Какие меры безопасности обычно применяются в организациях

Какие меры безопасности обычно применяются в организациях

Содержание:

• Что такое «информационная безопасность предприятия»?
• Как осуществить контроль информационной безопасности?
• Виды угроз информационной безопасности
• Средства защиты информации
• Обеспечение информационной безопасности предприятий
• Этапы внедрения системы безопасности
• Организационные меры
• Режим коммерческой тайны
• Технические меры
• Итог: как выбрать комплекс мер по информационной безопасности в организации?

Что такое «информационная безопасность предприятия»?

Если говорить просто, то это комплекс мер, которые закрывают три ключевых уровня:

1. Работоспособность некритичных для бизнеса сервисов — например, сайта компании. Компания должна быть готова к банальным DDoS-атакам и прочим киберсредствам нападения.
2. Защита критической информации, к которой относятся персональные данные и коммерческие тайны. Задача ИБ-специалистов защитить ИТ-узлы, чтобы организация могла функционировать и при этом не нести репутационные или финансовые потери.
3. Требования регуляторов. Часто, увидев смету на решения информационной безопасности, руководство компании пытается на них «забить». Государство понимает нежелание организаций тратить деньги на вещи, которые могут не случиться, но, с другой стороны, есть критические процессы, и их необходимо предупреждать, поэтому власти заставляют делать это законодательно.

Три уровня — это минимум, под которым понимается система информационной безопасности организации. Более глобальный вопрос звучит так: кто атакует?

• малоквалифицированные студенты,
• спецслужбы или военизированные группировки, для которых нанести критический урон — прямая задача.

От того, в чьей руке «меч», зависит обеспечение информационной безопасности предприятия.

То, что эффективно против студентов, вряд ли остановит хакеров на службе у государства. Это мы увидели в феврале-марте 2022 года: уровень систем информационной безопасности организаций РФ оказался ниже необходимого из-за выросшего качества атак.

Компании это поняли, поэтому за последний год затраты на ИБ существенно выросли.

Как осуществить контроль информационной безопасности?

Есть несколько способов в организации защиты информационной безопасности:

• Неправильный — когда равномерно тратятся на защиту всей ИТ-инфраструктуры. Чаще всего компании используют именно его.
• Половинчатый — заключается в следовании нормативам регуляторов, когда компания обеспечивает безопасность тех узлов ИТ-инфраструктуры, которые требует государство.
• Правильный — когда компания оценила уровень воздействия событий безопасности на бизнес и понимает, какой компонент ИТ-системы нужно защищать в первую очередь. Для этого необходима серьезная зрелость, но зато такой подход дает бизнесу наибольшую устойчивость.

Виды угроз информационной безопасности

Хотя ландшафт угроз информационной безопасности организации постоянно расширяется за счет новых уязвимостей, основные виды атак остаются примерно одинаковыми.

Среди них можно выделить:

• вредоносное ПО (шифровальщики, вирусы, троянцы);
• SQL-инъекции (фишинг, DoS, перехват данных).

Опасность атаки определяют по специальной модели угроз, которая состоит из нескольких параметров-вопросов:

• Какими ресурсами располагают злоумышленники?
• Сколько времени они готовы потратить на атаку?

Проблема в том, что продвинутый хакер, имея время и ресурсы, попадет в любую систему. Конечно, такое «внимание» уделяют не всем компаниям, и большинство организаций могут подготовиться к возможным проникновениям.

К сожалению, пока что эта «игра» напоминает «Тетрис» — в нее невозможно выиграть.

Средства защиты информации

На сегодня отечественные разработчики создали десятки решений информационной безопасности, которые закрывают все сегменты ИТ-инфраструктуры.

• к контролю доступа,
• защите данных и приложений,
• обнаружению и реагированию на инциденты.

Как правило, многие инструменты идут в связке — это позволяет проводить грамотную политику информационной безопасности организации и обеспечивать комплексную защиту.

Сейчас особенно актуальными считаются межсетевые экраны следующего поколения (Next Generation Firewall, NGFW), которые сочетают несколько решений с единой панелью управления. Это особенно полезно для крупных ИТ-инфраструктур.

Обеспечение информационной безопасности предприятий

В построении системы информационной безопасности организации средства защиты не занимают ведущую роль.

Можно выбрать самое навороченное решение, но бизнес все равно встанет.

Почему? Потому что сначала необходимо разобраться: а какие последствия в принципе критичны.

Об этом необходимо договориться с теми, кто принимает решения, то есть с топ-менеджментом, иначе защита не будет эффективной. Люди, управляющие рисками компании, не воспринимают ИБ-события как неизбежность — это скорее что-то эфемерное, что не случится вовсе, а значит, можно и не вкладываться.

Этапы внедрения системы безопасности

Итак, первым делом необходимо определить критические процессы и договориться об этом с руководством.

Затем анализ продолжается:

• нужно обозначить те бизнес-процессы, в которых нарушения повлекут недопустимые последствия,
• понять, какие ИТ-системы их поддерживают.

Финальный этап — определение возможных инструментов защиты.

К недопустимым последствиям относятся:

1. Утечка данных пользователей;
2. Техногенные катастрофы;
3. Остановка обеспечения услуг компании.

Организационные меры

Такие меры порой позволяют избежать громадных инвестиций и при этом сильно облегчить жизнь. Это банальное введение регламентов, которые бы структурировали работу с ИТ-системами.

Скажем, инструкция по работе с интернетом и жесткое требование:

• не кликать по ссылкам в почте и мессенджерах;
• менять пароль каждые полгода;
• не использовать один и тот же пароль для разных сервисов.

Сотрудникам кажется, что эти мелочи отравляют им жизнь, но на деле — помогают избежать больших проблем. К сожалению, такие регламенты чаще всего вводят зрелые компании, у которых система информационной безопасности предприятия и так выстроена на отлично.

Режим коммерческой тайны

Это отдельная область права позволяет легитимно наказывать людей, раскрывших конфиденциальные данные.

В основном она касается случаев, которые относятся к краже информации, но есть и второй момент. Как известно, слабое место ИБ — это человек, поэтому хакеры часто прибегают к социальному инжинирингу, и «точкой входа» может стать сотрудник компании, который даже не подозревает, что его используют.

В этом случае режим коммерческой тайны действует, как окрик родителя, — предупреждающе, и человек поостережется раскрывать даже незначительную информацию.

Технические меры

ИТ-инфраструктура предприятия в идеале напоминает подводную лодку — отсеки разделены переборками, которые задраиваются в случае проблемы и сохраняют судно на плаву.

На практике это реализуется так: у компании есть ИБ-средства для сегментации доступа, при этом большинство пользователей обладают минимальными правами. Если сотрудник имеет доступ к ограниченному числу сервисов, то и злоумышленнику будет сложнее войти в систему.

Итог: как выбрать комплекс мер по информационной безопасности в организации?

Информационная безопасность предприятия — это масштабная задача, успешность которой зависит от множества факторов.

Компания должна понимать:

• Какие ИБ-события она не может допустить;
• Удар по каким бизнес-процессам станет критическим;
• Какие ИТ-системы поддерживают эти процессы.

Затем нужно обеспечить их защиту. И лишь когда прикрыты критические узлы, можно подумать о полноценной безопасности других компонентов.

При этом нельзя забывать о требованиях регуляторов, которые у каждой отрасли свои. В составлении таких требований участвуют ведущие компании сектора, поэтому их можно считать эталонными.

Фото на обложке сгенерировано с помощью нейросети Midjourney

Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!

Правила корпоративной безопасности

Корпоративная безопасность – это не просто охрана объектов, а комплексная стратегия по защите репутации, данных, сотрудников и объектов коммерческой тайны. Расскажем, как ее правильно организовать.

Основные компоненты

Озаботиться корпоративной безопасностью стоит любым компаниям: не только крупным предприятиям, но и малому и среднему бизнесу. Буквально каждой организации есть что терять.

Молчание — золото. Что такое коммерческая тайна и почему ее нужно хранить

Сложность в создании системы корпоративной безопасности заключается в разнонаправленности усилий. Их придется приложить ко всем сферам деятельности компании, а не только к тем, которые стандартно входят в зону ответственности СБ.

• Физическая – речь идет защите сотрудников и инфраструктуры предприятия. Организовать ее сравнительно несложно. В большинстве компаний реализованы нужные меры: пропускная система на входе, наличие охраны, а также внутренний контур безопасности.

Полнота мер зависит по большей части от размера и статуса организации. Наибольшую сложность, как ни странно, представляет защита инфраструктуры от внутренних угроз, порой непреднамеренных.

• Правовая – ее должны обеспечивать юристы и отдел кадров. Здесь основные риски – возникновение нарушений законодательства со стороны сотрудников, которые должны вовремя пресекаться.

Элементарные ошибки в кадровом учете, например, не выданная в должный срок трудовая книжка, могут стать причиной проверки трудовой инспекции, штрафов и судебных разбирательств.

• Информационная – о ней сейчас наслышаны все. Здесь риски одни из самых больших. Вирус, занесенный во внутреннюю систему компании, может стать причиной потери важной информации.

По новому ФЗ-266 на бизнес возлагается повышенная ответственность за утечки персональных данных клиентов.

Кадровая – актуальна по большей части для крупных компаний, но и мелких может уберечь от серьезного ущерба. Тут подразумевается защита от ухода ключевых сотрудников, которые могут увести с собой не только собственные компетенции, но и ценные внутренние наработки.

Обеспечение репутационной безопасности требует быстрой реакции и слаженной PR-стратегии. Даже у крупных компаний с этим бывают проблемы.

• Управление рисками – самая сложная часть в системе корпоративной безопасности. Здесь источником угрозы становятся необдуманные решения менеджмента компании.

Например, рискованные инвестиции, работа с нестабильными поставщиками, закупки дешевого, но ненадежного оборудования.

Главные проблемы корпоративной безопасности

Центральной сложностью остается процесс координации. По факту за безопасность не может отвечать одна служба. Этим должны заниматься сотрудники из разных подразделений: HR и отдела кадров, ИТ, PR, маркетинга, юридической и финансовой службы, а также топ-менеджмент.

Что мешает выстроить систему безопасности:

• Нет мотивации у руководства . Пока проблема не произошла, в ее реальность зачастую не верят. Потратить деньги, время и ресурсы нужно сейчас, а измеримой пользы по итогу не будет.

Это демотивирует проявлять усилия и выстраивать систему безопасности. Но только до тех пор, пока бизнес на практике не столкнется с проблемой как с совершившимся фактом. Но и тогда есть опасность не рассматривать безопасность в комплексе, а разгребать последствия уже случившегося инцидента.

• Противодействие персонала. Люди в принципе склонны с недоверием относиться ко всему новому. А внедрение мер корпоративной безопасности со стороны сотрудников может выглядеть дополнительной бюрократической нагрузкой, за которую им не собираются платить.

Из-за этого персонал может относиться к мерам безопасности как к формальности, которую нужно обойти. Молчаливое противодействие может в свою очередь заставить топ-менеджмент затормозить процессы из-за страха потери кадров.

• Экономия. Не все способны полностью представить себе риски. А профессиональные безопасники не всегда могут правильно «продать» необходимость своих услуг. В итоге бизнес не понимает, за что платить, если все нормально работает.
• Отсутствие квалифицированных кадров. Комплексной корпоративной безопасности практически не учат. Большинство людей, занятых в этой сфере, специализируются на обеспечении физической безопасности либо на защите данных.

Чаще бывает проще обучить внутреннего сотрудника, хорошо понимающего бизнес-процессы в компании, чем искать компетентного специалиста на рынке.

Для повышения мотивации персонала предложите им улучшенный зарплатный проект. Воспользуйтесь возможностями Совкомбанка.

С зарплатной картой «Халва» ваши сотрудники смогут позволить себе больше! Подключите зарплатный проект, а ваши работники сами решат, как им расплачиваться за товары и услуги: своими средствами или деньгами банка в рассрочку. В их распоряжении будет большой выбор банковских и страховых продуктов на специальных условиях.

Ключевые правила корпоративной безопасности

Чтобы предприятие было надежно защищено, разработайте комплексную стратегию. Разберем основные моменты, которые должны в нее входить.

• Контроль данных

Это относится к информационной безопасности на предприятии, но не только к ней. В целом вся информация в организации должна храниться в строгом порядке. Перед началом работы над безопасностью нужно провести исследование и упорядочить данные. Затем настроить права доступа: каждый сотрудник должен понимать, какая информация находится в его компетенции, а какая нет.

• Единая политика

Здесь придется написать регламенты для самых разных служб: начиная с правил пользования персональными компьютерами и заканчивая политикой публичного раскрытия данных для пиарщиков. Цель та же, что и в предыдущем пункте. Каждый сотрудник должен хорошо представлять себе, что и как он имеет право делать, чтобы не нарушить правила безопасности.

В целом такие регламенты хорошо отражаются на всех бизнес-процессах компании. Создание единых политик позволяет быстро ввести новичков в курс дела, что экономит ресурсы при адаптации новых сотрудников.

• Реакция на инциденты

Правила безопасности время от времени нарушают все. Каждый такой случай нужно анализировать и проделывать работу над ошибками. Сделанные выводы сразу вносите в базу знаний. В противном случае велика вероятность повторения инцидентов.

• Координация и субординация

В системе корпоративной безопасности важно предусмотреть ответственность. То есть сотрудники должны понимать, кто и за что отвечает, к кому обратиться и какие алгоритмы нужно применить.

Большинство проблем с безопасностью вытекают из «человеческого фактора». Соответственно, один из важнейших рисков – перекладывание ответственности и нежелание брать ее на себя. Решается этот вопрос разработкой инструкций и регулярными встречами с заинтересованными лицами.

• Прозрачность

С одной стороны, все сотрудники компании должны быть в курсе тех мер безопасности, которые они должны соблюдать, возможных последствий и требуемых реакций на инциденты.

С другой – знать все о системе корпоративной безопасности могут только считанные ответственные лица. В противном случае при наличии злого умысла любые правила будет несложно обойти.

• Экономичность

Работая над корпоративной безопасностью, легко увлечься. Но нужно понимать, что любые меры должны подчиняться бизнес-логике. То есть защита чего-то бы то ни было не может стоить дороже, чем сам объект охраны. В этом деле требуется правильно проводить оценку потенциального ущерба.

Главное не забывать, что профилактика всегда обходится дешевле, чем ликвидация последствий.

• Последовательность

Корпоративной безопасностью нельзя заниматься время от времени. Стратегия должна быть последовательной и непротиворечивой, а меры – регулярными. В противном случае компания потратит деньги, но получит нулевой, если не отрицательный результат.

Правильно выстроенная стратегия позволит смотреть на проблему безопасности как на процесс. А это дает возможность оперативно реагировать на любые меняющиеся обстоятельства.

Как организовать процесс обучения персонала в компании

Минимальные меры корпоративной безопасности

У малого и среднего бизнеса не всегда есть ресурсы для написания регламентов, найма профессионалов и создания сложных систем. Но даже в условиях ограниченных ресурсов заниматься корпоративной безопасностью можно и нужно.

Как это сделать? Провести соответствующее обучение для сотрудников.

1. Обозначить угрозы и научить их распознавать. Все сотрудники должны знать, какие проблемы могут возникнуть в их зоне ответственности. Что касается информационной безопасности, то об угрозах в этой сфере должен иметь представление весь штат.
2. Проводить анализ. Персонал должен уметь правильно рассчитывать уровень опасности, хотя бы примерно, прикидывать возможный ущерб и понимать, кому делегировать полномочия, если своих недостаточно.
3. Реагировать на угрозы. Здесь придется создать готовые решения по работе с инцидентами. Например, пиарщики или маркетологи должны отслеживать негативные отзывы, сразу же отвечать недовольному клиенту, решать его проблему и выносить результат в публичное поле.

У малого и среднего бизнеса не всегда есть ресурсы, чтобы организовать проверку контрагентов. Совкомбанк – на страже безопасности.

Хотите проверить контрагента на благонадежность, но не знаете, как это сделать? Клиенты Совкомбанка не задаются этим вопросом, а пользуются специальным сервисом «Проверка контрагентов» в интернет-банке. Проверяйте партнеров и будьте спокойны за свой бизнес.

Это минимальный набор для обеспечения корпоративной безопасности. Но желательно все-таки вести документацию. Любые правила, зафиксированные в письменном виде, имеют больший вес, и игнорировать их становится сложнее.

Чем меньше компания, тем меньше формализма должно быть в правилах корпоративной безопасности. В противном случае они начнут просто мешать текущей деятельности и негативно повлияют на атмосферу в коллективе.

Построение корпоративной безопасности: как определить угрозы и обеспечить комплексную защиту бизнеса

В 2021 году охранная система каждого более или менее крупного бизнеса должна быть не только физической, ведь сегодня угрозы корпоративной безопасности могут принимать практически любой, даже самый простецкий вид. Повсеместная глобализация принесла огромное количество преимуществ, но с повальным развитием технологий у предпринимателей появилось множество проблем, касающихся защиты информации. Человек, сумевший добраться до сведений о своих конкурентах, получает мощный перевес для работы на рынке, тем самым превращаясь в настоящего монополиста. Именно поэтому абсолютно каждой организации следует надежно хранить свои данные, предваряя все попытки несанкционированного вторжения.

Что значит комплексная безопасность компании

Нетрудно догадаться, что в современных реалиях вопросы, связанные с охраной тех или иных особо важных данных, выдвигаются перед каждым предприятием, вне зависимости от вида осуществляемой деятельности, организационно-правовой формы и места, занимаемого в отрасли. Всевозможные утечки, связанные, например, с документацией, способны нанести непоправимый ущерб интересам фирмы, в том числе и благодаря усилению позиций конкурентов. К счастью, в 2021 году владельцы разных типов бизнеса могут оперировать целыми перечнями различных средств и систем, не допускающих утечки важной информации.

Сегодня под термином о корпоративной безопасности подразумевается понятие о целом комплексе различных мероприятий, нацеленных на повсеместную протекцию экономических, технических и юридических выгод какой-либо организации. Причем абсолютно все меры внедряются в структуры корпорации пошагово, в соответствии с этапами изначально проработанного и продуманного плана. Выполнить все операции наскоком и рядом быстрых решений не получится: в современных реалиях высокие заборы и охранные посты не представляют собой особой проблемы для злоумышленников. Нынешние бизнесмены борются буквально за каждого клиента, и любая утечка способна решить исход рыночной коммерческой битвы.

Внешние и внутренние угрозы корпоративной безопасности компании

К числу самых популярных проблем, с которыми сталкиваются владельцы бизнеса, не позаботившиеся о должной протекции наличествующих сведений, относятся:

Памятка на случай угроз: как обеспечить внутреннюю и внешнюю безопасность компании

Любая компания ежедневно подвергается рискам — правовым, репутационным, экономическим и программным. Их — десятки. Они могут быть незначительными — из-за мелких оплошностей и недосмотра персонала (не отправили вовремя договор или не подписали документы). А могут быть и довольно серьёзными — утечка баз данных, материальные и репутационные потери и даже разорение предприятия.

Любая компания ежедневно подвергается рискам — правовым, репутационным, экономическим и программным. Их — десятки. Они могут быть незначительными — из-за мелких оплошностей и недосмотра персонала (не отправили вовремя договор или не подписали документы). А могут быть и довольно серьёзными — утечка баз данных, материальные и репутационные потери и даже разорение предприятия.

Какой бы ни была угроза, её необходимо своевременно выявить, а лучше — предотвратить на корню. Необходимо иметь понимание: откуда и какой опасности можно ожидать, какие действия или бездействия являются рискованными и чего такие риски могут стоить.

Какими бывают корпоративные угрозы

Корпоративные угрозы можно разделить на несколько видов (таблица 1).

Таблица 1. Виды корпоративных угроз

Источники угроз

В зависимости от места возникновения

Некачественный отбор персонала.

Нарушение сотрудниками правил трудового распорядка.

Действия сотрудников, причиняющие предприятию материальный и (или) репарационный ущерб.

Действия рейдерских компаний или отдельных лиц, направленные на захват управления или имущества компании.

Действия конкурентов, направленные на подрыв репутации компании, кражу интеллектуальной собственности, коммерческой тайны.

Экономический террор по отношению к компании.

Поступки физических лиц, вызванные личной неприязнью к компании, её руководству или персоналу, нацеленные на подрыв репутации компании и (или) порчу имущества.

Незаконные действия госорганов и силовых структур.

В зависимости от фактора воздействия

Возникают по причинам экономических кризисов, инфляции, санкций.

Могут возникнуть ввиду мошеннических действий, недобросовестной конкуренции, демпинга, промышленного шпионажа.

Заведомо неправильное оформление документов.

Возникают из-за правовой неосведомлённости.

Связаны с разглашением, использованием, искажением или уничтожением конфиденциальной информации, порчей используемого для приёма и хранения данных оборудования.

Ошибки при разработке ПО, халатность сотрудников, отказ техники

Связаны техногенными авариями и природными явлениями.

Взломы, кражи, непреднамеренное проникновение на территорию и т.п.

Кроме этого, угрозы можно классифицировать по уровню допустимости — на реальные и потенциальные.

Справка! Потенциальная угроза — это опасность «в зачатке», формирование предпосылок к возможному нанесению вреда. Реальные угрозы представляют собой окончательно сформировавшееся явление, когда для нанесения вреда недостаёт одного или нескольких условий. Вероятность реальной угрозы можно подсчитать исходя из теистических данных, с помощью экспертных методов, методами группового SWOT-анализа.

Руководитель компании для каждой обнаруженной угрозы должен просчитать уровень возможных потерь в материальном или денежном выражении.

Как обеспечить безопасность организации: 10 принципов

Защитным «куполом» от внешних и внутренних угроз для компании станет комплекс мер по обеспечению корпоративной безопасности.

Система безопасности должна быть уникальной для каждой компании, что во многом зависит от рода деятельности. Но есть общие принципы, которые можно взять за основу.

Итак, система безопасности должна быть:

1. Комплексной. Руководство должно учесть все потенциальные угрозы.
2. Целесообразной. Расходы на безопасность нужно сопоставить с размерами потенциального ущерба
3. Постоянной. Цикл защиты должны работать непрерывно по цепочке: планирование — тестирование — внедрение — совершенствование — планирование.
4. Своевременной. Каждое мероприятие по созданию безопасности должно быть направлено на предупреждение возможных угроз и содержать алгоритмы по недопущению посягательств на ценности компании.
5. Специализированной. Для работы с системой следует использовать специально обученных и подготовленных специалистов.
6. Заменяемой. Способы защиты рекомендуется дублировать, чтобы иметь запасной вариант в случае выпадения одного из звеньев системы безопасности.
7. Централизованной. Система безопасности компании должна функционировать в соответствии с общими утверждёнными принципами и контролироваться руководителем организации.
8. Плановой. Защита должна укрепляться в соответствии с планами, разработанными для каждого подразделения, отдела, отдельных сотрудников компании.
9. Законной. Безопасность компании должна обеспечиваться в рамках действующего законодательства.
10. Прогрессивной. Средства и меры защиты нужно постоянно совершенствовать и дополнять, следить за выходом поправок в законах и методиках, техническими новинками.

Строим систему безопасности: с чего начать

Прежде всего проведите аудит процессов компании и выделите те из них, которые требуют защиты. По итогу аудита нужно составить список слабых мест, конфиденциальных данных компании, отделов, где они используются и допущенных к ним лиц. Также проанализируйте, случались ли ошибки, утечки сведений, и когда это было в последний раз. Не обойдётся без мелких нарушений и оплошностей со стороны сотрудников. Это вполне рабочие моменты, но нужно подумать о том, как их предотвратить или свести к минимуму. Для слабых мест нужно просчитать вероятность наступления негативных моментов (сбои работы систем, проникновения на территорию, кражи данных и т.п.) и размер возможного ущерба, который может понести компания.

Далее можно придерживаться несложного пошагового алгоритма

1. В зависимости от слабых мест и угроз, характерных для конкретной сферы деятельности определите цели и задачи системы безопасности. К примеру, для IT-компаний в приоритете защита от утечек информации, если компания реализует смартфоны или ювелирные изделия, потребуется предотвратить возможные вторжения и внутренние кражи.

2. Разработайте «Политику безопасности предприятия». Это основной документ, необходимый для защиты от угроз. В него можно включить:

• описание потенциально опасных ситуаций;
• описание система безопасности компании и её задач;
• методы оценки состояния безопасности;
• материально-техническую базу;
• меры по реализации основных положений концепции безопасности и контроля.

«Политика безопасности» подписывается руководителем компании.

3. Назначьте ответственных или сформируйте отдел. Курировать такие вопросы и заниматься разработкой охранных мероприятий может непосредственно руководитель организации. Если компания небольшая, можно доверить такую работу отдельному сотруднику. Для крупного предприятия целесообразно создать службу безопасности с привлечением обученных специалистов или передать такую функцию на аутсорсинг.

Совет! При разработке стратегии руководствуйтесь принципом рациональной достаточности и адекватности действий. Расходы на обеспечение безопасности не должны превышать сумму возможных потерь в случае возникновения негативных ситуаций.

4. И снова — аудит. Но на этот раз будем проверять на прочность саму систему безопасности. Такие проверки бывают двух видов — внутренние и внешние (таблица 2)

Таблица 2. Особенности аудита службы безопасности

Виды аудита

Цели аудита

Объекты аудита

Проводится для выявления и исправления ошибок службы безопасности и защиты от потенциальных рисков, вызванных некомпетентностью работников службы, их недостаточным взаимодействием с другими подразделениями.

• эпизоды биографии и квалификацию работников;
• степень профессиональной подготовки;
• методы сотрудничества службы безопасности с другими подразделениями;
• виды и качество профессиональных мероприятий службы безопасности.

Комплекс мер направлен на проверку эффективности реакции на угрозы извне.

• эффективность реагирования на вторжения в зону охраняемой территории;
• оперативность обнаружения «жучков» и других возможных средств слежения;
• режимы денежных перевозок и перемещений товаров;
• внеслужебные связи сотрудников (как они могут влиять на отношение сотрудника службы безопасности к работе);
• функциональность технических систем по контролю доступа.

Для проверки службы безопасности можно привлечь сторонних специалистов, в частности, это целесообразно для внешнего аудита. По завершении проверки составляется отчёт. В нём прописываются слабые места службы безопасности, которые необходимо устранить.