Первый шаг в
проектировании новой системы физической защиты (СФЗ) или совершенствовании существующей - определение характеристик защищаемого объекта. Прежде чем принять какое-либо решение о необходимом уровне защиты, следует понять, что именно надо защищать и в каких условиях. Часто этот важный шаг пропускают, и системы безопасности разрабатывают таким образом, что создают избыточную защиту несущественного имущества или не обеспечивают защиту важных частей объекта. Система, спроектированная с большим запасом надежности, может оказаться чрезмерно дорогой, а возможные последствия неадекватной защиты - разрушительными. Таким образом, очень важно, чтобы объект был полностью изучен с учетом налагаемых ограничений, рабочих процессов и условий деятельности.
name='more'>
При определении характеристик объекта должна быть собрана информация по возможно большему числу связанных с ним вопросов. Вначале это представляется очень сложной и многоплановой задачей, однако известно несколько аспектов, на которых следует сосредоточить внимание, чтобы получить нужную информацию. Они включают в себя:
- физические условия
- рабочие процессы на объекте
- правила, регламентирующие работу и процедуры, принятые на объекте
- требования органов государственного регулирования и вышестоящего руководства
- вопросы аварийной безопасности
- юридические вопросы
- корпоративные цели и задачи
По мере сбора данных могут возникнуть другие аспекты, представляющие интерес. Процесс определения характеристик объекта является наиболее субъективным и имеющим наименьшие ограничения при проектировании СФЗ. Он может начаться в определенных рамках, однако затем может появиться неожиданная информация, которая потребует существенного изменения плана его работы. Во время опросов на объекте обычно выявляются некоторые стороны его работы или принципы, не известные части персонала. Реакция на эту новую информацию может находиться в диапазоне от слабого интереса до шока. Так, проведенные в одном из развлекательных комплексов опросы служащих стоящих на разных ступенях служебной лестницы, выявили, что при отключении электроснабжения посетителям, выходящим из парка следует выдавать дополнительные однодневные билеты. Это стало сюрпризом для некоторых менеджеров комплекса, ознакомленных с результатами опросов. Указанный пример наглядно показывает значение личных опросов персонала объекта в дополнение к изучению документов, посещениям объекта и брифингам, которые традиционно используются для сбора информации.
Физические условия
По всей видимости, характеристики физических условий установить легче всего. Они включают: выявление границ объекта, количества зданий и из местоположения, поэтажные планы зданий, наличие входов и въездов, существующие средства физической защиты и все подробности инфраструктуры. Такая информация обычно содержится в проектной документации на объект.
Необходимо изучить следующие составляющие инфраструктуры: отопление, вентиляция, системы кондиционирования воздуха, линии связи, строительные материалы, систему энергоснабжения, помещения с особым температурно-влажностным режимом, местоположение опасных материалов и внешние по отношению к объекту условия. Физические условия объекта также включают рельеф, растительность, животный мир, шумовой фон, присутствие электромагнитных помех, климат и погоду, почву и наличие дорожных покрытий. Вся эта информация может использоваться для предсказания путей проникновения нарушителей на объект, установления местоположения целей нападения и выявление потенциальных причин ложной тревоги системы охранной сигнализации.
Средства физической защиты составляют ограждения, датчики, камеры, системы контроля доступа, а также силы реагирования. Важно знать, имеется ли непосредственно на объекте подразделение охраны (работающее по контракту или собственное) и каковы его возможности. Защита объекта может обеспечиваться силами реагирования, дислоцированными вне объекта, например местными правоохранительным органами. Наличие этой информации в значительной степени определит, сколь эффективным будет окончательный вариант СФЗ.
Рабочие процессы на защищаемом объекте
Другая важная область исследований - рабочие процессы на предприятии. Их характеристики включают основные производимые изделия, технологические процессы их выпуска, условия работы (рабочие часы, нерабочее время, работа в чрезвычайных условиях), тип и количество персонала. На этой стадии значительную часть процесса сбора данных составляет обзор процедур, используемых для решения задач объекта. Эти задачи связаны с продуктом, выпускаемым на объекте (промышленные товары, исследовательские данные и др.). Понятно, что система безопасности не должна парализовать работу объекта.
Обзор рабочих процессов на объекте должен также включать анализ имеющихся функций обеспечения. К ним относятся: процедуры закупка, работа вычислительных ресурсов и их распределение, техническое обслуживание, учет материального имущества, вовлеченность в рабочие процессы и местоположение высшего руководства последовательность рабочих процессов, организация работы по сменам, оплата труда, отправка и получение продукции, функции учета и т.д. Эта информация устанавливает ограничения, в рамах которых реализуются технология или процедуры обеспечения безопасности, и помогает в дальнейшем определить уязвимые места на объекте.
Подробности, относящееся к рабочим процессам, могут выявить важные периоды, связанные с изменением характера функционирования. Например, во время пересменки многие служащие могут входить на объект или покидать его. Это является важной исходной информацией при проектирование систем управления доступом. Такие систем должны выдерживать большой поток персонала, даже если он возникает лишь дважды в день на 60 минут. Знание рабочей нагрузки и расписания работы погрузочных платформ для приема или отправки товаров поможет при проектировании системы слежения за движением имущества и производственного продукта. Данная информация устанавливает потребности, связанные с рабочими процессами, которые должны быть учтены при любой модернизации системы безопасности. Потоки машин на выезде и въезде а также внутри объекта составляют основу для определения уязвимых мест и установления ограничений, которые должны рассматриваться как часть проекта системы безопасности.
Итак, для того, чтобы разработать систему эффективно защищающую цели нападения и не оказывающую непомерно тяжелого влияния на работу объекта следует всесторонне изучить вопросы, связанные с рабочими процессами. Такой анализ должен обязательно проводиться для предложенного проекта СФЗ.
Правила, регламентирующие работу, и процедуры, принятые на объекте
Одна из наиболее важных областей исследования включает понимание писаных и неписаных принципов и процедур, принятых на объекте. Хотя на многих предприятиях подобная информация хорошо документирована, довольно часто можно обнаружить что служащие используют для своей работы иные недокументированные процедуры. В связи с этим возникают значительные отклонения реального положения дел от ожидаемого. Эти отклонения могут быть небольшими, но в конце концов создать значительный риск, поэтому они имеют важное значение. Из-за случайного характера неписаных принципов и процедур их бывает трудно раскрыть. Именно поэтому полезно провести некоторое время на объекте, наблюдая, как выполняется работа. Один из способов сделать это - участие в экскурсии в сопровождении опытного или ответственного служащего. Однако можно, соблюдая правила техники безопасности самостоятельно посетить все зоны объекта и понаблюдать за ходом рабочего процесса. Иногда бывает трудно добиться такого неограниченного доступа, поэтому он должен запрашиваться с целью снижения риска, а не как разрешение на критику. Неписаные процедуры иногда оказываются даже эффективнее их официальных версий, поэтому выявление использования таких процедур может привести к значительным позитивным переменам. Один из способов уменьшения неявно выраженного критического отношения к этому процессу со стороны управляющих - договоренность о неразглашении, в соответствии с которой консультанты по безопасности обязуются не раскрывать никакую полученную ими информацию без разрешения со стороны руководства объекта. Острота проблемы снижается, если разработчик СФЗ является одновременно сотрудником объекта.
Должна существовать документация, информирующая сотрудников в возможных ограничениях их личнычх прав в связи с работой в определенных местах, запрете на пронос наркотиков, алкоголя и оружия на объект, о возможности применения силы охранниками и др. Чтобы обеспечить следование этим принципам, последние должны быть конкретизированы с точным указанием их применимости, конкретных действий, распределения ответственности. Необходимы соответствующие тренировки персонала объекта и лиц, работающих по контракту.
На объекте должны проводиться тренировки правильного понимания и выполнения корпоративных процедур. Несоответствие между требованиями фирмы и программой тренировок по их выполнению может понизить продуктивность работы и моральное состояние служащих, что повысит вероятность возникновения аварий или инцидентов, связанных с обеспечением защиты от несанкционированных действий. Аналогично, если предполагается, что персонал должен обеспечивать определенный уровень защиты от несанкционированных действий, но не проводятся его ежедневные тренировки, возможно взаимное разочарование. Регулярные тренировки должны повысить уверенность в том, что служащие будут вести себя надлежащим образом, и показать, что руководство полностью придерживается заявленных принципов. Если управляющий персонал не соблюдает правил, они должны быть либо пересмотрены, либо отменены. Тренировки служащих - важная часть нормального функционирования любой производственной системы, особенно в отношение защиты от несанкционированных действий, так как служащие - одни из лучших ресурсов для их выявления и предотвращения.
Наличие или отсутствие хорошо документированных, соответствующим образом используемых и применяемых принципов и процедур может быть показателем уровня производственной культуры на объекте. Если ее уровень высок, то для нее характерны ясные ожидания и поддержка этих ожиданий, что сочетается с дисциплиной, необходимой для обеспечения эффективной системы защиты он несанкционированных действий. Если же уровень производственной культуры отличается меньшей дисциплинированностью или большей автономией, тогда система защиты от несанкционированных действий может оказаться нежелательной для служащих, что является серьезной помехой для ее успешной реализации.
Требования органов государственного регулирования и вышестоящего руководства
Все объекты, независимо от характера выпускаемого продукта и вида деятельности, подчиняются органам государственного регулирования и вышестоящему руководству. Это могут быть пожарная служба, органы регулирования вопросов безопасности и охраны труда, федеральные правительственные органы, в частности министерство труда, энергетики, оброны или торговли, любой из специальных органов регулирования, например Комиссия по ядерному регулированию или местная отраслевая комиссия. Кроме того деятельность любого объекта должна удовлетворять определенным стандартам, как стандартам, устанавливаемым профессиональными организациями,например "Дипломированных бухгалтер высшей квалификации", так и принятмым в отрасли образцам работы. Многие объекты используют широкий набор стандартов, одобренных Лабораторией по технике безопасности (UL, 2000). Все строительные рабты должны выполгяться в соответсии с местными правилами, а также првимлами субъектов страны. Независимо от наличия или отсутсвия формиальных требований важно понимать, суть всех правил, которым должен следовать объект.
Например, небольшой офис должен выполнять минимальный набор правил противопожарной безопасности местных органов власти, тогда как крупный нефтехимический комбинат должен соблюдать более широкий круг правил подобного рода. Нефтехимический коибинат также может попдать под регулированиие федеральных агенств, например Администрации по технике безопасности и гигиене труда, Менистерства труда, Управления по охране окружающей среды и т.п. Очевидно, что ни одна такая система не должна подвергать компанию риску из-за нарушений каких-либо правил, которые являются , таким образом, важным приложением к проекту по реализации системы защиты от несакционароивнных действий.
Вопросы аварийной безопасности
Аварийная безопасность и защита от несанкционированных действий преследуют различные цели, хотя являются взаимодополняющими функциями. Рассмотрим в качестве примера возможное поведение группы служащих на объекте во время пожара. Представитель службы аварийной безопасности объекта скажет: "Немедленно прекратите все свои дела, спокойно и организованно покиньте зону или здание, пройдите в указанное место и ждите там дополнительных сообщений". Однако представитель службы безопасности объекта отдаст такое распоряжение: "Немедленно прекратите все свои дела, обеспечьте безопасность важной информации или имущества, которое вы используете, а затем покиньте помещение". Это приводит к классическому конфликту между аварийной безопасностью и защитой от несанкционированных действий - ответственные за аварийную безопасность хотят как можно быстрее осуществить эвакуацию тогда как специалисты по защите от НСД хотят быть уверенными, что никакое имущество не будет украдено и не останется незащищенным во время пожара (которой может быть устроен просто для отвлечения внимания). Этот сложный конфликт может быть разрешен при совместной работе указанных специалистов для достижения и тех, и других целей, а также более масштабных целей организации.
Поскольку ни один специалист по защите от НСД не хотел бы подвергать работника физической опасности из-за защиты имущества, было бы целесообразно разрабатывать технические системы и процедуры так, чтобы удовлетворять всем потребностям. Примером может быть короткая задержка (10-15 с) на пожарных выходах из критической зоны. Это даст персоналу по аварийной безопасности и защите от НСД время для того чтобы убедиться, что пожар действительно происходит, и имеет возможность передать инструкции персоналу объекта. Ряд противопожарных систем сегодня включает возможность для специалистов по аварийной безопасности осуществлять непрерывную задержку открытия двери, если они уверены, что непосредственной опасности нет (т.е. имеет место ложная тревога). На некоторых объектах специалист о защите от НСД направляется в критическую зону для защиты имущества до тех пор, пока не закончится инцидент или нахождение в соответствующей области не станет опасным. В любом случае подобные соображения должны быть учтены при проектировании СФЗ.
Приведем другой пример конфликта, который может возникнуть между системами аварийной безопасности и защиты от НСД - инцидент на крупной электростанции. Пожар начался в помещении с ограниченным доступам, и некоторые люди пострадали. В результате включилась система автоматического пожаротушения. Под действием воды произошло замыкание в электрических замках на входах в помещение, что помешало немедленному входу в него медицинского персонала. Этот пример показывает, что системы аварийной безопасности и защиты от НСД должны согласованно работать во всех условиях.
Должно быть ясно, что при проектировании эффективной системы защиты от НСД должно учитываться мнение специалистов по аварийной безопасности.
Юридические вопросы
Пожалуй, наиболее явный и сложный аспект определения характеристик объекта - это тщательный обзор юридических проблем, связанных с реализацией системы физической защиты. Соответствующий круг вопросов включает ответственность, доступ для нетрудоспособных, трудовые отношения, критерии приема на работу, необходимую тренировку охранников, проблемы с не обеспечением защиты, избыточное применение силы и др. Важный компонент разработки и реализации СФЗ - понимание проблем уголовного права.
Практически невозможно дать полный обзор всех юридических проблем, с которыми ежедневно сталкиваются на объекте, однако они могут усугубиться, если СФЗ плохо спроектирована или реализована. По этой причине здесь представлены наиболее общие соображения по данному вопросу. На каждом объекте необходимо проведение отдельной оценки юридических вопросов и выработки плана действий в связи с этой информацией. Важно подчеркнуть, что организация не должна игнорировать вопросы защиты от НСД только потому, что юридические сложности кажутся чрезмерными. Существует риск определенной ответственности организации за отсутствие попыток предотвратить преступления, для совершения которых были созданы предпосылки в прошлом. Прекрасный пример - сфера гостиничного бизнеса. В прецедентном праве есть масса случаев, когда предлагалось, что отели после случаев воровства, насилия и грабежа примут меры для защиты постояльцев от повторения подобных нападений. Если такие меры не реализуются, наказание при повторном инциденте бывает гораздо более тяжелым. Предполагается, что руководство объекта проконсультируется по этим вопросам с юристом.
Ответственность при защите от несанкционированных действий
В контексте ответственности, возникающей при реализации СФЗ, следует отметить, что большая часть организаций подвергается судебному преследованию при недостаточном внимании к превентивным мерам безопасности (не была обеспечена безопасность персонала, имущества и информации), а также при превышении полномочий во время реагирования на инцидент.
- Не обеспечение безопасности может быть связано с рядом причин наример, небрежным отношением охранников к зищите своих клиентов потерей имуществоа в связи с растратой или воровством служащиего, а ткже утечкой информации, например промышленных секретов. Не обеспечение защиты может также включать возможность хищения интеллектуальной собственности - патентов, авторских прав, торговых марок, а также конфиденциальной информации, такой, как файлы с персональными данными на служащих, историями болезней или служебными записям.
- Избыточное реагирование. Ответственность, связанное с этим, имеет место в случае чрезмерного применения силы сотрудником службы безопасности, вторжения в чью-либо частную жизнь, а также при незаконном лишение кого либо свободы. Такие вопросы разрешаются посредством установки ясных принципов работы на объекте, тренировкой персонала, однако во многих компаниях соответствующие принципы и процедуры все еще не согласованы с практикой их дейтельности. Это подвергает рих риску возниконовения ответственности в связи с упомянутыми выше событиями. Удивительно большое число компаний не организуют тренировок своих сил безоасности по выполнению соответствующих процедур, связанных с применением силы, а ткаже с задержкой служащего или другого подозрительного лица для допроса. То обстоятельство, что многие охранники не обладают полномочиями для роведения ареста, влечет за собой ответственность за принятые меры.
Вопросы, связанные с занятостью членов профсоюза
Во многих компаниях служат члены профсоюзов. Руководство этих компаний должно использовать положения федеральных законов, касающиеся компаний и забастовок членов профсоюза, а также проводить с ними дисциплинарные беседы и допросы. Смежными вопросами являются требования компенсации работникам, увольнение за нарушение мер безопасности и практика небрежного подхода к найму сотрудников. Хотя на объекте может быть и не так много подобных проблем, время от времени они все же возникают и их приходится рассматривать в более широком контексте общего подхода к деятельности фирмы. Кроме того, закон ясно указывает, что, если нанятый служащий совершает правонарушение в интересах фирмы, последняя также несет ответственность. В этой связи проводятся тщательные проверки биографий служащих, назначаемых на должности, имеющие особо важное значение для объета, например охранников или контролеров.
Существуют целые тома информации, посвященной юридическим вопросам защиты от НСД, а также другие публикации, в которых отслеживаются судебные прецеденты в этой области, например Private Securite Case Law Reporter (Srafford Publication, Atlanta). По мере сбора информации об объекте и возникновения юридических вопросов консультируйтесь с юристом или обращайтесь к соответствующим источникам информации. Это поможет при разработке руководств, принципов и процедур, которые наряду с обеспечением эффективной охраны имущества ограничивают ответственность.
Корпоративные цели и задачи
При проектирование СФЗ важно понимать, как корпорация или руководство объекта оценивает
роль службы безопасности . Если защита от НСД рассматривается как неизбежная функция, которая, однако, не приносит прибыли, трудно создать эффективную СФЗ. Необходимо чтобы высшее руководство рассматривала функцию безопасности как часть всего бизнеса, а службу безопасности как партнера в выполнение стратегического плана достижения корпоративных целей. Поэтому важно, чтобы разработчик СФЗ имел поддержку высшего руководства. Если же последнее не понимает актуальности этой проблемы для бизнеса, оно может неохотно направлять ресурсы на создание или совершенствование СФЗ. Руководитель службы безопасности должен извещаться обо всех значительных мероприятиях компании, таких, как план приобретения нового отделения или объекта, план предстоящих увольнений, расширение или организация новых производственных мощностей, совещания или предполагаемые визиты руководящего персонала либо других официальных лиц на объект. Эта информация необходим для обеспечения непрерывной защиты имущества и персонала.
Возможно, таким образом, главная обязанность разработчика СФЗ убедить руководство в важности того, чтобы, по крайней мере, выявить уязвимые места и усовершенствовать систему защиты, добившись изменения к лучшему.
Среда функционирования объекта
Политическая обстановка в окружающем объект сообществе и внутренние отношения также являются существенной составляющей при определении характеристик объекта, а внутренняя борьба за власть может повлиять на объем средств, выделяемых на СФЗ. Может оказаться важной связь между объектом и местными правоохранительными органами, особенное если объект зависит от них при реагировании на инциденты, связанные с безопасностью. Также должно быть исследовано наличие договоренностей о взаимной помощи другими местными организациями и промышленными группами, поскольку такие договоренности могут дать дополнительные ресурсы для реагирования или сбора информации об угрозах, вызывающих беспокойство. Это позволит также наладить связи в сообществе для принятия решений в чрезвычайных условиях.
Наконец, следует отметить ,что при сборе данных на объектах разного типа обычно имеется ряд общих позиций (например, круг лиц, которым разрешен доступ), однако некоторые вопросы различаются (так, энергетическая компания имеет большее число элементов инфраструктуры, чем магазин розничной торговли). а какие-то уникальны (например, в случае такого сооружения, как плотина). Вследствие этого невозможно составить универсальный список данных или источников. Этот процесс является динамичным, по мере его продвижения могут потребоваться дополнительные сведения, тогда как некоторые данные могут потерять актуальность.
Источник: М. Гарсиа "Проектирование и оценка систем физической защиты"
