Текст книги "Правовые аспекты системы безопасности"

Уточнив основные элементы процесса защиты (объекты защиты, виды ЗЛ и их потенциальные возможности, определенные рубежами защиты), мы можем определить их взаимное соответствие. Для этого нам необходимо объединить два основных понятия: объект защиты и ЗЛ во всех их формах отношений.

Полное множество отношений для всех объектов защиты и форм атак ЗЛ на них можно представить в виде таблицы, где строками являются объекты защиты, а столбцами – виды ЗЛ (рис. 3.).

Рис. 3. Взаимодействие объектов защиты с видами ЗЛ, их возможностями и традиционно сложившимися службами

Данная таблица следует из принципа «защита тотальная». Она однозначно показывает необходимость дифференцированного подхода к созданию мероприятий безопасности для каждого вида ЗЛ, объектов защиты и их последующую комплексную увязку.

Исторически уже сложилась мировая практика обеспечения безопасности объектов защиты как от преднамеренных, так и не преднамеренных угроз безопасности. Она определяет взаимосвязь объектов защиты с возможной формой ЗЛ и среду, в которой он осуществляет свои злоумышленные действия. Любая среда обладает специфическими особенностями, которые характерны для конкретного направления защиты, из которых следует структура функциональных подразделений СБ:

– группа режима;

– служба охраны;

– пожарная охрана;

– аналитическая группа;

– детективная группа;

– группа комплексного контроля ЗИ;

– группа защиты от НСД;

– криптографическая группа.

Кроме того, в СБ для ее успешной деятельности необходимы вспомогательные подразделения:

– группа консультантов по различным вопросам деятельности СБ;

– юридическая служба (например, юрист-консультант по безопасности в составе юридической группы банка).

Функциональная структура СБ банка показана на рис. 4. Численный состав СБ и их отдельных групп определяется производственной необходимостью и объемом финансирования.

Рис. 4. Примерная структура и функции Службы безопасности банка

Вопрос 2. Правовые основы деятельности СБ

Основные положения, состав и организация СБ имеют юридическую силу в том случае, если они зафиксированы в основополагающих правовых, юридических и организационных документах банка и руководствуются Положением о СБ банка.

В основу деятельности СБ должны быть положены:

1) Гражданский кодекс Российской Федерации (часть I и II);

2) Закон Российской Федерации "О банках и банковской деятельности";

3) Закон Российской Федерации "О государственной тайне";

4) Закон Российской Федерации "О приватизации государственных и муниципальных предприятий РСФСР";

5) Закон Российской Федерации "О конкуренции и ограничении монополистической деятельности на товарных рынках";

6) Закон Российской Федерации "О безопасности";

7) Закон Российской Федерации "Об информации, информатизации и защите информации";

8) Уголовный кодекс Российской Федерации;

9) Постановление Правительства РФ от 05.12.1991 г. № 35 "О перечне сведений, которые не могут составлять коммерческую тайну";

10) Закон Российской Федерации "О частной детективной и охранной деятельности в Российской Федерации";

11) Федеральный закон "Об оперативно-розыскной деятельности в Российской Федерации";

12) Закон Российской Федерации "Об оружии";

13) Кодекс законов о труде;

14) Устав банка, коллективный договор, трудовые договора, правила внутреннего распорядка, технологические руководства и инструкции банка, должностные функции и обязанности руководителей, специалистов, рабочих и служащих.

Организационно СБ должна подчиняться собранию учредителей и акционеров банка, а в текущей деятельности – Председателю Правления.

Состав и функции структурных подразделений СБ определяются Положением о СБ. На основе Положения составляется штатное расписание СБ, определяется степень ответственности за выполнение возложенных на нее задач. Руководителем СБ назначается ответственное лицо в ранге заместителя Председателя Правления банка, отвечающее персонально за все вопросы безопасности банка.

Права, обязанности и ответственность сотрудников СБ.

Сотрудники СБ в целях безопасной деятельности банка имеют право:

– требовать от всех сотрудников и клиентов банка строгого и неукоснительного выполнения пропускного, внутриобъектового режима, правил трудового распорядка, нормативных и договорных обязательств по безопасности действующих в банке;

– требовать от руководителей подразделений и исполнителей правильного и своевременного выполнения нормативных документов по организации и ведению специального делопроизводства;

– проводить тотальные проверки эффективности защиты ресурсов, информации, помещений и объектов банка;

– запрещать использование технических и программных средств, не соответствующих требованиям безопасности;

– требовать от функциональных подразделений необходимые сведения для анализа информационной безопасности;

– вносить предложения по совершенствованию правовых организационных и инженерно-технических мероприятий по коммерческой безопасности;

– планировать деятельность СБ, утверждая планы работы у Председателя Правления банка;

– требовать гарантированного финансового обеспечения мероприятий, предусмотренных планом работы СБ.

Сотрудники СБ обязаны:

– разрабатывать организационные, организационно-технические и технические мероприятия по обеспечению надежной безопасности деятельности банка;

– осуществлять постоянный контроль за соблюдением требований по безопасности банка;

– постоянно контролировать работоспособность СЗ;

– обеспечивать проведение специсследований технических и программных средств и аттестацию выделенных помещений;

– участвовать в акции восстановления и организации функционирования банка в случае чрезвычайных ситуаций;

– осуществлять сбор и анализ информации для выявления злоумышленных действий;

– докладывать руководству о фактах нарушения требований нормативных документов и других действиях, могущих привести к нарушению коммерческой безопасности банка;

– отчитываться перед руководством СБ о состоянии СЗ и планах своей деятельности;

– организовывать и проводить обучение сотрудников банка выполнению требований безопасности.

Сотрудники несут персональную ответственность за личное нарушение мер безопасности, за неудовлетворительное исполнение служебных обязанностей, а также за неиспользование своих прав при исполнении своих функциональных задач.

Вопрос 3. Функции, задачи и особенности деятельности Службы безопасности

Исходя из возможных угроз по всем видам безопасности можно утверждать, что деятельность СБ весьма разнообразна: от работы по обеспечению безопасности персонала до решения чисто технических вопросов, включающих в себя проверку и аттестацию технических и программных средств на соответствие специальным требованиям. Поэтому основными функциями деятельности СБ являются:

– определение целей и приоритетных направлений работы по обеспечению всех видов безопасности деятельности банка;

– разработка проектов защиты для каждого вида безопасности, их реализация, приемка и контроль за поддержанием в постоянной работоспособности;

– разработка нормативных документов для всех видов безопасности с учетом степени конфиденциальности и контроль за их соблюдением всеми сотрудниками и клиентами банка;

– организация обучения персонала правилам соблюдения и поддержания безопасности деятельности;

– организация и проведение совместно с другими подразделениями банка специальных мероприятий в отношении конкурирующих банков и других организаций;

– взаимодействие с правоохранительными органами по вопросам безопасности.

Отметим теперь специфические особенности в работе СБ, которые являются следствием принципов, сформулированных в главе 1.

Первая особенность. В принципе можно создать абсолютно надежную СЗ. Однако ее стоимость будет значительной. Вполне естественным ограничением собственности СЗ является стоимость объектов защиты. Это верхний предел затрат на СЗ. Для того, чтобы СЗ не требовала существенного расхода финансовых средств банка, приходится использовать не абсолютные средства и методы СЗ, т. е. подвергать себя риску нарушения безопасности. Без определенной степени риска деятельность любого банка просто неосуществима Таким образом, стоимость защищаемых объектов и первоначальное вложение капитала в средства и методы безопасности определяют степень риска нарушения безопасности.

Вопрос о том, какова должна быть величина риска, определяется средствами от прибыли банка, вложенными на поддержание СЗ. Опять-таки для существования банка последний может тратить на содержание СЗ только часть своей прибыли, которая и определяет величину риска Вопрос о количественной степени риска, зависящей от стоимости объектов защиты и части прибыли банка, отпущенной на поддержание СЗ, в настоящее время является открытым, хотя существуют различные подходы к его решению. Однако, как показал их анализ, они, как правило, эмпирические и во многом зависят от конкретных условий.

Вторая особенность. Рано или поздно нарушение любого из видов безопасности будет известно. Возникает вопрос: как предупредить нарушение безопасности или хотя бы минимизировать это время? В первом случае ущерб будет предотвращен, а во втором, как правило, будет минимален.

Все возможные нарушения безопасности возникают в конечном счете из-за риска, обусловленного недостаточностью средств на создание СЗ. Недостаточность средств влечет за собой возникновение нештатных ситуаций, которыми и пользуется ЗЛ. Возникновение нештатных ситуаций обусловлено неопределенностью процесса защиты, т. е. неизвестно, в какое время, где будут происходить злоумышленные действия, каким образом и при каких условиях они могут возникнуть.

Практическим методом уменьшения риска является выполнение глобального контроля за действиями всех сотрудников и клиентов банка, их регистрации и последующего анализа. В первом случае, при идеальном контроле, злоумышленные действия будут предупреждены. Однако идеальный контроль опять-таки невозможен, и поэтому нельзя говорить об абсолютной защите. Во втором случае регистрация всех действий и последующий за ней анализ позволяет минимизировать время неопределенности нарушения безопасности. Однако, аналогично контролю, нельзя осуществить абсолютную регистрацию и ее анализ.

Таким образом, на действия потенциального ЗЛ влияют следующие возложенные на СБ функции:

– предупреждение;

– контроль за текущей ситуацией;

– регистрация;

– анализ результатов регистрации.

Предупреждение является активным сдерживающим фактором и должно использоваться всеми подразделениями СБ. Следует отметить, что чем раньше придет сигнал предупреждения, тем больше имеется времени у сотрудников СБ принять решение для блокирования злоумышленных действий.

Формы предупреждения могут быть самыми различными, но, разрабатывая систему безопасности, виды предупреждения должны быть максимально полными, чтобы даже учитывать психологию ЗЛ, убеждая его в том, что нет необходимости предпринимать какие-либо попытки, т. к. они потерпят неудачу.

Контроль и регистрация действий потенциальных ЗЛ в текущей ситуации необходимы в любом случае, т. к. никогда не может быть уверенности, что меры предупреждения являются гарантией безопасности и, следовательно, нападение возможно в любой момент времени. Контроль и регистрация текущего состояния атмосферы безопасности должны быть максимально всеобъемлющими и информативными.

Анализ по результатам регистрации эффективности принятых мероприятий является важным этапом в обеспечении безопасности, т. к. окружающая среда и, вполне естественно, действия ЗЛ не являются статическими, а эволюционируют по принципу – выживает сильнейший. Составляющие фактора времени показаны на рис. 5.

Рис. 5. Распределение функций защиты во времени

Следует особо отметить, что самые совершенные средства и методы сохранения безопасности не могут сами обеспечить должной безопасности, если не работает человеческий фактор – дисциплинированность, умение и ответственность персонала. Таким образом, проблема безопасности может быть решена лишь в том случае, если все сотрудники банка объединят свои усилия.

Резюмируя вышесказанное, можно сделать следующие выводы:

1. СЗ никогда не следует рассматривать как абсолютно надежную, всегда существует определенная степень риска.

2. Для того чтобы ущерб был минимальным, СЗ должна быть максимально всеобъемлющей.

3. Существенную роль в минимизации ущерба играет фактор времени обнаружения злоумышленных действий.

4. Эффективность действия СЗ в конечном счете зависит от человека (человеческий фактор).

Рассмотрев общие положения, перейдем к особенностям и основным функциям деятельности подразделений СБ. Несмотря на то, что проблема обеспечения безопасности имеет комплексный характер и каждое подразделение СБ участвует в работе других подразделений, следует выделить основные объекты защиты для каждого подразделения. Соответствие подразделений СБ их основным объектам защиты показано на рис. 6.

Рис. 6. Соответствие подразделений СБ их основным объектам защиты

Группа режима является самостоятельным подразделением СБ и подчиняется начальнику СБ. В своей деятельности она руководствуется требованиями «Инструкции по режиму и охране». Главными функциями группы режима являются:

– организация пропускного и внутриобъектового режима;

– участие в разработке "Перечня сведений, составляющих коммерческую (банковскую) тайну";

– организация и ведение конфиденциального делопроизводства;

– разработка положения и инструкций о порядке работы со служебной информацией и сведениями, составляющими государственную или коммерческую тайну;

– разработка разрешительной системы и обеспечение допуска к сведениям, составляющим служебную и коммерческую (банковскую) тайну;

– разработка нормативов и проверка их выполнения сотрудниками банка, работающими с информацией различной категории конфиденциальности;

– контроль соблюдения режима доступа к сведениям и документам;

– ведение учета пользования, хранения и размножения материалов, составляющих государственную или коммерческую (банковскую) тайну;

– контроль за порядком засекречивания и рассекречивания документов;

– периодический контроль выходящих за пределы банка документов и материалов на наличие служебных и конфиденциальных сведений;

– уничтожение документов, материалов, машинных носителей, которые могут способствовать раскрытию государственной или коммерческой тайны или технологий их обработки;

– аттестация и периодический контроль (совместно с другими подразделениями СБ) технологических процессов обработки информации;

– организация и проведение изучения кандидатов для приема на работу;

– периодические проверки сотрудников банка на выявление степени их лояльности;

– повышение квалификации сотрудников банка, работающих с документами различной степени конфиденциальности;

– работа с сотрудниками банка, связанных со сторонними организациями и клиентами банка по сохранению коммерческой безопасности банка.

Резюмируя вышесказанное, можно отметить, что главным объектом деятельности группы режима являются сотрудники объекта, а целью – создание внутренней атмосферы объекта защиты.

Служба охраны является самостоятельным структурным подразделением СБ и тесно взаимодействует с группой режима. В своей деятельности она руководствуется требованиями «Инструкции по организации режима и охраны». Численность группы охраны определяется конкретной криминогенной обстановкой. В случае экстремальных ситуаций возможно привлечение специалистов сторонних организаций только для решения конкретных ограниченных задач.

Деятельность службы охраны должна осуществляться в трех направлениях:

1. Охрана объектов банка.

2. Охрана ценных грузов при их перевозке.

3. Обеспечение личной безопасности руководства и сотрудников банка.

Деятельность подгруппы охраны объектов банка традиционна и направлена в основном на обеспечение пропускного и внутриобъектового режима. Для ее функционирования она оснащается средствами охранно-пожарной сигнализации (ОПС).

Подгруппа сопровождения ценных грузов, хотя и входит в группу охраны, подчиняется непосредственно начальнику СБ. Ее деятельность регламентируется внутриведомственными документами и специальными положениями. Учитывая особые условия работы данной подгруппы, она должна комплектоваться из числа высококвалифицированных профессионалов, оснащенных спецтранспортом и средствами связи и состоять исключительно из штатных сотрудников банка. Численность и состав подгруппы определяется производственной необходимостью.

Подгруппа обеспечения личной безопасности руководства и сотрудников банка в своей деятельности руководствуется документами, регламентирующими охранную деятельность и специальным Положением, разрабатываемым СБ с учетом конфетной обстановки. Основными задачами подгруппы являются: охрана руководства банка в обычных и экстремальных условиях; проведение учебы по направлениям соблюдения личной безопасности и поведения в экстремальных условиях; поддерживание контактов с правоохранительными органами и СБ других организаций.

Количественный состав службы и привлечение сторонних организаций, занимающихся охранной деятельностью, определяется руководителем СБ в соответствии с обстановкой.

Зарубежные специалисты СБ банков неоднократно подчеркивают, что одновременную угрозу всем объектам защиты банковской деятельности наиболее часто представляют пожары в помещениях банка. При этом даже незначительное возгорание может привести к потере огромного объема информации, что обусловлено сильной уязвимостью информации, обрабатываемой средствами вычислительной техники. Поэтому, вполне естественно, в структуре СБ должна присутствовать группа пожарной охраны.

Пожарная охрана является самостоятельным подразделением СБ. Деятельность группы регламентируется "Положением о государственном пожарном надзоре", "Наставлением по организации работы органов государственного пожарного надзора", "Сборником правил пожарной безопасности" и внутренними документами банка.

Главной задачей группы пожарной охраны является создание противопожарной обстановки на основе работы с персоналом банка, использования средств пожарной сигнализации и пожаротушения; работы с органами гостехнадзора, госэнергонадзора, пожарно-техническими комиссиями и пожарными службами организаций ближайшего окружения банка.

Наличие недобросовестной конкуренции возможных злоумышленных действий со стороны клиентов и конкурентов банка требует активного противодействия. Оно возможно только в том случае, если СБ располагает о них информацией. Сбором, анализом и оценкой степени опасности деятельности банка и занимается аналитическая группа. Таким образом, главной целью деятельности аналитической группы является создание благоприятной атмосферы безопасности банка, которая состоит из двух слагаемых:

1. Сведение возможных негативных действий клиентов и конкурентов банка до минимума.

2. Максимизация эффективности своих действий относительно клиентов и конкурентов банка.

Другими словами, целью работы аналитической группы является обеспечение информационной безопасности банка.

Принципиальное отличие в работе аналитической группы от работы других подразделений СБ заключается в том, что она, в общем случае, должна работать на перспективу, т. е. прогнозировать возможные события, оценивая возможную прибыль или ущерб, и своими прогнозами, в конечном счете, приносит прибыль банку, которая проявляется в неявном виде.

Аналитическая группа является самостоятельным подразделением СБ и подчиняется ее руководителю. Она организует свою деятельность в тесном взаимодействии со всеми структурными подразделениями банка. Численный состав группы определяется руководителем СБ в зависимости от конкретной ситуации. При этом допускается привлечение специалистов сторонних организаций.

Детективная группа является самостоятельным подразделением СБ и подчиняется непосредственно руководителю СБ. В своей деятельности детективная группа руководствуется Законом «О частной детективной и охранной деятельности в Российской Федерации» и Положением о СБ. Детективная группа:

– разрабатывает и проводит специальные мероприятия по наблюдению за отдельными сотрудниками и клиентами банка, а также жителями ближайшего к банку окружения, в действиях которых содержатся угрозы безопасности деятельности банка;

– осуществляет совместно с группой режима проверку кандидатов для приема на работу в банк;

– по заданию группы режима проводит контроль лояльности сотрудников банка;

– поддерживает контакты с правоохранительными органами по всем вопросам, связанным с угрозами безопасности деятельности банка;

– содействует обеспечению возврата просроченных кредитов;

– совместно с аналитической группой проводит специальные мероприятия по отношению к организациям-клиентам банка и конкурентам банка.

Количественный состав детективной группы определяется производственной необходимостью. Для выполнения ряда заданий допускается привлечение специалистов сторонних организаций.