Формирование внутриструктурных подразделений безопасности

В результате изучения главы студент должен:

знать

• основные принципы формирования в компании собственного подразделения безопасности с учетом региональных, страновых и иных возможных факторов;

уметь

• определять необходимые меры обеспечения безопасности на предприятии, исходя из информации о существующих системах безопасности и отраслевых особенностях бизнеса;

владеть

• навыком анализа реальных и потенциальных рисков и угроз на предприятии для дальнейшего формирования подразделений безопасности.

Принципы формирования подразделений безопасности

При формировании системы обеспечения безопасности вновь созданного предприятия (бизнеса) важно рассмотреть вопрос о принципах формирования ее подразделений. Анализ существующих систем безопасности, в целях их возможного совершенствования, также возможен при любой реорганизации вновь приобретенного бизнеса, построении новых корпоративных структур, формировании финансово-промышленных групп, корпораций и в других подобных ситуациях.

Принципы формирования службы безопасности изучаются в случае проведения аудита службы безопасности по различным основаниям. К примеру, аудит может быть востребован при смене руководителя службы безопасности компании, для того чтобы независимые эксперты внимательно изучили существующую структуру, дали оценку ее эффективности, выработали возможные рекомендации для вступающего в должность руководителя. Эта работа разделена на несколько этапов. Рассмотрим их на примере коммерческого банка.

Методологически всегда следует начинать с этого этапа, так как система защиты бизнеса должна быть не надуманной, а являться ответом на существующие или потенциальные риски и угрозы. Отрицательные факторы всегда являются следствием реализации конфликтов, существующих во внешней и внутренней среде банка. Поэтому риски и угрозы необходимо рассматривать в привязке к известным функциям финансово-кредитного учреждения.

• 1. Банк осуществляет выдачу кредитов юридическим и физическим лицам, эта деятельность всегда связана с риском невозврата выданной суммы в полном или частичном объеме. Для того чтобы этот риск был сведен до минимума, необходимо проводить изучение потенциальных заемщиков в соответствии с существующими критериями. Следовательно, в системе защитных мер банка от внешних угроз нужна функция экономической безопасности.
• 2. Банк является хозяйствующим субъектом, по этой причине он осуществляет взаимодействие с внешними контрагентами в целях приобретения необходимых товаров, работ и услуг. Эта деятельность связана с риском контрагента, который может быть недобросовестным, необязательным, поставляющим некачественные товары. Некоторые контрагенты могут проводить противоправную деятельность, направленную на прямое хищение материальных ценностей или хищение путем обмана или злоупотребления доверием (мошенничество). Следовательно, в рамках функции экономической безопасности необходимо предусмотреть защитные меры по данному направлению.
• 3. Банк является субъектом ПОД/ФТ. В случае неэффективной деятельности на данном направлении банку угрожают правовые и репутационные риски, которые могут привести к мерам административного воздействия (вплоть до отзыва лицензии) со стороны регулятора. Следовательно, в системе защитных мер банка от внешних угроз нужна функция финансового мониторинга. Банк также является агентом валютного контроля, и по этой причине должен проводить комплекс предусмотренных законом мер в области обращения валютных ценностей и совершения валютных сделок. Следовательно, у банка должна быть функция валютного контроля. Обе эти функции предусматривают необходимость защитных мер в сфере финансовой безопасности.
• 4. Банк является финансово-кредитным учреждением, в котором хранятся денежные средства, иные ценности, особо защищаемая информация (сведения, составляющие банковскую тайну, персональные данные клиентов). Банк может осуществлять не только хранение, но и перевозку материальных ценностей. Все эти объекты подвержены криминальным рискам и могут быть похищены различными путями. Следовательно, банк должен надежно защитить собственность клиентов и свою собственность путем реализации функций физической и инженерно-технической безопасности.
• 5. Банк осуществляет свою деятельность в реальном времени с использованием электронной системы хранения, обработки и передачи финансовой информации. Передача такой информации осуществляется как между подразделениями самого банка, так и между банком и его клиентами. В данной области объектами противоправного вмешательства во всем мире являются не только функции своевременной и точной передачи защищенной информации из одного адреса в другой, но и деятельность по хищению денежных средств путем противоправного получения доступа к электронным ресурсам. Современные реалии и требования регулятора обязывают банк формировать функцию защиты в области информационной безопасности.
• 6. Банк осуществляет прием на работу и управление персоналом, на который возлагаются задачи организации бесперебойного функционирования банка по всем предусмотренным направлениям финансово-кредитной деятельности. Эта область является объектом устремлений криминальной среды, непорядочных и не всегда обладающих необходимой квалификацией людей. В этой связи в деятельности банка при приеме на работу и в процессе управления персоналом возникают потенциальные и реальные кадровые риски. Это, в свою очередь, вызывает необходимость предусмотреть защитные меры в рамках функции обеспечения кадровой безопасности организации.

Убедившись в наличии рисков и угроз, выстроив соответствующие им функции защиты, следует определить необходимые и достаточные меры по их применению.

На этапе декомпозиции выделенных защитных функций необходимо привлечь квалифицированных специалистов из различных отраслей безопасности, чтобы из максимального набора возможностей, который представляет каждая функция безопасности, выбрать оптимальный набор составляющих, приемлемый для данного предприятия. Рассмотрим этот этап также на примере коммерческого банка, проведя декомпозицию функций обеспечения физической и инженерно-технической безопасности. Начнем с задачи обеспечения защиты от возможных угроз дополнительного офиса, предназначенного для организации розничного обслуживания клиентов — физических лиц.

Для такого обособленного подразделения характерно изолированное помещение, состоящее из зоны общего доступа, служебной зоны и кассового пространства или четырех зон защиты. В первой зоне могут находиться все: клиенты, случайные посетители и персонал банка. Во второй зоне — клиенты и персонал. В третьей — только персонал банка. В четвертой — только персонал банка, имеющий прямое отношение к кассовой работе. Для нас эти помещения являются зонами защиты.

Зона физической и инженерно-технической защиты № 1. Она состоит из поста охраны, зоны общего доступа и входа в служебную зону. Здесь могут работать консультант и сотрудник охраны. Если пост охраны дневной (с 9:00 до 18:00), то в дополнительном офисе должно быть два сотрудника охраны для подмены. Охранники могут быть вооружены служебным огнестрельным оружием (пистолет) либо средствами индивидуальной защиты (газовый баллончик, шокер) или нести службу без оружия. Наличие служебного оружия вызывает необходимость лицензирования охранника, оборудования в дополнительном офисе оружейной комнаты или доставки охранника к централизованному месту хранения оружия. Отсутствие у охраны оружия снимает эти проблемы, однако наличие охранников в офисах вызывает необходимость несения банком дополнительных затрат и не создает условий полной безопасности. По этой причине последнее время посты охраны в офисах, как правило, не используются. Вместо этого укрепляются средства инженерно-технической безопасности.

Зона в любом случае (при наличии или отсутствии охраны) оборудована средствами защиты. Входная дверь усилена, оборудована надежным запорным устройством и датчиками на вскрытие. Аналогичными датчиками оборудованы окна, имеющиеся в этой зоне. В помещении также имеются видеокамеры и датчики движения (включены во внерабочее время). При возникновении угрозы двери могут запираться дистанционно.

Зона инженерно-технической защиты № 2. Функционально это зона самообслуживания, она выделена нами отдельно в целях более подробного описания. В зоне расположены банкоматы и терминалы для обслуживания клиентов, совершающих операции с наличными и безналичными денежными средствами. Каждый банкомат и терминал, как правило, закреплены на месте установки, оборудованы системой инженерно-технической защиты (видеорегистратор, датчики на вскрытие).

Зона инженерно-технической защиты № 3. Это служебная зона, в которой находятся рабочие места кассиров-операционистов, кредитных инспекторов и руководителей офиса. В ряде случаев эта зона расположена в одном помещении с зонами № 1 и 2, ничем не выделена. Основное требование — отсутствие в этой зоне значительных сумм наличных денежных средств. В некоторых банках эта зона закрыта бронестеклом и надежной дверыо с цифровым замком. В этом случае дверь и стекло оборудованы датчиками на вскрытие.

Зона инженерно-технической защиты № 4. Эта зона представляет собой операционную кассу. В нее ограничен доступ сотрудников — проходят только те, кто допущен к кассовой работе. Она всегда имеет надежные перекрытия, бронестекло и металлические сейфы для хранения наличных денежных средств и иных материальных ценностей. Дверь и стекло оборудованы датчиками. На рабочем месте кассира установлена тревожная кнопка, подающая сигнал в собственную охрану (пункт охраны частного охранного предприятия) или пункт централизованной охраны полиции. Подобные тревожные кнопки могут быть установлены также в служебной зоне у всех или некоторых сотрудников. Такие же кнопки в дистанционном варианте могут быть у охранника и консультанта в зале.

Централизованный контроль состояния безопасности дополнительных офисов банка в рабочее и нерабочее время осуществляется с позиций центров мониторинга банка, если такие имеются, либо пунктов централизованной охраны ЧОП (но договору) или ПЦО полиции (также на основании договора). Обычно для наблюдения используется один из указанных вариантов. По сигналу тревоги на место происшествия выезжают группы оперативного реагирования полиции либо ЧОП. Расчетное время прибытия группы на место достаточно небольшое (в пределах 5—10 мин).

Каждый банк решает данную проблему индивидуально, исходя из своей концепции и финансовых возможностей. Важно отметить, что не выдуманная кем-то структура службы безопасности адаптируется под риски и угрозы. Все происходит в обратном направлении — сначала выявляются риски и угрозы, под них выстраиваются соответствующие функции службы безопасности. В рамках каждой функции определяются набор инженерно-технических средств безопасности и (или) численность необходимого для выполнения функции персонала. Только после этого определяются организационно-штатная структура подразделения безопасности и ее конфигурация.