Служба безопасности в коммерческой организации
Одно из центральных мест в организации защиты информации, составляющей коммерческую тайну, а следовательно, и в обеспечении экономической безопасности крупных и средних коммерческих компаний занимает создание службы безопасности. Основными задачами службы безопасности являются обеспечение охраны предприятия, производства, продукции и защита коммерческой информации. Рассмотрим основные принципы ее функционирования. Служба безопасности является отдельным структурным подразделением и, как правило, находится в прямом подчинении руководителя компании. Его исключительной прерогативой является также назначение и освобождение от должности начальника службы безопасности и его заместителей. Правовой статус службы безопасности, задачи, функции, структура, права и обязанности сотрудников должны быть закреплены в Положении о службе безопасности.
Вопрос подбора персонала службы должен определяться, исходя из особенностей осуществляемого компанией вида производственно-коммерческой деятельности. Даже неспециалисту ясно, что составы службы безопасности банка и сети обувных магазинов будут существенно отличаться. Вообще, действует общий принцип - чем более "наукоемким" видом деятельности занимается компания, тем больше специалистов инженерно-технического профиля должно входить в штат службы. Это и понятно - повышается значение функции по обеспечению информационной безопасности.
К числу основных функций по обеспечению информационной безопасности независимо от сферы деятельности компании можно отнести следующие:
1) анализ целесообразности отнесения той или иной информации, касающейся деятельности фирмы, к категории конфиденциальной. На основе такого анализа разрабатывается перечень сведений, составляющих коммерческую тайну. Анализ проводится систематически с целью своевременного реагирования на происходящие изменения;
2) подготовка перечня должностей работников фирмы, которые при исполнении своих служебных обязанностей имеют право знакомиться с определенными сведениями, составляющими коммерческую тайну. Установление процедур допуска к конфиденциальным сведениям;
3) разработка порядка обращения с носителями конфиденциальной информации (технологии создания, учет, правила работы, хранение, пересылка, транспортировка, размножение, уничтожение);
4) составление перечня помещений, выделенных для проведения работ, а также постоянного или временного хранения носителей информации, составляющей коммерческую тайну. Выработка требований, предъявляемых к оборудованию таких помещений, и проверка их пригодности. Определение порядка доступа в эти помещения;
5) осуществление профилактических технических мероприятий с целью недопущения утечки закрытой информации по техническим каналам;
6) разработка порядка и контроль за проведением закрытых совещаний и переговоров;
7) осуществление пропускного и внутриобъектного режимов (разграничение доступа в помещения);
8) правовой анализ подготавливаемых локальных нормативных актов, договоров с контрагентами на предмет их соответствия требованиям регламента обеспечения безопасности;
9) установка технических средств охраны, обеспечение их бесперебойного функционирования;
10) систематический контроль выполнения режимных требований;
11) проведение служебных расследований по фактам утечки конфиденциальной информации.
Для осуществления своих функций службе безопасности должны быть предоставлены следующие права:
1) давать сотрудникам и руководителям структурных подразделений обязательные для исполнения рекомендации по вопросам
обеспечения информационной безопасности; проводить их обучение и инструктаж;
2) контролировать состояние и надежность режима коммерческой тайны;
3) выходить с ходатайством о внесении изменений и дополнений в локальные нормативные акты в рамках своей компетенции;
4) проводить расследование фактов утечки информации, составляющей коммерческую тайну, нарушений требований регламента обеспечения безопасности. Ходатайствовать перед руководством об отстранении и привлечении к ответственности виновных лиц;
5) ходатайствовать о поощрении сотрудников компании, активно участвующих в работе по предупреждению разглашения конфиденциальной информации.
В качестве примера осуществления одной из своих обычных функций рассмотрим типовую схему действий службы безопасности при подготовке и проведении закрытых совещаний и переговоров.
На начальном этапе руководством компании определяется предмет переговоров или вопросы, которые необходимо обсудить на совещании, а также участники этого мероприятия. Кроме того, выбирается наиболее удобное время проведения, после чего информация о месте, времени и приглашенных лицах поступает начальнику службы безопасности. С этого момента начинается этап непосредственного планирования мероприятий по обеспечению конфиденциальности переговоров или совещания. Разрабатывается пошаговый план, который должен включать в себя такие пункты, как:
1) предварительная проверка помещений, в которых будут происходить переговоры или совещание, на предмет наличия подслушивающей аппаратуры, в отдельных случаях, для проведения особо важных переговоров помещение должно быть оборудовано экранами и генератором шума;
2) встреча прибывающих лиц (следует обратить внимание на то, что приглашенных лиц могут сопровождать сотрудники их службы безопасности или телохранители, поэтому необходимо заранее скоординировать степень их участия и полномочия во избежание недоразумений с "коллегами", кроме того, следует заранее проконсультироваться с руководством о возможности проноса гостями аудио- или видеоаппаратуры, сотовых телефонов, пейджеров и носимых радиостанций);
3) с целью недопущения провокаций и других возможных инцидентов необходимо предусмотреть охрану и контроль за оставленной одеждой, вещами и машинами приглашенных;
4) при наличии предварительной информации о неприязненных отношениях между кем-либо из приглашенных (особенно, при наличии у них собственной охраны) необходимо быть готовыми к предупреждению и локализации возможных конфликтов;
5) выявление лиц, не включенных в список приглашенных, находящихся на мероприятии или в смежных помещениях, а также всех подозрительных лиц.
В плане за каждым пунктом должен быть закреплен ответственный за его выполнение сотрудник. Кроме того, разрабатывается общая схема дислокации сотрудников службы безопасности и привлеченных специалистов. На стадии непосредственного проведения мероприятий каждый задействованный сотрудник должен действовать точно в соответствии с разработанным планом. В ходе рабочего этапа сотрудники службы безопасности (охранного предприятия) должны точно выполнять свои обязанности, оговоренные на стадии подготовки. При этом особо следует отслеживать следующие моменты: опоздавшие участники мероприятия должны подвергаться такому же тщательному осмотру, как и все остальные (возможно, они специально задержались в надеже, что после начала совещания пропускной режим будет ослаблен, и под видом спешки удастся пронести запрещенные предметы или провести лицо, не включенное в список приглашенных).
Необходимо учитывать, что стопроцентной гарантии отсутствия радиозакладок в помещении, где проходит совещание или переговоры, а так же в смежных помещениях не может дать даже самая тщательная проверка. Поэтому нужно максимально расширить область контролируемой зоны вокруг места проведения мероприятия, в идеале - до границ зоны досягаемости действия приемной аппаратуры. Лучше, конечно, подобрать помещение без окон, но если это невозможно, сотрудники службы безопасности должны заранее позаботиться, чтобы под окнами не было припаркованных автомобилей (если здание, где происходят переговоры или совещание, находится в городе рядом с оживленной дорогой, в опасной близости заблаговременно "паркуют" свои автомобили с таким расчетом, чтобы "чужак" не смог оставить машину в опасной зоне). После окончания мероприятия снова осуществляется зачистка помещений, в которые имели доступ приглашенные. Проверяются сувениры и подарки от гостей - современная техника позволяет установить закладку даже в достаточно мелкие предметы. Целесообразно проанализировать ход всей операции с целью выявления возможных недочетов в планировании и действиях сотрудников службы безопасности.
Если у небольшой фирмы нет возможности обеспечить безопасность ведения конфиденциальных переговоров в офисе, некоторые предприниматели предпочитают для таких целей использовать рестораны или другие подобные заведения. Бытует мнение, что музыка и общий гвалт голосов служат надежной защитой от использования направленных микрофонов и других видов прослушивающих устройств. Однако для современного оборудования живой оркестр не помеха, а статичное положение очень облегчает задачу любопытствующей стороне. Гораздо целесообразней использовать для этой цели автомобиль. Какое именно транспортное средство будет использовано для этой цели, должен знать очень узкий круг людей. Перед началом сотрудниками службы безопасности также проводится зачистка автомобиля для защиты от закладок. Переговоры можно начинать только после начала движения автомобиля. Следует придерживаться правила - при вынужденных остановках (светофор, наличие помехи и т.д.) вопросы конфиденциального характера обсуждаться не должны. Естественно, окна в автомобиле на всем протяжении операции должны быть плотно закрыты.
На одном примере организации закрытых переговоров видно, сколько задач приходится решать службе безопасности для предотвращения возможных утечек информации. Естественно, все это требует значительных затрат, но если не позаботиться об информационной безопасности бизнеса, потери будут несравнимо больше.