Реферат: Методика комплексного подхода к обеспечению безопасности организации 1 этап

Методика комплексного подхода к

обеспечению безопасности организации


1 этап

Определение объектов безопасности в организации.

Ответ на вопрос: Что мы будем защищать и какая ситуация с защитой объектов безопасности в организации на время ее изучения? (констатация существующих фактов)


Наиболее типичными объектами являются

бизнес-процессы

Уточнить (проанализировать):

какие бизнес-процессы протекают в организации;

из чего состоят бизнес-процессы;

наличие кризисных ситуаций в прошлой деятельности организации и применяемые пути их решений;

возможные кризисные ситуации в ближайшем будущем организации;

стоит задача в обеспечении безопасности всех бизнес-процессов или только отдельных элементов;

наличие/отсутствие правовой защиты бизнеса;

возможные экономические риски и вероятность их наступления;

какая структура организации и возможность ее работы в условиях повышенных экономических рисков;

кто является акционерами, руководством и владельцами бизнеса – их взгляды на безопасность бизнес-процессов;

есть ли диверсификация деятельности;

анализ конкурентной среды (конкуренты, поставщики, потребители, совершенство законодательства, административный ресурс, криминальный ресурс и т.д.);

какой профессионализм менеджеров организации при работе в условиях повышенных экономических рисков;

наличие/отсутствие в штате сотрудников, занимающихся экономической безопасностью;

как в настоящее время обеспечивается безопасность бизнес-процессов;

какая организация ранее занималась обеспечением безопасности бизнес-процессов;

какие бизнес-планы в организации;

какая финансовая и налоговая устойчивость в компании;

иные вопросы и ответы на них, необходимые для обеспечения безопасности бизнес-процессов организации.




руководство

Уточнить (проанализировать):

число руководителей, безопасность которых предполагается обеспечивать;

индивидуальные требования по безопасности каждого руководителя;

анализ угроз для каждого руководителя с определением вероятности их реализации;

применяемые способы обеспечения безопасности каждого руководителя компании с анализом их эффективности;

анализ образа жизни руководителей, соотношение с угрозами и определение возможных способов защиты (физическая защита, юридическая защита, психологическая защита, химическая защита, биологическая защита и т.д.);

иные вопросы и ответы на них, необходимые для обеспечения безопасности руководства организации.




активы

Уточнить (проанализировать):

наличие, структура и рассредоточение активов, их ликвидность;

движение и использование активов;

юридическое оформление права на получение, владение и использование активов;

обременение активов;

возможные угрозы активам (в том числе в процессе «враждебных поглощений» и со стороны акционеров);

случаи попыток получения незаконного права или незаконного использования активов;

иные вопросы и ответы на них, необходимые для обеспечения безопасности активов организации.




финансовые средства

Уточнить (проанализировать):

порядок получения и транспортировки финансовых средств, возможные угрозы;

порядок хранения финансовых средств и возможные угрозы;

порядок использования финансовых средств (наличные деньги, безналичные переводы, и т.д.);

наличие дебиторской и кредиторской задолженности

какой банк используется для осуществления финансовых операций. Определить его надежность;

порядок использования пластиковых карт;

иные вопросы и ответы на них, необходимые для обеспечения безопасности финансовых средств организации.




материальные ценности

Уточнить (проанализировать):

объем материальных ценностей (их расположение), которым предполагается обеспечивать безопасность;

возможное перемещение материальных ценностей и необходимость обеспечения безопасности в процессе транспортировки;

как в настоящее время обеспечивается безопасность материальных ценностей;

как проводить охранные мероприятия по обеспечению безопасности материальных ценностей (пожелания владельца компании);

возможность (необходимость) привлечения к охранным мероприятиям подразделений иных ЧОПов, вневедомственной охраны, ведомственной охраны и т.д.;

наличие связей с государственными правоохранительными и контролирующими органами по обеспечению безопасности материальных ценностей;

возможность и необходимость страхования материальных ценностей;

возможность создания резервов материальных ценностей;

имеющиеся технические средства охраны;

имеющиеся системы противопожарной безопасности;

имеющиеся технические системы охраны периметров;

имеющиеся системы видеонаблюдения (охранного телевидения);

имеющиеся системы контроля доступа;

иные вопросы и ответы, необходимые для обеспечения безопасности материальных ценностей




технологии

Уточнить (проанализировать):

наличие технологий, имеющихся в организации и потребности в их защите;

наличие патентов на технологи, а также иного правового режима и прав как на сами технологии, так и на их использование;

наличие режима коммерческой тайны, а также целесообразность его создания для защиты технологий;

порядок доступа к технологиям со стороны сотрудников организации;

порядок доступа к технологиям со стороны иных организаций (в том числе правоохранительных и контролирующих);

иные вопросы и ответы, необходимые для обеспечения безопасности технологий.




информационные ресурсы

Уточнить (проанализировать):

наличие/отсутствие информации с ограниченным доступом (государственная тайна, коммерческая тайна, персональные данные, врачебная тайна, адвокатская тайна, нотариальная тайна и т.д.);

какая информация нуждается в защите;

какая организация защищаемых информационных потоков;

какие проводятся мероприятия по защите информации с ограниченным доступом;

какие применяются организационные способов защиты информации;

наличие/отсутствие конфиденциального делопроизводства;

требуется ли создание правового режима защиты информации;

какие средства IT безопасности применяются для защиты информации;

как проводится кадровая политика по минимизации угроз, связанных с разглашением информации через «человеческий фактор»;

иные вопросы и ответы, необходимые для обеспечения безопасности информационных ресурсов.




репутация организации

Уточнить (проанализировать):

имеется ли бренд организации и какой порядок его защиты;

имеются ли факты неправомерного использования товарных знаков организации;

имеются ли случаи подделок продукции (услуг) организации;

имеются ли факты черного PR компании;

как проводится PR акции и реклама компании;

иные вопросы и ответы, необходимые для обеспечения безопасности репутации организации.



2 этап

Определение субъектов обеспечения безопасности организации.

Отвечаем на вопрос: Кто будет заниматься безопасностью организации.

Возможные варианты:


1 вариант – силами только компании.


2 вариант – силами компании и силами должностных лиц или уполномоченного подразделения в организации (например, Службы безопасности).


3 вариант - силами компании и силами внешних компаний, предоставляющих услуги по безопасности (множественный аутсорсинг)


4 вариант – силами компании, силами иных компаний, предоставляющих услуги по безопасности и силами должностных лиц (подразделений) в организации


5 вариант – силами внешних компаний, представляющих услуги по безопасности (эксклюзивный аутсорсинг)


^ После выбора варианта целесообразно определить порядок взаимодействия, координации и подчинения между субъектами обеспечения безопасности


3 этап

Определение угроз для организации

Отвечаем на вопрос: От чего или от кого мы будем защищать организацию

Наиболее типичными внешними угрозами являются


конкуренты

Уточнить (проанализировать):

основные конкуренты и их правила (способы) ведения конкурентной борьбы;

анализ конкурентов по методам SWOT анализа, по системе Майкла Портера и иными аналитическими методами;

факты неправомерного (незаконного) ведения конкурентной борьбы;

факты мошенничества со стороны конкурентов;

связи конкурентов с административным и криминальным ресурсами;

официальные и неофициальные взаимоотношения и договоренности с конкурентами;

определение возможных проблемных точек соприкосновения с конкурентами в бизнесе;

иные вопросы и ответы, необходимые для обеспечения защиты со стороны конкурентов.




государство

Уточнить (проанализировать):

особенности законодательства в сфере деятельности компании;

взаимоотношения с государственными проверяющими, контролирующими и правоохранительными органами;

коррумпированность государственных органов;

интересы государства в организации (активы, госзаказы, акции и т.д.);

обострение отношений с государственными органами за прошедший период;

возможность сильной юридической защиты со стороны организации в случае обострения борьбы с государственными органами;

наличие/отсутствие лобби в государственных органах;

анализ поставщиков (потребителей, конкурентов) на предмет взаимоотношений с государством;

наличие/отсутствие участия организации в политической борьбе и контактов с политическими партиями;

анализ административного ресурса в регионе, городе, административном (муниципальном) образовании;

иные вопросы и ответы, необходимые для обеспечения защиты со стороны государства.




организованная преступность

Уточнить (проанализировать):

уровень организованной преступности в регионе и в данной сфере бизнеса;

возможные интересы организованной преступности в организации;

существующие способы урегулирования конфликтных ситуаций с преступными группировками;

возможность/невозможность использования административного ресурса для урегулирования конфликтных ситуаций с преступными группировками;

иные вопросы и ответы, необходимые для обеспечения защиты от организованной преступности.




техногенные и природные факторы

Уточнить (проанализировать):

зависимость организации от угроз, связанных с техногенными факторами и возможные потери;

вероятность наступления техногенных факторов;

зависимость организации от угроз, связанных с природными факторами (землетрясение, наводнение, оползни, сели, цунами и т.д.);

вероятность наступления природных факторов;

иные вопросы и ответы, необходимые для обеспечения защиты от техногенных и природных факторов.


Наиболее типичными внутренними угрозами являются


человеческий фактор

Уточнить (проанализировать):

угрозы со стороны «человеческого фактора», наиболее часто встречающиеся в деятельности организации (мошенничество, воровство, откаты и т.д.);

порядок проверки сотрудников при приеме на работу;

порядок контроля за сотрудниками в процессе их работы в компании;

порядок проведения внутрикорпоративных расследований по фактам совершения сотрудниками противоправных действий;

как проводится политика кадровой безопасности в организации;

какая система мотивации сотрудников в компании;

уровень профессионализма сотрудников организации;

подготовленность сотрудников к грамотным действиям во внештатных ситуациях;

защита организации от переманивания персонала;

какие сотрудники (должности) или группы сотрудников (перечень должностей) представляют наибольшую угрозу для организации;

возможные конфликты между владельцами, учредителями, руководителями, топ-менеджерами;

порядок увольнения сотрудников из компании;

иные вопросы и ответы, необходимые для обеспечения защиты со стороны «человеческого фактора».




несовершенная организационная структура организации

Уточнить (проанализировать):

организационно-правовая форма;

наличие/отсутствие дочерних/материнских организаций;

наличие/отсутствие холдинга;

наличие/отсутствие защищенной структуры бизнеса (разделение на владеющие и операционные организации);

наличие/отсутствие большого количества акционеров;

иные вопросы и ответы, необходимые для совершенствования организационной структуры организации.




несовершенная правовая защита организации

Уточнить (проанализировать):

анализ Устава и иных учредительных документов на предмет правовой защищенности организации;

анализ создания и функционирования организации в соответствии/с нарушением законодательства Российской Федерации;

наличие/отсутствие судебных исков против организации;

наличие/отсутствие корпоративных конфликтов, основанных на нарушении корпоративного права;

наличие в штате юристов и их профессионализм;

наличие/отсутствие привлечение внешних адвокатов и юридических организаций для защиты организации;

иные вопросы и ответы, необходимые для совершенствования правовой защиты организации.


4 этап

Определение возможных вариантов реализации угроз для организации

Отвечаем на вопрос: Как будут реализовываться угрозы, спрогнозированные на 3 этапе. Определяем возможные сценарии развитий событий и модели потенциальных правонарушителей. При возможности вычисляем вероятность наступления событий (статистический метод, метод аналогии, теория больших чисел и т.д.)


Данный этап проводится на основании информации, полученной на 3 этапе


5 этап

Построение системы безопасности для организации

Отвечаем на вопрос: Как будем строить систему безопасности для организации

Система безопасности организации может состоять из следующих подсистем:


информационная безопасность

Достигается проведением следующих мероприятий:

режимными мероприятиями;

техническими мероприятиями;

организационными мероприятиями;

созданием конфиденциального делопроизводства;

правовыми мероприятиями;

IT мероприятиями;

кадровыми мероприятиями;

иными мероприятиями.




кадровая безопасность

Достигается проведением следующих мероприятий:

мероприятиями при приеме сотрудников;

мероприятиями по защите организации от противоправных (некомпетентных) действий со стороны сотрудников;

мероприятиями при увольнении сотрудников

иными мероприятиями.




экономическая безопасность

Достигается проведением следующих мероприятий:

мероприятиями по управлению и минимизации экономических рисков;

информационно-аналитической работой (бизнес-разведкой);

мероприятиями по защите от мошенничества;

мероприятиями по взаимодействию с государственными и правоохранительными органами;

мероприятиями по защите от враждебного поглощения;

мероприятиями по взысканию долгов;

иными мероприятиями




личная безопасность

Достигается проведением следующих мероприятий:

мероприятиями по физической защите;

мероприятиями по юридической защите;

мероприятиями по психологической защите;

мероприятиями по химической, биологической и радиационной защите;

иными мероприятиями.




инженерно-техническая безопасность

Достигается проведением следующих мероприятий:

противопожарными мероприятиями;

создание контроля и управлением доступом в компанию;

установкой систем видеонаблюдения;

мероприятиями по контролю периметров компании;

установкой систем сигнализации;

иными мероприятиями.




техническая безопасность

Достигается проведением следующих мероприятий:

мероприятиями по защите акустического канала утечки информации;

мероприятиями по защите визуального канала утечки информации;

мероприятиями по защите от побочных электромагнитных излучений и наводок;

иными мероприятиями.




IT – безопасность

Достигается проведением следующих мероприятий:

мероприятиями по защите автономной информации;

мероприятиями по защите информации, находящейся в корпоративной сети;

мероприятиями по защите информации при передаче ее между территориально разрозненными объектами;

иными мероприятиями.




правовая защита бизнеса

Достигается проведением следующих мероприятий:

созданием защищенных учредительных документов;

юридическим сопровождением деятельности компании;

адвокатским сопровождением деятельности компании;

иными юридическими мероприятиями.



6 этап

Создание основного документа по защите организации:

«Политика безопасности организации» или

«Концепция обеспечения безопасности организации

Отвечаем на вопрос: Как будем создавать данный документ


Данный документ может состоять из следующих разделов


^ Раздел 1 Описание ситуации в области безопасности компании

определение состояния окружающей конкурентной среды;

анализ экономического состояния компании, его ресурсного потенциала, степени защищенности объектов безопасности, надежности кадрового потенциала, состояния его функциональных составляющих: финансовой, кадровой и интеллектуальной, правовой, информационной, технико-технологической, экологической, силовой и т. д.;

выявление потенциальных и реальных угроз и экономических рисков, их ранжирование по степени значимости или опасности по времени наступления или величине возможно нанесенного ущерба;

определение причин и факторов зарождения угроз и экономических рисков;

прогнозирование возможных негативных последствий отдельных угроз и экономических рисков, расчет возможного ущерба;

формулировка проблемной ситуации.


Раздел 2. Определение целевой установки обеспечения безопасности

формулирование политики и стратегии безопасности;

определение цели безопасности;

постановка задач, способствующих достижению цели и реализации сформулированной политики и выбранного типа стратегии.


Раздел 3 Построение системы безопасности компании

формулирование функций системы безопасности компании и выбор тех принципов, на которых она строится;

определение объектов безопасности и анализ состояния их защищенности;

создание органов (субъектов) обеспечения безопасности;

разработка механизмов обеспечения безопасности;

создание организационной структуры управления системой безопасности компании


Раздел 4. Разработка методов оценки состояния безопасности компании

определение основополагающих критериев и показателей состояния безопасности компании;

выбор методов оценки состояния безопасности компании;

формирование системы методов анализа экономических рисков


Раздел 5. Расчет сил и средств, необходимых для обеспечения безопасности

расчет необходимого количества материально-технических ресурсов, средств защиты и охраны объектов безопасности;

определение необходимого количества людских ресурсов и затрат на их содержание и стимулирование труда;

определение финансовых затрат, необходимых для обеспечения безопасности компании;

сопоставление необходимых затрат с возможным ущербом от воздействия угроз и экономических рисков.


Раздел 6. Разработка мер по реализации основных положений концепции безопасности компании

определение условий, необходимых и достаточных для реализации концепции;

нахождение источников ресурсного обеспечения концепции;

выделение финансовых средств для реализации концепции;

разработка стратегического плана (или программы), а также планов работы структурных подразделений службы безопасности по решению задач, определенных концепцией;

подготовка профессиональных кадров для службы безопасности, а также обучение сотрудников компании (в части, их касающейся) вопросам соблюдения правил безопасности, действиям в чрезвычайных ситуациях, правилам пропускного режима, работы с документами, соблюдению коммерческой тайны и т. д.;

создание определенного типа службы безопасности и организация управления ею;

установление технических средств защиты и др.;

контроль за эффективностью выполнения основных положений концепции экономической безопасности;

развитие системы безопасности компании, постоянная адаптация ее к изменяющимся условиям, совершенствование форм и методов ее работы.