просмотра. А также, при необходимости, передавать сигнал на удалённые терминалы по сетям Интернет. Качество видео определяется, в этом случае, только техническими характеристиками сетей.
Охранная и тревожной сигнализации (ОС и ТС)
Оповещение о пожаре и дымоудаление (ОП и ДУ), пожаротушение (ПТ)
Охранная и тревожная сигнализации, оповещение о пожаре и дымоудаление строятся на оборудовании российского производства компании Болид, что существенно снижает стоимость ОС,ТС, ОП и ДУ. Упрощает работу при монтаже, дальнейшем обслуживании и сервисной поддержке.
Управление и контроль доступом (СКУД)
Управление и контроль доступом, в основном, организованы на платформе Форсек. СКУД – это не только система, которая позволяет контролировать проход в здание или проезд на территорию предприятия, но и система позволяющая организовать доступ к отдельным помещениям, этажам и коридорам. СКУД это не только разграничение доступа, но и система, позволяющая систематизировать и учитывать рабочее время сотрудников предприятия, въезд и выезд автотранспорта. При использовании программного обеспечения Senesys-Avto мы обеспечиваем не только распознавания автомобильного номера, но и распознавание автотранспорта по внешнему виду, для исключения случаев смены номеров на автотранспорте.
Новым направлением в обеспечении безопасности предприятий является объединение всех систем в единый Ситуационный центр, который мог бы проводить мониторинг всех систем одновременно и принимать решения по возникшим ситуациям.
7.5. Система информационной безопасности предприятия
Главной целью любой системы информационной безопасности является обеспечение устойчивого функционирования объекта, предотвращение угроз его безопасности, защита законных интересов Заказчика от противоправных посягательств, недопущение хищения финансовых средств, разглашения, утраты, утечки, искажения и уничтожения служебной информации, обеспечение нормальной производственной деятельности всех подразделений объекта. Другой целью системы информационной безопасности является повышение качества предоставляемых услуг и гарантий безопасности имущественных прав и интересов клиентов.
Достижение заданных целей возможно в ходе решения следующих основных задач:
– отнесение информации к категории ограниченного доступа (служебной тайне);
– прогнозирование и своевременное выявление угроз безопасности информационным ресурсам, причин и условий, способствующих нанесению финансового, материального и морального ущерба, нарушению его нормального функционирования и развития;
– создание условий функционирования с наименьшей вероятностью реализации угроз безопасности информационным ресурсам и нанесения различных видов ущерба;
– создание механизма и условий оперативного реагирования на угрозы информационной безопасности и проявления негативных тенденций в функционировании, эффективное пресечение посягательств на ресурсы на основе правовых, организационных и технических мер и средств обеспечения безопасности;
– создание условий для максимально возможного возмещения и локализации ущерба, наносимого неправомерными действиями физических и юридических лиц, ослабление негативного влияния последствий нарушения информационной безопасности на достижение стратегических целей.
Модель построения системы информационной безопасности.
При выполнении работ можно использовать следующую модель построения системы информационной безопасности (рисунок 4), основанную на адаптации ОК (ISO 15408) и проведении анализа риска (ISO 17799).
Эта модель соответствует специальным нормативным документам по обеспечению информационной безопасности, принятым в Российской Федерации, международному стандарту ISO/IEC 15408 «Информационная технология – методы защиты – критерии оценки информационной безопасности», стандарту ISO/IEC 17799 «Управление информационной безопасностью», и учитывает тенденции развития отечественной нормативной базы (в частности, Гостехкомиссии РФ) по вопросам информационной безопасности.
Представленная модель информационной безопасности – это совокупность объективных внешних и внутренних факторов и их влияние на состояние информационной безопасности на объекте и на сохранность материальных или информационных ресурсов.
Рисунок 4. Модель построения системы информационной безопасности предприятия.
Рассматриваются следующие объективные факторы:
– угрозы информационной безопасности, характеризующиеся вероятностью возникновения и вероятностью реализации;
– уязвимости информационной системы или системы контрмер (системы информационной безопасности), влияющие на вероятность реализации угрозы;
– риск – фактор, отражающий возможный ущерб организации в результате реализации угрозы информационной безопасности: утечки информации и ее неправомерного использования (риск в конечном итоге отражает вероятные финансовые потери – прямые или косвенные).
Для построения сбалансированной системы информационной безопасности предполагается первоначально провести анализ рисков в области информационной безопасности. Затем определить оптимальный уровень риска для организации на основе заданного критерия. Систему информационной безопасности (контрмеры) предстоит построить таким образом, чтобы достичь заданного уровня риска.
Методика проведения аналитических работ.
Предлагаемая методика позволяет:
– полностью проанализировать и документально оформить требования, связанные с обеспечением информационной безопасностью;
– избежать расходов на излишние меры безопасности, возможные при субъективной оценке рисков;
– оказать помощь в планировании и осуществлении защиты на всех стадиях жизненного цикла информационных систем;
– обеспечить проведение работ в сжатые сроки;
– представить обоснование для выбора мер противодействия;
– оценить эффективность контрмер, сравнить различные варианты контрмер.
Определение границ исследования.
В ходе работ должны быть установлены границы исследования. Для этого необходимо выделить ресурсы информационной системы, для которых в дальнейшем будут получены оценки рисков. При этом предстоит разделить рассматриваемые ресурсы и внешние элементы, с которыми осуществляется взаимодействие. Ресурсами могут быть средства вычислительной техники, программное обеспечение, данные. Примерами внешних элементов являются сети связи, внешние сервисы и т. п.
Построение модели информационной технологии.
При построении модели будут учитываться взаимосвязи между ресурсами. Например, выход из строя какого-либо оборудования может привести к потере данных или выходу из строя другого критически важного элемента системы. Подобные взаимосвязи определяют основу построения модели организации с точки зрения ИБ.
Эта модель, в соответствие с предлагаемой методикой, строится следующим образом: для выделенных ресурсов определяется их ценность, как с точки зрения ассоциированных с ними возможных финансовых потерь, так и с точки зрения ущерба репутации организации, дезорганизации ее деятельности, нематериального ущерба от разглашения конфиденциальной информации и т. д. Затем описываются взаимосвязи ресурсов, определяются угрозы безопасности и оцениваются вероятности их реализации.
Выбор контрмер.
На основе построенной модели можно обоснованно выбрать систему контрмер, снижающих риски до допустимых уровней и обладающих наибольшей ценовой эффективностью. Частью системы контрмер будут являться рекомендации по проведению регулярных проверок эффективности системы защиты.
Управление рисками.
Обеспечение повышенных требований к ИБ предполагает соответствующие мероприятия на всех этапах жизненного цикла информационных технологий. Планирование этих мероприятий производится по завершении этапа анализа рисков и выбора контрмер. Обязательной составной частью этих планов является периодическая проверка соответствия существующего режима ИБ политике безопасности, сертификация информационной системы (технологии) на соответствие требованиям определенного стандарта безопасности.
Оценка достигаемой защищенности.
В завершение работ, можно будет определить меру гарантии безопасности информационной среды Заказчика, основанную на оценке, с которой можно доверять информационной среде объекта.
Данный подход предполагает, что большая гарантия следует из применения больших усилий при проведении оценки безопасности. Адекватность оценки основана на:
– вовлечении в процесс оценки большего числа элементов информационной среды объекта Заказчика;
– глубине, достигаемой за счет использования при проектировании системы обеспечения безопасности большего числа проектов и описаний деталей выполнения;
– строгости, которая заключается в применении большего числа инструментов поиска и методов, направленных на обнаружение менее очевидных уязвимостей или на уменьшение вероятности их наличия.
Методология анализа рисков.
Цель процесса оценивания рисков состоит в определении характеристик рисков в информационной системе и ее ресурсах. На основе таких данных выбираются необходимые средства управления ИБ.
Процесс оценивания рисков содержит несколько этапов:
– описание объекта и мер защиты;
– идентификация ресурса и оценивание его количественных показателей (определение потенциального негативного воздействия на бизнес);
– анализ угроз информационной безопасности;
– оценивание уязвимостей;
– оценивание существующих и предполагаемых средств обеспечения информационной безопасности;
– оценивание рисков.
Риск характеризует опасность, которой может подвергаться система и использующая ее организация, и зависит от:
– показателей ценности ресурсов;
– вероятностей нанесения ущерба ресурсам (выражаемых через вероятности реализации угроз для ресурсов);
– степени легкости, с которой уязвимости могут быть использованы при возникновении угроз (уязвимости системы защиты);
– существующих или планируемых средств обеспечения ИБ.
Расчет этих показателей выполняется на основе математических методов, имеющих такие характеристики, как обоснование и параметры точности метода.
Построение профиля защиты.
На этом этапе разрабатывается план проектирования системы защиты информационной среды Заказчика. Производится оценка доступных средств, осуществляется анализ и планирование разработки и интеграции средств защиты (рисунок 5).
Рисунок 5. Возможный алгоритм оценивания информационных рисков.
Необходимым элементом работы является утверждение у Заказчика допустимого риска объекта защиты.
Обеспечение повышенных требований к информационной безопасности предполагает соответствующие мероприятия на всех этапах жизненного цикла информационных технологий.
Планирование этих мероприятий производится по завершении этапа анализа рисков и выбора контрмер. Обязательной составной частью этих планов является периодическая проверка соответствия существующего режима ИБ политике безопасности, сертификация информационной системы (технологии) на соответствие требованиям определенного стандарта безопасности.
Работа по построению плана защиты объекта начинается с построения профиля защиты данного объекта. При этом часть этой работы уже была проделана при проведении анализа рисков.
Формирование организационной политики безопасности.
Прежде чем предлагать какие-либо технические решения по системе информационной безопасности объекта, предстоит разработать для него политику безопасности.
Собственно организационная политика безопасности описывает порядок предоставления и использования прав доступа пользователей, а также требования отчетности пользователей за свои действия в вопросах безопасности.
Система информационной безопасности (СИБ) объекта окажется эффективной, если она будет надежно поддерживать выполнение правил политики безопасности, и наоборот. Шагами построения организационной политики безопасности являются:
– внесение в описание объекта автоматизации структуры ценности и проведение анализа риска;
– определение правил для любого процесса пользования данным видом доступа к ресурсам объекта автоматизации, имеющим данную степень ценности.
Организационная политика безопасности оформляется в виде отдельного документа, который согласовывается и утверждается Заказчиком.
Условия безопасного использования ИТ Предполагается, что система обеспечения безопасности объекта Заказчика, соответствующая выбранному профилю защиты, обеспечит требуемый уровень безопасности только в том случае, если она установлена, управляется и используется в соответствие с выработанными правилами. Операционная среда должна управляться согласно принятой для данного профиля защиты нормативной документации, а также инструкциям администраторов и пользователей.
Выделяются следующие виды условий безопасного использования ИТ:
– физические условия;
– условия для персонала;
– условия соединений.
Физические условия касаются размещения ресурсов объекта, а также защиты аппаратных средств и программного обеспечения, критичных к нарушению политики безопасности.
Условия для персонала содержат организационные вопросы управления безопасностью и отслеживания полномочий пользователей.
Условия соединений не содержат явных требований для сетей и распределенных систем, но, например, условие равенства положения означает наличие единой области управления всей сетью объекта.
Условия безопасного использования объекта автоматизации оформляются в виде отдельного документа, который согласовывается и утверждается Заказчиком.
Формулирование целей безопасности объекта.
В этом разделе профиля защиты дается детализованное описание общей цели построения системы безопасности объекта Заказчика, выражаемое через совокупность факторов или критериев, уточняющих цель. Совокупность факторов служит базисом для определения требований к системе (выбор альтернатив).
Факторы безопасности, в свою очередь, могут распределяться на технологические, технические и организационные.
Определение функциональных требований безопасности.
Функциональные требования профиля защиты определяются на основе набора хорошо известных, отработанных и согласованных функциональных требований безопасности. Все требования к функциям безопасности можно разделить на два типа: управление доступом к информации и управление потоками информации.
На этом этапе предстоит правильно определить для объекта компоненты функций безопасности. Компонент функции безопасности описывает определенный набор требований безопасности – наименьший выбираемый набор требований безопасности для включения в профиль защиты. Между компонентами могут существовать зависимости.
Требования гарантии достигаемой защищенности.
Структура требований гарантии аналогична структуре функциональных требований и включает классы, семейства, компоненты и элементы гарантии, а также уровни гарантии.
Классы и семейства гарантии отражают такие вопросы, как разработка, управление конфигурацией, рабочая документация, поддержание этапов жизненного цикла, тестирование, оценка уязвимости и другие вопросы.
Требования гарантии достигаемой защиты выражаются через оценки функций безопасности СИБ объекта. Оценка силы функции безопасности выполняется на уровне отдельного механизма защиты, а ее результаты позволяют определить относительную способность соответствующей функции безопасности противостоять идентифицированным угрозам.
Исходя из известного потенциала нападения, сила функции защиты определяется, например, категориями «базовая», «средняя», «высокая».
Потенциал нападения определяется путем экспертизы возможностей, ресурсов и мотивов побуждения нападающего.
Уровни гарантии. Предлагается использовать табличную сводку уровней гарантированности защиты. Уровни гарантии имеют иерархическую структуру, где каждый следующий уровень предоставляет большие гарантии и включает все требования предыдущего.
Формирование перечня требований.
Перечень требований к системе информационной безопасности, эскизный проект, план защиты (далее – техническая документация, ТД) содержит набор требований безопасности информационной среды объекта Заказчика, которые могут ссылаться на соответствующий профиль защиты, а также содержать требования, сформулированные в явном виде.
В общем виде разработка ТД включает:
– уточнение функций защиты;
– выбор архитектурных принципов построения СИБ;
– разработку логической структуры СИБ (четкое описание интерфейсов);
– уточнение требований функций обеспечения гарантоспособности СИБ;
– разработку методики и программы испытаний на соответствие сформулированным требованиям.
Оценка достигаемой защищенности.
На этом этапе производится оценка меры гарантии безопасности информационной среды объекта автоматизации. Мера гарантии основывается на оценке, с которой после выполнения рекомендованных мероприятий можно доверять информационной среде объекта.
Базовые положения данной методики предполагают, что степень гарантии следует из эффективности усилий при проведении оценки безопасности.
Увеличение усилий оценки предполагает:
– значительное число элементов информационной среды объекта, участвующих в процессе оценивания;
– расширение типов проектов и описаний деталей выполнения при проектировании системы обеспечения безопасности;
– строгость, заключающуюся в применении большего числа инструментов поиска и методов, направленных на обнаружение менее очевидных уязвимостей или на уменьшение вероятности их наличия.
В целом рассмотренная выше методика позволяет оценить или переоценить уровень текущего состояния информационной безопасности предприятия, выработать рекомендации по обеспечению (повышению) информационной безопасности предприятия, снизить потенциальные потери предприятия или организации путем повышения устойчивости функционирования корпоративной сети, разработать концепцию и политику безопасности предприятия, а также предложить планы защиты конфиденциальной информации предприятия, передаваемой по открытым каналам связи, защиты информации предприятия от умышленного искажения (разрушения), несанкционированного доступа к ней, ее копирования или использования.
7.6. Разработка и реализация политики безопасности предприятия
Подготовительный этап
Обеспечение комплексной безопасности является необходимым условием функционирования любой компании. Эта «комплексность» заключается, прежде всего, в продуманности, сбалансированности защиты, разработке четких организационно-технических мер и обеспечении контроля над их исполнением.
Всякой успешной деятельности должен предшествовать этап планирования. Шахматисты знают, что, не создав четкого плана, выиграть партию у сколько-нибудь серьезного соперника невозможно. А соперник – «промышленный шпион» – у нас достаточно серьезный. Планирование обеспечения безопасности заключается в разработке политики безопасности.
Вначале необходимо провести аудит информационных процессов фирмы, выявить критически важную информацию, которую необходимо защищать. Иногда к этому делу подходят однобоко, полагая, что защита заключается в обеспечении конфиденциальности информации. При этом упускаются из виду необходимость обеспечения защиты информации от подделки, модификации, парирования угроз нарушения работоспособности системы. Например, обиженный чем-то программист может вставить деструктивную закладку в программное обеспечение, которая сотрет ценную базу данных уже намного позднее времени его увольнения. Аудит информационных процессов должен заканчиваться определением перечня конфиденциальной информации предприятия, участков, где эта информация обращается, допущенных к ней лиц, а также последствий утраты (искажения) этой информации.
После этого становится ясно, что защищать, где защищать и от кого защищать: ведь в подавляющем случае инцидентов в качестве нарушителей будут выступать – вольно или невольно – сами сотрудники фирмы. На самом деле, с этим ничего нельзя поделать: это надо принять как данность. Различным угрозам безопасности можно присвоить вероятности их реализации. Умножив вероятность реализации угрозы на причиняемый этой реализацией ущерб, получим риск угрозы. После этого можно приступать к разработке политики безопасности.
Содержание политики безопасности.
Политика безопасности – это документ «верхнего» уровня, в котором должно быть указано:
– ответственные лица за безопасность функционирования фирмы;
– полномочия и ответственность отделов и служб в отношении безопасности;
– организация допуска новых сотрудников и их увольнения;
– правила разграничения доступа сотрудников к информационным ресурсам;
– организация пропускного режима, регистрации сотрудников и посетителей;
– использование программно-технических средств защиты;
– другие требования общего характера.
Таким образом, политика безопасности – это организационно-правовой и технический документ одновременно. При ее составлении надо всегда опираться на принцип разумной достаточности и не терять здравого смысла.
Например, в политике может быть указано, что все прибывающие на территорию фирмы сдают мобильные телефоны вахтеру (такие требования встречаются в некоторых организациях). Будет ли кто-нибудь следовать этому предписанию? Как это проконтролировать? К чему это приведет с точки зрения имиджа фирмы? Ясно, что это требование нежизнеспособное. Другое дело, что можно запретить использование на территории мобильных телефонов сотрудникам фирмы, при условии достаточного количества стационарных телефонов.
Принцип разумной достаточности означает, что затраты на обеспечение безопасности информации должны быть никак не больше, чем величина потенциального ущерба от ее утраты. Анализ рисков, проведенный на этапе аудита, позволяет ранжировать эти риски по величине и защищать в первую очередь не только наиболее уязвимые, но и обрабатывающие наиболее ценную информацию участки. Если в качестве ограничений выступает суммарный бюджет системы обеспечения безопасности, то задачу распределения этого ресурса можно поставить и решить как условную задачу динамического программирования.
Особое внимание в политике безопасности надо уделить разграничению зоны ответственности между службой безопасности и IT-службой предприятия. Зачастую сотрудники службы безопасности, в силу низкой технической грамотности, не осознают важности защиты компьютерной информации. С другой стороны, IT-сотрудники, являясь «творческими» личностями, как правило, стараются игнорировать требования службы безопасности. Кардинально решить эту проблему можно было бы, введя должность CEO по информационной безопасности, которому бы подчинялись обе службы.
В политике безопасности не надо детализировать должностные обязанности каких бы то ни было сотрудников (хотя приходилось видеть и такое). Эти обязанности должны разрабатываться на основе политики, но не внутри нее.
Обеспечение безопасности компьютерной информации.
Дополнительное внимание в политике безопасности уделяется вопросам обеспечения безопасности информации при ее обработке в автоматизированных системах: автономно работающих компьютерах и локальных сетях. Необходимо установить, как должны быть защищены серверы, маршрутизаторы и другие устройства сети, порядок использования сменных носителей информации, их маркировки, хранения, порядок внесения изменений в программное обеспечение.
Можно привести по этому поводу следующие общие рекомендации:
– в системе должен быть администратор безопасности;
– за каждое устройство должен быть назначен ответственный за его эксплуатацию;
– системный блок компьютера надо опечатывать печатями ответственного и работника IT-службы (или службы безопасности)
– жесткие диски лучше использовать съемные, а по окончании рабочего дня убирать их в сейф;
– если нет необходимости в эксплуатации CD-ROM, дисководов, они должны быть сняты с компьютеров;
– установка любого программного обеспечения должна производиться только работником IT-службы;
– для разграничения доступа сотрудников лучше всего использовать сочетание паролей и смарт-карт (токенов). Пароли должны генерироваться администратором безопасности, выдаваться пользователю под роспись и храниться им также как и другая конфиденциальная информация;
– должно быть запрещено использование неучтенных носителей информации. На учтенных носителях выполняется маркировка, например, гриф, номер, должность и фамилия сотрудника.
Еще раз напомним о разумной достаточности и здравом смысле. Внедрение любой защиты приводит к определенным неудобствам пользователя. Однако эти неудобства не должны быть существенными, иначе человек будет игнорировать существующие правила. Например, можно потребовать завести журнал пользователя персонального компьютера, в котором он должен отмечать время начала и конца работы, характер выполняемых действий, наименование созданных файлов и т. д. Можно предусмотреть процедуру удаления файлов под две росписи в журнале, да мало ли что еще взбредет в голову! Никто и никогда не будет выполнять такие вздорные требования. Другое дело, если подготовка каких-то важных документов предусмотрена на специальном компьютере в службе безопасности. Здесь журнал учета работы пользователей будет не только уместным, но и необходимым.
Крайне внимательно надо отнестись к подключению своих информационных ресурсов к Интернету. В политике безопасности этот вопрос должен быть выделен в отдельный раздел.
Подключение к Интернету обычно преследует следующие цели:
– получение информации из Интернета;
– размещение в Интернете своей информации о предоставляемых услугах, продаваемых товарах и т. д.
– организация совместной работы удаленных офисов или работников на дому.
В первых двух случаях идеальным с точки зрения безопасности было бы выделение для Интернета автономного компьютера, на котором ни в коем случае не должна храниться конфиденциальная информация. На компьютере должны быть обязательно установлены антивирусные средства защиты с актуальной базой, а также правильно настроенный Firewall. При этом особый контроль надо уделить работе на этом компьютере со сменными носителями информации, а также перлюстрации исходящей почты. В некоторых организациях вся исходящая почта попадает вначале в руки администратора безопасности, который контролирует ее и пересылает дальше.
При необходимости организации распределенной работы сотрудников фирмы наиболее приемлемым решением являются виртуальные частные сети (VPN). В настоящее время имеется много отечественных фирм-разработчиков, представляющих также услуги по установке и настройке соответствующего программного обеспечения.
Несмотря на все принятые меры, нарушения информационной безопасности могут произойти. В политике безопасности должны быть обязательно предусмотрены меры ликвидации этих последствий, восстановления нормальной работоспособности фирмы, минимизации причиненного ущерба. Большое значение здесь имеет применение средств резервирования электропитания, вычислительных средств, данных, а также правильная организация документооборота.
Аудит безопасности.
Итак, вы разработали политику безопасности, претворили ее положения в жизнь. Как теперь оценить информационную безопасность вашей фирмы? Может быть, все усилия потрачены зря? На эти вопросы поможет ответить аудит безопасности. Существуют фирмы, предоставляющие подобные услуги, и, по крайней мере, два подхода к оценке.
Первый подход – оценка безопасности на качественном уровне. Проводящий оценку эксперт высказывает свое видение состояния дел в фирме, дает рекомендации по устранению замеченных им изъянов. В таком подходе нет ничего предосудительного, однако, субъективизм все же может присутствовать. Хотелось бы иметь действительно независимую, объективную оценку информационной безопасности. Причем было бы неплохо, чтобы эту, количественную, оценку признавали и другие фирмы – ваши потенциальные партнеры. Очевидно, что для этого необходима разработка некоторого набора правил или стандарта в области безопасности информационных систем.
К счастью, почти ничего разрабатывать не надо: стандарт, позволяющий дать количественную оценку информационной безопасности, уже имеется. Речь идет о международном стандарте ISO 17799. Этот документ был принят международным институтом стандартов в конце 2002 года на основе ранее разработанного Великобританией стандарта BS7799. И хотя он пока не является общепринятым документом в нашей стране, этот стандарт не противоречит руководящим документам Гостехкомиссии и приказам ФАПСИ.
Стандарт ISO 17799 позволяет получить количественную оценку комплексной безопасности фирмы. Этот процесс настолько формализован, что существует (и продается в нашей стране) программное обеспечение, позволяющее самостоятельно выполнить оценку безопасности своей компании. Это программное обеспечение представляет собой, по существу, вопросник. Сгенерированный программой отчет высылается в адрес фирмы, имеющей полномочия на проведение сертификации на соответствие этому стандарту, и та присылает вам соответствующий знак и процент соответствия стандарту, как показано на рисунке. Этот знак компания может разместить на своем корпоративном сайте. Трудно сказать, насколько эта процедура актуальна для российских фирм, но сам подход любопытен.
В заключении, необходимо особо подчеркнуть, что необходим постоянный и эффективный контроль над реализацией политики безопасности, потому, что все технические ухищрения в области обеспечения безопасности могут оказаться бесполезными без организации должного контроля.