Как анализировать потребности в обеспечении безопасности

Как анализировать потребности в обеспечении безопасности

Источник: Ассеss Соntrоl & Security System Solutions
Сел Де Паскуале

Выработка всестороннего плана обеспечения безопасности требует методического и продуманного анализа. Начав с общего понимания организации и дойдя до множества частных задач, вам придется применить структурный подход, чтобы собрать воедино и проанализировать этот план. Получаемые в результате рекомендации должны дополнять и поддерживать друг друга.

Задача эта не так проста, поскольку сложились уже определенные промышленные образцы таких планов. Лишь некоторые из них являются продуктом всестороннего анализа, остальные разработанные для конкретных ситуаций применения в порядке реакции на состоявшемся объекте инцидент. Фактически, многие из действий охраны предназначены для производства расследования по факту происшествия, а не для предотвращения этого события.

Объектом анализа при составлении плана безопасности есть все возможные уязвимости, которые необходимо выявлять методично и всесторонне, чтобы программа безопасности имела в основе обширный анализ, а не опыт действий по устранению последствий последнего из произошедших на объекте инцидентов. Аналитический подход позволяет гарантировать, что средства, затрачиваемые на обеспечение безопасности, расходуются в соответствии с конкретными потребностями, защищая более важные объекты и подвергая большему риску менее критичны.

Цель, однако же, заключается не в том, чтобы разработать план безопасности с высокой степенью "защиты от дурака". Следует помнить о том, что полностью защитить объект возможно, только потратив несоизмеримы деньги и прекратив его функционирования с целью осуществления бизнеса. Взамен этого цель ставится такая: сделать нарушения режима безопасности максимально затруднительным (но не невозможным!) Для злоумышленника. Степень трудности зависит от того, насколько ценен данный объект и насколько организация-заказчик готова к рискам.

Процесс анализа делится на пять фаз — подразделение на объекты, оценка угроз, анализ уязвимости, выбор мер противодействия и их внедрения. Процесс этот рассчитан на тщательный анализ, и приступать к каждой следующей фазы следует, только полностью завершив предыдущую.

Подразделение на объекты

Начинается определение объектов из понимания деятельности организации в широком смысле слова, ее задач и функций, а также среды, в которой эта деятельность осуществляется. В начальной стадии анализа следует провести интервью с руководящим составом и специалистами организации, чтобы определить необходимые для осуществления его деятельности ресурсы. В их число входит производственное оборудование, операционные системы, сырье и материалы, готовая продукция, системы учета и управления, а также инфраструктурные сети — электрические, водяные, природного газа и связи. Зачастую наиболее значимыми являются нематериальные активы, получить представление о которых можно только основательно вникнув в деятельность организации. В результате этого шага определяются объекты возможного нападения.

Каждый производственный объект можно разбить на более мелкие составные части. Анализ может показать, что такая детализация объекта необходимо вследствие его критическую важность. Примером подобного объекта может выступить информационная технология, которая делится на большой список системных компонентов — аппаратной части, операционных систем, прикладного программного обеспечения, систем управления базами данных, каналов связи и системной документации.

И материальные, и нематериальные активы должны быть категоризировать как жизненно важные (потеря равносильна катастрофе), важные (потеря приведет к серьезным сбоям, но в принципе восполнима) и второстепенные (потеря относительно незначительное.

Оценка угроз

Всесторонний план безопасности требует определения большого списка угроз — чтобы учесть целый спектр разрушительных воздействий. Путем анализа список угроз редуцируется, чтобы сосредоточить внимание лишь на наиболее вероятных из них.

Оценка начинается со сбора данных о произошедших в прошлом инциденты, связанные с нарушением режима безопасности, включая события на охраняемом объекте, на всех объектах, принадлежащих компании, а также статистика по всей отрасли. Определите, существуют устойчивые образцы криминального поведения, и установите их природу. Изучите информацию о понесенных убытках, нарушениях безопасности и судебные дела, в которых фигурировала организация. Проконсультируйтесь с корпоративными юристами и изучите судебные решения, содержащие факты, имеющие отношение к безопасности.

Проинтервьюируйте руководящий состав компании, страховых поручителей и руководство местных экстренных служб на предмет определения существующих угроз. Проанализируйте статистику преступности и сравните показатели с общенациональными, региональными, районными и муниципальными.

Определите виды угроз, которые являются уникальными для данного региона и данной организации, места сосредоточенного опасных веществ и материалов, а также пути транспортировки, обычно используются для доставки грузов. Прикиньте угрозы, которые ни разу не были осуществлены, но характер бизнеса и социально-политическая обстановка не исключают попыток их реализации.

Оценка угроз является процедурой анализа, хотя в ней могут применяться и некоторые процедуры количественной оценки. Важно понимать, что такая оценка является валидной лишь на определенный момент времени. Изменение внешней обстановки сказывается и на спектре угроз. Следовательно, оценка должна периодически обновляться, чтобы убедиться в соответствии программы безопасности вызовам момента.

Каждую из угроз следует категоризировать как вероятную (ожидается ее событийное воплощение), возможную (обстоятельства могут привести к событию) и маловероятную (событийное воплощение не ожидается). Степень тяжести последствий вызванных реализацией угрозы событий может также подразделяться на катастрофическую (разрушительный событие), умеренную (последствия принципиально устранимы) и легкую (последствия для несущественные).

Анализ уязвимости

Меры противодействия, по сути, являются препятствиями на пути к осуществлению угрозы. Соответственно, задача этих мероприятий — сделать событие менее вероятным, не давая возможности злоумышленнику осуществить угрозу. Однако прежде чем ставить барьеры на пути осуществления события, необходимо представить себе весь ход его развития. Анализ уязвимости представляет собой механизм создания детальных пошаговых сценариев тревожных событий.

К конструированию сценариев должны привлекаться представители организации, обладающих обширными знаниями о внутренней механике ее рабочих процессов. Рабочей группе следует смоделировать ролевое поведение преступника, совершает нападение на организацию — и это позволит определить ключевые зоны ее уязвимости. Планы безопасности, способны остановить действия хорошо информированного сотрудника организации, смогут помешать пришедшему извне преступнику в равной степени — а точнее, даже больше. Это упражнение позволит выделить зоны уязвимости и обеспечить исходные данные для следующей фазы работы над планом — выбора мер противодействия. Анализ уязвимости создает пакеты мер защиты — то есть, основываясь на четко сфокусированной проблеме, дает пути ее решения путем применения контрмер безопасности. Пакеты эти лучше описываются путем составления электронной таблицы, в которой сопоставляются объекты и угрозы и обозначается, каким специфическим угрозам подвержен тот или иной объект.

Каждый сценарий должен сопровождаться таблицей его характеристик — правдоподобия (или не очень далеко простирается действие?), Последствий события и степенью приемлемого для организации риска.

Выбор мер противодействия

Точно так же, как это происходит в здравоохранении, когда самочувствию пациента может быть нанесен ущерб неправильным лечением, уровень безопасности организации может быть ослаблен или поставлен под вопрос неверным применением мер противодействия. Выработка таких мер — скорее искусство, чем сухая наука, и поэтому требует объединения усилий персонала управления и службы охраны-только в этом случае способна появиться на свет программа, соответствующая потребностям организации.

Как меры противодействия могут выступать электронные системы безопасности, физические барьеры, охранники, политики и процедуры.

Электронные системы безопасности объединяют системы контроля доступа, обнаружения, наблюдения и сбора свидетельских показаний. В число подсистем могут входить обнаружения вторжения, тревожные кнопки, охранное телевидение, ведущие и радиопереговорные устройства, громкоговорящие системы, средства индивидуальной защиты и телефонные системы.

Физические и психологические барьеры применяются для затреднения доступа к объекту. В число физических барьеров входят хранилища, сейфы, шлагбаумы, ограждения и ворота, изделия из пуленепробиваемых материалов, колючая проволока, капканы, ловушки для транспорта средств, бронезащита автомобилей, механические замки, "лежачие полицейские" и бордюры, бомбоубежища, средства освещения, щиты, панели из прочных материалов и специальные элементы ландшафта.

Персонал службы безопасности выполняет различные охранные функции, включая оперирование электронными системами, несения вахты на постах и осуществления патрулирования. Большинство действий охраны предусматривают наблюдение за событиями и — в случае инцидента — постановка в известность правоохранительные органы. В некоторых случаях охранники могут быть вооружены и иметь специальную подготовку и право вмешиваться в ход событий.

Политики устанавливают позицию управляющего звена и общий подход к практике разрешения бизнес-проблем. Процедуры определяют средства осуществления политики. Это наиболее критическая часть программы безопасности. Здесь определяются программы и процессы, необходимые для того, чтобы механизмы обеспечения безопасности работали эффективно.

Внедрение

В этой фазе рекомендации превращаются в спецификации и инструкции, направленные на действия людей и систем, а также формирование политик. Задача внедрения — перевести план безопасности в запросы и приобретение документов, процедур, организационных программ и процессов.

Для заметок

ОБ АВТОРЕ

Сел де Паскуале, сертифицированный специалист в области охраны (CPP, Certified Protection Professional) является директором по консалтингу расположенной в Атланте компании Arko Executive Services. Он получил бизнес-квалификацию MBA в университете Мерсера и закончил университет штата Северная Каролина по специальности "Уголовное право". Входит в совет по физической безопасности общества ASIS.

В СЛУЧАЕ ОПАСНОСТИ

По каждому из элементов реагирования необходимо создать подробное описание предпринятых действий на всех четырех фазах события:

ФАЗА ПРЕДУПРЕЖДЕНИЕ: Определите процедуры эвакуации и завершение работы системы, а также расположение укрытий и приютов.

ФАЗА СОБЫТИЯ: Определите технологии укрепления и обеспечения выживания, а также методы локализации зоны инцидента — такие, как выставление ее границ для предотвращения возможности расширения круга участвующих в ситуации лиц.

По горячим следам: Определите процедуры оказания первой помощи, уведомления властей и экстренных служб, ограничения доступа к месту преступления, управления движением, эвакуации пострадавших и стратегию сдерживания распространения ситуации.

ПОСЛЕ СОБЫТИЯ: Определите процессы постановки в известность родственников, очистки и ремонта, деятельности на запасной территории и проведения разъяснительной работы.

Оцените статью
Access Electronics