Производство Оборудование
Для более глубокого понимания проблемы приведем несколько факторов, позволяющих оценить особенности разработки, качество и полноту уже разработанных концепций безопасности, предлагаемых руководителям предприятий. При формировании и реализации полноценной концепции безопасности руководитель предприятия (или начальник службы безопасности) должен провести анализ штатной структуры фирмы, определить приоритетность своих сотрудников в зависимости от их ценности для предприятия: квалификации, взаимозаменяемости, степени осведомленности о деятельности организации, личного вклада в общее дело, перспективности, доступа к финансам, материальным и интеллектуальным
ценностям. Без этого невозможно защитить сотрудников от реальных угроз.
Аналогично следует поступить с материальными ценностями, недвижимостью и транспортными средствами. При определении приоритетов защиты необходимо иметь в виду, что более всего нуждаются в защите те объекты и материальные ценности, без которых предприятие не сможет работать или вообще прекратит свое существование — razgovorodele.ru. Для одних это может быть компьютер с базой данных, для других — офисное помещение, для третьих — транспортные средства. В ходе разработки мер защиты информации следует учитывать, что разработчики концепции совместно с руководителем предприятия должны определить:
— какая информация подлежит обязательной защите в соответствии с действующим законодательством;
— какая информация является коммерческой тайной и имеет право на защиту;
— кто и при каких обстоятельствах имеет право доступа к перечисленным видам информации.
При анализе следует учитывать информацию, хранящуюся как на бумажных носителях, так и в электронном виде. К объектам защиты необходимо отнести и каналы приема-передачи информации, уязвимые для технических средств перехвата. Не следует забывать при этом, что персонал организации может быть не только носителем, но и источником утечки информации. То есть в организациях, имеющих конфиденциальную информацию, список объектов защиты будет достаточно внушительным. В подобных случаях рекомендуется ранжировать список информационных объектов защиты так же, как и материальных: по степени возможного причинения ущерба деятельности организации в случае воздействия на нее различных видов угроз. В концепции должны быть предусмотрены способы защиты от реальных угроз, в том числе:
— организационные (административные, экономические, юридические);
— технические (установка охранно-пожарной сигнализации, использование систем контроля и управления доступом, применение технических средств защиты информации, внедрение интегрированных систем безопасности);
— физические (работа сторожей и контролеров, телохранителей и инкассаторов, служебных собак);
— оперативные (использование оперативных методов работы, оперативно-технических средств, например «полиграфа» для входного контроля и периодической проверки лояльности персонала).
Концепция обязательно должна содержать объективную оценку рентабельности системы безопасности в условиях реально прогнозируемых угроз. Руководитель предприятия, принимая решение о принятии и реализации концепции, должен точно знать, за что он платит деньги, т. е. что конкретно дает ему тот или иной элемент системы безопасности и какой ущерб он понесет при отсутствии этого элемента в системе защиты в ситуации реальной угрозы.
Таким образом, разумную верхнюю границу ассигнований на реализацию концепции руководитель должен оценить сам путем сопоставления убытков от реализации конкретной угрозы и затрат на организацию защиты от этой угрозы (по аналогии с системой страхования — сопоставление страхового взноса и ущерба при наступлении страхового случая — razgovorodele.ru). При этом необходимо иметь в виду, что защита — это предотвращение угроз и несчастий, а страхование — компенсация ущерба от последствия уже произошедших несчастий и реализации угроз.
Наиболее рациональным с точки зрения экономии средств и повышения ответственности исполнителя за результаты своей работы является вариант, когда разработка концепции безопасности поручается организации, способной не только ставить комплексные оперативно-технические задачи по обеспечению безопасности, но и успешно их решать, сдавая службе безопасности предприятия в эксплуатацию «под ключ» полный комплекс технических средств и мер безопасности, который сформирован в зависимости от выбранного перечня объектов защиты и набора наиболее вероятных угроз, способных причинить предприятию максимальный ущерб.
Критерием качества концепции безопасности, разработанной специализированным исполнителем, является возможность ее использования не как жесткой одновариантной конструкции, а как саморазвивающейся системы, способной адаптироваться к новым возникающим угрозам, оптимизировать затраты, повышать эффективность деятельности предприятия. Однако не следует забывать, что ни одна, система не способна обеспечить требуемый уровень безопасности без надлежащей подготовки службы безопасности и персонала организации, без проведения обучения, тренировок, игр и учений.
