Организация проверки эффективности системы безопасности офиса.

Если перефразировать знаменитую английскую пословицу «Мой офис – моя крепость» нетрудно будет определить основные направления системы безопасности современного административного здания или помещения. Однако создать действительную крепость задача нереальная, так как любую систему безопасности можно взломать... Вопрос лишь в том, легко ли это сделать именно с вашей охранной системой или сколько стоит ее обмануть. Абсолютных систем защиты не бывает – так, во всяком случае, утверждают специалисты. Речь может идти о более или менее надежных системах охраны, качество работы которых определяется тем, что, от кого и за какие деньги защищают.

Кардинал и генералиссимус Франции Ришелье оставил будущим поколениям мудрое наставление: “...Безопасность — это категория неизмеримо более высокая, чем величие”.

Что такое - безопасность, из чего она складывается, как организовать работу коммерческого предприятия в современных российских условиях, обеспечив не только комфортные условия для персонала, но и его личную безопасность, сохранность материальных ценностей и информационных ресурсов.

В данной статье нами рассматривается предприятие, чей офис имеет полный комплекс средств безопасности, включающий физическую, техническую, информационную, технологическую и экономическую составляющие.

В мировой практике уже давно используется такое понятие как система безопасности, под которым понимается комплекс организационных и технических мер, направленных на выявление, отражение и ликвидацию последствий различных видов угроз деятельности коммерческого предприятия.

Главной целью системы безопасности является обеспечение устойчивого функционирования фирмы и предотвращение угроз его безопасности, защита законных интересов организации от противоправных посягательств, охрана жизни и здоровья персонала, недопущения хищения финансовых и материально-технических средств, уничтожения имущества и ценностей, разглашения, утраты, утечки, искажения и уничтожения служебной информации, нарушения работы технических средств, обеспечения производственной деятельности, включая и средства информатизации.

Вне всякого сомнения, вопросами организации безопасности офиса должен заниматься профессионал, как правило, это или начальник службы безопасности, или менеджер по безопасности которые разрабатывают и реализуют концепцию безопасности фирмы, ведут постоянный мониторинг рисков и разрабатывают планы по минимизации потерь и выходов из кризисных ситуаций.

Однако Вы руководитель и обеспечение организации безопасности входит в круг прямых обязанностей, Вы неравнодушны к тем процессам, которые происходят в структурных подразделениях отвечающих за данный участок, Вам необходимо проверить надежность и эффективность данной системы, как это сделать?

Самый простой и достаточно эффективный способ - провести аудит систем безопасности с привлечением сторонней специализированной организацией. Сотрудники, которой могут осуществить проверку всех систем безопасности Вашей организации, начиная от оценки эффективности концепции, имеющегося внутреннего режима компании, установленных норм и правил внутренней безопасности и документооборота, заканчивая эффективностью работы собственной службы безопасности или частного охранного предприятия.

Данный аудит позволит Вам не только получить квалифицированное заключение о состоянии систем безопасности офиса, но и предложения по совершенствованию структуры, возможности модернизации оборудования и развития персонала. Следует учитывать, что аудит сторонней организации всегда более эффективен и ценен. В качестве примера приведем один факт: Министерство транспорта Великобритании проводило аудит безопасности шотландского аэропорта Эдинбург. Одетые в гражданскую одежду сотрудники британского Минтранса пронесли на борт самолета два «напоминающих бомбы объекта» в своей ручной клади. Багаж был проверен сотрудниками службы безопасности, однако «бомбы», спрятанные в фене для сушки волос и в портативном компьютере обнаружены не были. Ранее во время аналогичной операции сотрудники Министерства транспорта пронесли на борт самолета огнестрельное оружие, ножи и взрывчатку.

Конечно, безопасность аэропорта – это больше, чем металлодетекторы и обыски. Она многослойна и включает в себя 100% проверку ручной клади, сотрудничество с полицией и контролирующими органами, вскрытие и реакцию на конкретные угрозы. И при всем при этом аудит безопасности, включающий в себя реальную "проверку на прочность" - практически единственный способ количественно оценить уровень безопасности того или иного объекта и уровень качества работы технических средств и персонала.

В данном случае есть только один момент, который, как правило, останавливает руководителя – это сохранение конфиденциальности, допуск к базам данных и структуре системы посторонних людей.

Второй, наиболее часто используемый способ, это проведение собственной проверки систем безопасности на основании методов и методик, используемых для проверок по данной проблематике.

Система безопасности офиса, как и предприятия в целом – достаточно сложный и многоуровневый процесс, в основе которого лежат, как правило, два документа, это политика и концепция безопасности. Цель данных документов – формирование комплексной системы безопасности офиса, обеспечивающей продуманность и сбалансированность защиты, разработку четких организационно-технических мер и обеспечении контроля над их исполнением.

С чего начинать?

Первым шагом к оценке действенности существующей системы безопасности и ее эффективности является анализ результатов ее работы за последний год. Как правило, службой безопасности готовится отчет о проделанной работе за год, в котором достаточно подробно раскрываются основные направления деятельности, проведенные мероприятия и полученные результаты. Кроме этого лично Вам будет нетрудно установить по бухгалтерскому учету, информации из подразделений, собственным записям все случаи хищения материальных ценностей и личных вещей сотрудников из офиса, факты несанкционированного проникновения посторонних лиц, нарушения в работе технических средств охраны, результативность поиска и возврата утраченного, имеющиеся факты пресечения сотрудниками охраны противоправных действий и передачи нарушителей органам внутренних дел.

Соизмерьте полученные данные с затратами на безопасность и получите ответ, соответствует ли результат деятельности подразделений безопасности затраченным средствам и ожидаемому уровню надежности.

Вторым шагом станет экспертно-документальная проверка соответствия политики и концепции безопасности офиса требованиям руководящих документов и установленным нормам и правилам в Вашей организации.

Политика безопасности фирмы это, достаточно общий документ, определяющий основные принципы построения комплексной системы безопасности исходя из принятых в организации норм и правил.

В качестве примера приведем два диаметрально противоположных подхода, которые чисто условно назовем «жесткий» и «либеральный».

При «жестком» построении системы безопасности весь офис превращается в замкнутое пространство, попасть в которое можно только через специально оборудованные посты охраны. В подобном офисе любой посетитель находится под жестким контролем и самостоятельно не может передвигаться по помещениям, только в сопровождении сотрудников офиса. За строгим исполнением всех запретных мер следит служба охраны, которая сурово пресекает любые нарушения регламента. Аналогично строится система информационной и технической безопасности. Данный способ наиболее часто использовался в конце прошлого века, когда правилом хорошего тона считалось иметь на входе в офис вооруженного автоматическим оружием и одетого в бронежилет милиционера, стоящего у специально оборудованного шлюза имеющего металлодетектор и т.д.

«Либеральный» подход предполагает открытость офиса для посещения клиентами и более свободный режим для сотрудников, однако помещения офиса строго распределены по зонам доступа и этот режим поддерживается системой контроля доступа. Сотрудников охраны практически не видно, они осуществляют свои функции с использованием технических средств охраны и проявляют себя только в период активной фазы правонарушения.

Мы не ставим задачей оценку положительных и отрицательных сторон каждого из рассмотренных подходов, все они имеют право на существование в зависимости от принципов организации и установленного в ней регламента, мы использовали их только в качестве примера политического решения данного вопроса.

Концепция безопасности это более конкретный и сложный документ, подготовленный специалистами безопасности фирмы и отражающий в себе следующие основные элементы структуры безопасности офиса.

Во-первых, это анализ реальных и возможных угроз безопасности предприятию и офису. Угроза безопасности бизнеса – это событие, действие, процесс или явление, которое посредством воздействия на людей, материальные ценности или информацию могут привести к нанесению ущерба, оказать воздействие на деятельность предприятия. При рассмотрении угроз важно, что бы все они были отражены в концепции безопасности и учитывались при разработке мер противодействия и локализации негативных последствий в случае наступления данного события. Практически невозможно разработать типовую российскую модель угроз бизнесу, так как в каждом конкретном случае они разнообразны и имеет специфическую окраску, содержание которой наиболее полно известно руководителю. Все возможные виды угроз можно классифицировать по нескольким основным показателям. Наиболее существенным из них является степень ущерба, который может быть нанесен фирме в результате действия какой-либо угрозы.

Действительно, практическая деятельность большинства фирм и предприятий богата на различные ЧП, как крупные, приводящие к остановкам, а иногда и к полному уничтожению объекта (стихийные бедствия, крупные аварии и катастрофы), так и мелкие происшествия, которые по своей совокупности наносят достаточно большой ущерб отдельным участкам объекта, а иногда всей фирме в целом. По степени ущерба угрозы можно разделить на три основные группы:

К первой группе относятся риски, приводящие к остановке предприятия вплоть до его ликвидации. Ко второй группе относятся риски, приводящие к большим потерям значительно затрудняющие работоспособность предприятия. К третьей группе относят риски, приводящие к восполнимым потерям.

Мировая статистика показывает, что угроза подслушивания (из группы III), например, в большинстве своем приводит к ущербу не более 15%, редко до 20%, от полной стоимости объекта. И действительно, еще не было такого случая, чтобы подслушивание непосредственно привело к гибели людей и к уничтожению всего объекта.

Следует, однако, отметить, что в последние десятилетия, в связи с бурным развитием электронной техники и появлением самых разнообразных микроминиатюрных устройств, угрозу подслушивания чаще всего преувеличивают, что наблюдается сейчас очень наглядно в России. В большинстве своем это происходит от некомпетентности и субъективизма в теории и практике создания систем комплексной защиты.

Иногда угроза подслушивания возводится в ранг наиглавнейшей сознательно, что может привести к печальным последствиям, как это дважды и произошло с московским офисом посольством крупнейшей страны, дипломаты и пресса которой, постоянно заявляя о подслушивании, сами поверили в приоритет этой угрозы и чуть не поплатились жизнью во время двух пожаров, нанесших посольству и зданию огромные убытки.

Объективно оценить степень ущерба от указанных трех групп угроз позволяет статистика происшествий, их анализ в истории фирм и предприятия, материалы местной и городской уголовной статистике и др.

По природе возникновения угрозы можно разделить на два класса:

естественные или объективные;

искусственные или субъективные.

Естественные угрозы - это угрозы, вызванные стихийными природными явлениями, не зависящими от человека (землетрясения, наводнения, ураганы и т.п.). Искусственные угрозы - это угрозы, вызванные деятельностью человека. К ним относятся:

непреднамеренные, неумышленные угрозы, вызванные ошибками в проектировании, монтаже оборудования и в его эксплуатации: носителем (субъектом) таких угроз является нарушитель;

преднамеренные, умышленные угрозы, связанные с определенными устремлениями людей, такими как терроризм, забастовки, хищения, кражи, подслушивание, несанкционированный доступ в компьютерные сети и т.п.,

Неумышленные угрозы могут вызвать на объекте:

травмы и гибель людей;

повреждения оборудования, линий связи, каналов жизнеобеспечения из-за недостаточной квалификации, нарушения должностных инструкций.

Эти угрозы могут быть как внутренними, так и внешними по отношению к защищаемому объекту. В последнем случае имеется в виду, что они могут возникать за границей территории, но наносить ущерб защищаемому офису. Так, например, пожар или взрыв на соседнем объекте может вызвать повреждения и в офисе; радиоактивный выброс, химическое заражение, повреждение линий энергоснабжения и т.п. за пределами территории также могут повлечь за собой нарушение безопасности конкретного предприятия. Поскольку источник внешних угроз нельзя устранить собственными силами, их можно отнести к стихийным бедствиям.

неумышленное изменение технологического процесса, внедрение и использование нерегламентированных технических средств, документов, компьютерных программ;

неосторожные действия, приводящие к разглашению информации различных видов;

некомпетентное использование, настройка или неправомерное отключение персоналом офиса средств и систем защиты.

Умышленные угрозы могут вызвать на охраняемом объекте:

травмы и гибель людей;

физическое разрушение объекта или отдельных его элементов как результат терроризма, хулиганства, вандализма;

отключение или вывод из строя систем жизнеобеспечения банка вследствие тех же причин;

действия по дезорганизации функционирования банка, его отделения забастовки, саботаж, постановка помех);

съем информации путем контроля каналов связи, негласной установки специальных технических средств, анализа и контроля побочных излучений, негласной видео- и фотосъемки, хищения документов, магнитных носителей и бумажных, информационных отходов (распечаток, копировальной бумаги, и т.п.), несанкционированный доступ в банковскую компьютерную сеть;

хищение ценностей, продукции, ценных бумаг, имущества, оборудования,

Перечисленные выше виды угроз не равноценны. Так, например, разрушение оборудования предприятия или здания офиса может повлечь за собой и такие угрозы, как гибель и травмы персонала и посетителей.

Сегодня для Москвы одной из реальных стала так называемая угроза захвата или поглощения бизнеса. По оценке экспертов за последние годы в столице путем поглощения поменяло собственника 5-10 млн. кв. м. различной недвижимости. Для сравнения: общий объем офисных площадей в Москве оценивается в 16 000-17 000 млн. кв.м.

Ежегодно Москва из-за поглощения и последующего перепрофилирования теряет до 300 компаний.

При анализе угроз необходимо самое серьезное внимание обращать полному отражению всего спектра опасностей существующих для Вашего бизнеса и офиса. Нередко перекос возникает по причине прошлой ориентации руководителя службы безопасности, или незнания им реально существующих угроз. Уклон может быть в криминалистическую или экономическую сторону при пренебрежении пожарной или техногенной составляющей безопасности. Подобные перекосы нередко ведут к большим потерям. Один из крупнейших российских банков дважды в феврале и марте 1995 года понес от пожаров в офисах значительные убытки. Вот поэтому уровень защиты от всех видов угроз должен быть адекватным.

Во-вторых, отражение в концепции инженерной укрепленности и уязвимости офиса. Рассмотрение вопросов инженерной укрепленности только на первый взгляд кажется простым. От уровня инженерной защищенности во многом зависит результативность работы всех подразделений безопасности предприятия и экономичность системы безопасности в целом. Один из главных вопросов, на который Вы должны дать ответ: Сопоставимы ли стоимость охраняемых объектов и стоимость охраны? Современный рынок инженерных и технических средств безопасности насыщен и многообразен. Можно получить один и тот же результат, используя бронированный шлюзовой проход за 5000$ или стальную дверь стоимостью 5000 рублей. Можно, к примеру, заказать систему охраны, стоимость которой аккуратно "уложится" в годовой доход вашей фирмы, а, может быть, и перекроет его с лихвой. Вы уверены, что такие траты действительно необходимы - без супердверей и замкнутой телевизионной системы наблюдения жизнь не жизнь и отдых не отдых? Тогда вперед - рынок услуг ломится от предложений! Однако помните: опасность попасть впросак здесь очень велика. Можно, например, по незнанию отдать предпочтение дешевой и некачественной аппаратуре или, напротив, купить очень дорогую и престижную, но явно не нужную в вашем отнюдь не фешенебельном и не привлекательном для грабителей офисе. Поэтому лучше всего обращайтесь за помощью к специалистам. Для Вас, будет правильным оценить структуру построения системы, не вдаваясь в технические и технологические детали. Структура инженерной защиты офисного объекта предполагает разделение объекта на рубежи охраны и зоны допуска. К рубежам охраны, как правило, относятся. Внешний периметр, территорию объекта, здание объекта, помещения объекта, которые в свою очередь подразделяются на служебные помещения, особо важные помещения и особо охраняемые помещения.

По зонам допуска помещения должны подразделяться на а) зону свободного доступа, б) зону ограниченного допуска (это, как правило, помещения, куда разрешен допуск всех сотрудников организации) в) зону допуска отдельных лиц (касса организации, кабинеты руководства).

Каждая из вышеперечисленных зон должна иметь свой уровень защиты, который определяется руководящими документами и корпоративными нормами, выработанными в Вашей организации.

В-третьих, экспертиза технической защищенности.

Любая фирма, любое предприятие имеет разнообразные технические средства, предназначенные для приема, передачи, обработки и хранения информации. Физические процессы, происходящие в таких устройствах при их функционировании, создают в окружающем пространстве побочные излучения, которые можно обнаруживать (на довольно значительных расстояниях (до нескольких сотен метров) и, следовательно, перехватывать.

Физические явления, лежащие в основе излучений, имеют различный характер, тем не менее, утечка информации за счет побочных излучений происходит по своего рода "системе связи", состоящей из передатчика (источника излучений), среды, в которой эти излучения распространяются, и приемника.

Такую "систему связи" принято называть техническим каналом утечки информации. Технические каналы утечки информации делятся на:

радиоканалы (электромагнитные излучения радиодиапазона);

электрические (напряжения и токи в различных токопроводящих коммуникациях);

акустические (распространение звуковых колебаний в любом звукопроводящем материале);

оптические (электромагнитные излучения в видимой, инфракрасной и ультрафиолетовой частях спектра).

Источниками излучений в технических каналах являются разнообразные технические средства, особенно те, в которых циркулирует конфиденциальная информация. К их числу относятся:

сети электропитания и линии заземления;

автоматические сети телефонной связи;

системы факсимильной, телекодовой и телеграфной связи;

средства громкоговорящей связи;

средства звуко- и видеозаписи;

системы звукоусиления речи;

электронно-вычислительная техника;

электронные средства оргтехники.

Кроме того, источником излучений в технических каналах утечки информации может быть голос человека. Средой распространения акустических излучений в этом случае является воздух, а при закрытых окнах и дверях - воздух и различные звукопроводящие коммуникации. Если при этом для перехвата используются специальные микрофоны, то образуется акустический канал утечки информации. Важно отметить, что технические средства не только сами излучают в пространство сигналы, содержащие обрабатываемую ими информацию, но и улавливают за счет микрофонов либо антенных свойств другие излучения (акустические, электромагнитные), существующие в непосредственной близости от них. Уловив, они преобразовывают принятые излучения в электрические сигналы и бесконтрольно передают их по своим линиям связи на значительные расстояния. Это еще больше повышает опасность утечки информации.

К числу технических устройств, способных образовывать электрические каналы утечки относятся телефоны (особенно кнопочные), датчики охранной и пожарной сигнализации, их линии, а также сеть электропроводки. Для создания системы защиты объекта от утечки информации по техническим каналам необходимо осуществить ряд мероприятий. Прежде всего, надо проанализировать специфические особенности расположения зданий, помещений в зданиях, территорию вокруг них и подведенные коммуникации. Затем необходимо выделить те помещения, внутри которых циркулирует конфиденциальная информация, и учесть используемые в них технические средства.

Вам как руководителю необходимо проверить, когда осуществлялись следующие технические мероприятия:

проверка используемой техники на соответствие величины побочных излучений допустимым уровням;

экранировались ли помещения с техникой или эта техника в помещениях;

перемонтировались отдельные цепи, линии, кабели;

использовались специальные устройства и средства пассивной и активной защиты.

Важно подчеркнуть, что на каждый метод получения информации по техническим каналам ее утечки существует метод противодействия, часто не один, который может свести угрозу к минимуму. При этом успех зависит от двух факторов: - от вашей компетентности в вопросах защиты информации (либо от компетентности тех лиц, которым это дело поручено) и от наличия оборудования, необходимого для защитных мероприятий. Первый фактор важнее второго, так как самая совершенная аппаратура останется мертвым грузом в руках дилетанта.

Осуществляя комплекс защитных мер, не стремитесь обеспечить защиту всего здания. Главное - ограничить доступ в те места и к той технике, где сосредоточена конфиденциальная информация (не забывая, конечно, о возможностях и методах дистанционного получения ее).

Особого внимания руководителя требует информационная защита. Современный уровень

В четвертых, экспертиза физической защищенности объектов, оценка уровня готовности сотрудников охраны к обеспечению безопасности (реализации системы безопасности);

В решении данного вопроса очень важно определить, достаточно ли сотрудников задействовано на выполнении режимных функций, как осуществляется охрана руководства организации и насколько отработаны вопросы мобильности при чрезвычайных ситуациях. Установить точное количество сотрудников необходимых для физической защиты офиса и обеспечения безопасности руководителей предприятия можно только эмпирическим путем. В основе расчета лежит потребность в выполнении определенных функций. Если есть потребность в наличии человека на данном объекте, то он там должен быть. Тенденция современного рынка безопасности свидетельствует о том, что все больше и больше происходит замена человека на технические средства безопасности, однако, сама техника не в состоянии решить всех проблем без участия человека. При этом человек – самое ненадежное средство, так как подвержен усталости, на него воздействуют различные внешние и внутренние факторы. Приведем два простых примера. Пропускной режим. Изготовьте один пропуск и вклейте в него фотографию животного (чаще всего используются фото лошади или собаки), попросите одного из сотрудников воспользоваться данным пропуском и пройти по территории офиса преодолевая все пропускные пункты. Охранник может не заметить подделки. Для технической системы контроля доступа фотография, как правило, безразлична, она считывает информацию СМАРТ карты и в зависимости от нее осуществляет пропуск сотрудника.

Второй пример, расположите в наблюдаемом месте сверток и оцените, как будут действовать сотрудники охраны и сработают ли детекторы движения технических средств на посторонний предмет. Но самым эффективным, на наш взгляд, является способ мониторинга результатов системы видеонаблюдения. Постоянный просмотр записей позволяет выявить многие упущения в работе сотрудников охраны и персонала фирмы. Правильно поступают те руководители, которые систематически организуют учебные мероприятия, направленные на отработку действий персонала в экстремальных ситуациях. Люди должны четко знать и правильно действовать при организации эвакуации из офиса, при возникновении возгорания в офисе и т.д. Обучение не только сотрудников службы безопасности, а всего персонала должно входить в круг обязанностей руководителя.

В пятых, экспертиза информационно-аналитической работы;

Вам необходимо оценить качество

предоставления достоверной информации о финансовом состоянии, деловой надежности и перспективах развития экономических партнеров;

составление детальных отчетов о состоянии экономики в отдельно взятой сфере бизнеса;

осуществление информационного сопровождения безопасности инвестиционных проектов;

оценка перспективности и финансового риска конкретных коммерческих проектов;

помощь в выборе и проверки надежности региональных партнеров, а также оценка состоятельности иностранных фирм, выходящих на российский рынок;

оценка степени риска планируемых финансовых вложений;

аналитические обзоры по всем регионам и отдельным сферам деятельности;

подготовка заказчиков к ведению деловых переговоров;

изучение обстоятельств недобросовестной конкуренции;

оценка ситуации, складывающейся вокруг Вашей структуры;

Кроме того, подразделение или специалист экономической безопасности должен оказывать содействие Вам в

сборе сведений по гражданским и уголовным делам, рассматриваемым в отношении фирмы или сотрудников предприятия,

сборе информации для деловых переговоров, с целью привлечь их к Вашему бизнесу,

выявлении ненадлежащих деловых партнеров,

проверке кандидатов на работу, особое внимание уделяется менеджерам

поиске утраченного гражданами или предприятиями имущества;

Теперь Вы обладаете достаточными данными о состоянии и уровне безопасности Вашего офиса. Но это только начало пути, так как полученные первые результаты не всегда бывают достаточно объективными и полными, да и система безопасности находится в постоянном развитии и совершенствовании. Одновременно, хочется надеяться, что вскрытые недостатки и упущения в работе позволят только оптимизировать и совершенствовать структуру безопасности окажут помощь Вам и специалистам Вашей фирмы в дальнейшей работе.

Валерий Прасолов