Размещено на http://www.allbest.ru/

Введение

Важным условием успешного функционирования любого предприятия на рынке является защита от возникающих угроз, среди которых особую опасность представляют незаконные действия физических лиц. Последствия их действий непредсказуемы от хищения имущества до создания чрезвычайных ситуаций на объекте. В этих условиях безопасность любого субъекта рынка осуществляется на основе принципов «функционально-стоимостного анализа», «метода сценариев», «метода экспертных оценок», а также разработанной в теории и применяемой на практике концепции физической безопасности предприятия.

В рамках единой политики безопасности организации физическая безопасность является ее основным структурным элементом, направленным на сохранение собственности, жизни и здоровья персонала, финансовых ресурсов.

Концепцией физической безопасности организации предусматривается:

- определение возможных угроз функционированию объектов Компании, вероятных исполнителей угроз (нарушителей); определение наиболее уязвимых мест на объекте, т.е. вероятных предметов защиты;

- оценка уязвимости предметов защиты Компании, т.е. соответствия существующей системы безопасности выявленным угрозам;

- разработка предложений и проведение необходимых мероприятий по обеспечению безопасности объекта.

Физическая безопасность организации - это совокупность правовых норм, организационных мер и инженерно-технических решений, направленных на защиту важных интересов и ресурсов предприятия (объекта) от угроз злоумышленных противоправных действий физических лиц (нарушителей). Она включает в себя силы службы безопасности и охраны объекта, комплекс инженерно-технических средств охраны, режим, установленный на объекте. Система физической защиты не должна препятствовать нормальному функционированию организации, ее технологическим процессам.

Одной из эффективных превентивных мер по обеспечению безопасности коммерческих объектов является создание автоматизированной системы охраны от несанкционированного проникновения физических лиц - системы физической защиты (СФЗ).

Современные СФЗ в корне изменили тактику охраны объектов. В таких системах нет необходимости в организации постовой службы на периметре объекта; вместо этого создаются дежурные тревожные группы, которые начинают немедленные действия по нейтрализации нарушителей после получения сигнала тревоги на центральном пульте управления СФЗ. В них сведено до минимума влияние человеческого фактора и достигается высокая эффективность защиты объекта при минимальном количестве личного состава сил охраны.

Цель написания настоящей дипломной работы - изучение теоретических и практических основ обеспечения физической безопасности предприятия как составной части комплексной безопасности.

Цель работы обусловила постановку и решение следующих задач:

рассмотреть сущность и содержание физической безопасности предприятия;

изучить особенности процессов планирования физической безопасности;

проанализировать организацию систем обеспечения физической безопасности на объекте исследования.

Объект исследования - офис аутсорсинговой бухгалтерской фирмы

Предмет исследования - система обеспечения физической безопасности предприятия.



1. Актуальность создания системы обеспечения корпоративной безопасности

1.1 Особенности рыночных отношений существенные для обеспечения корпоративной безопасности

Любая фирма, занимаясь какой-либо деятельностью, функционирует в неком пространстве (внешней среде), и на ее развитие влияет множество факторов - как позитивных, так и негативных. Негативные факторы условно назовем факторами угрозы. К реально существующим факторам угрозы следует отнести:

- конкурентов;

- криминальные структуры;

- коррумпированные элементы контролирующих и проверяющих государственных структур

Трудно предположить, что на рынке данный вид услуг или продукции будет предоставлять только одна фирма. Фирмы, претендующие на один сегмент рынка, заинтересованные в одном покупателе, одном оборудовании или одном помещении становятся конкурентами. Конкуренция - это общественная форма столкновения субъектов рыночного хозяйства в процессе реализации их индивидуальных экономических интересов.

Одним из основных признаков конкуренции является желание, стремление одной стороны решить свои задачи или удовлетворить свои потребности за счет ограничения возможностей другой стороны.

Конкуренция может быть честной и недобросовестной, явной и скрытой, истинной и мнимой (псевдоконкуренция). Добросовестная, честная конкуренция подразумевает цивилизованную борьбу за покупателя путем совершенствования продукта или технологий, повышения качества услуг, снижения себестоимости и т.д.

Примерами псевдоконкуренции могут быть ситуации, когда две фирмы производят один и тот же продукт, но потребности рынка в этом виде продукции выше, чем суммарная мощность обоих производителей, или когда две фирмы предлагают одну и ту же услугу, но работают в разных ценовых группах. В тех случаях, когда конкурент использует приемы и методы недобросовестной конкуренции, конкурирующее предприятие представляет реальную угрозу для безопасности фирмы. Реализация системы превентивных мер защиты от этой угрозы требует хорошей информационной поддержки.

Наибольший эффект при анализе потенциальных и реальных возможностей конкурента достигается тогда, когда конкурент не знает о том, что информация о нем стала объектом повышенного интереса. В противном случае, он может предпринять меры не только по защите информации, но и по дезинформированию. Сбор информации может осуществляться как через открытые источники, так и оперативным путем. Даже для самых квалифицированных служб безопасности использование технических средств для получения информации о конкуренте будет являться сложной и трудновыполнимой задачей. Особое внимание следует уделять информации о методах конкурентной борьбы, которые он предпочитает. Это необходимо для того, чтобы выявить индивидуальный почерк конкурента. Практика свидетельствует, что, достигнув успеха в применении какого-то приема, победитель в новой ситуации начинает с использования этого приема, и продолжает его эксплуатировать даже тогда, когда не удается сразу достичь успеха. Повышенный интерес со стороны конкурентов к информации, составляющей коммерческую тайну, активизирует их деятельность в области промышленного шпионажа. Для проведения акций с использованием технических средств они, как правило, пользуются услугами специализированных агентств. Что же касается внедрения в команду конкурента своих людей или вербовки в его команде источников информации, то эту работу выполняют оперативные подразделения служб безопасности.

В тех случаях, когда вербовка по каким-то обстоятельствам невозможна или нецелесообразна, используются методы скрытого получения информации. Для этого присылаются персональные приглашения ведущим сотрудникам фирмы для участия в конференциях, круглых столах, симпозиумах, для обучения на курсах повышения квалификации и т. д., где с ними работают специалисты по выведыванию.

В отдельных случаях конкуренты, вступая в сговор с представителями криминальных структур, становятся заказчиками террористических актов, разбойных нападений, поджогов и погромов.

В современных условиях любая фирма в той или иной мере сталкивается с представителями криминальных структур. В одних случаях это рэкет, в других - фирмы-партнеры и конкуренты, владельцами которых являются криминальные сообщества, в-третьих - мошенничество, грабежи, разбойные нападения, шантаж со стороны организованных преступных групп и преступников-одиночек. Наиболее опасной для фирм, компаний, организаций и одновременно наиболее доступной для изучения является организованная преступность. Наименее доступны для изучения преступники-одиночки и случайные преступные группы. Основными объектами преступных посягательств криминальных элементов являются:

- материальные ценности;

- денежные средства;

- персонал.

В отличие от ранее рассмотренных участников процесса обеспечения корпоративной безопасности, изучать их гораздо труднее, да и небезопасно. И, тем не менее, некоторую важную для обеспечения безопасности фирмы информацию получить можно. К такой информации, в частности, можно отнести:

- регион, контролируемый данной группировкой;

- типичные методы, используемые для достижения своих целей;

- характер взаимодействия с другими конкурирующими криминальными структурами и правоохранительными органами.

Наибольшую ценность будут представлять сведения о характерологических особенностях лидеров криминальных структур. Источниками информации по этим вопросам для службы безопасности могут стать правоохранительные органы, различные информационные системы.

Следует отметить, что устойчивые криминальные образования имеют хорошо налаженную систему собственной безопасности, что не только усложняет задачу добывания информации о них, но может и спровоцировать ответную агрессивную реакцию. Подобные структуры сами выходят на контакты с коммерческими фирмами. Основным мотивом взаимодействия организованной преступности с коммерческими структурами является получение денег. Одни из них предлагают оплатить свои услуги по защите предпринимателей от других криминальных структур и группировок, другие разрешение работать на контролируемой ими территории.

Использование технических средствсбора информации могут себе позволить только достаточно богатые структуры, и только в тех случаях, когда ожидаемый эффект соотносим с затратами на такое обеспечение информационной поддержки. Таким образом, принятие решения о совершении преступления во многом зависит от объема и характера информации, полученной в процессе подготовки и подтверждающей наличие благоприятных условий для успешного проведения намеченной акции.

Особое положение среди факторов внешней угрозы занимают проверяющие и контролирующие государственные структуры. Сами по себе они созданы для контроля над деятельностью хозяйствующих субъектов на предмет нарушения ими действующего законодательства. Опрос большого числа предпринимателей в более чем 20 регионах России свидетельствует о том, что они рассматривают контролирующие органы как один из самых страшных факторов угрозы по причине их непредсказуемости. Будучи государственными служащими, сотрудники контролирующих систем привыкли выступать с позиции силы, что дает им возможность, угрожая применить санкции и штрафы, вынуждать бизнесмена искать «компромиссные» варианты. С другой стороны, отдельные из них проявляют благосклонность к взяткам или «подаркам».

коммерческий разведка канал утечка

1.2 Составляющие корпоративной безопасности

1.2.1Физическая безопасность

Для промышленного предприятия такими важными для жизнедеятельности ресурсами, а, следовательно, предметами защиты являются:

- люди (персонал предприятия);

- имущество;

- важное или дефицитное технологическое оборудование;

- секретная и конфиденциальная документация;

- материальные и финансовые ценности;

- готовая продукция;

- интеллектуальная собственность;

- средства вычислительной техники;

- контрольно-измерительные приборы и др.;

- конфиденциальная информацияна материальных носителях, а также циркулирующая во внутренних коммуникационных каналах связи и информации, в кабинетах руководства предприятия, на совещаниях и заседаниях;

- финансово-экономические ресурсы, обеспечивающие эффективное и устойчивое развитие предприятия (капитал, коммерческие интересы, бизнес-планы, договорные документы и обязательства и т.п.).

- Основными угрозами безопасности, которые могут привести к утрате корпоративных ресурсов предприятия, являются [3]:

- чрезвычайная ситуация (пожар, разрушение, затопление, авария, хищение опасных веществ и т.п.);

- хищение или порча имущества;

- несанкционированный съем конфиденциальной информации;

- ухудшение эффективности функционирования, устойчивости развития.

Самой опасной угрозой безопасности промышленного предприятия являются чрезвычайная ситуации, которая может привести к большому материальному ущербу, вызвать угрозу для жизни и здоровья людей, а на потенциально опасных объектах катастрофические последствия для окружающей среды и населения.

Минимально необходимый уровень безопасности на предприятии может обеспечить наличие современных средств противопожарной защиты, видеонаблюдения и датчиков охранной сигнализации.

В систему обеспечения пожарной безопасности могут входить датчики дыма и тепла, система визуального и звукового оповещения о возгорании и средства автоматического пожаротушения.

К системе видеонаблюдения относятся следующие компоненты: сеть видеокамер, помещение с операторами, следящими за мониторами, и видеорегистратор, предназначенный для записи, хранения и последующего воспроизведения изображений, поступающих как от камер, так и от устройств обработки видеосигналов. При проектировании такой системы стоит принять во внимание взаимное расположение видеокамер, чтобы исключить появление «мертвых зон» - участков территории, недоступных для наблюдения. Важным моментом для качественной работы систем наблюдения является освещенность объекта. Можно выделить два вида освящения охраняемого объекта: дежурное (или постоянное) и тревожное. Дежурное освещение предназначено для непрерывного использования во внерабочие часы, в вечернее и ночное время, как на открытой территории объекта, так и внутри помещений. Тревожное освещение используется при возникновении чрезвычайных ситуаций, причемдополнительный источник света должен быть направлен на участок, с которого поступил сигнал тревоги.

В качестве средств охранной сигнализации могут выступать датчики, реагирующие на открывание и разрушение дверей и окон, сенсоры движения, вибраций, уровня шума и т.д. При срабатывании одного или нескольких из них должен посылаться тревожный сигнал на пост управления службы безопасности и активироваться система светозвукового оповещения о несанкционированном проникновении.

Все вышеперечисленные методы защиты становятся эффективны только после проникновения злоумышленника на территорию охраняемого объекта. Для предотвращения несанкционированного доступа третьих лиц внутрь помещений на входе устанавливается контрольно-пропускной режим.

Для организации пропускного режима на предприятии оборудуются контрольно-пропускные пункты (КПП). Оборудование КПП должно обеспечивать необходимую пропускную способность и возможность тщательной проверки пропусков и документов у проходящих лиц, досмотра всех видов транспорта и провозимых грузов.

Каждый КПП рекомендуется оборудовать комнатой для охраны, комнатой для досмотра граждан, камерой хранения, физическими барьерами (ограждения, турникеты, калитки) с фиксирующими устройствами-запорами, металлодетекторами.

Пропуск является основным документом, дающим право прохода на территорию охраняемого объекта. Пропуск может быть постоянным, временным, разовым и материальным.

Постоянные пропуска выдаются сотрудникам объекта, принятым на постоянную работу, а также работникам сторонних организаций, постоянно обслуживающих объект.

Временные пропуска выдаются лицам, работающим по контракту, находящимся на временной работе, прикомандированным к предприятию, и хранятся, как правило, на КПП.

Разовые пропуска (для посетителей и клиентов) выдаются на одно лицо и только для разового посещения предприятия и его подразделений. Пропуск оформляется и действителен при наличии документа, удостоверяющего личность.

Материальные пропуска для вывоза или выноса товарно-материальных ценностей выдаются администрацией предприятия. Материальные пропуска должны изыматься на КПП и сдаваться в бюро пропусков.

Турникеты предназначены для управления потоками людей и регулирования входа/выхода. Для предотвращения возможности подлезть под планки турникета или перепрыгнуть через них рекомендуется устанавливать специальные датчики, срабатывающие при попытке несанкционированного прохода.

Калитки применяются для организации свободного прохода в одну сторону (на вход или выход) и запрета прохода в другую.

Металлодетекторы используются для обнаружения любых металлических предметов запрещенных к проносу.

В состав транспортного КПП входят досмотровая площадка и служебные помещения. КПП могут дополнительно оборудоваться светофорами, весами для взвешивания автомобилей, досмотровой ямой или эстакадой для осмотра грузов, механизированными устройствами для автоматического открытия и закрытия ворот с фиксаторами.

Так же можно использовать считыватель - устройство (размещенное в двери или рядом с дверью), предназначенное для считывания специальной кодовой информации, записанной на идентификаторе и передаче этой информации в виде определенного сигнала в контроллер. Контроллер используется для приема и анализа информации, принятия решения о допуске посетителя и выдачи сигнала управления на исполнительное устройство. В качестве исполнительных устройств могут использоваться электромеханические (электромагнитные) замки, а также устройства управления калитками, воротами, турникетами и т.д.

В последнее время находят применение так называемые биометрические идентификаторы. В качестве идентификационных признаков может быть использован рисунок ладони, голос, отпечаток пальца, радужная оболочка глаза, вес человека и т.д., что в совокупности с классическими пропусками обеспечивает более высокий уровень защиты.

Для предотвращения несанкционированного доступа на территорию предприятия необходимо установить средства внешней защиты, которые позволяют обнаружить потенциального нарушителя еще на линии ограды или даже вблизи нее. Основным видом защиты являются заграждения (стены, заборы и т.п.), представляющие собой физический барьер, который препятствует свободному входу нарушителя на территорию объекта, также поверх ограждения можно протянуть колючую проволоку.

Системы оповещения о проникновении представлены следующими категориями устройств:

Радиолучевые системы- это двухпозиционные системы, состоящие из приемника и передатчика СВЧ-сигналов и размещающиеся на стойках или на кромке ограды. Зона чувствительности представляет собой эллипс, и датчики следует располагать так, чтобы зоны чувствительности «наслаивались» друг на друга, это поможет избежать мертвых зон. Также используются и однопозиционные радиолучевые детекторы, но они применяются только для защиты участков протяженностью до 20 м. Радиолучевые системы применимы только там, где обеспечивается прямая видимость, как вдоль ограды, так и для защиты не огражденных участков.

Радиоволновые системы. Датчики размещают на кромке ограды или настойках. При попытке преодолеть забор происходит нарушение так называемой «стоячей волны», и система выдает тревожный сигнал. Особенностью данной системы является «селекция ближней зоны»: перед приемником искусственно создается мертвая зона, т.к. сигнал от человека на расстоянии 20 м такой же, как от мухи на расстоянии 3 см. Такие системы оптимальны для охраны объектов в городе.

Инфракрасные системы состоят из передатчика со светодиодом, и приемника с фотоэлементом, расположенные в зоне прямой видимости. При прерывании луча датчик передает сигнал тревоги. Система позволяет определить даже ползущего человека, т.к. минимальная высота луча над землей-- 30 см.

Емкостные системы являются, по сути, антенными системами. Датчик этих систем - один или несколько металлических электродов. Обычно такая система устанавливается на уже существующие ограждения в виде металлического козырька. При установке электрода вдоль верхнего торца ограды система эффективно реагирует на преодоление сверху, а если электрод, установлен вдоль средней линии ограды, то система срабатывает и при приближении человека.

Вибрационные системы с сенсорными кабелями. Принцип действия таких систем основан на регистрации механических вибраций или перемещений ограды. Сенсорный кабель крепится к ограде и регистрирует ее вибрации при попытке вторжения. Анализатор обрабатывает сигналы сенсора и выдает сигнал тревоги на контрольную панель. Анализатор можно запрограммировать так, чтобы он срабатывал на заданное количество ударов (например, на4 удара в течение 30 секунд) либо на перепиливание забора.

Вибрационно-сейсмические системы. Датчики устанавливают непосредственно в грунт или на массивные стены, и они регистрируют низкочастотные колебания или смещения почвы или стены. Эта достаточно дорогостоящая система применяется для защиты наиболее важных объектов.

Системы активной охраны периметров. Эти системы предполагают отпугивание нарушителя с помощью короткого электрического импульса, неопасного для жизни человека.

Для обеспечения должного уровня надежности автоматизированная система оповещения должна работать совместно с людьми.



1.2.2 Организационно-техническая безопасность

К организационно-технической безопасности относится создание организационной структуры службы безопасности, а также других структур по отдельным направлениям работы (защита информации, экономическая безопасность); организация взаимодействия между отдельными структурными подразделениями предприятия, способствующими достижению целей политики безопасности. Организационно-технические мероприятия обеспечивают блокирование возможных каналов утечки информации через технические средства обеспечения производственной и трудовой деятельности с помощью специальных технических средств, устанавливаемых на элементы конструкции зданий, помещений и технических средств, потенциально образующих возможные каналы утечки информации.

1.2.3 Экономическая безопасность

При обеспечении экономической безопасности необходимо использовать комплексный подход, то есть учет в управлении объектом всех основных его аспектов и все элементы управляемой системы рассматриваются только в совокупности, целостности и единстве. Можно ввести понятие «комплексная система обеспечения экономической безопасности предприятия», которое в себя включает совокупность взаимосвязанных мероприятий организационно-экономического и правового характера, осуществляемых в целях защиты деятельности предприятия от реальных или потенциальных действий физических или юридических лиц, которые могут привести к экономическим потерям.

В основе разработки комплексной системы обеспечения экономической безопасности предприятия должна лежать определенная концепция, которая включает цель комплексной системы обеспечения экономической безопасности, ее задачи, принципы деятельности, объект и субъект, стратегию и тактику. Цель данной системы можно сформулировать следующим образом: минимизация внешних и внутренних угроз экономическому состоянию предприятия, в том числе его финансовым, материальным, информационным и кадровым ресурсам на основе разработанного и реализуемого комплекса мероприятий экономико-правового и организационного характера.

К внешним угрозам экономического состояния относят:

1) недобросовестную конкуренцию;

2) преступные действия: криминальное насилие, посягательства на коммерческую тайну;

3) противозаконные действия отдельных лиц и организаций административного аппарата, в том числе и налоговых служб;

4) нарушение установленного регламента сбора, обработки и передачи информации;

5) промышленный шпионаж;

Внутренние угрозы можно классифицировать следующим образом:

1) преднамеренные преступные действия собственного персонала

2) непреднамеренные действия и ошибки сотрудников;

3) отказ оборудования и технических средств;

4) сбои программного обеспечения средств обработки информации.

К задачам, решаемым системой обеспечения экономической безопасности, обычно относятся:

- прогнозирование возможных угроз экономической безопасности;

- организация деятельности по предупреждению возможных угроз
(превентивные меры);

- выявление, анализ и оценка возникших реальных угроз экономической безопасности;

- принятие решений и организация деятельности по реагированию на возникшие угрозы;

- постоянное совершенствование системы обеспечения экономической безопасности предприятия.

Организация и функционирование комплексной системы обеспечения экономической безопасности предприятия в целях максимальной эффективности должны основываться на определенных принципах:

- приоритет мер предупреждения;

- законность;

- комплексное использование сил и средств;

- координация и взаимодействие внутри и вне предприятия;

- сочетание гласности с конспирацией;

- компетентность;

- экономическая целесообразность;

- плановая основа деятельности;

- системность;

- непрерывность, то есть функционирование комплексной системы обеспечения экономической безопасности должно осуществляться постоянно;

- обязательной дифференциацией мер, то есть выбор мер по преодолению возникших угроз происходит в зависимости от характера угрозы и степени тяжести последствий ее реализации;

- полная подконтрольность системы обеспечения экономической безопасности руководству предприятия, это необходимо и для того, чтобы система безопасности не превратилась в замкнутое образование, ориентированное на решение узких задач без учета интересов предприятия в целом, и для оценки эффективности деятельности системы и ее возможного совершенствования.

Объект и субъект системы обеспечения экономической безопасности предприятия тесно взаимосвязаны. Объектом системы выступает стабильное экономическое состояние предприятия в текущем и перспективном периоде.

Объектами защиты чаще выступают ресурсы: финансовые, материальные, информационные, кадровые и т.п.

Субъект системы носит более сложный характер, поскольку его деятельность обусловливается не только особенностями и характеристиками объекта, но и специфическими условиями внешней среды, которая окружает предприятие.

Можно выделить две группы субъектов: внешние и внутренние.

К внешним относятся органы законодательной, исполнительной и судебной власти, призванные обеспечивать безопасность всех без исключения законопослушных участников хозяйственных отношений, причем деятельность этих органов не может контролироваться самими предприятиями. Эти органы формируют законодательную основу функционирования и защиты хозяйственной деятельности в различных ее аспектах и обеспечивают ее исполнение.

К внутренним субъектам относятся лица, непосредственно осуществляющие деятельность по защите экономической безопасности данного конкретного субъекта хозяйственной деятельности. В качестве таких субъектов могут выступать сотрудники собственной службы безопасности предприятия или приглашенные работники из специализированных фирм, оказывающих услуги по защите деятельности предприятия.

Внутренние субъекты, обеспечивающие экономическую безопасность предприятия, осуществляют свою деятельность на основе определенной стратегии и тактики. Известно, что стратегия - это долгосрочный подход к достижению цели. Генеральная стратегия экономической безопасности выражается через общую концепцию комплексной системы обеспечения экономической безопасности предприятия. Помимо генеральной выделяются также специальные стратегии (например, в зависимости от стадии хозяйственной деятельности). Наконец, могут применяться функциональные стратегии безопасности:

- стратегия экономической безопасности предприятия, включающая в себя систему превентивных мер, реализуемая через регулярную, непрерывную работу всех его подразделений по проверке контрагентов, анализу предполагаемых сделок, экспертизе документов, выполнению правил работы с конфиденциальной информацией и т.п. Служба безопасности в этом случае выполняет роль контролера;

- стратегия реактивных мер, применяемая в случае возникновения или реального осуществления каких-либо угроз экономической безопасности предприятия. Она основана на применении ситуационного подхода и учете всех внешних и внутренних факторов и реализуется службой безопасности через систему мер, специфических для данной ситуации.

Тактика обеспечения безопасности предприятия предполагает применение конкретных процедур и выполнение конкретных действий в целях обеспечения его экономической безопасности. Речь идет о таких процедурах и действиях как расширение юридической службы предприятия, принятие дополнительных мер по сохранности коммерческой тайны, создание подразделения компьютерной безопасности, предъявление претензий контрагенту-нарушителю, обращение с иском в судебные органы, обращение в правоохранительные органы и т.п.

Таким образом, комплексная система экономической безопасности предприятия должна включать в себя строго определенное множество взаимосвязанных элементов, обеспечивающих безопасность предприятия при достижении им основных целей бизнеса.

1.2.4 Безопасность контента

Значительный интерес представляет также безопасность контента, в том числе и предоставляемого компаниями-партнерами владельца информационной системы.

Системы контроля безопасности контента в первую очередь призваны осуществлять контроль содержания потоков информации, передаваемых из компании в Интернет и получаемых из Сети в локальную сеть организации.

К задачам систем контент-секьюрити относятся также проверка информации, хранящейся в локальной сети предприятия, контроль содержания корпоративной электронной почты, а также фильтрация просматриваемой сотрудниками информацией с целью предотвращения использования Интернета в личных целях в рабочее время.

1.3 Информационная безопасность

Стремительно развивающиеся компьютерные информационные технологии вносят заметные изменения в нашу жизнь. Информация стала товаром, который можно приобрести, продать, обменять, причем стоимость информации часто в сотни раз превосходит стоимость компьютерной системы, в которой она хранится. От степени безопасности информационных технологий в настоящее время зависит благополучие, а порой и жизнь многих людей.

Под информационной безопасностью понимается защищенность информационной системы от случайного или преднамеренного вмешательства, наносящего ущерб владельцам или пользователям информации. На практике важнейшими являются три аспекта информационной безопасности:

- доступность (возможность за разумное время получить требуемую информационную услугу);

- целостность (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения);

- конфиденциальность (защита от несанкционированного доступа).

- нарушения доступности, целостности и конфиденциальности информации могут быть вызваны различными опасными воздействиями на информационные компьютерные системы.

Классификация угроз информационной безопасности производится по двум основным критериям: по местонахождению источника (угрозы делятся на внешние и внутренние); по способу организации (угрозы подразделяются на организационные, программно-математические, физические и радиоэлектронные).

К внешним угрозам информационной безопасности относятся:

- деятельность иностранных разведывательных и специальных служб;

- деятельность конкурирующих иностранных экономических структур;

- деятельность отечественных политических и экономических групп, криминальных формирований и отдельных лиц антигосударственного и антиобщественного характера, проявляющаяся в виде воздействия на элементы системы информационной безопасности;

- стихийные бедствия и катастрофы.

К внутренним угрозам могут быть отнесены:

- нарушения требований информационной безопасности (непреднамеренные и преднамеренные) персоналом и пользователями;

- отказы и неисправности элементов системы информационной безопасности, включая сбои программного обеспечения всех видов.

Группу организационных угроз составляют:

- нарушения требований информационной безопасности, допускаемые персоналом и пользователями системы информационной безопасности;

- несанкционированный доступ персонала и пользователей системы информационной безопасности к ресурсам, содержащим конфиденциальную информацию;

- манипулирование (дезинформация, скрытие или искажение) конфиденциальной информацией;

- несанкционированное копирование данных в систему информационной безопасности;

- хищение конфиденциальной информации из базы данных пользователей и базы данных системы информационной безопасности;

- хищение машинных носителей конфиденциальной информации;

- хищение «ключей» для средств криптографической защиты;

- уничтожение или модификация данных в системе информационной безопасности.

В число программно-математических угроз входят:

- внедрение программ-вирусов;

- применение программных закладок.

К физическим угрозам относятся:

- уничтожение, разрушение средств связи (обработки, передачи, приема и др.) конфиденциальной информации, целенаправленное внесение в них неисправностей;

- уничтожение или разрушение компьютерных носителей конфиденциальной информации;

- воздействие на персонал и пользователей системы информационной безопасности с целью реализации других видов (физических, программно-математических, организационных) угроз.

Примерами радиоэлектронных угроз являются:

- перехват конфиденциальной информации в технических каналах утечки;

- внедрение средств перехвата конфиденциальной информации в аппаратуру системы информационной безопасности;

- перехват и дешифрование конфиденциальной информации в сетях передачи данных и линиях связи;

- навязывание ложной информации по сетям передачи данных и линиям связи;

- радиоэлектронное подавление линий связи, дезорганизация систем управления.

Рассмотрим классификацию методов, используемых для обеспечения информационной безопасности:

- препятствие - метод физического преграждения пути злоумышленнику к информации;

- управление доступом - метод защиты с помощью регулирования использования информационных ресурсов системы;

- маскировка - метод защиты информации путем ее криптографического преобразования;

- регламентация - метод защиты информации, создающий условия автоматизированной обработки, при которых возможности несанкционированного доступа сводится к минимуму;

- принуждение - метод защиты, при котором персонал вынужден соблюдать правила обработки, передачи и использования информации;

- побуждение - метод защиты, при котором пользователь побуждается не нарушать режимы обработки, передачи и использования информации за счет соблюдения этических и моральных норм.

Средства обеспечивающие защиту могут быть классифицированы по следующим признакам:

- технические средства - различные электрические, электронные и компьютерные устройства;

- физические средства - реализуются в виде автономных устройств и систем;

- программные средства - программное обеспечение, предназначенное для выполнения функций защиты информации;

- криптографические средства - математические алгоритмы, обеспечивающие преобразования данных для решения задач информационной безопасности;

- организационные средства - совокупность организационно-технических и организационно-правовых мероприятий;

- морально-этические средства - реализуются в виде норм, сложившихся по мере распространения ЭВМ и информационных технологий;

- законодательные средства - совокупность законодательных актов, регламентирующих правила пользования ИС, обработку и передачу информации.



2. Организационно-технические основы создания систем корпоративной безопасности

2.1 Структура, задачи и цели службы безопасности

В современных условиях перед предприятиями особо остро встает задача сохранения, как материальных ценностей, так и информации, в том числе и сведений, составляющих коммерческую или государственную тайну. Для защиты коммерческих секретов предприятия создают службы безопасности. Служба безопасности является самостоятельной организационной единицей, подчиняющейся непосредственно руководителю предприятия. Возглавляет службу безопасности начальник службы в должности заместителя руководителя предприятия по безопасности. При этом руководитель службы безопасности должен обладать максимально возможным кругом полномочий, позволяющим ему влиять на другие подразделения и различные области деятельности предприятия, если этого требуют интересы безопасности.

Структура службы безопасности и ее численность будут зависеть от формы собственности предприятия, вида его производственной деятельности, места предприятия на рынке товаров и услуг, числа сотрудников, наличия на предприятии крупных материальных ценностей, взрыво и пожароопасных веществ, информации, составляющей государственную тайну, активности конкурентов и криминальных структур. Поэтому представить универсальную структуру службы безопасности невозможно, но можно выделить основные структурные подразделения, которые должны присутствовать в большинстве случаев при организации службы безопасности.

Организационную структуру и основные функциональные обязанности службы безопасности можно представить в виде схемы (рис.1.1).



Рисунок 1.1 - Схема организационной структуру и основные функциональные обязанности службы безопасности

2.2 Коммерческая разведка и контрразведка

В последнее время в рамках обеспечения успешности коммерческой деятельности российских предпринимателей все чаще обсуждаются вопросы использования разведывательных возможностей.

Разведка или разведывательная деятельность предназначена для обретения стратегического, тактического или конкурентного преимущества над потенциальным противником, выявления возможных рисков и возможностей, а также управления ими. Основная задача разведки - обеспечение стратегического менеджмента фирмы, ее генеральной, в том числе маркетинговой стратегии. Обеспечение, прежде всего, информацией упреждающего характера, информацией предоставляющей конкурентные преимущества, информацией, позволяющей принимать грамотные решения адекватные складывающейся оперативной обстановке и условиям окружающей конкурентной, агрессивной среды.

Контрразведка или контрразведывательная деятельность предназначена для защиты и обеспечения безопасности субъекта предпринимательской деятельности. В качестве объектов контрразведки выступают различные факторы группы риска, оказывающие, негативное воздействие на субъект защиты, основными из которых являются противоправная деятельность конкурентов, криминальных структур, проявления фактов промышленного шпионажа, мошенничества и иных действующих рисков.

Субъектами конкурентной разведки выступают службы безопасности коммерческих фирм. Данные виды разведки проводятся в целях снижения рисков и обеспечения безопасности сделок, т.е. речь идет именно о защите предпринимателя.

Отечественные службы безопасности функционируют в рамках действующего Федерального закона «О детективной и частной охранной деятельности», который регламентирует только частный сыск и охрану, но никак не наступательную или стратегическую разведку. Таким образом, рассматриваются разведывательные возможности контрразведывательного обеспечения безопасности предприятия.

Разведывательную деятельность осуществляют, прежде всего, специалисты бизнеса, вернее, профессионалы в сфере действия данного предприятия. Это могут быть и бывшие сотрудники органов, если конечно они получили специальное бизнес - образование, проработали в данном бизнесе в качестве специалистов и стали профессионалами в данном виде бизнеса. Естественно, что разведывательную деятельность осуществляет специально созданное подразделение, работающее в соответствии с требованиями, предъявляемыми к разведке.

Данная деятельность осуществляется совокупно - пассивными методами т.е. работой с вторичными источниками (методы конкурентной разведки) и активными методами т.е. работой с первоисточниками (агентурные возможности), наблюдением, проведением активных мероприятий и иными методами добывания достоверной разведывательной информации.

Активные методы разведывательной деятельности зачастую относят к методам промышленного шпионажа, однако именно они могут предоставить конкурентные преимущества фирме, осуществляющей разведку. Данная сфера деятельности не имеет ничего общего со сферой обеспечения безопасности, поскольку она ориентирована на перспективу: возможности и риски которые еще не наступили, но возможны в перспективном будущем, намерения потенциальных конкурентов, изменения на рынке, технологические новинки и т.п.

На самом деле между двумя сходными видами информационно-аналитического обеспечения стратегической деятельности бизнес-структуры имеются значительные отличия(см. Приложение А).

2.3 Каналы утечки конфиденциальной информации

Практически все процессы в бизнесе в данное время протекают за счет автоматизированных систем, не важно, коммерческая это организация или государственная. Автоматизация систем упростила и улучшила работу всех организаций, но обработка, хранение и передача информации стали нуждаться в большей степени защиты.

Утечка информации -- это бесконтрольный выход защищаемой информации за пределы организации или круга лиц, которым она была доверена по службе или стала известны в процессе работы. В основе утечки лежит неконтролируемый перенос конфиденциальной информации.

Каналы утечки информации разделяются на визуально-оптические, акустические, электромагнитные и материально-вещественные. Под каналом утечки информации принято понимать физический путь от источника конфиденциальной информации к злоумышленнику.

Среди каналов утечки и источников угроз безопасности информации можно выделить следующее:

- акустическое излучение информативного речевого сигнала;

- электрические сигналы, возникающие в результате преобразования информативного сигнала из акустического в электрический посредством микрофонного эффекта, и распространяющиеся по проводам и линиям, выходящими за пределы контролируемой зоны;

- виброакустические сигналы, возникающие посредством преобразования информативного акустического сигнала при воздействии его на строительные конструкции и инженерно-технические коммуникации защищаемых помещений;

- несанкционированный доступ или действия по отношению к информации в автоматизированных системах, в том числе с использованием информационных сетей общего пользования;

- воздействие на технические или программные средства информационных систем в целях нарушения конфиденциальности, целостности и доступности информации, работоспособности технических средств, средств защиты информации посредством специально внедренных программных средств;

- побочные электромагнитные излучения информативного сигнала от технических средств, обрабатывающих конфиденциальную информацию, и линий передачи этой информации;

- наводки информативного сигнала, обрабатываемого техническими средствами, на цепи электропитания и линии связи, выходящие за пределы контролируемой зоны;

- радиоизлучение, модулированное информативным сигналом, возникающее при работе различных генераторов, входящих в состав технических средств, или при наличии паразитной генерации в узлах технических средств;

- радиоизлучение или электрические сигналы от внедренных в технические средства и защищаемые помещения специальных электронных устройств съема речевой информации закладочных устройств, модулированные информативным сигналом;

- радиоизлучение или электрические сигналы от электронных устройств перехвата информации, подключенных к каналам связи или техническим средствам обработки информации;

- прослушивание ведущихся телефонных и радиопереговоров;

- просмотр информации с экранов дисплеев и других средств ее отображения, бумажных и иных носителей информации, в том числе с помощью оптических средств;

- хищение технических средств с хранящейся в них информацией или отдельных носителей информации.

2.4 Принципы работы с персоналом

По данным статистики до 80% убытков многие современные фирмы несут из-за участия сотрудников в тех или иных неблаговидных деяниях. При этом степень лояльности характеризуют следующие данные: 34 % сотрудников абсолютно лояльны к компании; 8 % - скорее лояльны; 31 % - вынужденно лояльны; 27 % - нелояльны. Угрозы безопасности со стороны персонала возникают по причинам низкой квалификации, моральной неудовлетворенности работой, изза наличия вредных привычек и др.

Универсальных методов, как обезопасить компанию от негативных действий сотрудников, нет, однако возможности снизить такую опасность, держать ее под контролем и избежать нежелательных последствий, имеются. Эти возможности связаны с проведением осознанной, организованной, последовательной и целенаправленной кадровой политики в коллективе, которая базируется на трех основных принципах: прием и отбор персонала с помощью современных методов; продуманная и грамотно построенная система вознаграждения и служебного роста; организационная культура, поддерживающая климат взаимоотношений, благоприятный для совместной работы.

Усилия руководства предприятия должны быть сосредоточены на следующих основных направлениях работы с сотрудниками, допущенными к конфиденциальной информации:

- изучение морально-деловых качеств сотрудников предприятия;

- повышение ответственности сотрудников всех категорий за сохранение в тайне доверенных по службе сведений конфиденциального характера;

- проведение профилактической работы по предупреждению утечки конфиденциальной информации путем ее разглашения;

- повышение уровня теоретических знаний и практических навыков сотрудников в вопросах защиты конфиденциальной информации;

- создание и поддержание устойчивого морально-психологического климата в коллективе предприятия;

- создание и применение системы стимулирования труда сотрудников, допущенных к конфиденциальной информации.

Обеспечение безопасности компании включает систематическую работу с персоналом, контроль сотрудников и управление их поведением.

Возможные непреднамеренные или умышленные нанесения ущерба компании нельзя считать случайными актами - это достаточно сложные, обусловленные многими факторами негативные процессы. Необходимо проводить сбор и анализ информации о них, в том числе:

- организовать психодиагностику сотрудников с помощью собственных ресурсов или с привлечением внешних структур;

- инициировать наблюдение руководителей за поведением сотрудников и стандартизированное оформление отчетов для сбора и анализа информации о выполнении должностных обязанностей, дисциплине, профессионализме, контактах с коллегами и руководством, степени удовлетворенности результатами труда, конфликтах и проблемах, возникающих в коллективе, роли сотрудников в группе, влиянии на трудовую деятельность и психологический климат;

- собирать мнения коллег о сотрудниках (коммуникабельность, авторитет, конфликтность, личностные качества, профессионализм);

- собирать информацию о прежней трудовой деятельности сотрудников: местах и условиях работы, должностях, поведении, причинах увольнения;

- собирать информацию о жизни сотрудников вне компании (материальные условия, отношения в семье, интересы и увлечения, круг общения, связи, отношения с правоохранительными органами) - силами службы безопасности и коммерческой контрразведки в рамках обычной проверки сотрудников;

- собирать информацию об условиях труда сотрудников, их взаимоотношениях внутри коллектива, отношении к руководству, выполняемой работе.

Информация о сотруднике может быть получена из следующих источников:

- личные документы об образовании, трудовая книжка, автобиография, медицинские документы;

- результаты собеседования при приеме на работу в виде отчета;

- результаты тестов, психологические и профессиональные характеристики сотрудника;

- результаты опросов, полученные от руководителей и коллег с помощью опросных листов;

- отчеты руководителей или экспертов о сотрудниках, построенные в виде ответов на заранее сформулированные вопросы с индивидуальной направленностью (поскольку здесь представляет интерес определенный круг конкретных тем);

- текущие трудовые документы - поощрения и взыскания, приказы о повышении и перемещении по службе, предоставлении отпуска, оказании материальной помощи, медицинские документы;

- данные коммерческой контрразведки - отчеты о финансовом положении, семейных делах, интересах и увлечениях, криминальных связях (эта конфиденциальная информация может быть получена с помощью наблюдения за жизнью сотрудника, контактов с соседями, бывшими коллегами и начальством, а также путем обмена конфиденциальной информацией с правоохранительными органами).

От того насколько сотрудник предприятия подготовлен профессионально в области защиты информации, какими он обладает морально-деловыми и психологическими качествами, всецело зависит его способность противостоять возможным попыткам получения злоумышленниками или представителями организаций-конкурентов важной для них информации, отнесенной данным предприятием к категории конфиденциальной.

Высокий уровень подготовки сотрудников предприятия в вопросах защиты конфиденциальной информации позволит также максимально снизить вероятность появления непреднамеренных ошибок в обращении с этой информацией (ее носителями), наличие которых также потенциально создает предпосылки к ее получению недоброжелателями. И наоборот, проявление сотрудниками предприятия низких профессиональных навыков и отрицательных морально-деловых качеств значительно снизит эффективность системы защиты конфиденциальной информации на предприятии в целом, так как никакие меры организационного и технического характера не скомпенсируют возможную утечку информации со стороны сотрудников предприятия.

Причинами разглашения конфиденциальной информации допущенным к ней персоналом предприятия чаще всего становятся следующие факторы и обстоятельства:

- недостаточный уровень знаний положений нормативных актов и внутренних организационно-распорядительных документов предприятия, регламентирующих деятельность по защите информации;

- слабый контроль со стороны руководителей всех уровней за состоянием защиты информации и эффективностью принимаемых мер по недопущению утечки этой информации;

- недостаточное внимание к вопросам организации работы с персоналом предприятия, изучению морально-деловых качеств сотрудников предприятия, допущенных к конфиденциальной информации;

- несвоевременное принятие эффективных и действенных мер по предотвращению разглашения персоналом предприятия конфиденциальной информации, а также мер по фактам нарушений норм и правил защиты информации сотрудниками предприятия.

...