Журнал ТЗ № 2 2015 | Особенности проведения аудитов объектовой безопасности
  бюро находок  
  Где искать        
наши издания
наши анонсы






2015
№ 2
статьи



Журнал ТЗ № 2 2015



Раздел: Инсталляция
Тема:
Автор: Леонид МЕДВЕДЕВ, преподаватель учебного центра «Информзащита»

Особенности проведения аудитов объектовой безопасности

Практика проведения аудитов в бизнесе уже давно стала повседневной обыденностью. Причем компании проходят не только обязательные, необходимые для сертификации предприятия, но и внутренние аудиты, а также аудиты компаний-партнеров (аудиты второй стороны). И только там, где речь идет о безопасности, термин «аудит» часто воспринимают настороженно или вообще откровенно враждебно. Иногда доходит до смешного: разговариваю с хозяином крупного розничного магазина. Хозяин жалуется, что воруют много.
«Камеры, – говорит, – поставил. Рамки и сканеры поставил, чипы на всю продукцию налепил, а все равно ворую»т. Просит: «Ты же эксперт, посмотри, где еще есть дыры. Отблагодарю!» Чтобы выявить все дыры в системе безопасности и выработать оптимальную стратегию защиты, я предлагаю провести полноценный аудит. В ответ слышу: «Не, аудит не нужно. Ты так просто посмотри, а я заплачу». Спрашиваю: «Почему аудит не нужно?» В ответ слышу: «Дорого, и ты будешь везде лазить, всюду нос совать». Я, в свою очередь, интересуюсь, как же человек представляет себе поиск уязвимостей в системе безопасности. В ответ слышу: «Ты же профессионал. Походишь по магазину, посмотришь и сразу все увидишь»
Я – профессионал и могу просто походить, и просто посмотреть. И скорее всего, просто походив и посмотрев, выявлю какие-либо недостатки в системе охраны. А другой профессионал, также походив и посмотрев, тоже выявит недостатки, но уже другие. Практика показывает, что при подобном подходе у разных профессионалов список выявленных недостатков может различаться довольно значительно, особенно если профессионалы имеют разную специализацию, к примеру, один специалист по СКУД, другой – по видеонаблюдению, а третий – по информационной безопасности.

Аудит же – инструмент универсальный, гибкий и удобный, он позволяет существенно нивелировать эту разницу, при условии, что все его участники придерживаются стандарта.
Стандартизация процесса, жестко прописанная в ГОСТ-Р, является несомненным плюсом, а вот гибкость инструмента может оказаться как плюсом, так и минусом. Удобно, когда с помощью одного и того же инструмента можно оценить процессы управления персоналом кондитерского цеха и организацию системы охраны периметра ликеро-водочного завода.
К счастью сотрудников кондитерского цеха, все, что касается пищевой промышленности, жестко стандартизировано и регламентировано. Поэтому, если руководить аудитом этого самого цеха по каким-либо причинам будет специалист по многорубежной защите, у него есть возможность почитать стандарты, ознакомиться с постановлениями правительства, нормами СЭС и прочими нормативно-правовыми документами, после чего, вооружившись ГОСТ-Р ISO 19011:2012, он сможет провести достаточно объективный аудит. Аудит этот может быть несколько поверхностным, но он будет объективным и покажет главное – соответствие производственных процессов и процедур действующему законодательству. Если же, наоборот, попробовать доверить руководство аудитом системы безопасности ликеро-водочного завода аудитору-пищевику, результат может нас сильно разочаровать. Помимо знания процедур аудит, должно быть четкое понимание исследуемого предмета. И если в случае того же пищевого производства это понимание можно подчерпнуть из нормативных актов и методических материалов, то в случае объектовой безопасности каких-либо специальных нормативных документов просто не существует. Существуют, правда, объекты, подлежащие государственной охране, и документы, регламентирующие такую охрану. Но мы с вами говорим о коммерческом секторе, где каждый руководитель службы безопасности создает внутренние нормативные документы в меру своих знаний и опыта. А кто-то не создает, а пользуется теми, которые разработали его предшественники. Существуют предприятия (по крайней мере, лично мне известно несколько таких), где руководителю службы безопасности вообще запрещено самому создавать какие-либо внутренние приказы и инструкции. Руководство службой безопасности осуществляет директор предприятия, а ее начальник является всего лишь передающим звеном между директором предприятия и сотрудниками охраны. Назвать такую структуру службой безопасности язык не поворачивается.
Независимо от того, кто на самом деле руководит работой службы безопасности, основная, на мой взгляд, проблема как при проведении аудита, так и при организации работы службы состоит в отсутствии методических материалов, позволяющих стандартизировать оценку уязвимости объекта. А может, такая методика не нужна никому, поэтому ее и не существует?
Я, наверное, не открою страшной тайны, если скажу, что примерно в 95% случаев службами безопасности предприятий руководят выходцы из каких-либо силовых структур. Я не буду давать оценку, хорошо это или плохо, так же как не буду оценивать чей бы то ни было профессиональный уровень. Я просто хочу поделиться некоторыми наблюдениями, полученными в процессе сотрудничества с разными службами безопасности.
Среди руководителей служб безопасности крайне редко встречаются специалисты «широкого профиля». Причина этого проста: нельзя объять необъятное. Слишком многогранно понятие «безопасность», слишком много направлений, техника с каждым годом становится сложнее и разнообразнее, постоянно появляются новые технологии. В результате чем дольше человек занимается каким-либо одним направлением, тем, как правило, более узким специалистом он становится. Опять же чаще всего, придя на должность руководителя службы безопасности, большинство людей стараются усилить эту службу хорошими специалистами и надежными сотрудниками. В первую очередь предпочтение отдается бывшим сослуживцам, тем, кого знаешь лично, ведь уровень их знаний и навыков оценить проще всего, и только потом уже всем остальным. В результате во многих службах безопасности можно наблюдать некий перекос в пользу какой-либо одной специализации. Если начальник – специалист по компьютерам, то компьютерная безопасность компании будет впереди планеты всей. Если технарь, то основной упор будет делаться на технические средства охраны, если кадровик, то на работу с кадрами, подготовку персонала и т. п. Это вполне естественно. Любой человек будет в первую очередь обращать внимание на то, в чем он разбирается лучше всего, а то, в чем он разбирается хуже, всегда будет на втором месте. То, в чем специалист вообще не разбирается, он будет игнорировать, даже если контроль этого направления входит в его функциональные обязанности. Подобные перекосы можно встретить где угодно. Среди аудиторов они встречаются не менее часто. И если аудитор в процессе работы не опирается на стандарты, руководящие указания и нормативные документы, результат его работы чаще всего оказывается однобоким. Ведь при отсутствии единой методики оценки рисков и уязвимостей команда аудита будет формироваться по стандартному принципу: в первую очередь берем тех, чью квалификацию и уровень знаний мы можем оценить, т. е. набираются специалисты того же или близкого профиля.

А если оценивать уровень безопасности начинает человек, вообще никогда и никак до этого момента с безопасностью не связанный? Что ему в такой ситуации делать и на основании чего оценивать угрозы, риски и готовность службы безопасности предприятия им противостоять? Вы спросите, как это может быть и зачем он вообще туда полез? На самом деле, элементарно. Каждый день сотни обычных менеджеров едут на предприятия партнеров или потенциальных партнеров по бизнесу для проведения аудита второй стороны. И теперь представьте себе ситуацию, когда фирма А договаривается с компанией Б о хранении своих ТМЦ на складах, принадлежащих компании Б. И обычный менеджер среднего звена, никогда с безопасностью не сталкивавшийся, едет на склад компании Б, чтобы провести тот самый аудит второй стороны, т. е. чтобы убедиться в надежности компании Б и в соответствии ее складов требуемым условиям хранения. Довольно часто важным критерием оценки является организация безопасности на складах компании. Ведь украденный товар – это не только прямые убытки. Это зачастую остановка производства, срыв контракта, потеря деловой репутации.
Мне неоднократно приходилось видеть, как проводятся такие аудиты. Чаще всего используется один из двух основных сценариев. Аудитор либо пытается оценить уровень безопасности, используя знания, полученные из художественной литературы и фильмов, либо удовлетворяется информацией, полученной от сотрудников службы безопасности компании Б. Естественно, и в том и в другом случаях говорить о какой-либо объективности не приходится. И если в том, что касается технических условий хранения ТМЦ, менеджер может опереться на нормативные документы, четко оговаривающие уровень влажности, температурный режим, наличие или отсутствие прямого солнечного света, требования пожарной безопасности, СЭС и т. п., то, когда речь заходит о риске банального хищения, методики, позволяющей оценить реальный уровень организации безопасности, просто не существует. А ведь если такая методика появится, она не только окажется полезным инструментом для непрофессионалов, вынужденных погружаться в проблемы безопасности. В опытных руках она позволит сбалансированно оценить уже существующую защиту любого объекта и поможет, если нужно, спроектировать такую защиту с нуля.
В мире существует довольно много разнообразных стандартов, касающихся безопасности.

На этой схеме, отражены все стандарты по безопасности. И в этом списке нет ни одного стандарта, касающегося организации безопасности объекта в целом. Самое близкое – это ISO 27000 и ISO 13335, т. е. организация информационной компьютерной и безопасности. Это тоже важные аспекты, и они тоже входят в комплекс мероприятий, направленных на обеспечение безопасности объекта в целом. Но это всего лишь небольшая часть, а все что касается организации охраны и защиты периметра, СКУД, систем видеоконтроля, интеграции систем объектовой охраны и систем кадрового контроля – все эти элементы никак не стандартизированы. Спасение утопающих – дело рук самих утопающих.
Когда я говорил, что методик оценки уязвимости в сфере организации и осуществления объектовой безопасности не существует, я был немного неточен. Периодически, устав каждый раз изобретать велосипед с нуля, те, кто по долгу службы вынужден заниматься проверками и организацией этой самой службы, садятся и пишут методички, приказы, руководящие указания и т. п. Беда в том, что все эти документы так и остаются локальными, обязательными для какого-то конкретного предприятия и охватывают узкий круг проблем и вопросов, касающихся этого предприятия. На фоне этого появление если не стандарта, то хотя бы единой методики оценки уязвимостей объекта существенно облегчило бы не только проведение аудитов безопасности, но и построение готовых систем. А более широкое внедрение аудитов в сферу объектовой безопасности подстегнуло бы появление этой самой единой методики. Но это тема следующей статьи. В заключение хочу напомнить, что аудит позволяет не только выявлять недостатки существующей системы, но и оптимизировать, повышать функционал и одновременно способствовать снижению расходов на ее содержание и модернизацию, что сейчас, в условиях кризиса, особенно актуально.


Внимание! Копирование материалов, размещенных на данном сайте допускается только со ссылкой на ресурс http://www.tzmagazine.ru

Рады сообщить нашим читателям, что теперь нашем сайте работает модуль обратной связи. Нам важна ваша оценка наших публикаций! Также вы можете задавать свои вопросы.Наши авторы обязательно ответят на них.
Ждем ваших оценок, вопросов и комментариев!
Добавить комментарий или задать вопрос

Правила комментирования статей

Версия для печати

Средняя оценка этой статьи: 0  (голосов: 0)
Ваша оценка:

назад
|
Реклама
Подписка на новости
Имя
E-mail
Анти-спам код
Copyright © 2008 —2022 «Технологии защиты».