Журнал "Директор по безопасности" Март 2021 | Page 13

Иногда довольно сложно бывает понять эту специфику , по причине того , что безопасник не обладает достаточными знаниями , а погружаться в них долго . Да и погрузившись , все равно не сможешь говорить с работниками на одном языке . В этом случае я рекомендую включить в штат узкого специалиста , знающего специфику . Их называют « технологами ». Как правило , это лица , имеющие профильное образование , хорошо знающие бизнес-процессы предприятия , понимающие , как работники или иные организации могут обмануть предприятие . И которые смогут говорить с подобными специалистами на одном языке . Это позволит как минимум защититься от заключения ненужного договора и обезопасить себя от « лапши на уши », которую вам будут вешать закупщики , уверяя , что именно эту деталь и только у этой компании необходимо закупить .

ШАГ 4 . Изучить инциденты на предприятии . Провести аудит корпоративной безопасности

Этот шаг я рекомендую сделать в том случае , если предприятие уже давно работает и можно посмотреть процесс безопасности в динамике . Причем провести анализ таких инцидентов не только в своей организации , но и на других предприятиях , работающих в подобной сфере . Если есть возможность получения этой информации . Динамический объект , коим является предприятие , необходимо изучать в динамике . В истории многое уже было , и изобретать велосипед не всегда целесообразно . Статистика вещь упрямая . Подобные методы часто применяются в информационной безопасности . Антивирусная защита создается с учетом произошедших инцидентов . В научных работах даже применяется такой термин – модель потенциального нарушителя . То есть выстраивание защиты от смоделированного поведения « врага ».

Надо понимать , что , изучая прошедшие инциденты , вы будете анализировать только то , что было обнаружено . Скорее всего , это только вершина айсберга . Огромное количество инцидентов будет не зафиксировано и не попадет в статистику и в изучение . Это не значит , что их нет . Как говорят медики – « нет здоровых людей , есть недообследованные ». В этом случае хорошую помощь окажут системы обратной связи , созданные на предприятии . Например , « горячие линии », беседы с увольняющимися или применение технологий « тайного покупателя ». При грамотном их применении инцидентов для изучения у вас будет предостаточно .

Должен заметить , что в современных условиях быстроменяющегося мира статистика действий и моделей нарушителя стала сильно отставать от реалий жизни . Также много нарушений имеют « креативный » характер , являющихся штучными и неповторяющимися . Поэтому чтобы не быть « генералом , готовящимся к прошедшей войне » желательно помимо произошедших инцидентов оценивать еще и свои уязвимости . Уже без привязки к моделям нарушителей . Это уже задача аудита безопасности .

Про аудит безопасности . Этот термин все чаще стал применяться в коммерческой деятельности . Хочу заметить , что юридически этот термин отсутствует и методики ( стандарты ) аудита безопасности разрабатываются безопасниками индивидуально применимо к конкретной ситуации или задаче . У меня тоже есть своя методика аудита безопасности . Она предполагает оценку безопасности по двум направлениям .

Первое направление аудита – оценка выполнения на предприятии требований по безопасности , установленных законодательством и иными обязательными для выполнения нормативными документами . В основном это касается отдельных направлений безопасности – антитеррор , антикоррупция , промышленная безопасность , пожарная безопасность , безопасность критической информационной структуры , защита персональных данных и т . д . Здесь , как правило , тоже два направления – формальное выполнение требований регуляторов , исключающее привлечение к юридической ответственности , и реальная защита от чрезвычайных ситуаций , утечек информации и т . д .

Второе направление аудита безопасности уже не связано с выполнением обязательных требований безопасности , а связано с рисками , угрозами и уязвимостями . По всем трем направлениям . Исходя из известной формулы , что риск – это угроза , помноженная на уязвимость . Угроз может быть много , но если нет ( или мало ) уязвимостей , то риск минимальный .

Результаты аудита , в основном , являются основанием для формирования на предприятии политики безопасности и построения системы корпоративной защиты . На основе аудита формируется структура подразделения безопасности , задачи , планы работ , финансирование и решаются все основные задачи по корпоративной безопасности .

ШАГ 5 . Определить субъекты безопасности . Распределить задачи в области защиты бизнеса между аутсорсинговыми организациями , подразделением безопасности и иными подразделениями предприятия

Хочу предостеречь от попыток безопасника решать все вопросы своими силами . Не все задачи , где есть слово « безопасность » – это зона ответственности подразделения безопасности . Таких задач очень много . Оптимальным является не выделение функции безопасности в отдельный процесс и концентрация его в подразделении безопасности , а интегрирование элементов безопасности во все бизнес-процессы . И возложение ответственность за их выполнение на руководителей этих процессов . Каждый должен решать свои задачи . В этом случае задачи безопасности – определить и утвердить « правила игры », осуществлять их выборочный контроль , оценку и , при необходимости , корректировку . Иногда расследовать инциденты . То есть выполнять в определенном смысле функции комплаенс .

Конечно , есть задачи , которые решает только безопасность . Например , оборудование предприятия инженерно-техническими средствами охраны и безопасности – СКУД , видеонаблюдение , контроль доступа и т . д . Но при переходе на удаленку эта специфическая задача отходит на второй план .

Во многих компаниях безопасности как структурного подразделения или штатной должности просто нет . Это не значит , что никто этим не занимается . Просто задачи по безопасности раскинуты по подразделениям , а функции контроля выполняет служба внутреннего контроля и служба внутреннего аудита . Задачи , связанные с управлением рисками выполняют риск-менеджеры , задачи по информационной безопасности – соответствующее подразделение , задачи по кадровой безопасности – подразделение по управлению персоналом и т . д . Часть задач отдается на аутсорсинг .

Продолжение следует …

На основе аудита формируется структура подразделения безопасности , задачи , планы работ , финансирование и решаются все основные задачи по корпоративной безопасности