В разгар турбулентных времен в нефтегазовой отрасли компаниям все труднее прогнозировать свои бизнес-планы и приходится искать пути повышения операционной эффективности и снижения затрат. При этом, однако, организации становятся уязвимы в таких областях, как безопасность процессов, HSSE, надежность оборудования и бесперебойная работа производства.
В условиях, когда значительное влияние на процесс обеспечения корпоративной безопасности оказывает развитие информационно-коммуникационных технологий, а также объявленный переход лидеров мирового сообщества к цифровой экономике, сотрудникам службы безопасности компаний важно обладать необходимой профессиональной эрудицией о сущности происходящих процессов. В частности, в нефтегазовом секторе элементы так называемого Интернета вещей (IoT) занимают прочное место.
Интернет вещей - это практика, включающая в себя сбор, анализ и обработку данных, генерируемых сетью объектов и машин. По сути, технологии IoT позволяют осуществлять мониторинг и анализ постоянно меняющихся данных - основы принимаемых решений. В рамках существующих технологий нефтегазовые компании вынуждены обрабатывать большие объемы данных, касающиеся всех этапов производства, данные должны генерироваться, передаваться, храниться и обрабатываться. С развитием IoT-стратегий компании нефтегазового спектра получают выгоду от цифровой трансформации. Например, среди преимуществ появившихся у компаний с внедрением технологий Интернета вещей можно отметить:
Upstream-компании (компании, занимающиеся поиском залежей и добычей из них) теперь могут просматривать данные в реальном времени из любой точки мира, чтобы прогнозировать незапланированные простои и планировать профилактическое обслуживание. Кроме того, данные коллектора могут быть интегрированы с данными полевых работ в режиме реального времени для планирования расходов и размещения расходов; по существу, предотвращаются аварии и операции могут быть оптимизированы.
Midstream-IoT позволяет компаниям (компаниям, занимающимся транспортировкой нефти и полученных из нее нефтепродуктов различными способами: танкерами, по трубопроводам, в железнодорожных цистернах или автомобильным транспортом) легко подключать трубопроводные сети, датчики, устройства обнаружения утечек, аварийные сигналы и аварийные отключения; компании теперь могут анализировать и интерпретировать данные для снижения основных рисков.
Downstream-IoT позволяет компаниям downstream (компаниям, занимающимся переработкой нефти, распределением и продажей конечных продуктов) подготовиться к остановкам, свести к минимуму время простоя и улучшить свои записи безопасности с постоянной доступностью данных и анализа. Эта доступность имеет решающее значение в сегодняшних условиях эксплуатации вниз по течению, так как закрытие нефтеперерабатывающих заводов, переработка различной сырой нефти и изменение правил продолжают толкать валовую маржу переработки вниз.
Несмотря на то, что многие компании осознают преимущества внедрения идей и подходов цифровой экономики, позволяющих вывести активно развивающийся процесс интеграции информационно-технической среды компаний и их филиалов на новый уровень, и сделать обработку и анализ данных более доступными, возникает тревожная тенденция - рост киберугроз.
В этих условиях, одной из задач службы корпоративной безопасности является подбор, отвечающих современным требованиям и учитывающих специфику деятельности компании, решений по безопасности. В частности для компаний нефтегазового сектора важно разработать систему безопасности обеспечивающей поддержку замкнутости цикла нефтегазового предприятия, включающей все этапы: от сбора и анализа данных до принятия управленческих решений.
Согласно оценкам, к 2018 году расходы нефтегазовых компаний составили 1,87 млрд долл на кибербезопасность, так как производство продолжает расти в рядах наиболее часто атакуемых отраслей. Как представляется, в дополнение к финансовым последствиям нарушения безопасности, есть критические риски в нефтегазовых организациях, которые существуют из-за роста конвергенции между бизнес-приложений предприятия и приложений операционных технологий (OT) в таких областях, как безопасность процессов, надежность оборудования, непрерывность производства, ПБ и ООС, репутация компании, и мошенничества на нефтяном рынке. Такой рост расходов вызван в первую очередь увеличением числа инцидентов кибербезопасности. Так по данным Symantec Corporation, одной из крупнейших компаний, занимающихся кибербезопасностью, 43% мировых горнодобывающих, нефтяных и газовых компаний ежегодно сталкиваются со случаями нарушения безопасности. Согласно результатам исследования компании Trend Micro Incorporated, 47% компаний энергетического сектора также сообщают о зафиксированных ими атаках, что является самым высоким показателем среди других секторов экономики. В свою очередь, по данным Глобального исследования состояния информационной безопасности, проведенного компанией PricewaterhouseCoopers (PwC) в 2016 году, 42% нефтегазовых компаний столкнулись с фишинговыми атаками. Эти исследования, очень ясно демонстрируют целенаправленную активность нарушителей в нефтегазовой отрасли.
В частности, атакам подвергались: система сигнализации и связи для трубопровода Баку-Тбилиси-Джейхан в Турции (результатом стал разлив более 30 000 баррелей нефти), сбой в системе мониторинга в Баямоне, Пуэрто-Рико привел к переполнению топливом резервуара хранения, что в свою очередь привело к взрыву и трехдневному пожару (2009 год), вирус STUXNET был использован для захвата промышленных систем управления (ICS) по всему миру, включая компьютеры, используемые для работы нефтеперерабатывающих заводов, трубопроводов и электростанций (2010 год), кибератака на Саудовскую национальную нефтегазовую компанию Saudi Aramco, в результате которой было повреждено 30 000 компьютеров (2012 год). Целью атаки было остановить добычу нефти и газа в Саудовской Аравии, чтобы предотвратить приток ресурсов на международные рынки. В 2012 году поставщик средств удаленного администрирования и мониторинга в энергетическом секторе, Telvent, стал жертвой угрозы из-за нарушения внутренней системы защиты. По данным Telvent, каждая энергетическая компания из списка Fortune 100 использует свои системы, управляя более чем 60% от общего объема движения углеводородов в северных и латиноамериканских трубопроводах. Злоумышленники смогли украсть файлы проекта, связанные с проектом Oasys Supervisory Control and Data Acquisition (SCADA), инструментом удаленного администрирования, который позволяет компании объединять старое ИТ-оборудование с технологиями Smart Grid. Целью хакерской атаки, вероятно, был анализ исходного кода, для поиска уязвимостей в программном обеспечении, чтобы в конечном итоге атаковать энергетические компании напрямую. В том же 2012 году компьютерные системы в Rasgas, крупнейшем экспортере СПГ в Катаре, были заражены неизвестным вирусом, Flame, распространяемая вредоносная программа, использовалась для шпионажа в одной из ближневосточных энергетических компаний. В 2014 году хакеры атаковали около 300 различных фирм норвежской нефтегазовой отрасли, включая компанию Statoil. Атака осуществлялась с помощью рассылки электронных писем с вложениями по электронной почте. При открытии вложений, активировалось программное обеспечение для поиска уязвимостей в системе информационной безопасности компаний. В 2015 году злоумышленникам стал доступен контроль над системой автоматических датчиков бака (ATG), используемых для контроля уровня топлива по всей территории Соединенных Штатов.
В условиях когда, по крайней мере, половина компаний нефтегазового сектора по всему миру подвергается кибератакам, значительно возрастает ответственность службы корпоративной безопасности. Можно выделить основные цели воздействия хакерской активности в нефтегазовом секторе:
Экономические (предотвращение притока ресурсов на международные рынки, как, например, Saudi Aramco в 2012 году, возможность получения конфиденциальных данных для обеспечения инвестиционных преимуществ, мошенничество на нефтяном рынке, посредством искажения данных отчетности, используемых и представляемых нефтегазовыми компаниями);
Политические (использование кибератак в политических целях, например, перехват управления техническими средствами контроля нефтегазовой компании может привести к нарушению экологической обстановки или созданию угрозы безопасности для окружающей среды, населения, что в свою очередь, может спровоцировать рост протестной активности, подогреваемой определенными политическими силами).
Причинение материального и физического ущерба отдельным компаниям нефтегазового сектора (направленные на сокращение ресурсов компании, обеспечивающих ее бесперебойную работу, а также совершение действий потенциально способных нанести вред здоровью и интересам сотрудников);
Однако, независимо от намерений злоумышленников, постоянный рост риска кибератак, имеет решающее значение в сегодняшней нефтегазовой отрасли, так как границы между информационной системой компании и операционной технологической системой продолжают стираться.
В то же время, как показывает анализ, на сегодняшний день, для структур безопасности современных компаний, в том числе компаний нефтегазовой отрасли, характерно отсутствие четкой регламентации и разграничения между информационной и аналитической работой. В подразделениях безопасности проводятся мероприятия по сбору и накоплению информационных фондов (баз данных) строго в рамках определенной направленности, но при этом какой-либо работы по выявлению и анализу возможных цепочек взаимосвязанных факторов, отождествлению накопленной информации из разных баз данных, структур прямых и опосредованных связей изучаемых объектов с другими факторами рисков не производится.
Целью информационно-аналитической работы в любой сфере является подготовка и обоснование вариантов решений на разных уровнях управленческой иерархии. Информационно-аналитическая работа как составная часть управленческой деятельности является очень информационноемкой. Она не может осуществляться факультативно и неизбежно требует своего выделения, организационного оформления и специализации по функциям сбора, накопления, обработки, выдачи, анализа и реализации информации в интересах подготовки вариантов решений на различных уровнях.
Вся информационно-аналитическая работа ограничивается подчас применением простых сравнительных таблиц показателей за разные периоды времени. Взаимодействие подразделений безопасности компании осуществляется в форме подачи информационных сводок (еженедельных, квартальных, годовых), при этом накопление и анализ получаемой информации (предпосылок возникновения, релевантности, взаимосвязи появляющихся деструктивных факторов и др.) не проводится.
Важным аспектом является решение вопроса обеспечения взаимодействия между подразделениями безопасности филиалов компаний в которых разрабатываются и функционируют информационные базы данных, внедряются информационные системы, в основном как инструменты для информационного обеспечения служебной деятельности подразделений безопасности при проведении работ в рамках их ответственности. При этом, существующие базы не регламентированы нормативными документами, созданы в инициативном порядке и функционируют на разных программных платформах.
Отсутствие единой интеграционной платформы (единой информационной структуры), предназначенной для объединения информационных компонентов блока безопасности в единое информационное пространство и автоматизации на принципах управления сквозными бизнес-процессами всех значимых и критично влияющих на ее бизнес-процессы информационных систем, может затруднять контроль деятельности подразделений блока безопасности группы компаний, не позволяет эффективно выполнять мероприятия по установлению причинно-следственной связи между происходящими событиями, многофакторному анализу влияния этих событий, предупреждению и локализации рисков, а также накоплению поступающей информации для учета в базе знаний группы компаний.
Отсутствие комплексной системы безопасности корпорации может привести к :
-
невозможности эффективного управления и координации деятельности подразделений безопасности компании, получения общего представления об уровне корпоративной безопасности для компании в целом;
-
излишним трудозатратам на решение частных задач в рамках отдельных предприятий и подразделений;
-
затруднению формирования целей обеспечения корпоративной безопасности при разработке функциональной стратегии развития комплексной безопасности;
-
неполному достижению стратегических целей в области корпоративной безопасности, недостаточности реализации стратегии развития компании.
Функционирование системы безопасности компаний должно регламентироваться нормативно-методическими и проектными документами (положениями, концепциями, техническими заданиями, техническими проектами и т.д.), которые определяют функциональные и технические требования к реализации процессов информационно-аналитической деятельности в области безопасности.
Очевидна объективная потребность компании в сборе, обработке и предоставлении информации, а также в закреплении аналитических функций за подразделениями безопасности компаний. Важной задачей является организация регулярного поступления информационных потоков от нижестоящих подразделений безопасности к вышестоящим. В этих материалах (в частности, квартальных и годовых отчетах) должна содержаться оценочная, прогностическая информация, которая учитывается компанией при планировании своей деятельности. Кроме того, необходимо обеспечить своевременное доведение результатов комплексного анализа рисков и угроз безопасности компании до подчиненных структур безопасности. Еще одной формой информации, направляемой в подразделения безопасности филиалов компаний, могут служить информационные задания, подготовленные в виде распоряжений руководства подразделений корпоративной безопасности или устных указаний руководителей центров безопасности, по тематике которых готовятся разовые или периодические информационные материалы.
Построенная таким образом система информационного обеспечения компаний позволит управляющим структурам корпоративной безопасности осуществлять анализ отчетных материалов, выявлять проблемы, требующие решения на уровне руководства компаний, а также вопросы, решение которых может быть отнесено к компетенции структурных подразделений компании. Одной из важных задач подразделений корпоративной безопасности компании является построение надежной и адекватной системы оценки и прогнозирования возможных угроз жизнедеятельности компании, в том числе на основе аналитической обработки отчетных материалов.
Как показывает анализ, необходимым условием комплексной безопасности корпорации является: применение системного подхода к реализации процессов информационно-аналитической деятельности в области безопасности; наличие качественной нормативной регламентации, отработанных механизмов и методов обеспечения безопасности; наличие в подразделениях блока безопасности необходимых информационных ресурсов, построенных на базе современных технологий позволяет эффективно решить проблему комплексного управления безопасностью компаний.
При проведении информационно-аналитической работы проводимой службой корпоративной безопасности рекомендуется обратить внимание на следующее:
-
как правило в компании уже налажены внутренние информационные потоки между подразделениями, которые можно использовать, как каналы получения информации обеспечения работы службы корпоративной безопасности;
-
потребители услуг подразделения службы корпоративной безопасности в компании (например, руководство компании) должны быть заинтересованы в представлении информационных услуг и аналитических материалов.
Кроме общедоступных источников информации (СМИ, социальных медиа, сайтов корпораций, компаний, официальных сайтов государственных органов, баз данных законодательных и нормативных актов и т.д.), некоторые сведения о способах осуществления и организации бизнес-разведки, могут быть получены из ресурсов сообществ профессионалов конкурентной разведки, практиков конкурентной разведки.
Среди традиционных каналов получения официальной информации о компаниях следует отметить: официальные сайты государственных ведомств, информационные базы данных и реестров государственных организаций.
Среди методов анализа информации, используемые службами корпоративной безопасности можно отметить как традиционные подходы и методики, так и современные методики, учитывающие внешние факторы, влияющие на состояние дел в отрасли внутри страны и на международном уровне.
В общем случае, информационно-поисковая работа в целях обеспечения безопасности компании включает: сбор и обработку регистрационных данных потенциальных партнеров, структуре, учредителях и акционерах (важной представляется информация о фактических владельцах компаний), история создания и развития, (кредитная история, участия в проектах, достижения и неудачи, юридическая чистота деятельности компании и т.д.); деловая репутация (участие в судебных разбирательствах, претензии со стороны государственных, контролирующих, правоохранительных и иных органов, связи с криминалом, «имидж» в средствах массовой информации, участие в политических проектах, общественных организациях, движениях); сведения о руководстве компаний (лицах, реально принимающих решения), сведения о партнерах и конкурентах; отношения внутри предприятия (отношения и их обострения в команде управления, наличие группировок и семейных кланов, взаимоотношения между командой управления и трудовым коллективом, наличие в коллективе неформальных лидеров, степень их влияния на коллектив, другие факторы, свидетельствующие о внутренней напряженности на предприятии и т.д.); аффилированность с государственными структурами; сведения об устойчивости финансового положения.
Обеспечение корпоративной безопасности на современном этапе предполагает активное использование методов конкурентной разведки и не исключает оказания необходимого влияния на стратегию компаний-конкурентов. Например, добывание сведений, представляющих коммерческую ценность о конкурентах, дополняется изучением криминальной, политической обстановки, законодательства, кадровых перемещений людей, чья деятельность может оказать влияние на компанию, новых технологий. Кроме того, в современных условиях, представляется важным использование комплексного подхода при создании системы корпоративной безопасности, включающих в себя широкий пласт технических средств защиты: системы видеонаблюдения, пожарно-охранную сигнализацию, системы контроля доступа и оповещения, позволяющие определять и оперативно реагировать на нештатные ситуации. Как представляется для крупных корпораций контроль за функционированием элементов комплексных систем безопасности должен осуществляться на базе единого ситуационного центра с прямой оперативной связью с дежурными частями подразделений МВД, ФСБ, МЧС России. Создание ситуационных центров, построенных на базе современных интеллектуальных систем безопасности в совокупности с развертыванием групп быстрого реагирования, организованных по территориальному принципу, позволит поднять на более высокий уровень защищенность активов компаний, существенно сократив расходы на физическую охрану.
В аспекте обеспечения безопасности корпорации важной проблемой является необходимость создания системы раннего выявления угроз и опережающего формирования ресурсной базы для их нейтрализации. Комплексное использование всех возможных инструментов для нейтрализации угроз.
Для выстраивания в компании системы безопасности адекватной темпам роста и развития возникающих угроз информационно-аналитическое обеспечение деятельности подразделений корпоративной безопасности должно носить опережающий характер, включать в себя совершенствование методов информационно-аналитической и аналитико-прогностической работы по вопросам, входящим в компетенцию службы корпоративной безопасности.
Стратегическое управление, как функция механизма корпоративной без- опасности, является одной из важнейшей функцией организационно- экономического механизма корпоративной безопасности. Под управлением следует понимать процесс целенаправленного воздействия субъекта на объект для обеспечения эффективного функционирования системы в условиях постоянно изменяющейся внешней среды. Применительно к системе обеспечения корпоративной безопасности это означает реализацию органами управления корпорацией следующего комплекса мероприятий:
- мониторинг факторов, определяющих угрозы корпоративной безопасности. Важнейшими элементами механизма обеспечения корпоративной безопасности являются мониторинг и прогнозирование факторов, определяющих корпоративную безопасность. Мониторинг представляет собой оперативную информационно-аналитическую систему наблюдений за динамикой показателей корпоративной безопасности. Одной из основных задач мониторинга является осуществление количественно-качественного учета и анализа состояния и динамики показателей, характеризующих внутренние и внешние угрозы корпоративной безопасности, а также тенденций их изменения для принятия своевременных решений по вопросам обеспечения эффективного функционирования корпорации в долгосрочном периоде;
- разработка системы критериев и параметров (пороговых значений) корпоративной безопасности. Обязательным элементом стратегии, приводящей к обеспечению корпоративной безопасности, является совокупность количественных и качественных параметров (пороговых значений) функционирования и развития корпорации, выход за пределы которых вызывает угрозу корпоративной безопасности. В систему таких параметров необходимо включить следующие показатели: показатели деловой активности; показатели ликвидности; показатели платежеспособности; показатели финансовой устойчивости; показатели инновационности; показатели состояния охраны труда и техники безопасности; показатели кадровой безопасности; показатели экологической безопасности; показатели информационной безопасности;
-
выявление случаев отклонения фактических или прогнозируемых параметров развития корпорации от пороговых значений корпоративной безопасности, разработка и реализация комплекса мер, направленных на недопущение или преодоление угроз безопасности;
-
экспертиза решений, принимаемых по производственным, техническим, финансовым и хозяйственным вопросам с позиций корпоративной безопасности.
Обеспечение корпоративной безопасности должно осуществляться на основе стратегии, включающей:
-
определение корпоративных интересов;
-
характеристику наиболее вероятных внешних и внутренних угроз корпоративной безопасности как совокупности условий и факторов, создающих опасность для реализации жизненно важных интересов корпорации;
-
определение и мониторинг факторов, влияющих на устойчивость эффективного функционирования корпорации в краткосрочной и среднесрочной перспективе;
-
формирование корпоративной политики, институциональных преобразований и необходимых механизмов, смягчающих воздействие факторов, дестабилизирующих функционирование и развитие корпорации;
-
цели и задачи системы корпоративной безопасности;
-
определение критериев и параметров состояния экономики компании, отвечающих требованиям корпоративной безопасности и обеспечивающих защиту жизненно важных интересов корпорации и ее стейк-холдеров;
-
механизм функционирования системы корпоративной безопасности на основе применения службой безопасности компании власти правовых, экономических и административных мер воздействия.
Стратегия обеспечения корпоративной безопасности должна основываться на вариантных прогнозах развития корпорации корректироваться в зависимости от развития событий по тому или иному варианту развития компании. Многовариантная стратегия позволяет «переключаться» на тот или иной вариант в зависимости от конкретного развития ситуации без принятия экстренных, недостаточно проработанных и взаимоувязанных решений. При этом должна быть сформирована система управленческих воздействий на экономику корпорации, позволяющая осуществлять регулирование изменений в структуре производства и способная поддерживать функционирование и развитие корпорации на безопасном уровне.
Для обеспечения корпоративной безопасности ее руководство должно осуществлять:
-
проведение институциональных преобразований, способствующих координации действий и сближению стратегии различных подразделений корпорации, осуществляющих реализацию стратегии корпоративной безопасности;
-
выработку общих принципов экономического и социального поведения для всех участников хозяйственного процесса за счет их максимальной унификации;
-
контроль за соблюдением этих правил всеми субъектами корпоративной безопасности;
-
создание механизма разрешения спорных вопросов и конфликтных ситуаций, возникающих в процессе функционирования корпорации;
-
обучение кадров современным методам анализа хозяйственной деятельности и оценки инвестиционных проектов с позиций обеспечения корпоративной безопасности;
-
гармоничное развитие экономических отношений с внешними заинтересованными лицами.
Оснащение предприятий специальной техникой, информационными устройствами и т.д. должно проводиться при участии специалистов соответствующих направлений, в том числе с использованием материалов, подготавливаемых авторитетными аналитическими агентствами. От специалистов службы корпоративной безопасности требуется осуществлять контроль за деятельностью контрагентов по оснащению объектов компании системами технической безопасности (системами охранного телевидения, антикражных рамок, обзорных зеркал, раций, охранно-пожарной сигнализацией, охранно-тревожной сигнализации и др.), контролировать работоспособность технических средств.
Комплексная система безопасности в общем случае должна состоять из следующих элементов:
-
модуль системы видеонаблюдения;
-
модуль контроля и управления доступом;
-
модуль системы охраны периметра и сигнализации;
-
модуль системы пожарной сигнализации;
-
модуль системы оповещения;
-
модуль аппаратной части обеспечения технологического процесса корпоративной безопасности (в т.ч. полиграф);
-
модуль системы управления инженерными коммуникациями зданий и сооружений (внутренних коммуникации и т.д.);
-
модуль средств обеспечения функционирования объектов (электропитание и др.).
В условиях создания современной системы безопасности планирование является одним из важнейших условий организации эффективной работы служба корпоративной безопасности.
Планирование должно охватывать все основные составляющие защиты компании: физическая охрана, технические средства, организационные мероприятия, а также по направлениям безопасности: экономическая, информационная, психологическая, физическая и т.д.
Следует помнить, что разработанные планы органично сочетают взаимодействие этих компонентов безопасности и организуют их взаимосвязь и взаимодействие. Планирование деятельности служба корпоративной безопасности опирается на грамотное выявление угроз и прогнозирование рисков безопасности предприятия. Кроме того, при планировании развития системы безопасности целесообразно осуществлять анализ и оценку имеющихся в ее распоряжении ресурсов и перспектив ее развития. Отсюда вытекает необходимость увязки планов службы безопасности с основными технологическими циклами компании, которую она защищает, а также организацией постоянного контроля, в целях оперативной корректировки деятельности службы безопасности в связи с возможными изменениями рисков и угроз.
Таким образом, важным фактором организации защиты является экономическая целесообразность и наличие (выделение) необходимых финансовых ресурсов. Следует организовывать защиту только тех объектов и субъектов, затраты на защиту которых меньше, чем потери от реализации угроз этим объектам. Здесь также должны учитываться финансовые возможности компании по реализации системы мер, направленных на обеспечение корпоративной безопасности.
Для разработки эффективной стратегии обеспечения безопасности организации важно максимально снизить риск неопределенности будущего, и учесть как можно большее количество вариантов развития событий (в отрасли, в регионе, в мире). Сценарный анализ и сценарное планирование позволяют компаниям смоделировать различные варианты будущих событий, и дают возможность подготовить оптимальный план действий под каждую ситуацию.
Периодически возникающие кризисные ситуации и события, способные повлиять на обеспечение корпоративной безопасности очень хорошо показывают некомпетентность многих компаний перед лицом неопределенности и ухудшения условий. Сразу становится понятна эффективность модели корпоративной безопасности и устойчивость той или иной организации.
Важным для совершенствования деятельности службы корпоративной безопасности является изучение зарубежного и отечественного опыта хозяйствующих субъектов в сфере обеспечения корпоративной безопасности и рынка услуг в этой сфере. На основе анализа и обобщения зарубежного опыта структур обеспечения корпоративной безопасности могут быть разработаны рекомендации по совершенствованию подходов и методов обеспечения функционирования системы безопасности компании.
В обязанности службы корпоративной безопасности входит поиск источников пополнения кадров, подбор и проверка кандидатов для работы в подразделениях предприятия, в сферу деятельности структуры безопасности входит категоризация и классификация предъявляемых требований к кандидатам (в зависимости от категорий персонала предприятия). Важность роли службы безопасности компании в комплектовании кадрового состава предприятия обусловлена ростом значимости потенциальных угроз, исходящих от сотрудников предприятия. В связи с этим, высока ответственность структуры безопасности при проверке потенциальных сотрудников в процессе приема на работу, а также в предупреждении противоправных действий персонала, способных нанести компании значительный ущерб. Среди методов, принятых на вооружение службами корпоративной безопасности: использование полиграфа при проверке кандидатов при поступлении на работу и проведении внутрикорпоративных расследований, разработка «карт предсказуемости» поведения сотрудников предприятия с позиций обеспечения безопасности и т.д. Что касается конкретных, частных аспектов работы подразделений безопасности, например, в области контроля за сотрудниками, - эта так называемая внутренняя оперативная работа, которая проводится различными методами. Отметим работу с источниками внутри компании по выявлению информации сигнального (опасного) характера, постановку конкретных задач сотрудникам безопасности по контролю за исполнением тех или иных режимных мер, утвержденных специальным приказом по организации (в разных компаниях они называются по-разному), а также технические методы и способы контроля.
Таким образом, кадровая безопасность компании в первую очередь, достигается проведением:
-
проверочных мероприятий при приеме сотрудников;
-
мероприятий по защите компании от противоправных (некомпетентных) действий со стороны сотрудников, включая как проведение превентивных мероприятий, так и внутренние расследования;
-
мероприятий при увольнении сотрудников.
В работе с сотрудниками очень важна и профилактическая работа: проверки при приеме на работу, профилактические беседы, предостерегающие сотрудников от противоправных и опасных для компаний действий, регулярные занятия с сотрудниками компании. Службе корпоративной безопасности следует своевременно проводить обучение сотрудников компании, в том числе, с использованием обучающих стендов-полигонов, призванных не только продемонстрировать возможные угрозы безопасности компании, но и главным образом, проводить отработку сотрудниками службы корпоративной безопасности действий (в том числе, совместно с представителями специальных служб) по нейтрализации угроз. Итогом таких программ должно являться повышение осведомленности и навыков специалистов по безопасности компании и государственных структур в вопросах корпоративной безопасности.
В современных условиях необходимым требованием к сотрудникам службы безопасности является постоянное повышение уровня подготовки и квалификации сотрудников подразделения, проведение тренировок, учений, в том числе совместных с представителями МВД, ФСБ, МЧС, Росгвардии и т.д. Так, например, во взаимодействии с органами ФСБ, МВД, МЧС России по вопросам противодействия терроризму на объектах компаний должны проводиться тренировки и совместные учения с ФСБ, МВД, МЧС и Росгвардией России по антитеррористической защищенности объектов.
Таким образом, специалисты корпоративной безопасности должны уметь комплексно анализировать и проверять всю доступную информацию, прогнозировать возникновение угроз безопасности компании, оценивать возможности и риски деловых отношений с третьими сторонами – поставщиками и подрядчиками, клиентами и бизнес-партнерами, объектами для инвестиций и потенциальными сотрудниками.
Литература
1. Захаров А.Н. Роль механизмов государственно-частного партнерства в решении экономических и социальных проблем России. Мировое и национальное хозяйство. 2011. №1. С.2-7
2. Захаров А.Н. Экономическая безопасность России в сфере международных отношений. М.: МГИМО МИД России. 2005. 44с.
3. Захаров А.Н. Актуальные аспекты международной экономической безопасности России. Российский внешнеэкономический вестник. 2004. №8. С.43-46
4. Россия и информационная безопасность. Десятый международный форум “Партнерство государства, бизнеса и гражданского общества при обеспечении международной информации безопасности”. Германия 25-28 апреля 2016 г. Гармиш - Партенкирхен. Международная жизнь. Специальный выпуск, 2016.
5. Россия и информационная безопасность. Материалы международной конференции “Актуальные вопросы информационной и кибербезопасности”. 20 декабря 2016. Международная жизнь. Специальный выпуск.2016.
6. Государство. Бизнес. Гражданское общество. Информационная безопасность. Германия 24-27 апреля 2017 г. Гармиш - Партенкирхен. Приложение к журналу “Международная жизнь”, 2017.
7. Ющук Е. Бизнес-разведка: законные методы и запрещенные приемы. «Экономические преступления». 2009. № 5. [Электронный ресурс]. URL: https://www.audit-it.ru/articles/finance/a106/189897.html (дата обращения:05.08.2018).
8. РЖД: Вопросы безопасности для компании являются приоритетными. [Электронный ресурс]. URL: https://ria.ru/interview/20111125/497505663.html (дата обращения:05.08.2018).
9. Кайгородцев Александр. Стратегия корпоративной безопасности. [Электронный ресурс]. URL:http://group-global.org/ru/publication/21258-strategiya-korporativnoy-bezopasnosti(дата обращения:05.08.2018).
10. Интервью заместителя генерального директора инвестиционного холдинга «ФИНАМ» по безопасности, руководителя клуба безопасности «ЗАЩИТА» Андрея Торгашова. [Электронный ресурс]. URL: http://www.psj.ru/saver_people/detail.php?ID=19792 (дата обращения:05.08.2018).
Холодкова К.С. Анализ подходов к определению сущности организационно-экономического механизма управления. Современные научные исследования и инновации. 2016. № 5 [Электронный ресурс]. URL: http://web.snauka.ru/issues/2016/05/66404 (дата обращения: 23.09.2018).
http://group-global.org/ru/publication/21258-strategiya-korporativnoy-bezopasnosti
http://group-global.org/ru/publication/21258-strategiya-korporativnoy-bezopasnosti
[6] http://www.psj.ru/saver_people/detail.php?ID=19792