Фактори, що визначають вибір базової концепції забезпечення

1) загальна стратегія розвитку ("місія") банку, наприклад орієнтація на обслуговування високорентабельних галузей або тіньової економіки;

- Ступінь агресивності конкурентної стратегії банку;

- Ступінь "кріміногенності" регіону розміщення банку;

2) фінансові можливості банку щодо забезпечення власної безпеки;

3) кваліфікація персоналу служби безпеки банку;

- Наявність підтримки з боку місцевих органів державної влади.

Загальна послідовність реалізації обраної стратегії:

■ визначення загального переліку реальних та потенційних загроз безпеки банку, а також їх можливих джерел;

■ формування ранжированного переліку об'єктів захисту;

■ визначення ресурсів, необхідних для реалізації стратегії;

■ визначення раціональних форм захисту по конкретних об'єктах;

■ визначення функцій, прав і відповідальності служби безпеки банку;

■ визначення завдань інших структурних підрозділів та управлінських інстанцій банку в рамках реалізації стратегії;

■ розробка оперативного плану заходів та цільових програм.

Операційні підсистеми - це самостійні елементи системи управління, кожен з яких спрямований на вирішення формалізованого переліку однотипних завдань по забезпеченню безпеки.

Відображаючи встановлені стратегією управління цілі та пріоритети, операційні підсистеми мають своїми об'єктами:

- інформаційну безпеку;

- безпеку персоналу;

- майнову безпеку.

Відповідно до методології менеджменту, при формуванні операційних підсистем необхідно дотримувати наступні загальні вимоги:

· підсистеми не можуть містити елементів (методів, процедур і т.п.), практичне функціонування яких може об'єктивно утруднити експлуатацію суміжних підсистем;

· загальна структура кожної з підсистем повинна відповідати наступній типовій схемі: "визначення цілей процесу - планування та організація процесу - оперативне управління процесом - оцінка результатів процесу шляхом зіставлення їх з раніше запланованими цілями";

· формалізоване закріплення функцій, пов'язаних з експлуатацією підсистем, за відповідними керівниками та фахівця мі як штабних, так і комерційних підрозділів фірми, включаючи і механізм особистої відповідальності за їх виконання.

Блок забезпечення є необхідною частиною будь керуючої системи.

Формуючи вихідні умови для ефективного управління, він включає в себе кілька напрямків.

а) Інформаційне забезпечення системи управління безпекою включає в себе три компоненти:

- використовувані в рамках системи методи та конкретні процедури отримання суб'єктами управління необхідної первинної інформації;

- формалізовані канали проходження інформації в рамках системи, які визначають маршрут руху раніше зібраної інформації по інстанціях (принципова схема: від кого - кому - в якій формі - в які терміни);

- бази даних, пов'язаних з будь-якими проблемами внутрішньої та зовнішньої безпеки, які накопичуються і оновлюються протягом усього періоду функціонування на ринку і використовуються при формуванні (управлінських рішень будь-якого рівня.

б) Нормативно-методичне забезпечення включає в себе комплект зовнішніх і внутрішніх регламентів, що використовуються в процесі управління розглянутим напрямом діяльності, а також документів рекомендаційного, тобто НЕ директивного характеру^ До зовнішніх регламентам відносяться законодавчі (наприклад, Закон РФ Про приватну детективну та охоронну діяльність у РФ) і підзаконні (наприклад, Постанова Уряду РФ Про перелік відомостей, які не можуть становити комерційну таємницю) акти. До внутрішніми регламентами та рекомендаціям відносяться будь постійно діючі документи, розроблені в рамках конкретного банку і введені у відповідності з чинним в ньому порядком - інструкції, накази, розпорядження і т.п. Єдиним обмеженням при розробці внутрішніх регламентів є їх хоча б формальну відповідність (несуперечність) чинному законодавству,

в) Технологічне забезпечення визначається як сукупність формалізованих технологій забезпечення безпеки банку від раз особистих видів загроз. їх наявність є основною передумовою ефективності управління, оскільки дозволяє чітко визначити:

· безпосередніх учасників (інстанції і робочі місця, які беруть участь у описуваної операції по захисту від конкретної загрози);

· управлінські процедури (заходи, здійснювані в рамках операції);

· типові терміни по операції в цілому і кожної управлінської процедурі окремо;

· відповідальність учасників за порушення описуваної технології.

г) Інструментальне забезпечення визначається як сукупність прикладних методів управління, використовуваних в рамках системи|стосовно до управління безпекою їх можна диференціювати натри групи:

· Методи профілактичного характеру, що дозволяють не допустити практичної реалізації потенційної загрози;

· Методи присікаючого характеру, що дозволяють відобразити вже реалізовану " і загрозу, не допустивши або мінімізувавши можливі збитки;

· Методи караючого характеру, що дозволяють покарати безпосередніх винуватців реалізованої загрози.

д) Трудове забезпечення визначається як повністю укомплектують винний штат служби безпеки, що включає в себе три кваліфікаційних категорії працівників:

1) Менеджери, тобто керівники різного рівня - від очолює розглянуте напрямок віце-президента банку до бригадира зміни охоронців;

2) Експерти, тобто висококваліфіковані співробітники служби безпеки, що спеціалізуються на певних напрямках її забезпечення (аналітики, розробники спеціальних програмних засобів і т.п.), але не виконують при цьому прямих управлінських функцій;

3) Виконавці (охоронці, ремонтники спецобладнання та ін.) е)

Фінансове забезпечення визначається як сукупність фінансових ресурсів, що виділяються на підтримку і розвиток розглянутого напрямку (придбання спецобладнання, зарплата персоналу, оплата інформації тощо). При формуванні, експлуатації та розвитку системи управління безпекою банку необхідно дотримувати деякі загальні методичні вимоги. Головним з них виступає системний підхід до проблеми забезпечення безпеки. Під цим розуміється неприпустимість акцентування зусиль служби безпеки на відображенні якого одного або декількох видів потенційних загроз на шкоду іншим. Порушення даної вимоги до теперішнього часу характерно для багатьох вітчизняних комерційних фірм і визначається, частіше за все, колишньої областю професійної діяльності керівника розглянутого напрямку. Так, колишні співробітники Другого Головного управління КДБ СРСР основну увагу приділяють протидії банківському шпигунству, співробітники ФАГІСИ - захист інформації, співробітники МВС - захист майна і т.п. У результаті в системі захисту безпеки виникають вразливі місця які, і можуть використовуватися зловмисниками. Очевидно, що вказане тут вимога не повинна вступати в протиріччя з принципом раціонального ранжирування потенційних загроз, який розглядається нижче.

Другою вимогою визначається пріоритет заходів щодо запобігання потенційних загроз (тобто методів профілактичного характеру). Воно не потребує додаткових обгрунтувань вже в силу забезпечуваною можливості не допустити збитків в принципі, тоді як інші методи в кращому випадку дозволяють його скоротити або покарати винуватців.

Третьою вимогою виступає орієнтованість системи на забезпечення пріоритетного захисту конфіденційної інформації і лише потім інших об'єктів потенційних загроз. Роль інформації та інформаційних технологій у функціонуванні сучасної цивілізації, держави, окремих фірм послідовно збільшується. Все для більшого числа господарюючих суб'єктів втрата або розголошення інформації стає більш значущою втратою, ніж розкрадання грошових коштів і матеріальних цінностей. Поява і розвиток глобальних комп'ютерних мереж визначило появу ще одного джерела постійних загроз інформаційній безпеці - несанкціоноване проникнення в бази даних.

Хакерство з екзотичної форми інтелектуальної діяльності обмеженого контингенту фахівців з розробки програмних засобів вже в кінці 70-х років перетворилася в нову професійну спеціалізацію для працівників не тільки державних спецелужб, а й приватного, в тому числі й кримінального, бізнесу. Спостережуваний в останні десятиліття різке зростання як загальної номенклатури загроз інформаційної безпеки банків, так і масштабу втрат від них, визначає необхідність реалізації даної вимоги.

Четвертим вимогою є безпосередня участь у забезпеченні безпеки банку всіх її структурних підрозділів і співробітників в рамках встановленої їм компетенції та відповідальності. Структура можливих загроз, серед яких не останнє місце займають і погрози з боку власного персоналу, виключають можливість ефективної протидії їм силами виключно співробітників служби безпеки. Тому в заключному розділі посібника спеціально розглядається комплекс заходів по вихованню в трудовому колективі відповідної ідеології і навчанню його членів методам профілактики і припинення найбільш ймовірних загроз.

П'ятою вимогою виступає забезпечення взаємодії системи управління безпекою з іншими напрямами менеджменту. Зазначена вимога реалізується як на стратегічному, так і на оперативному рівні системи управління. У наступному розділі спеціально розглядається залежність стратегії забезпечення безпеки від загальної місії банку та його конкурентної стратегії. У вітчизняних умовах в режимі оперативного управління найбільш тісний взаємозв'язок повинна забезпечуватися між розглянутої системою і персональним менеджментом. Порушення вимоги про координацію управління різними напрямками діяльності може призвести до вкрай негативних наслідків. У разі, коли при розробці суміжних систем управління (наприклад, фінансового менеджменту або маркетингу) будуть порушені вимоги з боку розглянутої системи, різко збільшується ймовірність негативної реалізації відповідних загроз. У свою чергу нормальне функціонування суміжних систем управління буде постійно порушуватися, якщо управління безпеки буде організовано за принципом самодостатності - безпека заради самої безпеки.

Таким чином, комплексна система управління повинна формуватися з урахуванням забезпечення відносного паритету або балансу інтересів кожного з напрямків діяльності кредитно-фінансової організації.

Шостою вимогою є відповідність витрат на забезпечення безпеки банку реальному рівню загроз. Воно пов'язане з реалізацією принципу розумної достатності. З позиції кінцевої ефективності системи в рівній мірі неприпустимо економити на розглянутому напрямку діяльності, послаблюючи власну безпеку, і перебільшувати можливі загрози, здійснюючи зайві, тобто не окупають витрати. Враховуючи, що керівництво служби безпеки з очевидних причин схильне саме до завищення рівня потенційних загроз, для дотримання даної вимоги бажано залучення незалежних експертів в особі співробітників державних правоохоронних органів або приватних охоронних структур.

Заключним вимогою є формалізоване закріплення не тільки функціональних обов'язків, але і повноважень (межі компетенції) служби безпеки. На відміну від інших напрямів діяльності банку робота більшості співробітників цього підрозділу завжди пов'язана із загрозою перевищення службових повноважень. В результаті велика ймовірність порушення проти кредитно-фінансової організації кримінальних справ та цивільних позовів за звинуваченням у порушенні чинного законодавства чи цивільних прав.

Оцінка ефективності управління безпекою є необхідним елементом системи. Вона дозволяє вирішити кілька прикладних задач, зокрема, здійснювати статистичний аналіз ймовірності негативної реалізації тих чи інших загроз, а також об'єктивно оцінювати результативність діяльності служби безпеки.

На відміну від більшості інших напрямів менеджменту тут не завжди можна точно підрахувати забезпечений економічний ефект. Зокрема, важко визначити можливі втрати від своєчасно припинених загроз. За деякими видами загроз, наприклад на адресу співробітників банку прямий ефектвирішити кілька прикладних задач, зокрема, здійснювати статистичний аналіз ймовірності негативної реалізації тих чи інших загроз, а також об'єктивно оцінювати результативність діяльності служби безпеки.

На відміну від більшості інших напрямів менеджменту тут не завжди можна точно підрахувати забезпечений економічний ефект. Зокрема, важко визначити можливі втрати від своєчасно припинених загроз. За деякими видами загроз, наприклад на адресу співробітників банку прямий ефект