Из каких компонентов состоит комплексная безопасность

Комплексные системы безопасности

Безопасность зданий и сооружений — серьезный вопрос, который не терпит экономии. Системы безопасности должны быть качественными и эффективными, соответствовать установленным стандартам и, желательно, быть простыми в обслуживании. Решения подобного класса требуют серьезных вложений. Конечно, можно обойтись и более простыми системами, но насколько это оправдано?

Кому, в первую очередь, нужны комплексные системы безопасности? Это банки и финансовые организации, торговые центры и промышленные предприятия, медицинские и государственные учреждения, бизнес-центры и офисные здания — трудно найти сферу, где подобные системы не будут востребованы. Для каждого типа объектов они решают самые разные задачи:

защита от хищения имущества;
предотвращение любого материального ущерба;
обеспечение противопожарной защиты;
оповещение при возникновении аварии, пожара или любого другого чрезвычайного события;
контроль доступа на территорию объекта и внутри зданий;
осуществление контроля объекта из единого центра управления;
повышенный уровень безопасности технологических помещений и помещений систем жизнеобеспечения;
учет рабочего времени сотрудников;
маркетинговые задачи анализа востребованности представленных продуктов;
анализ образования очередей около различных касс и точек продаж;
обеспечение требований федеральных законов.

Разберем, из каких компонентов состоит комплексная система безопасности.

В первую очередь — это системы контроля и охраны. Они отвечают за санкционированный доступ на объект и внутри него, способны заменить штат охранников на крупных объектах. На производстве подобные системы разграничивают доступ сотрудников к внутренним помещениям и ускоряют процесс выдачи или аннулирования прав.

К этому типу решений относятся охранные системы видеонаблюдения — оперативно реагируют на угрозы безопасности, круглосуточно контролируют территорию любого объекта и здания, собирают визуальную информацию о передвижениях различных категорий сотрудников и посетителей.

Системы контроля и управления доступом помогают обнаружить и зарегистрировать факты несанкционированного проникновения на территорию, оповещают службы безопасности о нештатных ситуациях, организуют пропускной режим для сотрудников и посетителей, управляют потоками персонала и посетителей, фиксируют время прихода и ухода персонала.

Безопасность внутри здания можно дополнительно усилить при помощи устройств биометрической идентификации. Они в считанные секунды обнаружат и сообщат о попытках несанкционированного проникновения на территорию, оповестят службы безопасности о нештатных ситуациях, незаменимы при организации пропускного режима для сотрудников и посетителей в офисную часть объекта и в отдельные помещения внутри зданий. Такие решения управляют потоками персонала и посетителей на определённом участке, фиксируют время прихода и ухода.

Во вторую очередь – это системы противопожарной защиты.

К ним относится система пожарной сигнализации и пожарной автоматики — она предусматривается, пожалуй, в каждом строительном проекте. Система отвечает за обнаружение задымления и возгорания, выполнение алгоритма противопожарной защиты – от включения оповещения для эвакуации персонала до активации установок для пожаротушения. Диагностировать возгорание можно различными способами, и обычно выбор делается с учетом физических и технологических процессов в защищаемом помещении. Например, для ЦОД обычно выбирают аспирационные системы, выполняющие забор воздуха для анализа на наличие микрочастиц дыма в непосредственной близости с защищаемым оборудованием и с учетом высокоскоростных потоков воздуха при применении промышленных кондиционеров.

Система оповещения и управления эвакуацией информирует людей о возникновении проблем (пожар или другая чрезвычайная ситуация) и выполняет управление эвакуацией.

Какая система автоматического пожаротушения понадобится в том или ином помещении, зависит от его назначения. Например, для центров обработки данных, источников бесперебойного питания и электрощитовых используются автоматические установки газового пожаротушения, как наиболее эффективные и не наносящие вред дорогостоящему оборудованию.

Интегрированные устройства увеличивают общую надежность защиты здания, сводя влияние человеческого фактора к минимуму. Оператор может не заметить активности в закрытой части здания, но её зафиксирует система обнаружения и заставит сработать сигнализацию в соответствующем отсеке.

Скорость реагирования на угрозы крайне важна. Комплексные системы безопасности, консолидированные в едином ситуационном или диспетчерском центре, — залог спокойствия руководства и безопасности сотрудников.

IBusiness

Комплексные системы безопасности — гарантия стабильной работы и непрерывности бизнес-процессов

Комплексные системы безопасности совмещают в себе множество различных функций и позволяют снизить затраты на охрану объектов и обеспечение важных бизнес-процессов. Что они собой представляют и как могут вам помочь, мы расскажем в этой статье.

Элементы и функции системы безопасности

Безопасность вашей организации, компании, офиса, производственного или иного помещения обеспечивается целым комплексом мер. К важной составляющей выявления угроз и их нейтрализации относятся системы безопасности. Они необходимы на любом коммерческом объекте, а в особенности на заводах и промышленных предприятиях, в банках и финансовых организациях, в торговых точках, в образовательных, медицинских и государственных учреждениях, в телекоммуникационных, энергетических и нефтегазовых компаниях. Системы безопасности обеспечивают стабильность работы организации, выполняя различные функции защиты и контроля.

Для чего они нужны и с какими задачами справляются?

В первую очередь — это охрана организации от внешних и внутренних угроз таких, как:

попытка хищения имущества или коммерческой тайны;
подрыв деловой репутации компании;
перехват управления;

материальный ущерб;
возникновение пожара, аварии и других опасных для жизни и здоровья людей ситуаций.

Именно системы безопасности способны справиться с предупреждением подобных угроз, обеспечивая контроль доступа на территорию предприятия и охраняемые объекты, мониторинг ситуации в режиме реального времени и принятие срочных мер в случае возникновения чрезвычайных ситуаций.

Основные системы безопасности

Для обеспечения полной безопасности в организациях устанавливаются системы контроля доступа и сканеры безопасности, системы сигнализации и видеонаблюдения, системы противопожарной защиты, а также применяются другие методы.

Системы контроля доступа

Контроль доступа — это первое, о чем должно позаботиться любое предприятие. Независимо от величины вашего объекта, вы можете сократить расходы на обычную охрану, установив современную систему контроля доступа. Ограничивать доступ можно как в целом на объект, так и в отдельные его помещения (например, в сейфы), а также на парковки. Для этого, согласно ГОСТ Р 51241-2008, используются:

Ограждающие устройства (шлагбаумы, турникеты, дорожные блокираторы, шлюзовые кабины и т.д.);
Пропускная система или устройства ввода идентификационных признаков (в том числе — системы распознавания номеров автомобилей, управления передвижения транспортных средств и 3D-распознавание лиц);
Устройство управления, защищенное от несанкционированного доступа.

Система контроля доступа особенно необходима в финансовых организациях, банках, учебных и государственных учреждениях, на предприятиях, на режимных и военных объектах. Считывателями и преграждающими устройствами необходимо оборудовать главные и служебные входы, КПП, помещения, в которых хранятся материальные ценности и где работает руководство. При этом общий допуск в здание может осуществляться по одному признаку, а доступ в другие зоны (сейфы, хранилища и т.д.) — как минимум по двум признакам.

В местах большого скопления людей также применяются сканирующие устройства — например, сканеры безопасности Safety System. Это оборудование, которое позволяет ускорить процесс досмотра большого количества людей на вокзалах, в аэропортах, в крупных торговых центрах, на массовых мероприятиях.

Современные технологии эффективно использовать и на платных или закрытых парковках. Для этого применяется, в том числе, оборудование по мониторингу свободных мест и платежные системы.

Ведущими мировыми производителями систем контроля доступа и отдельных направлений в области биометрического контроля считаются Apollo, Assa Abloy, Artec Group, Cognitech, Bosch Security AG, Nedap AVI, Siemens, Schneider Electric, Honeywell Security и другие.

Системы видеонаблюдения

Системы видеонаблюдения или охранного телевидения позволяют следить за разными объектами и территориями. Видеонаблюдение эффективно и в контроле многоэтажных помещений, административных зданий, и на больших производственных площадях до 300 тысяч кв. м. Кроме того, они помогают отслеживать прилегающие территории. Главная задача таких систем — контроль ситуации. В случае получения тревоги именно видеонаблюдение позволяет определить характер и место нарушения и принять оптимальные меры.

Особенно актуальны системы видеонаблюдения в банках, пунктах обмена валют и других финансовых организациях, а также в ювелирных и оружейных магазинах.

В состав системы охранного телевидения, согласно ГОСТ Р 51558-2000, должны входить:

телевизионная камера;
видеомонитор;
источник электропитания;
линия передачи.

На некоторых системах могут быть дополнительные функции (например, датчики движения).

Системы видеонаблюдения обязательно размещаются у главного и служебного входов, на КПП, на периметре территории, в помещениях, где хранятся материальные ценности и в коридорах, по которым происходит перемещение материальных ценностей.

К камерам, размещенным в разных точках, предъявляются свои требования. Так, например, камеры на улицах должны иметь герметичные термокожухи, козырьки, защищающие от солнца, и должны быть поставлены так, чтобы лучи солнца не попадали в объектив.

Ведущие зарубежные компании, занимающиеся изготовлением систем видеонаблюдения, — Axis Communications, Dallmeier Electronics AG, Bosch Security AG, Schneider Electric, Samsung, ISS, ITV, Milestone и другие.

Системы сигнализации

Существуют различные виды систем сигнализации. К ним относятся, в частности:

Охранная сигнализация. Говоря о сигнализации, чаще всего имеют в виду именно охранную сигнализацию, которая используется для защиты периметра территорий и открытых площадок, зданий, помещений, отдельных предметов. Защита периметра и помещений имеет некоторые различия и свои особенности:

При установке сигнализации по периметру важно учитывать такие факторы, как рельеф местности, предполагаемые угрозы, тип ограждения, зона отторжения, помеховая обстановка, протяженность территории и ее укрепленность. Такая сигнализация размещается на ограждениях, зданиях, специальных столбах или стойках. При этом вся территория делится на участки, основные ворота считаются отдельным участком.
Что касается защиты внутренних помещений, то здесь сигнализацию необходимо ставить в зонах, где хранятся и по которым перемещаются материальные ценности, а также в уязвимых местах — окна, двери, вентиляционные люки.

Есть еще один вид охранной сигнализации — тревожная, которая активизируется при помощи человека, оказавшегося в ситуации угрозы. Такая «тревожная кнопка» обязательно должна быть в хранилищах, сейфах, в помещениях для хранения оружия и боеприпасов, в торговых точках и пунктах обмена валют на рабочих местах кассиров, в кабинете бухгалтера и руководителя, на постах охраны, у всех входов в здание.

Тревожная сигнализация может быть ручной и ножной и должна размещаться в незаметных обычным посетителям местах. Зоны, связанные с финансовыми операциями, помимо тревожной кнопки, должны быть оснащены «ловушками», которые включаются без участия персонала при попытках завладеть материальными средствами.

Сигнализация для маломобильных групп населения. Необходимость создания сигнализации для маломобильных групп населения во всех административных и общественных зданиях предусмотрена СП 59.13330.2012. Системы предупреждающей и аварийной сигнализации должны быть представлены звуковыми и световыми устройствами и охватывать специальные безопасные зоны и санузлы, доступные для маломобильных групп населения (МГН). Для каждого объекта согласно его функциональному назначению существует свой перечень мер и необходимых средств сигнализации, которые перечислены в указанном выше своде правил.

Системы сигнализации и связи для МГН создаются на базе оборудования известных производителей — Zenitel, Intercall.

Автоматическая пожарная сигнализация. Основная задача пожарной сигнализации — выявление возгорания и оповещение об опасности. Существуют различные типы извещателей: дымовые, пламени, тепловые, дифференциальные, аспирационные. Их выбор зависит от возникновения предполагаемой угрозы. Соответственно, каждый из них будет срабатывать при появлении характерного признака: превышение предельного значения температуры, появление газа, дыма или открытого пламени. Для повышения точности и надежности определения опасного фактора рекомендуется использовать комбинированные (или мультикритериальные) пожарные извещатели.

Требования к обеспечению противопожарной безопасности объектов содержатся в Техническом регламенте о требованиях пожарной безопасности № 123-ФЗ и сводах правил к нему. В последних подробно прописаны особенности и требования к размещению различных видов извещателей. В частности, отмечено, что в гостиницах, лечебных и образовательных учреждениях, в торговых помещениях, в музеях и картинных галереях, в читальных залах рекомендуется размещать дымовые пожарные извещатели, питаемые по шлейфу.

Передовым решением на сегодняшний день считается аспирационная система — то есть оснащенная инструментами раннего обнаружения дыма. Это особенно актуально в помещениях с сильными воздушными потоками (например, серверные и машинные залы ЦОД).

Для соблюдения правил пожарной безопасности также необходимо установить системы оповещения при пожаре и системы пожаротушения.

Системы оповещения при пожаре и системы пожаротушения

Главная задача любой системы оповещения — оперативно информировать людей о возникшей нештатной ситуации и осуществлять координацию их действий по выполнению эвакуации с опасного объекта. Это может быть подача звуковых и/или световых сигналов и трансляция речевой информации о характере опасности и путях эвакуации. В течение всего времени эвакуации должно работать аварийное освещение.

Системы оповещения и управления эвакуацией людей при пожаре должны создаваться согласно требованиям СП 3.13130.2009.

Необходимым элементом противопожарной защиты зданий и сооружений являются автоматические установки пожаротушения и пожарной автоматики. Выбор типа применяемой установки пожаротушения осуществляется на этапе разработки проектной документации и зависит от ряда критериев, которые приведены в нормативной документации.

Основные типы пожаротушения — водяное, газовое, аэрозольное, порошковое, тонкораспыленной водой. Если в помещениях расположено дорогостоящее оборудование, то рекомендуется установить газовое пожаротушение, которое сохранит работоспособность защищаемого оборудования и обеспечит защиту помещения в целом.

Для этих целей используется оборудование не только мировых, но и отечественных производителей: «Пожтехника», «Артсок», НПФ «СТД», «Сталт» и других.

Как видите, систем безопасности очень много и каждая решает важные для жизни и здоровья людей и защиты объекта задачи. Поэтому эффективнее всего использовать комплексный подход, когда проектированием, монтажом и обслуживанием всех систем занимается одна компания, обеспечивая целый комплекс мер.

Преимущества комплексного подхода

Как уже было сказано, при организации системы безопасности и доступа эффективнее использовать именно комплексный подход. Проще говоря, если вы поставите даже нескольких охранников на входе и внутри здания, то не сможете обеспечить 100% безопасность вашего предприятия. Важно организовать защиту и контроль на всех уровнях, и комплексный подход позволяет сделать это максимально успешно.

Вот только некоторые его преимущества:

Интегрированность. Все системы безопасности при комплексном подходе связаны между собой. Таким образом создается интегрированная среда обмена сигналами между различными элементами. Все системы работают в комплексе, выполняя одновременно функции контроля, сдерживания, обнаружения опасности, ее оценки и реагирования на нее, обеспечивая защиту сразу по нескольким направлениям.

Надежность. В основе комплексного подхода — грамотное проектирование и продуманность всех деталей. Вы не упустите ни одной важной составляющей. Из работы исключается человеческий фактор (усталость, невнимательность), поэтому такой подход обеспечивает высокий уровень надежности и защищенности.

Оперативность. Комплексный подход позволяет добиться высокой скорости передачи данных даже в том случае, если разные системы защиты будут срабатывать одновременно. Моментальное реагирование — залог вашего спокойствия.

Система безопасности необходима практически каждому современному предприятию. Грамотное проектирование таких систем позволяет реализовать целый ряд возможностей, не выходя за рамки отведенных бюджетов. Проект должен предусматривать возможное расширение площадей и введение в систему новых элементов.

1. Сущность и задачи комплексной системы защиты информации

На рынке защиты информации предлагается много отдельных инженерно-технических, программно-аппаратных, криптографических средств защиты информации. В литературе по защите информации можно найти описание методов и средств на их основе, теоретических моделей защиты. Однако для того, чтобы создать на предприятии условия эффективной защиты информации, необходимо объединить отдельные средства защиты в систему. При этом надо помнить, что главным элементом этой системы является человек. Причем человек является ключевым элементом системы и вместе с тем самым трудно формализуемым и потенциально слабым ее звеном.

Создание системы защиты информации (СЗИ) не является главной задачей предприятия, как, например, производство продукции и получение прибыли. Поэтому создаваемая СЗИ не должна приводить к ощутимым трудностям в работе предприятия, а создание СЗИ должно быть экономически оправданным. Тем не менее она должна обеспечивать защиту важных информационных ресурсов предприятия от всех реальных угроз.

В книге предложен комплексный подход к организации защиты информации (ЗИ) на предприятии. При этом объектом исследования является не только информационная система, но и предприятие в целом.

Рассматриваются концептуальные основы защиты информации, раскрывающие сущность, цели, структуру и стратегию защиты.

Анализируются источники, способы и результаты дестабилизирующего воздействия на информацию, а также каналы и методы несанкционированного доступа к информации. Определяются методологические подходы к организации и технологическому обеспечению защиты информации на предприятии. Представлена архитектура, этапы построения, принципы управления комплексной системой защиты информации (КСЗИ). Особое внимание уделено проблеме «человеческого фактора».

Предложенный подход к защите информации обеспечит целостное видение проблемы, повышение качества, следовательно, и надежности защиты информации.

Следует подчеркнуть, что автор умышленно уходит от понятия «информационная безопасность», используя термин «защита информации».

Информационную безопасность принято рассматривать как обеспечение состояния защищенности:

1) личности, общества, государства от воздействия недоброкачественной информации;

2) информации и информационных ресурсов от неправомерного и несанкционированного воздействия посторонних лиц;

3) информационных прав и свобод гражданина и человека.

Поскольку в книге не рассматриваются вопросы защиты от воздействия недобросовестной информации, автор посчитал необходимым использовать более «узкий» термин.

1.1. Подходы к проектированию систем защиты информации

Бытует мнение, что проблемы защиты информации относятся исключительно к информации, обрабатываемой компьютером. Это, по-видимому, связано с тем, что компьютер, и в частности персональный компьютер, является «ядром», центром хранения информации. Объект информатизации, по отношению к которому направлены действия по защите информации, представляется более широким понятием по сравнению с персональным компьютером. Что же представляет собой объект информатизации и каково его место на предприятии?

ГОСТ РФ 51275-99 определяет объект информатизации как «совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров»[1].

Слово «совокупность» в данном определении указывает на то, что объект информатизации это единая информационная система, охватывающая в целом предприятие, учреждение, организацию.

В реальной жизни все эти отдельные «объекты информатизации» расположены в пределах одного предприятия и представляют собой единый комплекс компонентов, связанных общими целями, задачами, структурными отношениями, технологией информационного обмена и т. д.

Современное предприятие — большое количество разнородных компонентов, объединенных в сложную систему для выполнения поставленных целей, которые в процессе функционирования предприятия могут модифицироваться. Многообразие и сложность влияния внутренних и внешних факторов, которые часто не поддаются строгой количественной оценке, приводят к тому, что эта сложная система может обретать новые качества, не свойственные составляющим ее компонентам.

Характерной особенностью подобных систем является прежде всего наличие человека в каждой из составляющих ее подсистем и отдаленность (разделенность) человека от объекта его деятельности. Это происходит в связи с тем, что множество компонентов, составляющих объект информатизации, интегрально может быть представлено совокупностью трех групп систем: 1) люди (биосоциальные системы); 2) техника (технические системы и помещения, в которых они расположены); 3) программное обеспечение, которое является интеллектуальным посредником между человеком и техникой (интеллектуальные системы). Совокупность этих трех групп образует социотехническую систему. Такое представление о социотехнических системах является достаточно широким и может быть распространено на многие объекты. Круг наших интересов ограничивается исследованием безопасности систем, предназначенных для обработки поступающей на их вход информации и выдачи результата, т. е. социотехнических систем информационного типа.

Если обратиться к истории этой проблемы, то можно условно выделить три периода развития средств защиты информации (ЗИ):

— первый относится к тому времени, когда обработка информации осуществлялась по традиционным (ручным, бумажным) технологиям;

— второй — когда для обработки информации на регулярной основе применялись средства электронной вычислительной техники первых поколений;

— третий — когда использование средств электронно-вычислительной техники приняло массовый и повсеместный характер (появление персональных компьютеров).

В 60–70 гг. проблема защиты информации решалась достаточно эффективно применением в основном организационных мер. К ним относились: режимные мероприятия, охрана, сигнализация и простейшие программные средства защиты информации. Эффективность использования этих средств достигалась за счет концентрации информации в определенных местах (спец. хранилища, вычислительные центры), что способствовало обеспечению защиты относительно малыми средствами.

«Рассосредоточение» информации по местам хранения и обработки обострило ситуацию с ее защитой. Появились дешевые персональные компьютеры. Это дало возможность построения сетей ЭВМ (локальных, глобальных, национальных и транснациональных), которые могут использовать различные каналы связи. Эти факторы способствуют созданию высокоэффективных систем разведки и получения информации. Они нашли отражение и в современных предприятиях.

Современное предприятие представляет собой сложную систему, в рамках которой осуществляется защита информации.

Рассмотрим основные особенности современного предприятия:

— сложная организационная структура;

— многоаспектность функционирования;

— высокая техническая оснащенность;

— широкие связи по кооперации;

— необходимость расширения доступа к информации;

— всевозрастающий удельный вес безбумажной технологии обработки информации;

• возрастающий удельный вес автоматизированных процедур в общем объеме процессов обработки данных;

• важность и ответственность решений, принимаемых в автоматизированном режиме, на основе автоматизированной обработки информации;

• высокая концентрация в автоматизированных системах информационных ресурсов;

• большая территориальная распределенность компонентов автоматизированных систем;

• накопление на технических носителях огромных объемов информации;

• интеграция в единых базах данных информации различного назначения и различной принадлежности;

• долговременное хранение больших объемов информации на машинных носителях;

• непосредственный и одновременный доступ к ресурсам (в т. ч. и к информации) автоматизированных систем большого числа пользователей различных категорий и различных учреждений;

• интенсивная циркуляция информации между компонентами автоматизированных систем, в том числе и удаленных друг от друга.

Таким образом, создание индустрии переработки информации, с одной стороны, создает объективные предпосылки для повышения уровня производительности труда и жизнедеятельности человека, с другой стороны, порождает целый ряд сложных и крупномасштабных проблем. Одной из них является обеспечение сохранности и установленного статуса информации, циркулирующей и обрабатываемой на предприятии.

1.2. Понятие комплексной системы защиты информации

Работы по защите информации у нас в стране ведутся достаточно интенсивно и уже продолжительное время. Накоплен существенный опыт. Сейчас уже никто не думает, что достаточно провести на предприятии ряд организационных мероприятий, включить в состав автоматизированных систем некоторые технические и программные средства — и этого будет достаточно для обеспечения безопасности.

Главное направление поиска новых путей защиты информации заключается не просто в создании соответствующих механизмов, а представляет собой реализацию регулярного процесса, осуществляемого на всех этапах жизненного цикла систем обработки информации при комплексном использовании всех имеющихся средств защиты. При этом все средства, методы и мероприятия, используемые для ЗИ, наиболее рациональным образом объединяются в единый целостный механизм — причем не только от злоумышленников, но и от некомпетентных или недостаточно подготовленных пользователей и персонала, а также нештатных ситуаций технического характера.

Основной проблемой реализации систем защиты является:

— с одной стороны, обеспечение надежной защиты, находящейся в системе информации: исключение случайного и преднамеренного получения информации посторонними лицами, разграничение доступа к устройствам и ресурсам системы всех пользователей, администрации и о обслуживающего персонала;

— с другой стороны, системы защиты не должны создавать заметных неудобств пользователям в ходе их работы с ресурсами системы.

Проблема обеспечения желаемого уровня защиты информации весьма сложная, требующая для своего решения не просто осуществления некоторой совокупности научных, научно-технических и организационных мероприятий и применения специальных средств и методов, а создания целостной системы организационно-технологических мероприятий и применения комплекса специальных средств и методов по ЗИ.

На основе теоретических исследований и практических работ в области ЗИ сформулирован системно-концептуальный подход к защите информации.

Под системностью как основной частью системно-концептуального похода понимается:

— системность целевая, т. е. защищенность информации рассматривается как основная часть общего понятия качества информации;

— системность пространственная, предлагающая взаимоувязанное решение всех вопросов защиты на всех компонентах предприятия;

— системность временная, означающая непрерывность работ по ЗИ, осуществляемых в соответствии планам;

— системность организационная, означающая единство организации всех работ по ЗИ и управления ими.

Концептуальность подхода предполагает разработку единой концепции как полной совокупности научно обоснованных взглядов, положений и решений, необходимых и достаточных для оптимальной организации и обеспечения надежности защиты информации, а также целенаправленной организации всех работ по ЗИ.

Комплексный (системный) подход к построению любой системы включает в себя: прежде всего, изучение объекта внедряемой системы; оценку угроз безопасности объекта; анализ средств, которыми будем оперировать при построении системы; оценку экономической целесообразности; изучение самой системы, ее свойств, принципов работы и возможность увеличения ее эффективности; соотношение всех внутренних и внешних факторов; возможность дополнительных изменений в процессе построения системы и полную организацию всего процесса от начала до конца.

Комплексный (системный) подход — это принцип рассмотрения проекта, при котором анализируется система в целом, а не ее отдельные части. Его задачей является оптимизация всей системы в совокупности, а не улучшение эффективности отдельных частей. Это объясняется тем, что, как показывает практика, улучшение одних параметров часто приводит к ухудшению других, поэтому необходимо стараться обеспечить баланс противоречий требований и характеристик.

Комплексный (системный) подход не рекомендует приступать к созданию системы до тех пор, пока не определены следующие ее компоненты:

1. Входные элементы. Это те элементы, для обработки которых создается система. В качестве входных элементов выступают виды угроз безопасности, возможные на данном объекте;

2. Ресурсы. Это средства, которые обеспечивают создание и функционирование системы (например, материальные затраты, энергопотребление, допустимые размеры и т. д.). Обычно рекомендуется четко определять виды и допустимое потребление каждого вида ресурса как в процессе создания системы, так и в ходе ее эксплуатации;

3. Окружающая среда. Следует помнить, что любая реальная система всегда взаимодействует с другими системами, каждый объект связан с другими объектами. Очень важно установить границы области других систем, не подчиняющихся руководителю данного предприятия и не входящих в сферу его ответственности.

Характерным примером важности решения этой задачи является распределение функций по защите информации, передаваемой сигналами в кабельной линии, проходящей по территориям различных объектов. Как бы ни устанавливались границы системы, нельзя игнорировать ее взаимодействие с окружающей средой, ибо в этом случае принятые решения могут оказаться бессмысленными. Это справедливо как для границ защищаемого объекта, так и для границ системы защиты;

4. Назначение и функции. Для каждой системы должна быть сформулирована цель, к которой она (система) стремится. Эта цель может быть описана как назначение системы, как ее функция. Чем точнее и конкретнее указано назначение или перечислены функции системы, тем быстрее и правильнее можно выбрать лучший вариант ее построения. Так, например, цель, сформулированная в самом общем виде как обеспечение безопасности объекта, заставит рассматривать варианты создания глобальной системы защиты. Если уточнить ее, определив, например, как обеспечение безопасности информации, передаваемой по каналам связи внутри здания, то круг возможных решений существенно сузится. Следует иметь в виду, что, как правило, глобальная цель достигается через достижение множества менее общих локальных целей (подцелей). Построение такого «дерева целей» значительно облегчает, ускоряет и удешевляет процесс создания системы;

5. Критерий эффективности. Необходимо всегда рассматривать несколько путей, ведущих к цели, в частности нескольких вариантов построения системы, обеспечивающей заданные цели функционирования. Для того чтобы оценить, какой из путей лучше, необходимо иметь инструмент сравнения — критерий эффективности. Он должен: характеризовать качество реализации заданных функций; учитывать затраты ресурсов, необходимых для выполнения функционального назначения системы; иметь ясный и однозначный физический смысл; быть связанным с основными характеристиками системы и допускать количественную оценку на всех этапах создания системы.

Таким образом, учитывая многообразие потенциальных угроз информации на предприятии, сложность его структуры, а также участие человека в технологическом процессе обработки информации, цели защиты информации могут быть достигнуты только путем создания СЗИ на основе комплексного подхода.

Рис. 1. Непрерывный цикл создания СЗИ

Процесс создания комплексной системы защиты информации может быть представлен в виде непрерывного цикла, так как это показано на рис. 1.

1.3. Назначение комплексной системы защиты информации

Главная цель создания системы защиты информации — ее надежность. Система ЗИ — это организованная совокупность объектов и субъектов ЗИ, используемых методов и средств защиты, а также осуществляемых защитных мероприятий.

Но компоненты ЗИ, с одной стороны, являются составной частью системы, с другой — сами организуют систему, осуществляя защитные мероприятия.

Поскольку система может быть определена как совокупность взаимосвязанных элементов, то назначение СЗИ состоит в том, чтобы объединить все составляющие защиты в единое целое, в котором каждый компонент, выполняя свою функцию, одновременно обеспечивает выполнение функций другими компонентами и связан с ними логически и технологически. А в чем же состоит значимость комплексных решений в СЗИ?

Надежность защиты информации прямо пропорциональна системности, т. е. при несогласованности между собой отдельных составляющих риск «проколов» в технологии защиты увеличивается.

Во-первых, необходимость комплексных решений состоит в объединении в одно целое локальных СЗИ, при этом они должны функционировать в единой «связке». В качестве локальных СЗИ могут быть рассмотрены, например, виды защиты информации (правовая, организационная, инженерно-техническая).

Во-вторых, необходимость комплексных решений обусловлена назначением самой системы. Система должна объединить логически и технологически все составляющие защиты. Но из ее сферы выпадают вопросы полноты этих составляющих, она не учитывает всех факторов, которые оказывают или могут оказывать влияние на качество защиты. Например, система включает в себя какие-то объекты защиты, а все они включены или нет — это уже вне пределов системы.

Поэтому качество, надежность защиты зависят не только от видов составляющих системы, но и от их полноты, которая обеспечивается при учете всех факторов и обстоятельств, влияющих на защиту. Именно полнота всех составляющих системы защиты, базирующаяся на анализе таких факторов и обстоятельств, является вторым назначением комплексности.

При этом должны учитываться все параметры уязвимости информации, потенциально возможные угрозы ее безопасности, охватываться все необходимые объекты защиты, использоваться все возможные виды, методы и средства защиты и необходимые для защиты кадровые ресурсы, осуществляться все вытекающие из целей и задач защиты мероприятия.

В-третьих, только при комплексном подходе система может обеспечивать безопасность всей совокупности информации, подлежащей защите, и при любых обстоятельствах. Это означает, что должны защищаться все носители информации, во всех компонентах ее сбора, хранения, передачи и использования, во все время и при всех режимах функционирования систем обработки информации.

В то же время комплексность не исключает, а, наоборот, предполагает дифференцированный подход к защите информации, в зависимости от состава ее носителей, видов тайны, к которым отнесена информация, степени ее конфиденциальности, средств хранения и обработки, форм и условии проявления уязвимости, каналов и методов несанкционированного доступа к информации.

Таким образом, значимость комплексного подхода к защите информации состоит:

— в интеграции локальных систем защиты;

— в обеспечении полноты всех составляющих системы защиты;

— в обеспечении всеохватности защиты информации.

Исходя из этого, можно сформулировать следующее определение:

«Комплексная система защиты информации — система, полно и всесторонне охватывающая все предметы, процессы и факторы, которые обеспечивают безопасность всей защищаемой информации»[2].

1.4. Принципы построения комплексной системы защиты информации

При построении любой системы необходимо определить принципы, в соответствии с которыми она будет построена. КСЗИ — сложная система, функционирующая, как правило, в условиях неопределенности, требующая значительных материальных затрат. Поэтому определение основных принципов КСЗИ позволит определить основные подходы к ее построению.

Принцип законности заключается в соответствии принимаемых мер законодательству РФ о защите информации, а в случае отсутствия соответствующих законов — другим государственным нормативным документам по защите.

В соответствии с принципом полноты защищаемой информации защите подлежит не только информация, составляющая государственную, коммерческую или служебную тайну, но и та часть несекретной информации, утрата которой может нанести ущерб ее собственнику либо владельцу. Реализация этого принципа позволяет обеспечить и охрану интеллектуальной собственности.

Принцип обоснованности защиты информации заключается в установлении путем экспертной оценки целесообразности засекречивания и защиты той или другой информации, вероятных экономических и других последствий такой защиты исходя из баланса жизненно важных интересов государства, общества и граждан. Это, в свою очередь, позволяет расходовать средства на защиту только той информации, утрата или утечка которой может нанести действительный ущерб ее владельцу.

Принцип создания специализированных подразделений по защите информации заключается в том, что такие подразделения являются непременным условием организации комплексной защиты, поскольку только специализированные службы способны должным образом разрабатывать и внедрять защитные мероприятия и осуществлять контроль за их выполнением.

Принцип участия в защите информации всех соприкасающихся с нею лиц исходит из того, что защита информации является служебной обязанностью каждого лица, имеющего по роду выполняемой работы отношение к защищаемой информации, и такое участие дает возможность повысить качество защиты.

Принцип персональной ответственности за защиту информации требует, чтобы каждое лицо персонально отвечало за сохранность и неразглашение вверенной ему защищаемой информации, а за утрату или распространение такой информации оно несет уголовную, административную или иную ответственность.

Принцип наличия и использования всех необходимых правил и средств для защиты заключается в том, что КСЗИ требует, с одной стороны, участия в ней руководства предприятия и специальной службы защиты информации и всех исполнителей, работающих с защищаемой информацией, с другой стороны, использования различных организационных форм и методов защиты, с третьей стороны, наличие необходимых материально-технических ресурсов, включая технические средства защиты.

Принцип превентивности принимаемых мер по защите информации предполагает априорное опережающее заблаговременное принятие мер по защите до начала разработки или получения информации. Из этого принципа вытекает, в частности, необходимость разработки защищенных информационных технологий.

Среди рассмотренных принципов едва ли можно выделить более, или менее важные. А при построении КСЗИ важно использовать их в совокупности.

Главная цель создания СЗИ — достижение максимальной эффективности защиты за счет одновременного использования всех необходимых ресурсов, методов и средств, исключающих несанкционированный доступ к защищаемой информации и обеспечивающих физическую сохранность ее носителей.

Организация — это совокупность элементов (людей, органов, подразделений) объединенных для достижения какой-либо цели, решения какой-либо задачи на основе разделения труда, распределения обязанностей и иерархической структуры.

СЗИ относится к системам организационно-технологического (социотехнического) типа, т. к. общую организацию защиты и решение значительной части задач осуществляют люди (организационная составляющая), а защита информации осуществляется параллельно с технологическим процессами ее обработки (технологическая составляющая).

Серьезным побудительным мотивом к проведению перспективных исследований в области защиты информации послужили те постоянно нарастающие количественные и качественные изменения в сфере информатизации, которые имели место в последнее время и которые, безусловно, должны быть учтены в концепциях защиты, информации.

Постановка задачи защиты информации в настоящее время приобретает ряд особенностей: во-первых, ставится вопрос о комплексной защите информации; во-вторых, защита информации становится все более актуальной для массы объектов (больших и малых, государственной и негосударственной принадлежности); в-третьих, резко расширяется разнообразие подлежащей защите информации (государственная, промышленная, коммерческая, персональная и т. п.). Осуществление мероприятий по защите информации носит массовый характер, занимается этой проблемой большое количество специалистов различного профиля. Но успешное осуществление указанных мероприятий при такой их масштабности возможно только при наличии хорошего инструментария в виде методов и средств решения соответствующих задач. Разработка такого инструментария требует наличия развитых научно-методологических основ защиты информации.

Под научно-методологическими основами комплексной защиты информации (как решения любой другой проблемы) понимается совокупность принципов, подходов и методов (научно-технических направлений), необходимых и достаточных для анализа (изучения, исследования) проблемы комплексной защиты, построения оптимальных механизмов защиты и управления механизмами защиты в процессе их функционирования. Уже из приведенного определения следует, что основными компонентами научно-методологических основ являются принципы, подходы и методы. При этом под принципами понимается основное исходное положение какой-либо теории, учения, науки, мировоззрения; под подходом — совокупность приемов, способов изучения и разработки какой-либо проблемы; под методом — способ достижения какой-либо цели, решения конкретной задачи. Например, при реализации принципа разграничения доступа в качестве подхода можно выбрать моделирование, а в качестве метода реализации — построение матрицы доступа.

Общее назначение методологического базиса заключается в

— формировании обобщенного взгляда на организацию и управление КСЗИ, отражающего наиболее существенные аспекты проблемы;

— формировании полной системы принципов, следование которым обеспечивает наиболее полное решение основных задач;

— формировании совокупности методов, необходимых и достаточных для решения всей совокупности задач управления.

Предмет нашего исследования — рассмотрение различных аспектов обеспечения безопасности социотехнической системы, характерным примером которой является современный объект информатизации.

Поэтому состав научно-методологических основ можно определить следующим образом:

— так как речь идет об организации и построении КСЗИ, то общеметодологической основой будут выступать основные положения теории систем;

— так как речь идет об управлении, то в качестве научно-методической основы будут выступать общие законы кибернетики (как науки об управлении в системах любой природы);

— так как процессы управления связаны с решением большого количества разноплановых задач, то в основе Должны быть принципы и методы моделирования больших систем и процессов их функционирования.

Состав научно-методологических основ комплексной системы защиты информации представлен на рис. 2.

Рис. 2. Состав научно-методологических основ КСЗИ

2.2. Основные положения теории систем

Я считаю, что познать части без знания целого так же невозможно, как познать целое без знания его частей (Блез Паскаль 1623–1662).

Эти слова очень точно отражают суть теории систем. Но давайте по-порядку.

Начнем с определения системы.

Система — совокупность или множество связанных между собой элементов.

Под системой может пониматься естественное соединение составных частей, самостоятельно существующих в природе, а также нечто абстрактное, порожденное воображением человека. Такой подход к определению понятия системы заранее предлагает существование связей между ее элементами.

Всякая система состоит из взаимосвязанных и взаимодействующих между собой и с внешней средой частей ем в определенном смысле представляет собой замкнутое целое.

Система взаимодействует с внешней средой и может быть количественно оценена через свои входы и выходы.

Входами могут быть, в общем смысле, перерабатываемое сырье, его количество, состав, температура и т. д.; выходами могут быть количество готового продукта, его качество и т. п. (см. рис. 3).

Рис. 3. Обобщенное представление системы

Обычно система подвержена возмущениям, для их компенсации, т. е. для того, чтобы система работала в заданном направлении, используют управляющие воздействия.

Система — это достаточно сложный объект, который можно расчленить (провести декомпозицию) на составляющие элементы или подсистемы. Элементы связаны друг с другом и с окружающей средой объекта. Совокупность связей образует структуру системы. Система имеет алгоритм функционирования, направленный на достижение определенной цели.

Все системы можно условно разделить на малые и большие.

Малые системы однозначно определяются свойствами процесса и обычно ограничены одним типовым процессом, его внутренними связями, а также особенностями функционирования.

Большие системы представляют собой сложную совокупность малых (подсистем) систем и отличаются от них в количественном и качественном отношениях.

Рассмотрим составляющие системы и ее основные свойства.

Элементы — это объекты, части, компоненты системы. Причем их число ограничено.

Свойства — качества элементов, дающие возможность количественного описания системы, выражая ее в определенных величинах.

Связи — это то, что соединяет элементы и свойства системы в целое.

При анализе систем значительный интерес представляет изучение их структуры. Структура отражает наиболее существенные, устойчивые связи между элементами системы и их группами, которые обеспечивают основные свойства системы. То есть структура — это форма организации системы. Структура системы может претерпевать определенные изменения в зависимости от факторов (причин) внутренней и внешней природы, от времени.

Понятие «состояние» обычно выявляют на основании исследования, ситуационного анализа, исследуя, например, входные воздействия и выходные результаты системы.

Поведение системы характеризует возможность устойчивого, контролируемого перехода системы из одного состояния в другое.

Понятие «равновесие» определяется как способность системы в отсутствие внешних воздействий сохранять заранее заданное состояние.

Устойчивость характеризуется как способность системы возвращаться в состояние равновесия после того, как она была выведена из него под влиянием внешнего воздействия. На рисунке 4 схематично показана система в устойчивом и неустойчивом состояниях. Реально устойчивость систем может достигаться только в определенных пределах.

Понятие «развитие» характеризует совершенствование структуры и функций системы под влиянием внутренних факторов, в связи с чем поведение системы приобретает более упорядоченный и предсказуемый характер.

Рис. 4. Система в устойчивом состоянии (справа) и неустойчивом (слева)

Главное свойство системы в том, что она приобретает особенности, не свойственные ее элементам. Здесь можно привести множество примеров: компьютер, как система, состоящая из определенного набора деталей и программного обеспечения. И если все собрано и отлажено правильно (организована система), то получаем новые качества входящих в эту систему элементов. Это свойство называется принципом эмерджентности.

Общая теория систем — междисциплинарная область научных исследований, в задачи которой входит разработка обобщенных моделей систем, построение методологического аппарата, описание функционирования и поведения системных объектов, рассмотрение динамики систем, их поведения, развития, иерархического строения и процессов управления в системах. Теория систем оперирует такими понятиями, как системный анализ и системный подход.

Системный анализ — это стратегия изучения сложных систем. В качестве метода исследования в нем используется математическое моделирование, а основным принципом является декомпозиция сложной системы на более простые подсистемы (принципы иерархии системы). В этом случае математическая модель строится по блочному принципу: общая модель подразделяется на блоки, которым можно дать сравнительно простые математические описания.

В основе стратегии системного анализа лежат следующие общие положения: 1) четкая формулировка цели исследования; 2) постановка задачи по реализации этой цели и определение критерия эффективности решения задачи; 3) разработка развернутого плана исследования с указанием основных этапов и направлений решения задачи; 4) последовательное продвижение по всему комплексу взаимосвязанных этапов и возможных направлений; 5) организация последовательных приближений и повторных циклов исследований на отдельных этапах; 6) принцип нисходящей иерархии анализа и восходящей иерархии синтеза в решении составных задач и т. п.

Системный анализ позволяет организовать наши знания об объекте таким образом, чтобы помочь выбрать нужную стратегию либо предсказать результаты одной или нескольких стратегий, представляющихся целесообразными для тех, кто должен принимать решение.

С позиций системного анализа решаются задачи моделирования, оптимизации, управления и оптимального проектирования систем.

Особый вклад (важность) системного анализа в решении различных проблем заключается в том, что он позволяет выявить факторы и взаимосвязи, которые впоследствии могут оказаться весьма существенными, дает возможность спланировать методику наблюдений и построить эксперимент так, чтобы эти факторы были включены в рассмотрение, освещает слабые места гипотез и допущений. Как научный подход системный анализ создает инструментарий познания физического мира и объединяет его в систему гибкого исследования сложных явлений.

Системный подход — направление методологии научного познания и социальной практики, в основе которого лежит рассмотрение объектов как систем. Системный подход ориентирует исследование на раскрытие целостности объекта, на выявление разных личных типов связей в нем и сведения в единую теоретическую картину.

Системный подход основан на представлении о системе как о чем-то целостном, обладающем новыми свойствами (качествами) по сравнению со свойствами составляющих ее элементов. Новые свойства при этом понимаются очень широко. Они могут выражаться, в частности, в способности решать новые проблемы или достигать новые цели. Для этого требуется определить границы системы, выделив ее из окружающего мира, и затем соответствующим образом изменить (преобразовать), или, говоря математическим языком, перевести систему в желаемое состояние. Академик В. М. Глушков выделил в системном подходе следующие этапы[4]:

1. Постановка задачи (проблемы): определение Объекта исследования, постановка целей, задание критериев для изучения объекта и управления им;

2. Очерчивание границ изучаемой системы и ее (первичная) структуризация. На этом этапе вся совокупность объектов и процессов, имеющих отношение к поставленной цели, разбивается на два класса — собственно изучаемая система и внешняя среда;

3. Составление математической модели изучаемой системы: параметризация системы, задание области определения параметров, установление зависимостей между введенными параметрами;

4. Исследование построенной модели: прогноз развития изучаемой системы на основе ее модели, анализ результатов моделирования;

5. Выбор оптимального управления.

Выбор оптимального управления как раз и позволяет перевести систему в желаемое (целевое) состояние и тем самым решить проблему.

Несмотря на четкую математическую трактовку системного подхода, он не получил, однако, однозначном практической интерпретации. В связи с этим развиваются несколько направлений его практической реализации. Наибольшее распространение получили АСУПовское и системотехническое направления, суть которых заключается в совершенствовании существующих систем управления. Для этого проводится их обследование (диагностическим анализ), выявляются недостатки и пути устранения последних, формируются мероприятия по совершенствованию систем, разрабатываются проекты систем, внедрение которых рассматривается как способ преобразования существующих систем управления.

Значительную роль в этих методах играют понятие системы, подсистемы, окружающей среды, классификация основных свойств и процессов в системах, классификация систем и т. д.

Остановимся на обобщенном определении системы.

Система, с одной стороны, может быть описана динамически как процесс, а с другой — статически, с точки зрения либо внешних, либо внутренних характеристик.

Кроме того, внутреннее строение системы может быть представлено в виде функциональных зависимостей и в виде структуры, реализующей эти зависимости.

Таким образом, можно выделить пять основных системных представлений: процессуальное, функциональное, макроскопическое, иерархическое и микроскопическое.

В процессуальном плане система рассматривается динамически как процесс, остальные системные представления отражают ее статический аспект.

В макроскопическом представлении описываются внешние характеристики системы, в функциональном, иерархическом и микроскопическом — внутренние.

Микроскопическое представление системы основано на понимании ее как совокупности взаимосвязанных элементов, неразложимых далее «кирпичиков». Центральными понятием микроскопического системного представления является понятие элемента. Конечно, в общем виде элемент лишь относительно неделим, однако для данной системы он является абсолютно неделимым. Элементы также могут быть рассмотрены как системы, но это будут системы другого типа, по отношению к исследуемой. Кроме того, система понимается как совокупность разнородных элементов, которые могут отличаться по принципу действия, техническому исполнению и ряду других характеристик. Система сводится к ансамблю простых частей.

Элементы системы обладают связями, которые объединяют их в целостную систему. Элементы могут существовать только в «связанном» виде — между элементами обязательно устанавливаются связи.

Например, в электрической цепи, если по ней не течет ток, нет электрических связей, следовательно, нет и элементов; когда цепь подключена к источнику электрической энергии, в ней образуются реальные электрические связи, и можно говорить о существовании элементов, которые они связывают.

Элементы в системе обязательно взаимодействуют, в результате одни свойства (переменные) изменяются, другие остаются неизменными (константы).

Важную роль в системных исследованиях играет поиск системообразующих связей, благодаря которым все элементы системы оказываются связанными воедино.

Функциональное представление системы связано с пониманием системы как совокупности функций (действий) Для достижения определенной цели. Каждый элемент в системе выполняет определенную функцию.

Синонимом понятия «структура» для функционального представления служит понятие функциональной структуры, или организации.

Организация может быть реализована различными структурами (при этом функциональная сущность систему остается той же, меняется только способ реализации).

Для макроскопического представления характерно понимание системы как нерасчленимого целого. Здесь важно понятие системного окружения.

Под окружающей средой системы понимается совокупность всех объектов, изменение свойств которых влияет на систему и на которые влияет изменение свойств системы. Ни одна система объектов не может быть рассмотрена вне системного окружения. Системное окружение позволяет охарактеризовать систему множеством внешних связей (или внешней структурой), так и совокупностью внешних отношений.

Иерархическое представление системы (как иерархической упорядоченности) основано на понятии подсистемы, или единицы, которые следует отличать от понятия «элемент». Единица обладает функциональной спецификой целого (системы). Система может быть представлена в виде совокупности единиц, составляющих системную иерархию. (Единица может быть разложена на элементы.)

Можно выделить два типа функциональных связей между единицами системной иерархии — горизонтальные — между единицами одного уровня и вертикальные — между единицами различных уровней. Единицы каждого уровня описываются набором вертикальных и горизонтальных связей.

Процессуальное представление системы предполагает понимание системного объекта как совокупности процессов, характеризуемых последовательностью состояний во времени. Основным понятием здесь является понятие периода жизни — временного интервала, в течение которого функционирует данный процесс.

Комплексная система защиты информации — это система организационно-технологического типа. Она характеризуется рядом признаков.

КСЗИ — это система:

— искусственная, т. е. создана человеком;

— материальная, что подразумевает не только объективность ее существования, но и тот или иной уровень материальных и финансовых затрат на реализацию;

— открытая, т. е. возможно ее расширение;

— динамическая — подвержена старению, развитию, движению, прогрессу и регрессу, делению, слиянию и т. д.;

— вероятностная — система характеризуется вероятностью структуры, функции, целей, задач, ресурсов.

Очень важно, рассматривая теорию систем, не забывать о ее связи с проектированием. Даже хорошо работающие компоненты, соединенные вместе, не обязательно составляют хорошо функционирующую систему. В сложной системе часто оказывается, что даже если отдельные компоненты удовлетворяют всем необходимым требованиям, система как целое не будет работать. Для иллюстрации рассмотрим пример проектирования самолета специалистами разного профиля. Если рассмотреть данную систему с точки зрения специалиста по двигателям, то, например, Для электронного оборудования в ней совсем не останется места. Проектировщик фюзеляжа будет заботиться только об оптимальной конфигурации самолета, пренебрегая расположением антенны. Инженер-психолог потребует массу удобств для летчика, не считаясь с затратами. Плановик сведет до минимума затраты… И самолет никогда не полетит.

Комплексная безопасность предприятия

В нынешних реалиях ни одна компания не застрахована от различного вида опасностей и угроз, которые способны нанести бизнесу существенный урон.

Система безопасности предприятия – это система выявления, предупреждения и пресечения посягательств на законные права предприятия, его имущество, интеллектуальную собственность, производственную дисциплину, технологическое лидерство, научные достижения и охраняемую информацию.

Зоны риска

Не является верным утверждение, что безопасность – это в первую очередь физическая защищенность предприятия, так как для бизнеса угрозами также могут являться не только имеющие физическую природу грабеж, порча или уничтожение имущества, но и целый ряд факторов некриминального характера: некомпетентность собственного персонала, недобросовестность конкурентов или партнеров, информационные войны, изменение экономической ситуации и многое другое. Основной целью комплексной системы безопасности является обеспечение для предприятия возможности успешно осуществлять свою деятельность в условиях нестабильности (как внутренней, так и внешней), своевременно распознавать и предотвращать все потенциальные угрозы, защищать всеми законными способами свои интересы, охранять здоровье и жизнь работников предприятия.

Субъекты деятельности по безопасности

Выделяют две группы субъектов, обеспечивающих безопасность предприятия: внешние субъекты и внутренние.

К внешним субъектам относятся органы законодательной, исполнительной и судебной власти, призванные обеспечивать безопасность всех без исключения граждан в отдельно взятом государстве. Деятельность этих органов не может контролироваться самими предприятиями. Они формируют законодательную основу функционирования и защиты хозяйственной деятельности в различных ее аспектах и обеспечивают ее исполнение.

К внутренним субъектам относятся подразделения, ответственные лица либо привлеченные предприятием специалисты, непосредственно осуществляющие деятельность по защите безопасности данного конкретного субъекта хозяйственной деятельности.

Управление безопасностью

Эффективному построению системы защиты компании, как правило, мешает невысокий уровень знаний по этому вопросу, дефицит профессиональных кадров, способных эффективно построить систему безопасности компании, отсутствие практического опыта работы, должной литературы и учебных заведений, готовящих специалистов по безопасности коммерческого предприятия.

Из опыта известно, что компания начинает задумываться о своей безопасности только после того, как возникли проблемы и произошли финансовые потери. Этого можно и нужно избежать.

В первую очередь нужно сказать, что комплексная корпоративная безопасность невозможна без обеспечения руководителей компании информацией, необходимой для всесторонне взвешенного принятия управленческих решений, как стратегических, так и оперативных. Если предприятие претендует на долгую жизнь и непрерывное развитие, необходима правильная обработка и анализ информации о внешней и внутренней среде компании, конкурентах, поставщиках, партнерах, сотрудниках, бизнес-процессах и тенденциях развития рынка.

Все это требуется для минимизации предпринимательских рисков. При этом оптимальная политика руководства предприятия в области создания действительно эффективной системы безопасности состоит в том, чтобы, исходя из имеющихся ресурсов и существующих приоритетов, проводить мероприятия, предусматривающие постепенное повышение эффективности всей системы безопасности.

Принципы построения системы безопасности

Каждая система безопасности – это уникальный продукт. Например, системы безопасности торгового предприятия, транспортной компании или производственной фирмы очень отличаются друг от друга. Тем не менее существуют общие принципы, основываться на которые можно при построении любой системы.

Все мероприятия по обеспечению безопасности можно разделить на 5 категорий:

– прогнозирование возможных угроз;

– организация деятельности по предупреждению возможных угроз (превентивные меры);

– выявление, анализ и оценка возникших реальных угроз безопасности;

– принятие решений и организация деятельности по реагированию на возникшие угрозы;

– постоянное совершенствование системы обеспечения безопасности предприятия.

Организация и функционирование системы безопасности компании должны осуществляться на основе следующих принципов:

Комплексность. Руководство компании должно оценивать все возможные угрозы и, исходя из этого, строить систему безопасности.
Своевременность. Все, что делается для обеспечения безопасности, должно быть направлено в первую очередь на упреждение возможных угроз, а также на разработку эффективных мер предупреждения посягательств на интересы компании.
Непрерывность. Защитные меры должны применяться постоянно. Наиболее эффективным считается непрерывный цикл «планирование – реализация – проверка – совершенствование – планирование – …».
Законность. Система безопасности должна опираться на действующее законодательство с применением всех дозволенных методов обнаружения и пресечения правонарушений.
Плановость. Деятельность по обеспечению безопасности должна строиться на основе специально разработанных планов работы всех подразделений компании и ее отдельных
сотрудников.
Целесообразность. Руководству компании обязательно нужно сопоставлять размер возможного ущерба и затраты на обеспечение безопасности (критерий «эффективность – стоимость»).
Дублирование. Средства защиты должны быть продублированы. Тогда при отказе одного звена системы всегда можно задействовать резервный вариант.
Специализация. Не обязательно все вопросы безопасности решать силами штатного персонала. Для большинства предприятий экономически выгоднее привлекать к разработке и внедрению системы безопасности специализированные организации, сотрудники которых подготовлены к конкретному виду деятельности, имеют опыт практической работы и государственную лицензию на право оказания услуг.
Совершенствование. Меры и средства защиты следует изменять и дополнять, основываясь на собственном ежедневном опыте, отслеживать появление новых технических средств и нормативно-технических требований.
Централизация управления.

Система безопасности должна работать самостоятельно по единым утвержденным в компании принципам. А руководитель организации должен при любых условиях владеть ситуацией. И последнее слово в принятии решения остается неизменно за ним.

Виды угроз для бизнеса

Угрозой безопасности компании считается потенциально или реально возможное событие, действие, процесс или явление, которое способно нарушить ее деятельность. Чтобы предпринимать какие-либо действия для предотвращения нежелательных событий, нужно знать, что в принципе может угрожать предприятию.

Угрозы могут быть постоянными или временными, внешними или внутренними.

В соответствии с общей теорией безопасности выделяют пять базовых угроз:

Угрозы, связанные с конкурентной борьбой.
Угрозы, связанные с человеческим фактором.
Угрозы, связанные с деятельностью государства (коррупция, несовершенство
законодательства, административный ресурс, политика и т.д.).
Угрозы, связанные с организованной преступностью.
Угрозы, связанные с техногенными и природными факторами.

Угрозы предпринимательской деятельности также имеют свою классификацию:

преднамеренные (кражи, нападения, взломы, проникновения на территорию, недобросовестная конкуренция, демпинг, промышленный шпионаж, шантаж, заведомо неправильное оформление договоров, документов и т.д.);
непреднамеренные (природные и технические);
информационные (утечка конфиденциальной информации, уничтожение или несанкционированное изменение информации, порча технических средств приема, передачи, обработки и хранения информации и т. д.);
непреднамеренная некомпетентность (некомпетентность пользователя, ошибки при разработке программного обеспечения, халатность, и т. д.);
экономические (невозврат кредитов, мошенничество, хищение финансовых средств, подделка платежных документов, фальсификация финансовой или бухгалтерской отчетности и т. д.);
объективные (инфляция, конкуренция, экономические кризисы и т.д.);
юридические (незнание либо игнорирование права и юридической составляющей организации и ведения бизнеса).

По степени вероятности угроза оценивается как:

реальная, где вероятность может быть подсчитана, например, исходя из статистики, экспертным методом, методикой группового SWOT анализа и т. д.;
потенциальная.

По всем выявленным угрозам руководителю необходимо определить их уровень в материальном (денежном) выражении. Надо оценить возможные потери от реализации каждой угрозы. В общем случае таковыми потерями можно считать произведение суммы возможного ущерба и вероятности его наступления.

Процесс борьбы с угрозами можно разделить на три этапа:

предотвращение угроз (меры профилактического характера, когда угроза еще не действует, но потенциально существует);
обнаружение угроз (меры, призванные выявить угрозу в момент ее появления);
ликвидация последствий угроз (меры, которые принимаются после прекращения действия угрозы).

Построение системы безопасности компании

Чтобы создать систему безопасности в компании, нужно для начала сформулировать, какие функции будут на нее возложены, определить потенциально опасные объекты, провести анализ степени их защищенности.

Затем следует рассчитать силы и средства, необходимые для обеспечения безопасности: количество людских ресурсов, материально-технических ресурсов, оптимальные затраты на их содержание.

Следующим шагом руководства предприятия является создание органов (субъектов) обеспечения безопасности, будь то подразделение внутри фирмы, назначение ответственных лиц либо заключение договоров со специализированными организациями. Далее, совместно с созданными субъектами, происходит разработка механизмов обеспечения безопасности, ввод в эксплуатацию технических средств, создаются структуры управления всей системой.

После того, как система безопасности начала функционировать, руководителю необходимо осуществлять постоянный контроль над выполнением положений концепции безопасности.

Любая, даже очень хорошо организованная система безопасности нуждается в постоянном развитии и постоянной адаптации к изменяющимся условиям, требует совершенствования форм и методов ее работы.