Журнал ТЗ № 5 2015 | Какие проблемы чаще всего выявляет аудит объектовой безопасности?
  бюро находок  
  Где искать        
наши издания
наши анонсы






2015
№ 5
статьи



Журнал ТЗ № 5 2015



Раздел: Инсталляция
Тема:
Автор: Леонид МЕДВЕДЕВ, преподаватель учебного центра «Информзащита»

Какие проблемы чаще всего выявляет аудит объектовой безопасности?

Мне довольно часто приходится слышать этот вопрос. Его задают слушатели курсов, его задают при подготовке к проведению аудита, его задают при организации или реорганизации службы безопасности. Задавая этот вопрос, многие ждут, что в ответ на него я достану листок с готовым универсальным рецептом построения идеальной системы защиты.

Если честно, я бы с радостью носил с собой такой листок и раздавал бы его всем желающим. Но, к сожалению, универсальных рецептов не существует, а проблемы, выявляемые аудитом, хоть зачастую и выглядят похожими, при ближайшем рассмотрении таковыми не являются. Более того, некоторые выявленные в ходе проведения аудита уязвимости вообще оказываются привнесенными извне.
В качестве примера хочу привести волну ограблений банкоматов, которая в последнее время буквально захлестнула Россию. Способы ограбления становятся все более изощренными, и структура объектовой безопасности просто не в состоянии им противостоять. Почему я написал «структура», а не служба? Я не оговорился. Ведь выстраивая безопасность любого объекта, мы сначала разрабатываем концепцию, выстраиваем структуру – и только потом все это обрастает техническими средствами, службами и т. п.
Теперь давайте себе представим офисное здание или здание торгового центра, построенное по последнему слову техники, напичканное современными средствами безопасности и укомплектованное современной, обученной и подготовленной охраной. Здание построили, оборудовали, заселили, начали эксплуатировать – и тут сюрприз: работникам, посетителям и покупателям нужно где-то снимать деньги с банковских карт. Пусть эпоха наличных постепенно уходит, но платить картой везде пока не очень получается. В результате в здании появляется банкомат. Банкомат появился, а вот в концепции безопасности объекта этого банкомата, скорее всего, нет. А нет его потому, что концепцию безопасности здания разрабатывают безопасники, которые эксплуатируют здание. А установку банкомата, причем зачастую не только его установку, но и размещение, курирует служба безопасности банка, этот самый банкомат размещающая. И тут и там профессионалы, но у каждой из служб свои интересы и задачи. Они могут совпадать, а могут и не совпадать. В результате на стыке интересов двух служб зачастую появляется дыра в безопасности, которой и пользуются злоумышленники.

Примерно в 90% случаев в процессе аудита выявляется проблема человеческого фактора. Но, говоря «человеческий фактор», мы очерчиваем крайне широкий круг проблем, а для каждой конкретной компании, для каждого конкретного аудита они всегда разные. Единственная проблема, которую можно охарактеризовать как общую для большинства компаний, особенно в условиях кризиса, – это экономия на службе безопасности.

Что такое экономия?
Экономия – бережливое ведение хозяйства, в основе которого лежит уменьшение издержек, расходов, затрат экономических ресурсов: материалов, энергии, оборудования, труда, рабочего времени. Экономия достигается путем снижения потерь, использования ресурсосберегающих технологий, рачительным ведением хозяйства, высокой организацией труда.
Казалось бы, логично: служба безопасности потребляет ресурсы предприятия и при этом ничего не производит. Совсем удалить службу безопасности из системы боязно – вдруг хулиганы. Да и кто-то должен выполнять функцию вахтера. Как результат, финансирование СБ на предприятии начинает урезаться, персонал сокращаться, вместо профессионалов появляются необученные гастарбайтеры. Вот только начиная экономить на службе безопасности, руководители предприятия забывают о том, что у всего есть цена. А ценой экономии на безопасности может стать и весь бизнес целиком. Рейдеры не спят, а кроме службы безопасности противостоять рейдерскому захвату в бизнес-структурах, по сути, некому. Но давайте о совсем грустном не будем, а поговорим про менее глобальные проблемы, вытекающие из экономии на службе безопасности.
Хочу привести пример из жизни. Я в течение нескольких лет подряд участвовал в качестве эксперта при проведении внутренних аудитов по объектовой безопасности в одной компании.
В основе аудита, точнее, в основе рекомендаций, выдаваемых аудитором, всегда заложен механизм последующего улучшения. То есть результат очередного аудита должен (в идеале) фиксировать некое улучшение по сравнению с прошлым разом. Пусть незначительное, но улучшение. Какое-то время так и было, а потом случился кризис и начались попытки экономии на всем подряд, в том числе на СБ. Апофеозом экономии стало сокращение работавших на фирме обученных и лицензированных сотрудников охраны и наем на их место необученных и нелицензированных гастарбайтеров. Результаты подобной экономии не замедлили сказаться. Первый же аудит выявил случаи отключения целых сегментов системы охраны периметра. Срабатывает, звенит, спать мешает. Были внесены самовольные и кустарные изменения в схему контроля управления доступом с целью облегчения жизни сотрудникам. В результате в системе безопасности образовались огромные прорехи. Апофеозом стал скандал, произошедший в разгар проведения аудита, с привлечением полиции и прокуратуры, спровоцированный противоправными действиями сотрудника охраны в отношении одного из посетителей компании. Результат скандала – внеплановая проверка компании, инициированная прокуратурой.

Сейчас в этой компании опять работают обученные лицензированные охранники, а на восстановление работоспособности систем охраны руководство фирмы выложило сумму, сравнимую с той, которую планировалось сэкономить на охране.
На самом деле подобных случаев великое множество. Зачастую даже не нужно проводить аудит безопасности. Вполне достаточно посмотреть на сотрудника охраны, задать ему пару вопросов и понять, что охрана в данной компании осуществляется исключительно для галочки. Если сотрудник, осуществляющий функции охраны, не знает элементарной нормативной базы, не может ответить на вопрос, каков его официальный статус в данной компании, какие его права и обязанности, – это первый признак того, что на безопасности в данной компании всерьез экономят.
Подводя итог, могу сказать, что, если попытаться выделить общие проблемы, выявляемые в процессе проведения аудитов систем и служб безопасности, в сухом остатке мне видятся всего две: когда вместо грамотной оптимизации работы служб безопасности применяется повальное урезание финансирования и, конечно же, проблема человеческого фактора как следствие экономии на безопасности. Иногда доходит до смешного. Вроде и оборудование смонтировано, и сотрудников набрали, а безопасности на объекте нет. Начинаешь выяснять почему – нет нормального руководителя службы безопасности. А почему его нет? А потому, что либо зарплата руководителя службы безопасности не позволяет пригласить на эту должность профессионала, либо, что тоже встречается, хоть и не столь часто, руководство компании не хочет пускать посторонних во внутреннюю кухню компании. А хороший начальник СБ, если он действительно профессионал, максимум через полгода будет знать о компании практически все. Если последний случай все же скорее исключение, то попытки платить человеку на должности начальника СБ компании зарплату на уровне среднего менеджера и меньше встречаются довольно часто. Чтобы в этом убедиться, достаточно зайти на любой ресурс с вакансиями и забить в строке поиска «начальник службы безопасности».
Мне, когда я вижу подобные объявления, все время хочется задать вопрос хозяевам бизнеса: на что вы рассчитываете, предлагая такую зарплату человеку, который идет на должность фактически первого заместителя и который, как я уже говорил, максимум через полгода будет знать про компанию все, в том числе про ее уязвимые места?
В любом случае независимо от того, видите вы прорехи в системе безопасности, так сказать, невооруженным взглядом или, наоборот, вам кажется, что структура безопасности компании безупречна, только полноценный аудит может выявить реальное положение в системах безопасности компании и подсказать пути оптимизации и снижения расходов без ущерба безопасности.


Внимание! Копирование материалов, размещенных на данном сайте допускается только со ссылкой на ресурс http://www.tzmagazine.ru

Рады сообщить нашим читателям, что теперь нашем сайте работает модуль обратной связи. Нам важна ваша оценка наших публикаций! Также вы можете задавать свои вопросы.Наши авторы обязательно ответят на них.
Ждем ваших оценок, вопросов и комментариев!
Добавить комментарий или задать вопрос

Правила комментирования статей

Версия для печати

Средняя оценка этой статьи: 0  (голосов: 0)
Ваша оценка:

назад
|

Axis представляет сетевой радар для точного обнаружения вторжений в контролируемых зонах
Компания Axis дополняет свой обширный портфель продукции сетевыми радарами. Радарные датчики вторжения не реагируют на многие распространенные сигналы, которые приводят к ложным срабатываниям, и легко устанавливаются и интегрируются в существующие системы.



Новинка от компании IDIS: 5Мп IP-видеокамера DC-T3533HRX
Тенденции развития индустрии IP-видеонаблюдения демонстрируют погоню производителей за увеличением разрешающей способности видеокамер. При этом часто оказывается так, что озвучиваемые цифры в 4, 9, 12 и даже 20 мегапикселей оказываются несопоставимыми с физическими размерами сенсоров, используемых в этих камерах. Поэтому подобные разрешения реализуются лишь на уровне соответствующих цифр в настройках камеры и не приводят к какому-либо улучшению изображения.



IBM меняет представление о передаче и хранении видео. Впервые на All-over-IP 2017!
Сравните ваш взгляд на интеллектуальное видеонаблюдение с мнением руководителей корпорации IBM на 10-м форуме All-over-IP 2017.



Реклама
Подписка на новости
Имя
E-mail
Анти-спам код
Copyright © 2008 —2017 «Технологии защиты».