Принципы построения систем безопасности организации.

Вопрос: «Что включает в себя система безопасности компании?»

Ответ:

Система безопасности компании включает в себя подсистемы:

- информационная безопасность;

- кадровая безопасность;

- экономическая безопасность;

- личная безопасность;

- инженерно-техническая безопасность;

- техническая безопасность;

- IT – безопасность;

- правовая защита бизнеса

Вопрос: «Какие принципы построения корпоративной безопасности?»

Ответ:

Организация и функционирование системы безопасности компании должны осуществляться на основе следующих принципов:

- комплексность. Принцип комплексности предполагает обеспечение безопасности всех сторон деятельности компании (безопасность персонала, материальных и финансовых ресурсов, информационных ресурсов и т.д.);

- своевременность. Принцип своевременности предполагает упреждающий характер мер обеспечения безопасности. Своевременность также предполагает постановку за-дач по комплексной безопасности на ранних стадиях разработки системы безопасности на основе анализа и прогнозирования обстановки, угроз безопасности, а также раз-работку эффективных мер предупреждения посягательств на интересы компании;

- непрерывность. Принцип непрерывности предполагает постоянное применение защитных мер. Наиболее эффективным считается непрерывный цикл «планирование – реализация –проверка – совершенствование - планирование-…»;

- активность. Принцип активности предполагает осуществление защиты интересов компании с необходимой и достаточной степенью настойчивости, широко используя маневр силами и средствами обеспечения безопасности и нестандартные меры защиты;

- законность. Принцип законности предполагает разработку системы безопасности на основе федерального законодательства в области предпринимательской деятельности, информатизации и защиты информации, частной охранной деятельности, а также других нормативных актов по безопасности, утвержденных органами государственного управления в пределах их компетенции, с применением всех дозволенных методов обнаружения и пресечения правонарушений;

- системность и плановость. Системность предполагает учет всех факторов, оказывающих влияние на безопасность компании, включение в деятельность по ее обеспечению всех сотрудников подразделений, использование в этой деятельности всех сил и средств. Деятельность по обеспечению безопасности должна также строиться на основе комплексной программы обеспечения безопасности компании, подпрограмм обеспечения безопасности по основным его видам (экономическая, научно-техническая, экологическая, технологическая и т.д.) и разрабатываемых для их исполнения планов работы подразделений компании и отдельных сотрудников;

- целесообразность. Принцип целесообразности предполагает экономическую целесообразность и сопоставимость возможного ущерба и затрат на обеспечение безопасности (критерий "эффективность — стоимость");

- дублирования. Данный принцип предполагает дублирование средств защиты;

- специализация. Принцип специализации предполагает привлечение к разработке и внедрению мер и средств защиты специализированных организаций, наиболее подготовленных к конкретному виду деятельности по o6eспечению безопасности, имеющих опыт практической работы и государственную лицензию на право оказания услуг в этой области;

- взаимодействие и координация. Принцип взаимодействия и координации предполагает осуществление мер обеспечения безопасности на основе четкого взаимодействия всех заинтересованных подразделений и служб, сторонних специализированных организаций в этой области, координацию их усилий для достижения поставленных целей, а также интеграцию деятельности с органами государственного управления и правоохранительными органами;

- совершенствование. Принцип совершенствования предусматривает совершенствование мер и средств защиты на основе собственного опыта, появления новых технических средств с учетом изменений в методах и средствах разведки и промышленного шпионажа, нормативно-технических требований, накопленного отечественного и за-рубежного опыта;

- централизация управления. Принцип централизации управления предполагает самостоятельное функционирование системы безопасности по единым организационным, функциональным и методологическим принципам с централизованным управлением деятельностью системы безопасности;

- золотое сечение безопасности. Существуют три понятия: безопасность, скорость и дешевизна. Строя систему, можно выбрать только два из них. Система может быть безопасной и быстрой, но при этом она окажется очень дорогой. Она может быть безопасной и дешевой, но она будет медленной. Она может быть дешевой и быстрой, но небезопасной. Выбор оптимальной комбинации (золотого сечения) - прерогатива лиц, принимающих решения;

- персональная ответственность. В соответствии с этим принципом каждый сотрудник компании или ее партнер несет персональную ответственность за соблюдение режима безопасности в рамках своих полномочий или соответствующих инструкций. Ответственность за нарушение режима безопасности должна быть заранее конкретизирована и персонифицирована. При этом корпоративная безопасность должна строиться таким образом, чтобы при любом ее нарушении был четко известен или минимизирован круг лиц, могущих быть причастными к совершению правонарушения. Это не только об-легчает расследование ЧП, но и служит эффективным средством добросовестного выполнения служебных обязанностей и удержания потенциальных нарушителей от противоправных действий;

- минимальное использование человеческого фактора. Старая сицилийская пословица гласит, что «человек, который играет один, никогда не проигрывает», поэтому системы безопасности, рассчитанные на использование многочисленного «человеческого фактора», как правило, являются ненадежными;

- ограничение полномочий. Данный принцип одновременно относится как к персоналу, так и средствам защиты и обработки информации. При этом он включает в себя и проблему доступа. Вероятность нарушения коммерческой тайны или нормального функционирования компании прямо пропорциональна количеству осведомленных лиц. Никому не следует знакомиться с конфиденциальной информацией, если это не требуется для выполнения его должностных обязанностей. Второй составляющей этого принципа является необходимость запрета физического доступа к особо уязвимым зонам для лиц, пребывание которых там не требуется по роду деятельности. Третья составляющая определяет минимизацию любых средств, с помощью которых выполняются функциональные обязанности персонала и действия клиентов. Например, при обработке информации в ПЭВМ необходимо иметь минимальный состав ПО, обеспечивающий функциональную деятельность сотрудника. В противном случае появляются дополнительные возможности для несанкционированных действий;

- многорубежность систем безопасности;

- равнопрочность. Необходимость равнопрочности рубежей защиты можно показать на примере. Если по периметру здания некоторые окна не будут оборудованы защитными металлическими решетками, то прочность и надежность остальных решеток не имеет значения;

- сочетание гласности с конспирацией;