Проверка эффективности систем безопасности офиса

«Мой офис – моя крепость». Перефразировав известную английскую поговорку, можно определить основные цели развития системы безопасности современного административного здания. Однако превратить офис в полностью неприступную крепость – задача невыполнимая. Специалисты утверждают, что абсолютной защиты не бывает, то есть любую систему безопасности можно взломать. Вопрос лишь в том, насколько легко преодолеть ваши охранные барьеры и как много сил и средств будет на это затрачено.

В мировой практике уже давно используется понятие «система безопасности», обозначающее весь комплекс организационных и технических мер, направленных на выявление, отражение и ликвидацию последствий различных видов угроз деятельности коммерческого предприятия.

Главными целями системы безопасности являются: обеспечение устойчивого функционирования фирмы и предотвращение угроз ее безопасности, защита законных интересов организации от противоправных посягательств, охрана жизни и здоровья персонала. К сфере безопасности относятся также пресечение хищения финансовых и материально-технических средств, уничтожения имущества и ценностей, недопущение разглашения, утраты, утечки и искажения служебной информации и, наконец, обеспечение производственной деятельности, включая средства информации.

Вопросами организации безопасности офиса, как правило, занимается начальник соответствующей службы или менеджер по безопасности. Он разрабатывает и реализует концепцию охраны компании, проводит мониторинг рисков и составляет стратегии выхода из кризисных ситуаций. Концепция безопасности, как и политика безопасности, разрабатывается в самую первую очередь. Именно на основании этих документов формируются основные направления деятельности службы безопасности, набирается персонал и формируется техническое оснащение организации.

Однако вы, как руководитель, непосредственно заинтересованы в том, чтобы деятельность вашей компании была надежно защищена. Поэтому необходимо регулярно подвергать проверке надежность и эффективность имеющихся систем безопасности. Как это сделать?

Чаще всего проверка систем безопасности проводится без привлечения аудиторов со стороны. Рекомендуем провести ее в несколько этапов.

Шаг первый: необходимо оценить эффективность работы службы безопасности вашей компании. Для этого следует проанализировать итоги ее деятельности за последний отчетный период. Как правило, служба безопасности готовит отчет о проделанной работе, который должен достаточно подробно освещать основные направления деятельности, сообщать о проведенных мероприятиях и полученных результатах.

Нужно обратить внимание на факты несанкционированного проникновения посторонних лиц, нарушения в работе технических средств, эффективность поиска и возврата утраченного имущества, имеющиеся случаи пресечения сотрудниками охраны противоправных действий и передачи нарушителей органам внутренних дел.

Кроме того, вы можете установить по бухгалтерским документам и информации из подразделений все случаи хищения материальных ценностей и личных вещей сотрудников.

Получив информацию, соизмерьте затраты на безопасность с полученными результатами и сделайте вывод, соответствует ли уровень надежности затраченным средствам и вашим ожиданиям.

Шаг второй: проведение экспертно-документальной проверки соответствия политики и концепции безопасности офиса требованиям руководящих документов (пакета законов, распоряжений, подзаконных и нормативных актов и т.д., которые регулируют деятельность в сфере безопасности). Обеспечение безопасности офиса в целом – достаточно сложный и многоуровневый процесс, в основе которого лежат, как правило, два документа – политика и концепция безопасности. Цель этих документов – формирование комплексной системы защиты компании и разработка четких организационно-технических мер исполнения.

Шаг третий: экспертиза технической защищенности.В офисе любой компании есть разнообразные устройства, генерирующие в процессе работы побочные излучения, которые можно обнаруживать и перехватывать на довольно значительных расстояниях – в радиусе нескольких сотен метров.

Сочетание излучения, среды его распространения и приемника называют техническим каналом утечки информации. Основные их виды приведены на схеме 1.

В ряде случаев средой распространения акустических излучений является воздух. Передача акустического сигнала из помещений с закрытыми окнами и дверями усложняется за счет прохождения звука через твердые материалы: стекло, кирпич, дерево. И тем не менее акустический канал утечки информации существует, если для ее перехвата использовать специальные микрофоны.

Сложность защиты состоит еще и в том, что технические средства не только излучают сигналы, возникающие в процессе их работы, но и улавливают излучения приборов и устройств, находящихся в непосредственной близости. Воспринятые электрические или магнитные сигналы преобразуются и бесконтрольно передаются по линиям связи на большие расстояния. К числу технических устройств, способных образовывать электрические каналы утечки, относятся датчики охранной и пожарной сигнализации, их линии, сеть электропроводки и телефоны, особенно кнопочные.

Четвертый шаг: проверка информационной защиты компании. Этот этап работы требует особого внимания руководителя, поскольку любая компания, имеющая доступ в Интернет, может подвергнуться атаке через недостаточно защищенные элементы компьютерной сети. Кроме того, возможна утечка информации через пользователей локальной сети, при передаче данных через электронную почту, возможен риск потери важных сведений из-за сбоя компьютера и т.д. Вот ряд аспектов, на которые следует обратить внимание:

· Управление доступом разных групп пользователей.

· Безопасность коммуникаций и локальной сети.

· Безопасность программного обеспечения.

· Криптография и используемые алгоритмы шифрования.

· Резервирование и архивирование информации.

· Программная защита компьютерной сети.

Пятый шаг: экспертиза физической защищенности объектов,оценка готовности охраны к обеспечению безопасности.

При решении этого вопроса очень важно определить, достаточно ли сотрудников задействовано для выполнения режимных функций и насколько отработана тактика поведения при чрезвычайных ситуациях. Установить количество сотрудников, требующихся для физической защиты офиса и обеспечения безопасности руководства, можно только эмпирически. В основе расчета лежит необходимость выполнения определенных функций. Если существует потребность в наличии персонала на каком-либо из объектов, эта потребность должна быть обязательно удовлетворена.

Одна из тенденций современного рынка систем безопасности проявляется в том, что все чаще технические средства выполняют функции человека. Считается, что пресловутый «человеческий фактор» нередко мешает в работе, тогда как механизм не подвержен ни усталости, ни воздействию внутренних и внешних условий.

Наиболее эффективным методом проверки является мониторинг записей системы видеонаблюдения, позволяющий выявить многие упущения в работе сотрудников охраны и персонала компании.

Помимо этого, проверьте, достаточно ли часто проводятся учебные мероприятия, отрабатывающие действия персонала в экстремальных ситуациях. Сотрудники должны уметь четко действовать при возгорании или при эвакуации из офиса.

Шестой шаг: экспертиза информационно-аналитической работы.Вам необходимо оценить качество информации, которой располагает служба безопасности: насколько точными являются предоставленные сведения, верно ли они отражали ситуацию на рынке, не послужила ли ошибочная информация причиной убытков или срыва переговоров?

Основные направления аналитической деятельности службы безопасности (и соответственно ее экспертизы) таковы:

· сбор информации о деловой надежности и финансовом состоянии партнеров;

· оценка степени риска по предлагаемым финансовым вложениям;

· сопровождение безопасности инвестиционных проектов;

· анализ рыночной ситуации вокруг вашей компании.

Все данные, предоставленные службой безопасности за отчетный период, должны быть достоверны и актуальны.

Существует другой, более простой и весьма эффективный способ – провести аудит систем безопасности с привлечением сторонней специализированной организации, которая сможет осуществить оценку эффективности концепции охраны, внутреннего режима, установленных правил внутренней безопасности и документооборота, эффективность работы службы безопасности.

Министерством транспорта Великобритании проводило аудит безопасности шотландского аэропорта Эдинбург. Сотрудники проверяющей организации, одетые в гражданскую одежду, пронесли на борт в ручной клади два «напоминающих бомбы объекта». Причем их багаж был проверен сотрудниками службы безопасности аэропорта, однако «бомбы», спрятанные в фене для сушки волос и в портативном компьютере, обнаружены не были. Ранее во время аналогичной операции проверяющие пронесли в самолет огнестрельное оружие, ножи и взрывчатку. Поэтому аудит безопасности, включающий в себя реальную «проверку на прочность», - практически единственный способ оценить степень защищенности того или иного объекта и уровень работы технических средств и персонала.

Внешний аудит позволяет получить не только квалифицированное заключение о состоянии систем безопасности офиса, но и предложения по усовершенствованию структуры и вариантам модернизации оборудования. Следует учитывать, что аудит сторонней организации всегда более эффективен. В этом методе есть только одна отрицательная сторона – определенное нарушение конфиденциальности информации, допуск к базам данных и к структуре системы безопасности посторонних лиц.

Помните, что данные, полученные вами в результате проверки, никогда не будут полностью объективными, да и сама система безопасности находится в постоянном развитии и совершенствовании. Хочется надеяться, что выявленные недостатки и упущения позволят вам совершенствовать концепцию безопасности вашего бизнеса.