Методологія забезпечення системи безпеки підприємства
Проблема забезпечення безпеки того чи іншого підприємства є вкрай багатоплановим завданням. З необхідністю вирішення цього завдання в даний час стикається все більше число керівників. Залежно від попереднього досвіду керівника та фінансової свободи дій в більшій чи меншій мірі постає риторичне питання - "що робити?"
В даний час в країні діє досить велика кількість як державних, так і приватних фірм і цілих структур, покликаних, за задумом їх створення, вирішувати питання забезпечення безпеки діяльності різних організацій. Однак не варто забувати просту істину: "порятунок потопаючих - справа рук самих потопаючих".
Спробуємо позначити межі завдання забезпечення безпеки та шляхи їх вирішення. В першу чергу, необхідно, виходячи з конкретних умов діяльності підприємства, із загального поняття забезпечення безпеки виділити конкретні аспекти. У числі таких аспектів можна відзначити:
- - особиста безпека керівників і співробітників підприємства;
- - захист матеріальних і / або грошових цінностей від розкрадання;
- - захист комерційних секретів;
- - захист інформації, що знаходиться на фізичних носіях;
- - захист від вторгнення в комп'ютерну мережу;
- - захист мовної інформації;
- - пожежна безпека;
- - захист від навмисного зміни технологічних процесів;
- - контроль лояльності співробітників по відношенню до загальних інтересам підприємства.
Перелік аспектів безпеки не повний, але будь-який керівник може його розширити або видозмінити залежно від роду діяльності підприємства. Процес деталізації проблеми забезпечення безпеки повинен супроводжуватися ранжированием значущості виділених аспектів, виходячи з оцінки можливої шкоди в разі вчинення злочинної акції. Це найбільш складне завдання, і в більшості випадків оцінка ймовірного збитку не може бути виражена точним кількісним значенням. Якщо розкрадання матеріальних цінностей або впровадження в обчислювальну мережу "комп'ютерного вірусу" може бути виражено конкретною величиною втрат або величиною витрат на відновлення працездатності обчислювальної системи, то як кількісно оцінити ймовірний збиток при витоку інформації про обіг підприємства, величиною вільних оборотних коштів, умовах готується контракту або при втраті працездатності конкретного співробітника?
Важливо визначити для себе ступінь відносної значущості конкретних аспектів забезпечення безпеки. На наступному етапі необхідно провести ретельне обстеження сво- його підприємства на предмет виявлення найбільш вразливих зон з урахуванням традиційної "робочої" технології функціонування підприємства. Це обстеження має включати аналіз шляхів проходження і зберігання матеріальних цінностей, комп'ютерних ліній зв'язку та інформаційних потоків, місць і способів зберігання робочої і архівної інформації, телефонних ліній зв'язку, електричних, водопровідних, вентиляційних та інших інженерних комунікацій і направлено на виявлення можливих місць і шляхів " легкого ", неконтрольованого доступу до цінностей і комунікацій.
Необхідно визначити шляху проходження і зони можливого знаходження відвідувачів, розміщення приміщень для проведення комерційних переговорів і ступінь віддаленості їх від зон знаходження відвідувачів, рівень свободи пересування персоналу і відвідувачів по території підприємства, ступінь доступності до важливих органів управління технологічним процесом. Поняття "технологічний процес" тут слід тлумачити найширшим чином. При проведенні обстеження підприємства і подальшому аналізі отриманої інформації необхідно враховувати певну модель зловмисника і можливий сценарій його дій.
Модель зловмисника включає в себе наступні аспекти:
- - мета нападу (розкрадання грошей і матеріальних цінностей, захоплення заручників з подальшим вимогою викупу, розкрадання комерційної інформації, руйнування банку даних, порушення технологічних параметрів з метою зупинки виробничого процесу, підключення до ліній обчислювальної мережі з метою фінансових махінацій, напад на центральний пост охорони з метою її нейтралізації і / або відключення сигналізації);
- - мотив нападу (особисте збагачення, створення труднощів конкуренту по бізнесу, бажання помститися начальству, тероризм, психічна неврівноваженість, вандалізм);
- - ступінь обізнаності зловмисника (необізнаний або випадковий зловмисник, частково обізнаний, повністю обізнаний, повністю обізнаний і знаходиться в змові з співробітником підприємства або служби безпеки);
- - ступінь технічної оснащеності (неоснащеність, оснащений аматорськими технічними засобами, оснащений професійними технічними засобами, засобами руйнування перешкод, контактного і безконтактного знімання електронної та звукової інформації, електронні та радіосканером, системи запису інформації, малогабаритні заставні підслуховуючі пристрої, що використовують для передачі інформації існуючі лінії зв'язку , ланцюги електроживлення або радіоканал);
- - ступінь озброєння (неозброєний, озброєний);
- - чисельність зловмисників (одиночний, група з розподіленими "ролями" в сценарії нападу).
Сценаріїв поведінки зловмисника може бути безліч, проте можна виділити кілька істотно впливають на побудову системи безпеки:
- - приховане, неявне напад з метою встановлення підслуховуючої апаратури;
- - явне, цільове напад в робочий час;
- - проникнення в приміщення, що охороняється при загрозі заручника;
- - приховане проникнення в неробочий час;
- - напад "під шумок", створення позаштатної ситуації з метою відволікання служби безпеки;
- - дії в змові з співробітником підприємства або служби безпеки.
Практичним підсумком робіт з обстеження підприємства повинно бути визначення "зон захисту" та їх відносних ступенів значущості. При побудові системи безпеки і аналізі її ефективності вибрані зони захисту розглядаються як первинні структурні елементи. Фізично вибрані зони захисту можуть бути істотно різними: окрема територія, будівля, приміщення, група приміщень для відвідувачів, транспортна машина, канал зв'язку, обчислювальний комплекс, фізична особа, тех- нологічних установка або її частина. Найбільш важливе значення на загальну ефективність системи безпеки в цілому робить взаємне розташування зон захисту та їх функціональні зв'язки.
Виділяють три основних види структур систем безпеки:
- - система безпеки з незалежними зонами захисту;
- - система безпеки з частково залежними зонами захисту;
- - система безпеки з вкладеними, повністю залежними зонами захисту.
Методи математичного аналізу ефективності системи безпеки в залежності від різних видів структур зон захисту, ступенем значущості зон захисту, ймовірності загрози, кількості загроз, питання оптимізації розподілу ресурсів відповідно, методики визначення ступеня небезпеки загрози і пріоритетності засобів захисту популярно викладені поруч авторитетних фахівців на сторінках журналу "Системи безпеки ". На наступному етапі слід визначити можливі засоби для побудови системи безпеки. У числі таких засобів, в першу чергу, слід розглядати кадрові ресурси, які відіграють основну роль при протидії загрозам шляхом несення охоронної служби, проведення профілактичних заходів, створення і підтримання певного режиму роботи підприємства. Технічні засоби забезпечення безпеки виконують функцію блокування загроз, автоматичного контролю цілісності кордонів зон захисту, забезпечують можливість дистанційного візуального контролю, оперативного зміни ступеня захищеності об'єктів, що охороняються (напpимеp, блокування двеpей пpи проникненні зловмисників або, навпаки, їх розблокування в разі пожежі), автоматичного протоколювання несанкціонованих змін в зоні захисту, подій в разі проникнення в зону захисту і дій служби безпеки по протидії зловмисникам.
У структурі технічних засобів забезпечення безпеки можна виділити наступні підсистеми:
- - підсистема контролю та обмеження доступу персоналу підприємства і відвідувачів в різні приміщення та зони підприємства. Підсистема працює на основі ідентифікації службовців за різними критеріями (індивідуальним магнітним, кодовою радіо карт, індивідуальними параметрами людини, дактилоскопічна малюнку на долоні, окрасу райдужної оболонки ока) і містить оперативну базу даних з розкладом доступу кожного співробітника. Для забезпечення стійкості підсистеми її елементи працюють як в комплексі, так і автономно;
- - підсистема телевізійного контролю дозволяє дистанційно візуально контролювати обстановку в різних зонах підприємства, найбільш вірогідно підтверджує або спростовує факт скоєння нападу, дозволяє підвищити стійкість системи безпеки до протизаконних діям співробітників власної служби безпеки;
- - підсистема охоронної сигналізації забезпечує автоматичний контpоль цілісності гpаницей зони Охpана і незмінності стану внутpи зони, видає адресне повідомлення про спрацювання конкретного датчика, може містити в одному шлейфі датчики, що працюють на різному фізичному принципі, що дозволяє підвищити надійність системи, система може здійсню- вати періодичний контроль власної працездатності, обеспе- чивая максимальну "живучість";
- - підсистема пожежної сигналізації забезпечує надійне адресне оповіщення служби безпеки про виникнення пожежної ситуації і предпожарного стану, по принципам побудови аналогічна підсистемі охоронної сигналізації.
Всі складові частини системи технічних засобів забезпечення безпеки можуть і повинні бути з'єднані в єдиний комплекс, що забезпечує можливість взаємного обміну інформацією. Комплекс, побудований на сучасному обладнанні, може містити в своєму складі обчислювальну машину, що дозволяє відчути всі принади програмного управління системою. У цій статті ми детально не розглядаємо принципи побудови та технічні характеристики сучасних технічних засобів забезпечення безпеки, це предмет окремої серйозної розмови. Керівник повинен мати уявлення про основні можливості технічних засобів, підбір конкретних блоків повинен здійснюватися висококваліфікованими технічними фахівцями. Останній вопpос, якому повинен pешить керівник, це вопpос вибору виробника охоронного обладнання. Сьогодні на ринку технічних засобів існує досить значний розкид цін на принципово однотипне обладнання, споживач часто орієнтується на "ім'я" виробника, переплачуючи при цьому від 10 до 40 відсотків вартості обладнання. На наш погляд, слід орієнтуватися на умова функціональної достатності обладнання при відносно менших витратах.
З будь-яких можуть виникнути у Вас питань готові відповісти
телефон: (0612) -32-69-27
телефон / факс: (0612) -32-66-33
E-mail [email protected]
Залежно від попереднього досвіду керівника та фінансової свободи дій в більшій чи меншій мірі постає риторичне питання - "що робити?