Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3 Автомобили Астрономия Биология География Дом и сад Другие языки Другое Информатика История Культура Литература Логика Математика Медицина Металлургия Механика Образование Охрана труда Педагогика Политика Право Психология Религия Риторика Социология Спорт Строительство Технология Туризм Физика Философия Финансы Химия Черчение Экология Экономика Электроника

Классификация информационных угроз

Приведенная классификация информационных угроз применима и для других объектов защиты, так как она позволяет адекватно дифференцировать по этим объектам сами угрозы и их источники.

В классификации угроз безопасности информации по субъектам - источникам они могут подразделяться на три группы: антропогенные, техногенные и стихийные.

Группа антропогенных источников угроз представляется:

криминальными структурами, рецидивистами и потенциальными преступниками;

недобросовестными партнерами и конкурентами;

персоналом предприятия (банка и его филиалов).

В свою очередь, злоумышленные действия персонала предприятия можно разделить на четыре категории:

а) Прерывание - прекращение обработки информации, например вследствие разрушения вычислительных средств. Такого рода действия могут иметь серьезные последствия для безопасности деятельности предприятия, даже если информация не подвергнется серьезным искажениям;

б) Кража - чтение или копирование информации, хищение носителей информации с целью получения данных, которые могут быть использованы против интересов владельца (собственника) информации;

в) Модификация информации - внесение несанкционированных изменений в данные, направленных на причинение ущерба владельцу (собственнику) информации;

г) Разрушение данных - необратимое изменение информации, приводящее к невозможности ее использования.

К техногенным источникам угроз относятся некачественные технические и программные средства обработки информации, средства связи, охраны, сигнализации, другие технические средства, применяемые в учреждении, а также глобальные техногенные угрозы (опасные производства, сети энерго-, водоснабжения, транспорт).

Разумеется, предложенные классификации не исчерпывают всей сложности проблемы распознавания угроз безопасности предприятий. В связи с этим представляется целесообразным использовать разработанные классификации применительно к каждому из них по специальной схеме идентификации угроз, в которой учитывались бы специфические особенности того или иного объекта защиты.

Так, основные классификационные составляющие (признаки) угроз могут быть отображены осями трехмерного пространства: X - виды угроз безопасности, Y - объекты защиты, Z - средства и методы защиты. Откладывая на каждой из осей максимальное на данный период число позиций, определенных по экспертным оценкам (или из теоретических, прогнозных, аналитических значений), получим ограниченную область (объем) потребностей безопасности. Координате каждой точки этой области могут быть сопоставлены соответствующие формализованные особенности конкретного подлежащего защите объекта и выбраны те составляющие, которые и определят структуру потребностей безопасности этого объекта, а, следовательно, и структуру службы безопасности, обслуживающей эти потребности.

Графически область потребностей безопасности может быть представлена в виде следующей трехмерной модели (рис. 5.1).

(рисунок 5.1 см в приложениях)

Рис. 2.1. Трехмерная модель безопасности объекта – «кубик безопасности».

Особое прикладное значение имеют «развертки» данной области по осям XY, XZ и YZ. Развертка по оси XY позволяет выделить среди всего множества угроз, наиболее характерные для защищаемого объекта (рис. 5.2).

Рис. 5.2. Развертка XY «кубика безопасности».

Развертка по оси XZ позволяет оперативно определить набор возможных средств защиты при наличии того или иного вида угрозы безопасности объекта (рис. 5.3).

Рис 5.3. Развертка XZ «кубика безопасности».

И, наконец, развертка YZ преследует цель подбора конкретных средств защиты, применительно к характеру защищаемого объекта (рис. 5.4).

Рис. 5.4. Развертка YZ «кубика безопасности».

Предложенная графическая интерпретация безопасности позволяет для каждого защищаемого объекта выявить допустимое сочетание вероятных угроз, средств и методов защиты от них, реализуемых структурными подразделениями службы безопасности.

Выявленным сочетаниям может быть поставлен в соответствие определенный комплекс мер безопасности объекта. В частности, если существует угроза насильственного проникновения в хранилище ценностей на предприятии, то должны быть задействованы инженерная защита здания хранилища, охрана и контроль прилегающей территории. Соответственно для реализации этих мер, служба безопасности должна быть укомплектована специалистами, способными провести технико-экономическое обоснование проектируемого комплекса защитных мер.

Выявление в таком технико-экономическом обосновании допустимого сочетания различного вида угроз, комплекса защитных средств и методов будет предопределяться оценкой последствий для предприятия проявления этих угроз.

5.4.2. Экономическая оценка ущерба от реализации различного вида угроз (анализ риска)

Под риском реализации угрозы безопасности предприятия будем понимать вероятность свершения события, ведущего к нарушению режима его функционирования и экономическим потерям (ущербу). Тогда с оценкой степени риска (анализом риска) будем связывать получение вероятностной оценки экономического ущерба, который может понести защищаемое предприятие в случае реализации угрозы его безопасности:

R= P *L,

где R - величина риска; P - вероятность реализации конкретной угрозы; L - ущерб от реализации этой угрозы.

Анализ риска позволяет экспериментировать с некоторой моделью объекта защиты, чтобы выяснить, какие из имеющихся методов защиты наиболее эффективны. Анализ риска достаточно широко используется в менеджменте. Но следует отметить и ряд недостатков, присущих сложившейся практике анализа. Так, представительная статистика для определения частоты реализации угроз, как правило, не организовывается и величины, используемые в процессе анализа, зачастую принимаются эмпирически (вероятности проявления каждого вида угроз, величина ущерба). Исследуемые модели - преимущественно статического характера, не учитывающие динамику угроз и параметров объекта.

Предлагаемый подход в анализе риска, во многом снимающий эти недостатки, позволит обосновать выбор эффективного варианта комплекса планируемых мероприятий, обеспечивающих защиту предприятия с допустимыми для его экономики значениями экономических потерь, то есть с незначительными (допустимыми) изменениями параметров деятельности. Могут быть сформулированы следующие основные этапы анализа риска, обосновывающие формирование эффективного комплекса мер безопасности предприятия.

Первый этап. Описание жизненно важных интересов – стратегических и текущих целей для некоего, произвольно выбранного, состояния защищаемого(проектируемого или функционирующего) предприятия, то есть выбор «точки отсчета». Отмечаются достигнутые и прогнозные параметры деятельности, как фиксированное состояние данной производственной системы, и все дальнейшие исследования динамики риска угроз ведутся от этого состояния.

Второй этап. Определение уязвимых аспектов деятельности защищаемого объекта. Для всех параметров и направлений деятельности, определенных на первом этапе, необходимо установить, какие опасности могут угрожать каждому из них, и что может послужить их причиной. В качества примера этого этапа может быть использована таблица, отражающая особенности реализации информационных угроз (табл. 5.5).

Таблица 5.5 Основные особенности реализации угроз информационной безопасности

(применительно к АСОИ)

Третий этап. Оценка вероятности проявления (частоты реализации) каждой из угроз безопасности защищаемого объекта*) с использованием одного из методов (или их совокупности):

эмпирической оценки числа проявлений угрозы за некоторый период. Как правило, этот метод применим для оценки вероятности проявлений естественных угроз (стихийных бедствий) путем накопления массива данных о них;

непосредственной регистрации проявлений угроз – применим для оценки вероятности систематических угроз как часто повторяющихся событий;

оценки частоты проявления угроз по специальной таблице коэффициентов (табл. 5.6).

Поэтому в выборе возможных методов защиты необходимо исходить из оценок потенциального ущерба, обоснованных расчетами.

Пятый этап. Анализ возможных методов защиты с оценкой их стоимости и эффективности. Выбор совокупности применяемых методов защиты (организационных, программных, технических), каждый из которых может реализовываться различными способами (мерами), обусловит соответствующий уровень надежности системы защиты, ее стоимость, величину потерь от возможного проявления угроз, а, следовательно, и эффективность этой системы.

Стоимость метода защиты - величина совокупных затрат на его разработку и реализацию (сопровождение). При оценке стоимости метода необходимо учитывать не только капитальные вложения (в проектирование или привязку к объекту, приобретение, монтаж и наладку технических средств, обучение персонала), но и эксплуатационные расходы (материально-энергетические и трудовые затраты, амортизацию технических средств, накладные расходы).

Эффективность системы защиты – обобщающая характеристика ее способности противостоять угрозам безопасности предприятия. Эффективность метода защиты – частный показатель эффективности системы защиты безопасности предприятия в целом.

Показатели эффективности системы и метода защиты могут рассчитываться как в относительном, так и в абсолютном выражениях. В качестве показателя относительной эффективности системы защиты (или отдельного метода) может использоваться величина прироста сэкономленных потерь от применения выбранного варианта этой системы (или метода), проектируемого взамен базового.

Абсолютная эффективность системы (метода) защиты может быть выражена отношением прироста величины сэкономленных потерь к капитальным вложениям, обусловленным организацией проектируемого варианта системы (метода) защиты. Отметим, что оценить величину предполагаемого прироста сэкономленных потерь весьма сложно из-за неопределенности факторов проявления угроз, и поэтому в большинстве случаев общие и частные показатели эффективности системы и методов защиты определяют эмпирически.

Величину сэкономленных потерь можно трактовать как экономический выигрыш предприятия – прирост прибыли от применения предполагаемых мер защиты. В самом деле, потери от ненадежности выбранного варианта системы защиты предприятие вынуждено будет компенсировать за счет чистой прибыли. И чем меньше величина потерь, тем меньше будет отчислений от прибыли на компенсацию экономических потерь от проявлений угроз и тем большая ее величина может быть высвобождена и направлена, например, на цели развития деятельности.

Величина выигрыша может иметь как положительное, так и отрицательное значение. В первом случае это означает, что использование системы защиты с предопределенными уровнем надежности и стоимостью обеспечит получение сопоставимой с ними величины прироста сэкономленных потерь. Во втором - лишь дополнительные относительно базового варианта системы защиты расходы и меньшую величину сэкономленных потерь. При этом нужно учитывать, что величина потерь от тех или иных угроз может быть незначительной, хотя частота их повторения достаточно высокая. Или вероятность проявления угрозы может быть минимальной, но ущерб при этом наносится значительный. Отсюда следует, что угрозы безопасности предприятия имеют различную приоритетность в выборе различных по надежности и стоимости методов и мер защиты от них.

Так, например, западноевропейские фирмы производители оборудования для банковских систем защиты придерживаются такой приоритетности объективных и искусственных угроз, правда, по весьма ограниченному кругу объектов защиты [55]:

для сейфовых комнат, хранилищ ценностей, компьютерных банков данных - это защита от чрезвычайных обстоятельств (пожары, аварии, терроризм), защита от несанкционированного доступа и краж;

для операционных залов - защита от несанкционированной записи или считывания информации, защита от чрезвычайных ситуаций.

Данный подход позволяет дифференцированно подойти к распределению ресурсов на обеспечение информационной безопасности.

В ранжировании угроз по частоте их проявления могут использоваться мнения экспертов: (1) копирование и кража программного обеспечения; (2) несанкционированный ввод информации в базу данных предприятия; (3) модификация или уничтожение информационных файлов на магнитных носителях; (4) кража (съем) конфиденциальной информации; (5). несанкционированное использование ресурсов компьютерной системы предприятия; (6). несанкционированный доступ к конфиденциальной информации.

Количественные оценки вероятности риска экономических потерь от проявления различных угроз оцениваются теми же экспертами следующим образом (в процентах от общей величины годовых потерь): потери от несанкционированного доступа к конфиденциальной информации - 48%; непредсказуемые потери (технологические ошибки, отказы) - 35%; потери от вирусных атак - 15%; остальные потери - 2%. Отсюда видно, что все-таки наибольшей приоритетностью в принятии эффективных защитных мер обладают угрозы информационной безопасности вообще (2/3 всей величины потерь) и несанкционированного доступа к конфиденциальной информации в частности. Поэтому организация системы защиты конфиденциальной информации в комплексной безопасности предприятия имеет особое значение в повышении эффективности его деятельности.

Может быть предложен следующий подход, предусматривающий конкретизацию этапов анализа риска угроз, но уже по отношению к системе защиты конфиденциальной информации:

постановка задач защиты;

планирование организации защиты;

синтез и структурная оптимизация системы защиты;

практическая реализация предпочтительного (оптимального) варианта системы защиты конфиденциальной информации, реализация и поддержка политики безопасности.

Исходными данными для формирования системы и постановки задач защиты конфиденциальной информации, как совокупности правовых, организационных, информационно-программных и технических мер, являются:

априорные требования об уровнях безопасности конфиденциальной информации;

характеристика сфер распространения конфиденциальной информации, циркулирующей на предприятии;

эксплуатационные характеристики (в том числе надежностные и стоимостные) элементов программного и технического обеспечения системы защиты;

величина затрат, планируемых предприятием на организацию защиты конфиденциальной информации.

Формулируемые в сложившейся теории требования к организации системы защиты связывают с неуязвимостью информации. Она предполагает достижение определенного сочетания трех свойств защищаемой информации: конфиденциальности, целостности, готовности. Свойство конфиденциальности означает, что засекреченная информация должна быть доступна только тем пользователям, которым она предназначена. Целостность - информация, на основе которой принимаются решения, должна быть достоверной и полной, защищена от возможных непреднамеренных и злоумышленных искажений. Готовность - информация должна быть доступна соответствующим службам в виде, предполагающем ее использование в решении управленческих задач. Невыполнение хотя бы одного из этих свойств и будет означать уязвимость системы защиты.

Определение априорных требований к защите, обеспечивающей неуязвимость (конфиденциальность) информации, можно свести к выбору класса защищенности, соответствующего специфическим особенностям предприятия – объекта защиты и допустимым сферам циркуляции его конфиденциальной информации. Каждый класс характеризуется определенной минимальной совокупностью требований к защите.

7 класс - содержит только самые необходимые требования и наилучшим образом подходит для хозяйствующих субъектов, находящихся на начальных этапах автоматизации сбора и обработки информации и организации системы защиты.

6 класс - включает требования к защите рабочих станций локальной вычислительной сети, в которой технология обработки данных не предусматривает передачи данных по внешним каналам связи.

5 класс - описывает требования к системам защиты, применяемым в автоматизированных комплексах с распределенной обработкой данных.

4 класс - предназначен для обеспечения решения задач защиты в автоматизированных комплексах, применяющих электронные платежи в межбанковских расчетах и (или) в системе «банк-клиент»; характеризуется обеспечением целостности архивов электронных документов.

3 класс – системы, отвечающие требованиям этого класса защиты, характеризуются большим числом субъектов и объектов доступа.

2 класс - определяет использование полного набора механизмов (методов и мер) защиты на нескольких рубежах безопасности.

1 класс - в отличие от предыдущих классов характеризуется наиболее развитой службой администрации безопасности, использующей возможности автоматизированной обработки данных и дистанционного управления системой защиты.

Постановка задач выявления и ослабления угроз безопасности предприятия будет содержать в себе требование обеспечения максимально достижимого уровня защиты конфиденциальной информации при предельно-допустимых затратах. Задачи защиты ставятся с учетом оценки угроз, исходящих от внешних и внутренних источников опасности. Внешним источникам, представляемым злоумышленниками и конкурентами, свойственен промышленный шпионаж, криминогенные угрозы доступа к информации для использования ее в корыстных целях, недобросовестная конкуренция. Для внутренних источников угроз характерны злонамеренные действия отдельных работников предприятия, главным образом из числа лиц, имеющих социально-психологические или моральные проблемы. Угрозы от внешних источников, не являясь подконтрольными (регулируемыми) со стороны предприятия, могут оказывать дестабилизирующее воздействие на параметры его деятельности:

нарушение коммерческих интересов предприятия, вплоть до нанесения ему невосполнимых экономических потерь;

снижение деловой активности или способности предприятия выступать в качестве конкурирующей стороны на товарных рынках;

лишение предприятия научно-технического приоритета в соответствующих областях его деятельности.

Количественная оценка угроз, исходящих из различных источников, производится применительно к потенциальным каналам несанкционированного распространения конфиденциальной информации, каждый из которых интерпретируется как вариант несанкционированного доступа к ней. Поэтому целесообразность организации защиты конфиденциальной информации будет определяться размерами потенциального ущерба, причиняемого предприятию утечкой (разглашением, утратой) конфиденциальной информации по каналам несанкционированного доступа.

Чаще всего затраты (И) на организацию защиты конфиденциальной информации принимают пропорционально размеру потенциального ущерба или упущенной выгоды предприятия от ее использования L:

И = к *L,

где к – коэффициент, учитывающий допустимую величину затрат на организацию защиты конфиденциальной информации в долях от величины потенциального ущерба или упущенной выгоды (от 0,05 до 0,2).

При затруднениях с оценкой размера упущенной выгоды L затраты на организацию защиты могут быть приняты пропорционально величине прибыли П, получаемой предприятием за счет использования конфиденциальной информации:

И = к *П.

По мнению экспертов, если затраты на организацию защиты от информационных угроз L на предприятии составили менее 5% величины упущенной выгоды или размера прибыли за счет использования своей конфиденциальной информации, то оно рискует своей экономической безопасностью. Если же они превышают 20% от этих величин, то целесообразно пересмотреть организацию (структуру средств) защиты конфиденциальной информации в направлении сокращения затрат на нее.

Планирование организации защиты от угроз информационной безопасности предусматривает синтез альтернативных вариантов средств защиты конфиденциальной информации, их структурную оптимизацию и технико-экономическую оценку.

Синтез средств защиты конфиденциальной информации заключается в выборе оптимального варианта структуры системы защиты (состава средств). Задача структурной оптимизации будет состоять в установлении такой структуры информационного, программного и технического обеспечения системы, которая обеспечит максимально достижимое значение уровня надежности защиты в фиксированный момент (интервал) времени при допустимых затратах.

Выбор того или иного варианта организации информационной защиты возможен и по другим критериям оптимальности синтеза системы, например, по показателю эффективности, отражающему соотношение «эффект/стоимость». За величину эффекта здесь может приниматься значение ущерба от реализации угроз (сэкономленных потерь), а стоимость выражает совокупные затраты на ее организацию и эксплуатацию (издержки). Заслуживает внимания использование и такого дробно-линейного критерия, как технико-экономическая оценка системы защиты конфиденциальной информации - показатель ее предельной эффективности. Его можно определить как приращение контролируемого показателя качества (надежности) системы защиты (далее именуются выгодой объекта защиты) в расчете на единицу приращения издержек.

Таким образом, целью анализа риска является в конечном итоге выбор такой политики предприятия, которая позволит ему построить и реализовать оптимальный вариант собственной службы безопасности. После выявления и оценки вероятных угроз и рисков возникает необходимость разработки конкретной системы защиты предприятия и обоснованию затрат на ее реализацию.

Высшим органом управления любым акционерным предприятием является общее собрание акционеров. Наряду с выработкой генеральной цели и принципиальных направлений деятельности, экономической и технической политики предприятия, как это и предусмотрено положением, прерогативой общего собрания, по-видимому, должно быть также определение потребности в обеспечении безопасности, санкционирование ее организации, установление объемов и источников финансирования этой деятельности. Однако типовые положение и устав акционерного предприятия такие полномочия общего собрания не предусматривают. В связи с этим представляется достаточно очевидной целесообразность включения в типовые учредительные документы акционерных предприятий положений, которыми можно было бы руководствоваться при организации системы безопасности. Рекомендуется установить перечень сведений, составляющих коммерческую тайну, определить порядок и условия передачи коммерческой информации другим физическим и юридическим лицам, определить основы системы защиты объектов, входящих в АО.

Типовыми учредительными документами также регламентировано, что в период между общими собраниями акционеров полномочным органом управления является совет директоров, возглавляемый генеральным директором АО. Именно генеральный директор должен обладать всей полнотой полномочий по обеспечению безопасности АО и в пределах свой компетенции:

утверждает порядок организации работ по обеспечению безопасности АО и контролирует ее состояние;

устанавливает порядок регулирования отношений в области защиты АО во всех сферах его деятельности и на всех уровнях его управления;

определяет категории должностных лиц, имеющих доступ к конфиденциальной информации АО;

применяет меры дисциплинарного воздействия к должностным лицам, не обеспечившим надежную защиту объектов АО;

вправе делегировать часть своих полномочий по обеспечению безопасности другим должностным лицам АО.

Координация работ по обеспечению безопасности на уровне функциональных служб должна возлагаться на правление АО в пределах компетенции, определяемой уставом общества.

Синтез системы, практическая реализация ее функций должна находиться в компетенции специальных подразделений службы безопасности АО. Состав таких функций может быть расширен за счет включения в них комплексов задач прогнозирования, выявления и оценки угроз безопасности, структуризации задач защиты, их оптимизации, технико-экономической оценки и выбора предпочтительного варианта обеспечения безопасности.

На практике у руководителей ряда предприятий еще не выработалось понимание необходимости комплексного, системного подхода к обеспечению безопасности как одного из базовых в предпринимательской деятельности. Нередко проблема безопасности считается второстепенной, ей уделяется недостаточное внимание, зачастую используются частичные, фрагментарные решения, которые в итоге оказываются неэффективными.

Проведенные сопоставления результатов деятельности служб безопасности на государственных и частных предприятиях показали, что их функционирование наиболее эффективно на тех из них, где решение проблем безопасности постоянно находятся в сфере внимания первых руководителей, увязывается ими с результатами производственно-хозяйственной и финансовой деятельности предприятия. Именно на этих предприятиях руководитель службы безопасности обладает максимально возможным кругом полномочий, позволяющим оказывать влияние на различные области деятельности объекта, как того требуют интересы его безопасности. Так, на крупных предприятиях, где служба безопасности состоит из нескольких подразделений, выполняет различные функции по охране, сыску, анализу реальных и потенциальных угроз, ее руководитель, как правило, является одновременно и заместителем генерального директора, а на объектах с повышенной системой защищенности - и первым заместителем. Используются и другие варианты построения организационной структуры, при которых в аппарате управления выделяется должность специального директора по безопасности. В его функциональные обязанности входит руководство службой безопасности, включающей службу охраны, специальные системы связи и информации, противопожарные службы, специальные группы реагирования.

Но даже и в тех случаях, когда служба безопасности хотя и немногочисленна (в малых формах бизнеса), но рационально организована, положение ее руководителя позволяет ему принимать самостоятельные решения в рамках своей компетенции и своевременно реагировать на возникающие угрозы безопасности предприятия. То есть его статус на объекте выделен и поддержан руководством. Это выражается в разработке таких функциональных обязанностей руководителя службы безопасности, которые закрепляют его особое положение. Например, подчиненность ему других, равных по штатному уровню руководителей в решении кадровых вопросов. Или этот статус может проявляться в наделении руководителя службы безопасности определенными запретительными правами по отношению к другим службам предприятия на переговорах с клиентами, правами санкционирования выбора клиентов и соисполнителей.

Что касается собственно организационной структуры службы безопасности, то в процессе исследований была выявлена определенная закономерность ее построения в зависимости от следующих основных объективных факторов:

характера и масштабов производственной деятельности предприятия (особенности выпускаемой продукции и прогрессивность применяемых технологий, наличие товаров-новинок, патентов и лицензий, производственная мощность, численность работающих, темпы технического развития);

рыночной позиции предприятия (темпы развития отрасли, к которой относится предприятие, вид кривой жизненного цикла, динамика его продаж и доля рынка, наличие стратегических зон хозяйствования, уровень конкурентоспособности товаров и услуг, репутация в деловых кругах, имидж и гудвил);

достигнутого уровня финансовой состоятельности (общая экономическая рентабельность, рентабельности капитала и продукции, платежеспособность, уровень деловой активности, инвестиционная привлекательность);

наличия субъектов специальной защиты (носителей государственной или коммерческой тайны, крупных материальных ценностей, экологически опасных производств, взрывопожароопасных участков и т.п.)

наличия конкурентной среды (активность конкурентов и криминалитета).

Кроме объективных факторов, на выбор структуры службы безопасности могут воздействовать и факторы субъективного порядка. Например, наличие свободных финансовых ресурсов, которые можно было бы направить на обеспечение безопасности, или субъективное мнение руководителя предприятия, считающего, что затраты на службу безопасности себя не окупают и поэтому в ее организации нет необходимости.

Разумеется, представить универсальную структуру службы безопасности того или иного предприятия – объекта защиты будет весьма сложно из-за многообразия форм проявления на нем отмеченных факторов. Однако, по-видимому, можно говорить о некотором наборе типовых направлений деятельности служб безопасности, исходя из условного деления всего исследуемого множества объектов защиты на следующие группы:

1) Крупные финансово-промышленные группы и акционерные общества с частным и смешанным капиталом;

2) Государственные производственные объединения;

3) Акционерные и частные коммерческие структуры (крупные, средние, мелкие).

Первое направление - юридическая безопасность предпринимательской деятельности, под которой следует понимать юридически грамотное и корректное оформление прав, порядка и условий осуществления этой конкретной деятельности (устава, регистрационных документов, прав собственности на имущество, патентов, лицензий, арендных и контрагентских договоров, соглашений, ведение бухгалтерской документации и др.). Необходимость разработок и реализации соответствующего комплекса задач достаточно очевидна в условиях неустоявшейся нормативно-правовой базы предпринимательства и его безопасности.

Второе - физическая безопасность субъектов предпринимательской деятельности. В качестве объектов следует при этом рассматривать как сам вид предпринимательской деятельности, так и ресурсы предпринимателя: финансовые, материальные, информационные. Отдельного рассмотрения требует безопасность трудовых и интеллектуальных ресурсов - персонала, акционеров и работников предприятия.

Третье - информационная (информационно-коммерческая) безопасность, защита информационных ресурсов хозяйствующего субъекта, а также объектов его интеллектуальной собственности. Коммерчески значимая информация может быть связана со всеми теми объектами, которые упоминались при рассмотрении физической безопасности.

Четвертое направление (одно из важнейших по значимости) - это вопросы безопасности людей, персонала: охрана труда и техника безопасности, производственная санитария и экология, аспекты психологии деловых отношений, вопросы личной безопасности сотрудников и членов их семей.

Перечисленные направления определяют состав комплексов задач, реализуемых соответствующими структурными подразделениями службы безопасности. Так, по большинству исследованных хозяйствующих субъектов были определены в качестве наиболее характерных структурные подразделения в составе своих служб безопасности, выполняемые ими функций и решаемые задачи. Представляется, что этот обобщенный состав подразделений, функций и задач может быть использован в организации служб безопасности вновь формируемых предпринимательских структур, разумеется, с учетом поправок на их отличительные особенности и сопутствующие им ранее отмеченные нами факторы.

Итак, типовые функции основных подразделений службы безопасности могут состоять в следующем:

Группа режима - в ее ведении находятся все вопросы, связанные с регламентацией деятельности персонала объекта и его посетителей.

Сотрудники группы режима:

определяют перечень сведений, составляющих коммерческую тайну, если таковые не упомянуты в государственных документах. При наличии на объекте работ с государственной тайной, определяют ее носителей и места сосредоточения;

разрабатывают соответствующие инструкции о порядке работы с конфиденциальной информацией;

организуют и ведут закрытое делопроизводство, учет пользования, хранения и размножения документов и других носителей конфиденциальной информации;

осуществляют допуск персонала к работе с конфиденциальной информацией, организуют и осуществляют проверки выполнения сотрудниками объекта регламента работы с такой информацией;

обучают персонал работе с конфиденциальной информацией;

организуют и проводят изучение кандидатов на работу, связанную с допуском к конфиденциальной информации.

Группа охраны и сопровождения - обеспечивает физическую охрану объекта и его помещений с использованием соответствующих систем и средств, выявляют, локализуют и устраняют угрозы безопасности деятельности объекта. Сотрудники группы осуществляют:

организацию прохода персонала и посетителей в различные зоны безопасности;

наблюдают за обстановкой вокруг объекта и на его территории;

действуют в экстренных ситуациях при возникновении угроз чрезвычайных обстоятельств;

контролируют работоспособность элементов системы защиты и осуществляют их проверку;

обеспечивают безопасность транспортировки грузов и документов, при необходимости - охрану отдельных сотрудников объекта.

Техническая группа - совместно с группой охраны сотрудники этой группы участвуют в обеспечении безопасности деятельности объекта с использованием технических средств защиты - систем сигнализации, наблюдения, связи. Отвечают за бесперебойную работу всех технических средств системы, ремонтируют и настраивают средства защиты, готовят и реализуют предложения по их совершенствованию и повышению эффективности использования.

Детективная группа как специализированное подразделение разрабатывает и проводит специальные мероприятия по изучению отдельных лиц из числа персонала объекта, посетителей и клиентов фирмы, жителей близлежащей территории, в действиях которых содержатся угрозы безопасности объекта. Кроме того, сотрудники детективной группы:

проверяют кандидатов для приема на работу на объект;

по отдельным заданиям руководства разрабатывают и проводят специальные мероприятия в отношении фирм конкурентов;

поддерживают контакты с правоохранительными органами по вопросам обеспечения безопасности объекта.

Для средних по размеру объектов (фирм) создаются группы безопасности, состоящие из сотрудников охраны, техников по настройке и ремонту средств защиты. Существует практика размещения разнообразных небольших предприятий и фирм в одном большом здании. Всеми вопросами безопасности в таких случаях занимается единая для всего здания служба безопасности, как правило, охраняющая помещения и персонал всех находящихся в здании фирм.

Несколько специфичной представляется структура службы безопасности коммерческих структур. В них при прямом подчинении начальника службы безопасности генеральному директору фирмы, предусмотрены:

Группа сыска и режима - детективная деятельность, аналитическая работа, решение задач информационной безопасности, обслуживание специальных технических средств.

Группа управления персоналом - подбор, оценка, прием на работу, обучение, изучение, перемещение, продвижение, отпуска, увольнение.

Группа профессионального сопровождения и финансовой деятельности - личная охрана руководства, инкассация.

Группа сопровождения грузов - решение задач комплексной безопасности грузов, перевозимых всеми видами транспорта; решение задач группы быстрого реагирования дежурной части.

Отдел охраны и пожарной безопасности - решение задач комплексной безопасности стационарных объектов.

Вспомогательная техническая группа - обслуживание средств технической защиты и технических систем безопасности.

Дежурная часть - координация и анализ сигналов о нарушении системы безопасности, группа быстрого реагирования.

Следует отметить, что универсального способа или методики выбора структуры службы безопасности до настоящего времени не предложено, хотя практическая потребность в этом очевидна.

Исходя из выполненных обобщений по организации службы безопасности, может быть предложен следующий алгоритм выработки решений, связанных с ее структуризацией применительно к особенностям деятельности конкретного хозяйствующего субъекта (рис. 2):