25 Apr 12:30 avatar

Новые экономические подходы к разработке стратегии безопасности предприятия и основы создания службы безопасности открытого типа

Автор: Митрофанов Александр Александрович | Источник: предоставлено автором для it2b

Введение
Исторически сложилось, что службы безопасности, создававшиеся в государственных, военных учреждениях, организациях и предприятиях, по своим принципам построения и деятельности были практически идентичны. Их структура в общем виде состояла из служб охраны, режима, секретности (защиты специнформации и спецфондов), а также служб противодействия иностранным техническим разведкам. С появлением коммерческих компаний, действующих на рынке, построение служб безопасности по схемам традиционного типа стало сдерживать развитие бизнеса этих компаний. Изменяющаяся обстановка рынка потребовала создания служб безопасности нового типа, который бы соответствовал быстро меняющимся условиям рынка и позволял защищать бизнес компаний в этих условиях эффективно и качественно.
1. Экономические подходы к разработке структуры СБ
1.1. Теоретико-методологические предпосылки применения экономического подхода к анализу проблем безопасности.
История человеческой цивилизации свидетельствует о том, что разнообразная деятельность людей, направленная на удовлетворение все возрастающих потребностей в различных материальных и нематериальных благах часто вступает в противоречие с важнейшей естественно присущей любому живому организму потребностью, — потребностью в безопасности.
В настоящее время сложилась насущная необходимость определения философского содержания понятия «безопасность», а также связанных с ним понятий, таких, например, как «национальная безопасность» или «экономическая безопасность». Осмыслению этих категорий посвящены работы специалистов в области безопасности таких, как Серебрянников В.В., Фаминский И.П., Строев Е. С., Рогов С.М., Сапронов А.Ю. и другие.
Трактовка категории «экономическая безопасность» предложенная профессором Сапроновым А.Ю. наиболее близко подходит к предмету нашей лекции, поэтому хотелось бы рассмотреть ее поподробнее.
Полемизируя с той частью практических специалистов, которые определяют «безопасность» как «состояние защищенности», проф. Сапронов предлагает рассматривать не только экономическую безопасность, но и все виды безопасности (включая национальную) как экономическую ценность. Оценивая существование субъекта безопасности (человечества в целом, государства, промышленной группы, компании, личности), теория вычленяет три группы жизненно важных интересов (по временной протяженности и значимости) такие, как выживание в настоящий момент, существование и развитие. Эти интересы являются источниками потребностей, удовлетворение которых требует соответствующих ресурсов. (см. рис.1 ).
Учитывая то, что ресурсы являются ограниченными, а потребности растут, то полное удовлетворение этих потребностей оказывается невозможным.
pic1
рис1.
Наличие другого субъекта, имеющего свои собственные жизненно важные интересы и соответствующие им свои потребности, усложняет картину из-за стремления этого субъекта также воспользоваться ресурсами. При наличии сторонних ресурсов потребности двух и более субъектов пересекаются, и возникает конфликт в отношении ресурсов — конкуренция. Таким образом, безопасность одного субъекта зависит от безопасности другого субъекта.
Если рассматривать субъекты безопасности не только в виде равнозначных по категориям, например, компания-компания или государство-государство, а в виде компания-личность, государство-компания, то можно вполне ясно представить себе, что конфликты интересов имеют место и здесь.
Таким образом, можно заключить, что угрозы возникают из-за конфликта интересов по поводу обладания ресурсами.
То есть, для того, чтобы обеспечить собственную безопасность необходимо ясное понимание источников угроз, их интересов, потребностей в ресурсах. При этом рациональное формулирование потребностей — основа эффективной безопасности.
Рассматривая известный экономический закон убывающей предельной полезности, можно вывести его следствия для уровня безопасности субъекта. Рассмотрим график уровня безопасности в зависимости от некого ресурса (например, финансов, денег), который представлен на рис.2. График показывает, что после точки перегиба О уровень безопасности снижается быстрее, чем растет уровень имеющегося ресурса, дохода. Учитывая это целесообразно рассмотреть уровень безопасности в виде функции:
pic2
рис.2
УБ = f (Д, Кд, УБдр)
где УБ — уровень безопасности субъекта
Кд — качество ресурса (денег) (например добытые криминальным путем «грязные» деньги, значительно снижают уровень безопасности)
УБдр — уровень безопасности других субъектов.
Легко заметить, что высота графика, т.е. реальный уровень безопасности определяется наличием ресурса и его качеством, а стабильность уровня безопасности — ширина графика зависит от уровня безопасности других субъектов, т.е. величины ресурсной базы (например, объема рынка) и соотношением собственных ресурсов субъектов. Таким образом, вопрос уровня безопасности связан с эффективностью использования собственных ресурсов и соизмерения затрат на поддержание заданного уровня безопасности с результатом. На рис.3 изображен график роста УБ с ростом затрат ресурса.
pic3
рис.2
Приведенный график показывает, что существует некий уровень затрат ресурса после которого уровень безопасности сильно не меняется. И наоборот, существует некоторый уровень безопасности УБдоп, который может быть поддержан оптимальными затратами ресурса.
Рассмотрим безопасность как удовлетворение потребности субъекта в выживании, существовании и развитии. Первой потребностью субъекта является потребность в безопасности (выживание) а второй потребность в ресурсах. В рыночной среде удовлетворение потребностей производится через использование продуктов производства. Таким образом, можно представить безопасность как продукт специфического производства, индустрии безопасности.
Рассматривая традиционно выделяемые факторы производства, такие как труд, земля, капитал, предпринимательство, можно выделить предпринимательство, как единственный источник прибыли, т.е. эффекта производства. Отсюда понятие прибыли (или экономию, как форму прибыли) можно рассматривать, как меру продукта безопасности, а рациональность использования ресурсов для поддержания допустимого уровня безопасности измерять эффективностью. При этом надо иметь ввиду, что эффект безопасности присутствует в прибыли неявно, т.к. безопасность — продукт внутренний, производится и потребляется внутри фирмы, что затрудняет его измерение в денежном выражении. Для измерения безопасности необходимо применять специальные методы, такие как сравнительный метод (аналогий), экспертный метод, аналитические методы. Эффективность безопасности можно оценивать эффектом безопасности, соотнесенным к затратам всех ресурсов фирмы по достижению допустимого уровня безопасности.
Необходимо понимать, что поскольку прибыль фирмы есть продукт управляющей подсистемы фирмы, то и безопасность относится к управляющей подсистеме фирмы и к ней можно применить законы кибернетики.
1.2. Задачи управления безопасностью, идентификация и классификация источников угроз, оптимизация управления безопасностью
Исходя из предыдущих рассуждений, можно рассматривать задачу управления безопасностью как задачу оптимизации расходования ресурсов на локализацию угроз.
Для этого целесообразно:
  1. Правильно идентифицировать источники угроз.
    Оценить степень серьезности угроз, т.е. оценить уровень ресурсов источника угрозы и цели, которые он ставит.
    Выделить группы источников угроз по целям, ресурсам, интересам.
    Произвести оптимальное выделение ресурсов и локализацию угроз.

    Учитывая то, что оптимизация использования ресурсов производится в зависимости от свойств источников угроз, позволим себе отойти от традиционной схемы классификации видов безопасности (физическая, техническая, экономическая и т.д.), а рассмотреть с точки зрения классификации источников угроз в зависимости от места их возникновения, как наиболее общего свойства.
    Предположив, что субъект безопасности (например, компания) имеет внутреннюю среду, внешнюю среду и границу между внутренней и внешней средой (см. Рис.4), можно классифицировать источники угроз как внутренние, внешние и пограничные. При этом пограничные источники, являются синтетическими — объединением внутренних и внешних угроз, что дает кумулятивный эффект — суммарная сила воздействия этих угроз на субъекта (т.е. вероятный ущерб) увеличивается во много раз, т.е. мультиплицируется.
    pic4
    рис.4
    Используя классификацию угроз С.П. Расторгуева, изложенную в его работе «Информационная война», мы еще раз повторимся, что причиной внешних угроз является борьба конкурирующих субъектов (или систем) за общие ресурсы, а внутренних угроз — наличие внутри субъекта множества элементов (подструктур), для которых привычный режим функционирования стал в силу ряда обстоятельств недопустимым.
    Целью же угрозы является вывод системы (субъекта) за пределы допустимого состояния.
    По своему характеру угрозы можно классифицировать следующим образом
    pic5
    рис.5
    Явной угрозой для системы являются такая входящая информация, которая воспринимается как угроза. При этом угроза может быть реальной, а может быть блефом, что определяется при анализе угрозы. Явная угроза предполагает, что за ней последуют определенные действия, наносящие системе ущерб. Но раз следуют конкретные физические действия, то значит существуют конкретные потенциальные возможности противодействия и защиты, используя различные способы и алгоритмы.
    Оценивая серьезность угроз по максимально возможному ущербу или степени влияния на выживание субъекта можно проранжировать источники по важности, т.е.
    • Пограничные (мультиплицированные) ИУ — первые,
      Внутренние — вторые,
      Внешние -третьи

      (естественно это ранжирование зависит от конкретного случая). Затем проводится анализ реальности угроз и выделение группы угроз, которые могут нанести максимальный вероятный ущерб при реализации как все вместе, так и по отдельности (расчет ведется по самому низкому уровню безопасности или максимальному возможному ущербу) и локализация которых может быть проведена в ходе единого мероприятия (мероприятие здесь понимается в общем смысле, в том числе создание соответствующей структуры СБ для компании), выделяются ресурсы и мероприятие проводится. Таким образом, правильно управляя ресурсами фирмы и производя их оптимальные затраты, можно эффективно решать вопросы безопасности. Важность аналитики при подобном подходе переоценить невозможно.

      2. Кибернетические подходы к управлению безопасностью компании, создание оптимальной структуры СБ открытого типа
      Резюмируя все вышеизложенное, можно прийти к выводу, что задача построения оптимальной структуры СБ, как части управляющей подсистемы компании, сводится к достаточно изученной задаче построения системы управления объектом или системы управления производством, если рассматривать это через призму экономических показателей.
      В общем виде такая система управления производством безопасности, встроенная в систему управления компании может быть изображена как совокупность двух подсистем, причем система безопасности является частью управляющей подсистемы, представляя собой в большей части систему сбора, анализа и обработки информации, а также выдачу информационных управляющих воздействий по управлению всеми возможными ресурсами компании.
      pic6
      рис.6
      Обстоятельства современного рынка требуют исключительной гибкости коммерческих структур, быстрого реагирования на изменение структуры потребительского спроса. Расширение номенклатуры товаров и услуг, увеличение количества и численности подразделений компаний, расширения географии, создание удаленных филиалов, аффилиированных и дочерних юридических лиц, усложнение производственной инфраструктуры и средств обработки информации и связи требует при формировании структуры безопасности современных подходов.
      Одним из таких подходов является подход Открытых Систем, который в настоящее время является основной тенденцией в области информационных технологий и средств вычислительной техники, поддерживающих эти технологии.
      Существует много различных интерпретаций слова «открытый». В международном стандарте открытая система определяется как прикладное окружение, основанное на интерфейсных стандартах, обеспечивающих переносимость приложений, «переносимость » пользователей и возможность совместной работы.
      В случае СБ, как информационной системы, «открытость» означает наличие в компании стандартов и процедур, касающихся технологии выполнения всех без исключения значимых операций по управлению ресурсами компании (финансы, кадры, клиентура, материальные ценности и т.д.), включающих в себя требования безопасности, как неотъемлемую часть стандартов и процедур. Возможность перенесения этих стандартов и процедур на новые продукты, технологии и подразделения компании. Обучение персонала правилам безопасности и «прозрачность» для него специфических мер СБ по реализации мероприятий безопасности. Знание сотрудниками СБ технологий бизнеса, применяемых в компании. Совместная работа сотрудников СБ с сотрудниками других подразделений компании по выполнению производственных проектов, использование ресурсов СБ для содействия в их реализации, наличие обратной связи от сотрудников компании. Способность получения, анализа обработки информации от любых источников. Способность взаимодействия с аналогичными структурами безопасности коммерческих структур и правоохранительными органами. Возможность выдачи информации, в том числе прогностической, непосредственно топ-менеджменту компании и Лицу Принимающему Решение без промежуточных инстанций, интерпретирующих данные.
      Такая структура СБ полностью соответствует основным свойствам Открытых систем, таким как
      расширяемость/масштабируемость — extensibility/scalability,
      мобильность (переносимость) — portability,
      интероперабельность (способность к взаимодействию с другими системами) — interoperability,
      дружественность к пользователю — driveability.
      Построение СБ предприятия по этим принципам позволяет съэкономить значительные средства и эффективно использовать ресурсы компании. В этом случае выполнение мероприятий по повышению уровня безопасности производится всеми элементами управляемой подсистемы, каждым сотрудником компании. Роль сотрудников СБ в данном случае возрастает. Они становятся менеджерами, управляющими безопасности на выделенных им в производство участках ответственности. Сотрудники СБ становятся аналитиками, собирающими и анализирующими информацию о состоянии управляемой подсистемы, наличии и серьезности источников угроз, разрабатывающими мероприятия по локализации угроз и выдающими управляющие воздействия на связанные с ними части управляемой подсистемы для реализации запланированных мероприятий.
      Естественно, несоизмеримо повышается роль образования сотрудников СБ, как специального оперативного, так и экономического, финансового и технологического.

      3. Формирование структуры безопасности фирмы в зависимости от алгоритма функционирования и способов защиты от явных угроз
      Теория защиты от явных угроз определяет только 4 группы способов защиты. Это:
      1. Поставить защитный барьер между собой и источником опасности;
        Скрыться от опасности за пределы ее досягаемости;
        Уничтожить источник опасности;
        Спрятаться или видоизмениться до неузнаваемости, стать другим

        При этом в реальной практике работы СБ коммерческих предприятий встречаются все эти способы защиты. Причем применяются они комплексно, дополняя друг друга. Как отмечает проф. Расторгуев С.П., защищающемуся субъекту необходимо не только владеть этими способами, но и уметь сочетать все названные способы с реальными и потенциально возможными событиями.
        Таким образом постановка задачи защиты сводится к следующим входным данным:
        1. Определение множества способов защиты.
          Проработка методов прогнозирования.
          Выработка механизма принятия решеня, использующий результаты прогнозирования и имеющиеся способы защиты

          Схематично (по С.П. Расторгуеву) алгоритм функционирования системы защиты можно представить в виде блок-схемы.
          pic7
          рис.7
          В соответствии с указанным выше алгоритмом создадим обобщенную структуру Системы Безопасности (открытого типа) фирмы (включающую как непосредственно подразделения СБ, так и другие функциональные подразделения фирмы.

          Прогнозирование внешних событийИнформационная служба СБ (деловая разведка)
          Прогнозирование внутренних событийОтделение внутренней безопасности СБ и кадровая служба фирмы
          Первый способ защиты (броня)Служба охраны СБ, Служба технической защиты, Служба защиты информации
          Второй способ защиты (изменение места)Наличие запасных центров управления, хранения информации, капитала и т.д., Служба МОБ
          Третий способ защиты (уничтожение)Кадровая служба, административные меры, увольнение собственных сотрудников; Служба маркетинга, коммерческий сбытовой отдел, уничтожение конкурентов (ценовая, клиентская политика и т.д.)
          Четвертый способ (внесение изменений)Отделение внутренней безопасности СБ, Кадровая служба, PR, маркетинговая служба, идеологическая служба, психологическая обработка собственных сотрудников, создание нужного имиджа (мифа) через СМИ и т.д.
          Блок принятия решенияРуководство фирмы
          Блок занесения инфориации в БДАналитическая служба СБ

          Лекция читалась в 2002 году в ИПКИР для Руководителей СБ и топ-менеджеров предприятий.

0 комментариев

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.