Концепция безопасности предприятия

Основные понятия

Для обеспечения достижения целей предприятия, в том числе в области его конкурентоспособности, важное значение имеют вопросы безопасности. Это обусловлено тем, что недостаточный уровень физической, экономической, информационной и экологической безопасности предприятия может привести к возникновению различных видов ущербов, характер и масштаб которых настолько снизит уровень конкурентоспособности и эффективность хозяйственной деятельности предприятия в целом, что может встать вопрос о его банкротстве и ликвидации.

В Словаре русского языка С.И. Ожегова это понятие определяется следующим образом: «безопасность – это положение, при котором не угрожает опасность кому-чему-нибудь».

Для решения задач управления безопасностью необходимо однозначно определить понятие «безопасность», поскольку на практике оно часто толкуется в двух различных смыслах, а именно:

как безопасность соответствующих видов объектов от внешних по отношению к ним опасностей (т.е. данные объекты нуждаются в защите)
как причисление соответствующих объектов к возможным источникам опасности для других видов объектов, являющихся внешними по отношению к ним (т.е. от данных объектов необходимо защищаться).

Анализ определений данного понятия, представленных в [23-30], позволил выделить наиболее существенные, базовые терминологические элементы, которые могут быть использованы для определения понятия «безопасности предприятия».

Во-первых, большая часть авторов под безопасностью понимают состояние потенциальной жертвы, объекта опасности.

Во-вторых, безопасность часто рассматривается как способность объекта, явления, процесса сохранить свою сущность и основные характеристики в условиях целенаправленного, разрушающего воздействия, направленного извне либо изнутри самого объекта, явления, процесса.

В-третьих, безопасность - категория системная, поскольку является свойством системы, построенной на принципах устойчивости, саморегуляции, целостности. Отсюда роль безопасности заключается в защите каждого из этих свойств системы, так как разрушительное воздействие на любое из этих свойств приведет к гибели системы в целом.

В-четвертых, безопасность рассматривается как решающее условие (гарант) жизнедеятельности личности, общества, государства, что позволяет им сохранять и умножать их материальные и духовные ценности.

В-пятых, безопасность в абсолютном своем выражении - отсутствие опасностей и угроз материальной и духовной сферы.

И, наконец, в-шестых, базовым элементом всех определений выступает угроза как реальный признак и сущностная характеристика опасности.

Отсюда следует, что угроза и борьба с ней являются сущностью безопасности. Следует также отметить, что безопасность - это не отсутствие опасности, а защита от нее.

Под опасностью понимаются возможные или реальные явления, события и процессы, способные нанести вред человеку, социальной группе, народу, обществу, государству, человеческому сообществу и Земле или даже уничтожить их, нанести ущерб их благополучию, разрушить материальные, духовные или природные ценности, вызвать деградацию, закрыть путь к развитию. Понятие «опасность» охватывает также явления, процессы и действия, которыми люди наносят вред природе, а природа людям [29].

Опасность может выступать в различных формах, а именно в виде намерений, планов подготовки действий, а также самих действий, направленных на подчинение, ослабление, уничтожение объектов безопасности и т.д. Количество признаков, характеризующих опасность, может быть увеличено или уменьшено в зависимости от целей анализа. Например, признаками опасности для человека, как биологического объекта, являются:

угроза для жизни
возможность нанесения ущерба здоровью
нарушение условий нормального функционирования органов и систем организма человека.

Опасность понятие относительное и носит потенциальный (т.е. скрытый) характер, ее актуализация (или реальное проявление) происходит при определенных условиях, именуемых причинами. Триада «опасность – причины – нежелательные следствия» - это закономерный процесс развития, реализующий потенциальную опасность в реальный ущерб (последствие). Как правило, реальные процессы являются многопричинными, т.е. одна и та же опасность может реализоваться в нежелательное событие через разные причины. Основу профилактики нежелательных событий составляет поиск причин [30].

Понятие «угроза» родственно понятию «опасность». Угроза - это опасность на стадии перехода из возможности в действительность, высказанное намерение или демонстрация готовности одних субъектов нанести ущерб другим [29].

В методологическом аспекте не угрозы, а причины опасности, которые обусловлены имеющимися противоречиями, являются, по сути, ключевыми для идентификации опасностей и деятельности по защите от них. Таким образом, угрозу следует понимать как результат имеющихся и формирующихся в человеке, коллективе, обществе, в межличностных, общественных (групповых) и межгосударственных отношениях противоречий. Без выявления и решения этих противоречий никакая безопасность обеспечена быть не может.

Угроза всегда носит предметный характер, наполнена конкретным содержанием и в случае четко выраженного опасного состояния должна приобретать конкретную правовую характеристику. Эта характеристика чаще всего фиксируется в законах (например, в статьях Уголовного кодекса об измене Родине, терроризме, контрабанде и т.д.).

Системный, проблемный и факторный анализ зарождающихся и затухающих противоречий, характера их развития позволяет отслеживать состояние безопасности на каждый конкретный период, определять стратегию ее обеспечения на более длительный период и адекватно реагировать на имеющиеся и потенциальные угрозы.

Например, с помощью факторного анализа можно выделить и сгруппировать факторы дестабилизирующего и стабилизирующего характера, а затем разработать и реализовать конкретные меры в системе обеспечения безопасности, направленные на нейтрализацию, подавление дестабилизирующих факторов и стимулирование действия стабилизирующих факторов. В этом заключается не столько защитная функция обеспечения безопасности, сколько способствующая позитивному развитию защищаемого объекта.

Количественной оценкой опасности является риск, который определяется частотой или вероятностью возникновения одного события, связанного с опасностью, при наступлении другого. По мнению специалистов, использование риска в качестве оценки опасностей предпочтительнее, чем использование традиционных показателей [29].

Поскольку обеспечить нулевой риск в действующих системах абсолютно невозможно, т.к. это не соответствует законам техносферы, то во всех сферах деятельности людей чаще всего имеет место осознанный риск (когда рассчитываются ожидаемая выгода, цена, которую допустимо заплатить за нее, последствия и т.д.). В этом случае имеет место концепция приемлемого (допустимого) риска, суть которой заключается в стремлении к такой безопасности, которую приемлет индивид или общество в данный период времени.

Следует отметить, что восприятие человеком и обществом риска и опасностей субъективно. Например, люди резко реагируют на события редкие, но которые сопровождаются большим числом единовременных жертв. В то же время частые события, в результате которых погибают единицы или небольшие группы людей, не вызывают столь напряженного негативного отношения.

Например, на фоне того, что ежедневно на производстве погибает 40-50 человек, а в целом по стране от различных опасностей лишаются жизни более 1000 человек в день, новость о гибели более десятка человек в одной аварии или каком-либо конфликте, представленная в средствах массовой информации, вызывает более выраженную реакцию со стороны населения [29].

Данное явление необходимо иметь в виду при рассмотрении проблемы приемлемого риска. Субъективность в оценке риска подтверждает необходимость использования приемов и методологий, лишенных этого недостатка.

На практике применяются следующие методические подходы к определению риска:

инженерный (опирающийся на статистику, расчет частот, вероятностный анализ безопасности, построение «дерева» опасности)
модельный (основанный на построении моделей воздействия вредных факторов на отдельного человека, социальные, профессиональные группы и т.п.)
экспертный (когда вероятность событий определяется на основе опроса опытных специалистов, т.е. экспертов)
социологический (основанный на опросе населения).

Для получения объективных результатов оценки рисков целесообразно применять указанные методы в комплексе.

При разработке концепций и систем управления безопасностью предприятия следует иметь ввиду, что экономические возможности повышения безопасности технических систем небезграничны, поэтому приемлемый риск сочетает в себе технические, экономические, социальные и политические аспекты и представляет некоторый компромисс между уровнем безопасности и возможностями ее достижения.

Например, при увеличении затрат на технические мероприятия технический риск снижается, но растет социальная напряженность, поскольку эти средства могли бы быть направлены на решение социальных проблем работников. Таким образом, руководителям предприятия необходимо соблюдать оптимальное соотношение между инвестициями в техническую, социальную и другие сферы безопасности предприятия. При этом критерием решения является минимальная величина суммарного риска. Это обстоятельство необходимо учитывать при выборе уровня риска, который должен быть приемлем для предприятия с точки зрения его экономических, технических и других возможностей и удовлетворять требованиям заинтересованных сторон (например, законодательным нормам, техническим регламентам, стандартам, договорам, а также требованиям общественности и населения).

В некоторых зарубежных странах официально и неофициально используются приемлемые уровни риска для экосистем, индивидуального риска гибели людей и экономические эквиваленты человеческой жизни. Например, максимально приемлемым риском для экосистем считается тот, при котором может пострадать 5% видов биогеоценоза. В Голландии в законодательном порядке установлены приемлемые риски индивидуального риска гибели (максимально приемлемым уровнем считается 10-6 в год, пренебрежительно малым – 10-8 в год). При этом человеческая жизнь оценивается от 650 тыс. до 7 млн. долл. США, что отражает количество средств, затрачиваемых в среднем на спасение одной человеческой жизни [30].

Следует отметить, что на практике приемлемые риски на 2-3 порядка «строже» фактических, и поэтому их применение является действием, направленным на реальную защиту людей и окружающей природной среды.

Многообразие опасностей, угроз и источников их возникновения (образования) требует их классификации. Представляется целесообразным группировать опасности и угрозы по следующим признакам:

по направленности против определенных субъектов, их интересов и потребностей, а также против тех или иных объектов (в том числе природных)
по отношению к объектам воздействия (внутренние, внешние, аутоугроза)
по сферам действия (экология, экономика, социальная область, культурология и т.д.)
по масштабам (глобальные, региональные, государственные, местные и т.д.)
по способам и формам проявления (заявления, конкретные действия, совокупность обстоятельств, которые могут породить опасность в перспективе и требуют защитного реагирования и т.д.)
по источникам и движущим силам (обусловленные деятельностью людей, природные и т.д.)
по ожиданию воздействия на объекты (внезапные, неожиданные; ожидаемые с малым временем задержки; ожидаемые с большим временем задержки)
по умыслу (правомерная, т.е. вытекающая из реализации правовых норм, противоправная, внеправовая)
по форме (прямая, косвенная, завуалированная, манифестированная, латентная, несформировавшаяся)
по времени (мгновенная, длящаяся, дискретная, «законсервированная»)
по последствиям (необратимая, обратимая, мутагенная, доминантная, катализирующая)
по значению (допустимая, недопустимая)
по составу (разовая, бинарная, кумулятивная, диффузная)
по природе происхождения (социальная, техногенная, природная)
по актуализации (вероятная, потенциальная, реальная, осуществленная)
по причинности (закономерная, случайная).

С учетом вышесказанного, а так же в контексте задач по управлению комплексной безопасностью предприятия определение данного понятия можно сформулировать следующим образом.

Безопасность предприятия - это состояние защищенности структурных элементов предприятия, ключевых для обеспечения его текущей деятельности и конкурентоспособности, которое достигается, поддерживается и/или улучшается путем осуществления деятельности по выявлению (идентификации), предупреждению, ослаблению, устранению (ликвидации) и отражению внешних и внутренних опасностей и угроз, способных нанести неприемлемый (недопустимый в данный период времени) ущерб законным интересам предприятия, выражаемых, в том числе, в потребности его самосохранения и развития.

Таким образом, исходя из определения, субъектами правоотношений при решении проблемы безопасности предприятия являются:

государство как собственник ресурсов, создаваемых, приобретаемых и накапливаемых за счет средств государственных бюджетов, а также информационных ресурсов, отнесенных к категории государственной тайны
юридические и физические лица, являющиеся владельцами предприятия
юридические и физические лица, участвующие или заинтересованные в результатах деятельности предприятия и с которыми установлены правовые отношения (поставщики, партнеры, клиенты, частные охранно-детективные структуры, надзорные и контролирующие органы государственной власти и т.п., включая зарубежных представителей контактной аудитории предприятия)
физические лица, относящиеся к руководству и персоналу предприятия.

К основным объектам безопасности на предприятии относятся:

владельцы (от решений которых зависит сохранение целостности и возможности стратегического развития предприятия, стабильность кадрового состава руководства и т.п.)
влиятельные поставщики, партнеры и клиенты предприятия (от решений которых зависит получение выгодных контрактов, обеспечение качества продукции, достижение и поддержание престижа и общественной репутации предприятия, а также нанесение значительного ущерба от задержки с оплатой отгруженной продукции, невозврата крупных кредитных ссуд и т.п.);
персонал предприятия (руководящие работники, производственный и обслуживающий персонал, работники бухгалтерии, от деятельности которых зависит финансовое состояние предприятия и/или которые осведомлены о сведениях, составляющих производственную и коммерческую тайну и др.)
финансовые ресурсы (денежные средства, ценные бумаги и т.п., от сохранности которых зависит финансово- экономическое состояние предприятия, возможности по решению социально-экономических проблем, а также стратегическое развитие предприятия)
производственные и материальные средства (ценное имущество предприятия)
нематериальные активы (в том числе «ноу-хау», методы, модели, программы для ЭВМ и т.п.)
информационные ресурсы (информация с ограниченным доступом, составляющая коммерческую тайну, иная конфиденциальная информация, предоставленная в виде документов и массивов данных независимо от формы и вида их представления, а также информативные физические поля различного характера)
средства и системы информатизации (автоматизированные системы и вычислительные сети различного уровня и назначения, линии телеграфной, телефонной, факсимильной, радио- и космической связи, технические средства передачи информации, средства размножения и отображения информации, вспомогательные технические средства и системы).

Все объекты, в отношении которых могут быть осуществлены угрозы безопасности или противоправные посягательства, имеют различную потенциальную уязвимость с точки зрения возможного материального или морального ущерба. Исходя из этого, они должны быть классифицированы по уровням уязвимости (опасности) и степени риска.

На практике наибольшей уязвимостью обладают финансовые средства, особенно в процессе транспортировки, информационные ресурсы и некоторые категории персонала.

В процессе выявления, анализа и прогнозирования потенциальных угроз интересам предприятия учитываются объективно существующие внешние и внутренние факторы (условия), влияющие на его безопасность. Например, в настоящее время существенное влияние имеют следующие внешние неблагоприятные по отношению к предприятию факторы:

нестабильная политическая, социально-экономическая обстановка и обострение криминогенной ситуации в отдельных регионах страны;
невыполнение законодательных актов, правовой нигилизм, отсутствие ряда законов по жизненно важным вопросам
снижение моральной, психологической и производственной ответственности граждан.

Для концептуального понимания вопросов безопасности предприятия рассмотрим наиболее общий состав внешних и внутренних потенциальных угроз.

По отношению к отдельному предприятию различаются следующие виды внешних угроз [29]:

недобросовестные конкуренты
преступные группы и формирования
противозаконные действия отдельных лиц и организаций административного аппарата, в том числе налоговых служб
промышленный шпионаж, хакерские атаки на информационные системы предприятия.

Внутренние угрозы можно классифицировать следующим образом:

преднамеренные преступные действия персонала самого предприятия
непреднамеренные действия и ошибки сотрудников
отказ производственного оборудования и технических средств, включая системы охраны и защиты материальных и информационных ресурсов
сбои программного обеспечения средств обработки информации.

Соотношение внутренних и внешних угроз для предприятия по экспертной оценке может быть охарактеризовано следующими показателями [29]:

81,7% угроз совершается либо самими сотрудниками организации, либо при их прямом или опосредованном участии (внутренние угрозы)
17,3% - внешние угрозы или преступные действия
1,0% - угрозы со стороны случайных лиц.

В общем плане к угрозам безопасности личности относятся:

похищения и угрозы похищения владельцев, клиентов и персонала предприятия, членов их семей и близких родственников
убийства
психологический террор, угрозы, запугивание, шантаж, вымогательство
нападение с целью завладения денежными средствами, ценностями и документами.

Реализованные угрозы личной безопасности персонала, как правило, приводят к крупным экономическим издержкам для предприятия (например, утрата ценных работников, затраты на возмещение работникам и членам их семей понесенного ими морального и материального ущерба, включая утрату здоровья и пр.). Ярким примером здесь могут служить убийства ряда руководителей ведущих российских банков.

Угрозы материальным ценностям проявляются в:

краже продукции
в нападении, вторжении, захвате, пикетировании, блокировании, повреждении (уничтожении) зданий, помещений, квартир, дач, гаражей и другого недвижимого имущества
выводе из строя средств связи и систем коммунального обслуживания предприятия
краже, угоне и уничтожении транспортных средств, принадлежащих предприятию
авариях, пожарах (поджогах).

Цель подобных акций заключается в:

нанесении серьезного морального и материального ущерба руководству и персоналу предприятия
срыве на длительное время нормального функционирования предприятия
вымогательстве значительных сумм денег или каких-либо льгот (кредиты, отсрочка или погашение платежей и т.п.) по предлогом угрозы совершения противоправных действий.

Эта категория угроз приводит в случае их актуализации к наиболее явному и наиболее значительному экономическому ущербу для предприятия.

Угрозы финансовым ресурсам проявляются в виде:

хищения финансовых средств из касс и инкассаторских машин;
невозврата кредитных ссуд (в том числе путем криминальных банкротств)
мошенничества со счетами, фальсификации валюты
подложных платежных документов и пластиковых карт
взимания незаконных налогов, штрафов и пр.

Угрозы информационным ресурсам проявляются в виде:

разглашения конфиденциальной информации
утечки конфиденциальной информации через технические средства обеспечения производственной деятельности различного характера и исполнения
несанкционированного доступа к охраняемым сведениям со стороны конкурентных организаций и преступных формирований
неправомерного ознакомления с охраняемыми сведениями (составляющими коммерческую тайну)
изменения информации с криминальными целями
уничтожения информации с целью нанесения морального и материального ущерба предприятию и его персоналу.

Осуществление угроз информационным ресурсам может быть произведено:

путем неофициального доступа и съема конфиденциальной информации
путем подкупа лиц, работающих на предприятии или в структурах, непосредственно связанных с его деятельностью
путем перехвата информации, циркулирующей в средствах и системах связи и вычислительной техники, с помощью технических средств разведки и съема информации, несанкционированного доступа к информации и преднамеренных программно-математических воздействий на нее в процессе обработки и хранения
путем подслушивания конфиденциальных переговоров, ведущихся в служебных помещениях, служебном и личном автотранспорте, на квартирах и дачах
через переговорные процессы между иностранными или отечественными фирмами, используя неосторожное обращение с информацией
через отдельных сотрудников предприятия, стремящихся заполучить больший, чем их зарплата, доход или имеющих иную корыстную заинтересованность.

Далее рассмотрим основные способы и технические средства, которые могут быть использованы в системе комплексной безопасности предприятия для выявления (идентификации), предупреждения, ослабления, устранения (ликвидации) и отражения внешних и внутренних опасностей и угроз, способных нанести неприемлемый (недопустимый в данный период времени) ущерб законным интересам предприятия. Основные компоненты системы комплексной безопасности предприятия представлены на рис. 4.1.

Рис. 4.1. Основные компоненты системы комплексной безопасности предприятия