Методика комплексного подхода к обеспечению безопасности организации 1 этап

Вид материала

Документы

Содержание После выбора варианта целесообразно определить порядок взаимодействия, координации и подчинения между субъектами обеспечения без Раздел 1 Описание ситуации в области безопасности компании

Подобный материал:

• Концепция комплексного подхода решения вопросов энергосбережения, повышения энергетической, 94.05kb.
• Целевой программы профилактики правонарушений, борьбы с преступностью и обеспечения, 871.93kb.
• Методические рекомендации по обеспечению санитарно-эпидемиологического благополучия, 132.47kb.
• Инструкция пользователю автоматизированной системы общие обязанности сотрудников организации, 73.18kb.
• Доклад заместителя директора по вр моу сош №4 с уиоп кутузовой, 234.66kb.
• Виртуальное место администратора безопасности информации в автоматизированных системах, 130.69kb.
• Рекомендации мсат по обеспечению безопасности на автомобильном пассажирском транспорте, 1583.56kb.
• Методика организации и проведения обследований состояния техники безопасности и безопасности, 296.26kb.
• Приказ «15» февраль 2011 й. «15» февраля 2011 г. Омерах по обеспечению безопасности, 16.71kb.
• Методика определения актуальных угроз безопасности персональных данных при их обработке, 175.98kb.

Методика комплексного подхода к

обеспечению безопасности организации


1 этап

Определение объектов безопасности в организации.

Ответ на вопрос: Что мы будем защищать и какая ситуация с защитой объектов безопасности в организации на время ее изучения? (констатация существующих фактов)


Наиболее типичными объектами являются

• бизнес-процессы
  

Уточнить (проанализировать):

• какие бизнес-процессы протекают в организации;
  
• из чего состоят бизнес-процессы;
  
• наличие кризисных ситуаций в прошлой деятельности организации и применяемые пути их решений;
  
• возможные кризисные ситуации в ближайшем будущем организации;
  
• стоит задача в обеспечении безопасности всех бизнес-процессов или только отдельных элементов;
  
• наличие/отсутствие правовой защиты бизнеса;
  
• возможные экономические риски и вероятность их наступления;
  
• какая структура организации и возможность ее работы в условиях повышенных экономических рисков;
  
• кто является акционерами, руководством и владельцами бизнеса – их взгляды на безопасность бизнес-процессов;
  
• есть ли диверсификация деятельности;
  
• анализ конкурентной среды (конкуренты, поставщики, потребители, совершенство законодательства, административный ресурс, криминальный ресурс и т.д.);
  
• какой профессионализм менеджеров организации при работе в условиях повышенных экономических рисков;
  
• наличие/отсутствие в штате сотрудников, занимающихся экономической безопасностью;
  
• как в настоящее время обеспечивается безопасность бизнес-процессов;
  
• какая организация ранее занималась обеспечением безопасности бизнес-процессов;
  
• какие бизнес-планы в организации;
  
• какая финансовая и налоговая устойчивость в компании;
  
• иные вопросы и ответы на них, необходимые для обеспечения безопасности бизнес-процессов организации.
  

• руководство
  

Уточнить (проанализировать):

• число руководителей, безопасность которых предполагается обеспечивать;
  
• индивидуальные требования по безопасности каждого руководителя;
  
• анализ угроз для каждого руководителя с определением вероятности их реализации;
  
• применяемые способы обеспечения безопасности каждого руководителя компании с анализом их эффективности;
  
• анализ образа жизни руководителей, соотношение с угрозами и определение возможных способов защиты (физическая защита, юридическая защита, психологическая защита, химическая защита, биологическая защита и т.д.);
  
• иные вопросы и ответы на них, необходимые для обеспечения безопасности руководства организации.
  

• активы
  

Уточнить (проанализировать):

• наличие, структура и рассредоточение активов, их ликвидность;
  
• движение и использование активов;
  
• юридическое оформление права на получение, владение и использование активов;
  
• обременение активов;
  
• возможные угрозы активам (в том числе в процессе «враждебных поглощений» и со стороны акционеров);
  
• случаи попыток получения незаконного права или незаконного использования активов;
  
• иные вопросы и ответы на них, необходимые для обеспечения безопасности активов организации.
  

• финансовые средства
  

Уточнить (проанализировать):

• порядок получения и транспортировки финансовых средств, возможные угрозы;
  
• порядок хранения финансовых средств и возможные угрозы;
  
• порядок использования финансовых средств (наличные деньги, безналичные переводы, и т.д.);
  
• наличие дебиторской и кредиторской задолженности
  
• какой банк используется для осуществления финансовых операций. Определить его надежность;
  
• порядок использования пластиковых карт;
  
• иные вопросы и ответы на них, необходимые для обеспечения безопасности финансовых средств организации.
  

• материальные ценности
  

Уточнить (проанализировать):

• объем материальных ценностей (их расположение), которым предполагается обеспечивать безопасность;
  
• возможное перемещение материальных ценностей и необходимость обеспечения безопасности в процессе транспортировки;
  
• как в настоящее время обеспечивается безопасность материальных ценностей;
  
• как проводить охранные мероприятия по обеспечению безопасности материальных ценностей (пожелания владельца компании);
  
• возможность (необходимость) привлечения к охранным мероприятиям подразделений иных ЧОПов, вневедомственной охраны, ведомственной охраны и т.д.;
  
• наличие связей с государственными правоохранительными и контролирующими органами по обеспечению безопасности материальных ценностей;
  
• возможность и необходимость страхования материальных ценностей;
  
• возможность создания резервов материальных ценностей;
  
• имеющиеся технические средства охраны;
  
• имеющиеся системы противопожарной безопасности;
  
• имеющиеся технические системы охраны периметров;
  
• имеющиеся системы видеонаблюдения (охранного телевидения);
  
• имеющиеся системы контроля доступа;
  
• иные вопросы и ответы, необходимые для обеспечения безопасности материальных ценностей
  

• технологии
  

Уточнить (проанализировать):

• наличие технологий, имеющихся в организации и потребности в их защите;
  
• наличие патентов на технологи, а также иного правового режима и прав как на сами технологии, так и на их использование;
  
• наличие режима коммерческой тайны, а также целесообразность его создания для защиты технологий;
  
• порядок доступа к технологиям со стороны сотрудников организации;
  
• порядок доступа к технологиям со стороны иных организаций (в том числе правоохранительных и контролирующих);
  
• иные вопросы и ответы, необходимые для обеспечения безопасности технологий.
  

• информационные ресурсы
  

Уточнить (проанализировать):

• наличие/отсутствие информации с ограниченным доступом (государственная тайна, коммерческая тайна, персональные данные, врачебная тайна, адвокатская тайна, нотариальная тайна и т.д.);
  
• какая информация нуждается в защите;
  
• какая организация защищаемых информационных потоков;
  
• какие проводятся мероприятия по защите информации с ограниченным доступом;
  
• какие применяются организационные способов защиты информации;
  
• наличие/отсутствие конфиденциального делопроизводства;
  
• требуется ли создание правового режима защиты информации;
  
• какие средства IT безопасности применяются для защиты информации;
  
• как проводится кадровая политика по минимизации угроз, связанных с разглашением информации через «человеческий фактор»;
  
• иные вопросы и ответы, необходимые для обеспечения безопасности информационных ресурсов.
  

• репутация организации
  

Уточнить (проанализировать):

• имеется ли бренд организации и какой порядок его защиты;
  
• имеются ли факты неправомерного использования товарных знаков организации;
  
• имеются ли случаи подделок продукции (услуг) организации;
  
• имеются ли факты черного PR компании;
  
• как проводится PR акции и реклама компании;
  
• иные вопросы и ответы, необходимые для обеспечения безопасности репутации организации.
  

2 этап

Определение субъектов обеспечения безопасности организации.

Отвечаем на вопрос: Кто будет заниматься безопасностью организации.

Возможные варианты:


1 вариант – силами только компании.


2 вариант – силами компании и силами должностных лиц или уполномоченного подразделения в организации (например, Службы безопасности).


3 вариант - силами компании и силами внешних компаний, предоставляющих услуги по безопасности (множественный аутсорсинг)


4 вариант – силами компании, силами иных компаний, предоставляющих услуги по безопасности и силами должностных лиц (подразделений) в организации


5 вариант – силами внешних компаний, представляющих услуги по безопасности (эксклюзивный аутсорсинг)


После выбора варианта целесообразно определить порядок взаимодействия, координации и подчинения между субъектами обеспечения безопасности


3 этап

Определение угроз для организации

Отвечаем на вопрос: От чего или от кого мы будем защищать организацию

Наиболее типичными внешними угрозами являются

• конкуренты
  

Уточнить (проанализировать):

• основные конкуренты и их правила (способы) ведения конкурентной борьбы;
  
• анализ конкурентов по методам SWOT анализа, по системе Майкла Портера и иными аналитическими методами;
  
• факты неправомерного (незаконного) ведения конкурентной борьбы;
  
• факты мошенничества со стороны конкурентов;
  
• связи конкурентов с административным и криминальным ресурсами;
  
• официальные и неофициальные взаимоотношения и договоренности с конкурентами;
  
• определение возможных проблемных точек соприкосновения с конкурентами в бизнесе;
  
• иные вопросы и ответы, необходимые для обеспечения защиты со стороны конкурентов.
  

• государство
  

Уточнить (проанализировать):

• особенности законодательства в сфере деятельности компании;
  
• взаимоотношения с государственными проверяющими, контролирующими и правоохранительными органами;
  
• коррумпированность государственных органов;
  
• интересы государства в организации (активы, госзаказы, акции и т.д.);
  
• обострение отношений с государственными органами за прошедший период;
  
• возможность сильной юридической защиты со стороны организации в случае обострения борьбы с государственными органами;
  
• наличие/отсутствие лобби в государственных органах;
  
• анализ поставщиков (потребителей, конкурентов) на предмет взаимоотношений с государством;
  
• наличие/отсутствие участия организации в политической борьбе и контактов с политическими партиями;
  
• анализ административного ресурса в регионе, городе, административном (муниципальном) образовании;
  
• иные вопросы и ответы, необходимые для обеспечения защиты со стороны государства.
  

• организованная преступность
  

Уточнить (проанализировать):

• уровень организованной преступности в регионе и в данной сфере бизнеса;
  
• возможные интересы организованной преступности в организации;
  
• существующие способы урегулирования конфликтных ситуаций с преступными группировками;
  
• возможность/невозможность использования административного ресурса для урегулирования конфликтных ситуаций с преступными группировками;
  
• иные вопросы и ответы, необходимые для обеспечения защиты от организованной преступности.
  

• техногенные и природные факторы
  

Уточнить (проанализировать):

• зависимость организации от угроз, связанных с техногенными факторами и возможные потери;
  
• вероятность наступления техногенных факторов;
  
• зависимость организации от угроз, связанных с природными факторами (землетрясение, наводнение, оползни, сели, цунами и т.д.);
  
• вероятность наступления природных факторов;
  
• иные вопросы и ответы, необходимые для обеспечения защиты от техногенных и природных факторов.
  

Наиболее типичными внутренними угрозами являются

• человеческий фактор
  

Уточнить (проанализировать):

• угрозы со стороны «человеческого фактора», наиболее часто встречающиеся в деятельности организации (мошенничество, воровство, откаты и т.д.);
  
• порядок проверки сотрудников при приеме на работу;
  
• порядок контроля за сотрудниками в процессе их работы в компании;
  
• порядок проведения внутрикорпоративных расследований по фактам совершения сотрудниками противоправных действий;
  
• как проводится политика кадровой безопасности в организации;
  
• какая система мотивации сотрудников в компании;
  
• уровень профессионализма сотрудников организации;
  
• подготовленность сотрудников к грамотным действиям во внештатных ситуациях;
  
• защита организации от переманивания персонала;
  
• какие сотрудники (должности) или группы сотрудников (перечень должностей) представляют наибольшую угрозу для организации;
  
• возможные конфликты между владельцами, учредителями, руководителями, топ-менеджерами;
  
• порядок увольнения сотрудников из компании;
  
• иные вопросы и ответы, необходимые для обеспечения защиты со стороны «человеческого фактора».
  

• несовершенная организационная структура организации
  

Уточнить (проанализировать):

• организационно-правовая форма;
  
• наличие/отсутствие дочерних/материнских организаций;
  
• наличие/отсутствие холдинга;
  
• наличие/отсутствие защищенной структуры бизнеса (разделение на владеющие и операционные организации);
  
• наличие/отсутствие большого количества акционеров;
  
• иные вопросы и ответы, необходимые для совершенствования организационной структуры организации.
  

• несовершенная правовая защита организации
  

Уточнить (проанализировать):

• анализ Устава и иных учредительных документов на предмет правовой защищенности организации;
  
• анализ создания и функционирования организации в соответствии/с нарушением законодательства Российской Федерации;
  
• наличие/отсутствие судебных исков против организации;
  
• наличие/отсутствие корпоративных конфликтов, основанных на нарушении корпоративного права;
  
• наличие в штате юристов и их профессионализм;
  
• наличие/отсутствие привлечение внешних адвокатов и юридических организаций для защиты организации;
  
• иные вопросы и ответы, необходимые для совершенствования правовой защиты организации.
  

4 этап

Определение возможных вариантов реализации угроз для организации

Отвечаем на вопрос: Как будут реализовываться угрозы, спрогнозированные на 3 этапе. Определяем возможные сценарии развитий событий и модели потенциальных правонарушителей. При возможности вычисляем вероятность наступления событий (статистический метод, метод аналогии, теория больших чисел и т.д.)


Данный этап проводится на основании информации, полученной на 3 этапе


5 этап

Построение системы безопасности для организации

Отвечаем на вопрос: Как будем строить систему безопасности для организации

Система безопасности организации может состоять из следующих подсистем:

• информационная безопасность
  

Достигается проведением следующих мероприятий:

• режимными мероприятиями;
  
• техническими мероприятиями;
  
• организационными мероприятиями;
  
• созданием конфиденциального делопроизводства;
  
• правовыми мероприятиями;
  
• IT мероприятиями;
  
• кадровыми мероприятиями;
  
• иными мероприятиями.
  

• кадровая безопасность
  

Достигается проведением следующих мероприятий:

• мероприятиями при приеме сотрудников;
  
• мероприятиями по защите организации от противоправных (некомпетентных) действий со стороны сотрудников;
  
• мероприятиями при увольнении сотрудников
  
• иными мероприятиями.
  

• экономическая безопасность
  

Достигается проведением следующих мероприятий:

• мероприятиями по управлению и минимизации экономических рисков;
  
• информационно-аналитической работой (бизнес-разведкой);
  
• мероприятиями по защите от мошенничества;
  
• мероприятиями по взаимодействию с государственными и правоохранительными органами;
  
• мероприятиями по защите от враждебного поглощения;
  
• мероприятиями по взысканию долгов;
  
• иными мероприятиями
  

• личная безопасность
  

Достигается проведением следующих мероприятий:

• мероприятиями по физической защите;
  
• мероприятиями по юридической защите;
  
• мероприятиями по психологической защите;
  
• мероприятиями по химической, биологической и радиационной защите;
  
• иными мероприятиями.
  

• инженерно-техническая безопасность
  

Достигается проведением следующих мероприятий:

• противопожарными мероприятиями;
  
• создание контроля и управлением доступом в компанию;
  
• установкой систем видеонаблюдения;
  
• мероприятиями по контролю периметров компании;
  
• установкой систем сигнализации;
  
• иными мероприятиями.
  

• техническая безопасность
  

Достигается проведением следующих мероприятий:

• мероприятиями по защите акустического канала утечки информации;
  
• мероприятиями по защите визуального канала утечки информации;
  
• мероприятиями по защите от побочных электромагнитных излучений и наводок;
  
• иными мероприятиями.
  

• IT – безопасность
  

Достигается проведением следующих мероприятий:

• мероприятиями по защите автономной информации;
  
• мероприятиями по защите информации, находящейся в корпоративной сети;
  
• мероприятиями по защите информации при передаче ее между территориально разрозненными объектами;
  
• иными мероприятиями.
  

• правовая защита бизнеса
  

Достигается проведением следующих мероприятий:

• созданием защищенных учредительных документов;
  
• юридическим сопровождением деятельности компании;
  
• адвокатским сопровождением деятельности компании;
  
• иными юридическими мероприятиями.
  

6 этап

Создание основного документа по защите организации:

«Политика безопасности организации» или

«Концепция обеспечения безопасности организации

Отвечаем на вопрос: Как будем создавать данный документ


Данный документ может состоять из следующих разделов


Раздел 1 Описание ситуации в области безопасности компании

• определение состояния окружающей конкурентной среды;
  
• анализ экономического состояния компании, его ресурсного потенциала, степени защищенности объектов безопасности, надежности кадрового потенциала, состояния его функциональных составляющих: финансовой, кадровой и интеллектуальной, правовой, информационной, технико-технологической, экологической, силовой и т. д.;
  
• выявление потенциальных и реальных угроз и экономических рисков, их ранжирование по степени значимости или опасности по времени наступления или величине возможно нанесенного ущерба;
  
• определение причин и факторов зарождения угроз и экономических рисков;
  
• прогнозирование возможных негативных последствий отдельных угроз и экономических рисков, расчет возможного ущерба;
  
• формулировка проблемной ситуации.
  

Раздел 2. Определение целевой установки обеспечения безопасности

• формулирование политики и стратегии безопасности;
  
• определение цели безопасности;
  
• постановка задач, способствующих достижению цели и реализации сформулированной политики и выбранного типа стратегии.
  

Раздел 3 Построение системы безопасности компании

• формулирование функций системы безопасности компании и выбор тех принципов, на которых она строится;
  
• определение объектов безопасности и анализ состояния их защищенности;
  
• создание органов (субъектов) обеспечения безопасности;
  
• разработка механизмов обеспечения безопасности;
  
• создание организационной структуры управления системой безопасности компании
  

Раздел 4. Разработка методов оценки состояния безопасности компании

• определение основополагающих критериев и показателей состояния безопасности компании;
  
• выбор методов оценки состояния безопасности компании;
  
• формирование системы методов анализа экономических рисков
  

Раздел 5. Расчет сил и средств, необходимых для обеспечения безопасности

• расчет необходимого количества материально-технических ресурсов, средств защиты и охраны объектов безопасности;
  
• определение необходимого количества людских ресурсов и затрат на их содержание и стимулирование труда;
  
• определение финансовых затрат, необходимых для обеспечения безопасности компании;
  
• сопоставление необходимых затрат с возможным ущербом от воздействия угроз и экономических рисков.
  

Раздел 6. Разработка мер по реализации основных положений концепции безопасности компании

• определение условий, необходимых и достаточных для реализации концепции;
  
• нахождение источников ресурсного обеспечения концепции;
  
• выделение финансовых средств для реализации концепции;
  
• разработка стратегического плана (или программы), а также планов работы структурных подразделений службы безопасности по решению задач, определенных концепцией;
  
• подготовка профессиональных кадров для службы безопасности, а также обучение сотрудников компании (в части, их касающейся) вопросам соблюдения правил безопасности, действиям в чрезвычайных ситуациях, правилам пропускного режима, работы с документами, соблюдению коммерческой тайны и т. д.;
  
• создание определенного типа службы безопасности и организация управления ею;
  
• установление технических средств защиты и др.;
  
• контроль за эффективностью выполнения основных положений концепции экономической безопасности;
  
• развитие системы безопасности компании, постоянная адаптация ее к изменяющимся условиям, совершенствование форм и методов ее работы.