Руководителю о комплексной безопасности предприятия (основные понятия)

Руководители по определению должны знать «многое и обо всем», чтобы принимать эффективные управленческие решения, успешно достигать поставленных собственниками целей, принимая во внимание даже самые специфические и, казалось бы, далекие от администрирования области деятельности предприятия. Именно для руководителей, чьи взгляды, как показывает практика, предсказуемо формируют основу бизнеса, предназначен данный материал, раскрывающий основные понятия сферы комплексной безопасности предприятия.

1. Безопасность предприятия.

Безопасность – это состояние защищенности. Но, учитывая, что любое состояние есть лишь одно из множества других возможных состояний, добавим: безопасность – это состояние оптимальной защищенности, что сразу переводит обсуждение в экономическую плоскость, позволяет подчеркнуть необходимость принятия решений исключительно на основе тщательных экономических расчетов, традиционно нелюбимых для большинства специалистов служб безопасности (СБ) предприятий.

2. Безопасность предприятия – всегда экономическая безопасность.

Обеспечение безопасности бизнеса на микроуровне всегда защищает экономику предприятия: любые решения (в том числе в сфере безопасности) принимаются с точки зрения соотнесения вложенных средств и ожидаемого эффекта, любые ошибки обеспечения безопасности предприятия, размер ущерба можно выразить в обыкновенной денежной форме.  

Руководитель (с учетом имеющихся «нюансов» сферы обеспечения безопасности на фоне, зачастую, слабого понимания самим руководителем вопросов экономической целесообразности создания СБ) должен в первую очередь сам обладать базовыми знаниями в данной сфере и на основании этого  в дальнейшем требовать от собственной службы применения унифицированных экономических подходов, прозрачности в расчетах и их обоснованности. Это позволит устранить завесу неоправданной таинственности, избранности, которая по-прежнему окружает обеспечение безопасности бизнеса, намеренно выталкивая ее из сферы практической целесообразности (причем часто в личных интересах конкретных лиц). Кроме того, позволит выстроить защитные механизмы и исключить ситуацию, когда мифические угрозы и надуманные риски вызывают нерациональную трату драгоценных ресурсов предприятия. Причем с весьма размытыми формулировками обоснования их расхода («делаем все, что обычно требуется», «у нас тут, в общем, все в порядке»).

3. Безопасность предприятия – всегда комплексная безопасность.

Отдельные сферы безопасности (кадровая, информационная, технологическая, налоговая и др.) составляют вместе единый комплекс, взаимно дополняют друг друга. По сути, лишь комплексно можно обеспечивать безопасность, что и определяет базовые требования к системе защиты: использование разнородных, взаимодополняющих частей, не имеющих противоречий и слабых мест «на стыках».

Комплексность обеспечения защиты предприятия выражается интегральным показателем безопасности, когда  при недопустимом значении любого из составных элементов расчета, общее значение, независимо от величины других частей, обращается в нуль, сигнализируя о состоянии незащищенности объекта.

Для иллюстрации комплексности защиты предприятия обычно предлагают представить монолитную плотину, в которой не может быть трещин, или дом, где хранятся ценности, в стенах которого (по понятным причинам) не должно быть дырок.

4. Базовые правила обеспечения безопасности предприятия:

- учет специфики (недопустимо применение готовой, стандартной системы защиты предприятия, без адаптации к конкретным условиям);

- принятие минимального уровня риска (полностью устранить который невозможно);

- превентивный характер защиты (приоритет мер предупреждения);

- отсутствие негативных эффектов (простота и приемлемость, отсутствие помех для бизнеса);

- законность и этичность мер защиты;

- альтернативность (существование разных вариантов реализации);

- количественная оценка (рисков, мероприятий, результатов);

- избирательность экспертизы (зарубежный опыт, сторонние рекомендации следует применять осмотрительно);

- интегрированность (выполнение элементами системы нескольких функций защиты одновременно);

- минимизация информации о защитных построениях предприятия (чем больше известно о системе защиты, тем проще оказать деструктивное воздействие);

- высокое значение аналитической обработки информации, применения методов статистики, сценарного моделирования и др.

5. Концептуальная модель обеспечения безопасности предприятия (рис.1) включает следующие элементы:

- объекты защиты (что именно планируется защищать);

- субъекты защиты (кто будет осуществлять защиту);

- угрозы (от кого (чего) будут осуществляться защитные мероприятия);

- направления, методы, средства, мероприятия защиты (как именно планируется осуществлять защиту).

Субъекты защиты с направлениями, методами, средствами и мероприятиями составляют систему защиты предприятия.

Кроме этого, существуют и другие термины в рассматриваемой области: уязвимость (внутреннее свойство объекта защиты – его способность противостоять угрозам), «модель нарушителя» (основные составляющие деструктивного воздействия) и т.д.

6. Разделение среды предприятия на внешнюю и внутреннюю составляющие.

С целью достижения оптимальности защитных механизмов, по направлениям, которые в большей мере зависят от предприятия (обычно это внутренняя среда), целесообразно создавать систему противодействия (в отличие от объективной внешней среды, где, как правило, более эффективно формирование резервов, страхование и другие аналогичные защитные меры).

7. Альтернативы создания системы защиты предприятия:

- подходы: структурный (превентивный, стратегический характер защиты) и программно-целевой (реактивная, постепенно эволюционирующая система);

- варианты выделения ресурсов: минимальный (ничего не создавать), реальный (защитить критически важные направления), оптимистичный (защитить все, что необходимо с точки зрения специалистов СБ);

- варианты, определяющие размеры выделяемого финансирования: стоимостной (сколько необходимо), затратный (на определенную сумму средств защитить самое важное), комбинированный.

8. Базовые документы обеспечения безопасности предприятия, где закреплены основные положения системы защиты:

- концепция безопасности (система официально принятых взглядов на ценности и интересы бизнеса, угрозы этим ценностям и интересам  и способы их защиты от существующих и потенциальных угроз);

- политика безопасности (основные направления (курс) деятельности по достижению целей бизнеса на определенном этапе его развития);

- матрица угроз (наглядное представление имеющихся угроз на основе анализа вероятности их наступления и размера возможного ущерба);

- инструкции, матрицы взаимодействия, регламенты и др. (документы, отражающие конкретные действия должностных лиц в процессе обеспечения безопасности предприятия).

9. Алгоритм обеспечения безопасности предприятия.

Деятельность по обеспечению безопасности предприятия условно можно представить в виде универсального алгоритма, который как детализирует этапы, ее последовательность и содержание (является  основой будущего плана работы, определяя адресность планируемых затрат), так и выражает цикличную повторяемость в целях поддержания требуемого уровня эффективности:

- определение показателей безопасного функционирования;

- аудит существующих условий защиты (как достаточность мер защиты, так и отсутствие перерасхода ресурсов);

- определение задач, для устранения выявленных недостатков;

- подбор релевантных направлений, методов, мероприятий защиты;

- определение порядка реализации защитных мер, назначение ответственных, финансирование, осуществление требуемых действий;

- оценка достигнутого состояния.

Вот, по сути, и весь минимально необходимый руководителю объем информации о комплексной безопасности предприятия. И, если существующие или потенциальные должностные лица вашей службы безопасности не в состоянии вести унифицированный диалог в стандартных терминах, моделях, документах, алгоритмах указанных выше, то… сами решайте, что с ними делать.