4. ЭКОНОМИЧЕСКАЯ
БЕЗОПАСНОСТЬ
Экономическая
безопасность — это такое состояние производственных отношений и организации
информационно-правовых связей материальных, финансовых и интеллектуальных
ресурсов, при котором гарантируется стабильность функционирования,
финансово-коммерческий успех, прогрессивное использование научно-технических
достижений и социальное развитие субъектов хозяйствования. Она обеспечивается
системой мер, осуществляемых государственными органами, администрацией
предприятий (фирм) и специально создаваемыми службами безопасности, а также
частными охранными агентствами.
Главной целью обеспечения экономической безопасности
предприятия является достижение максимальной стабильности функционирования, а
также создание основы и перспектив роста для выполнения целей бизнеса, вне зависимости
от объективных и субъективных угрожающих факторов (негативных воздействий,
факторов риска).
Составляющие
экономической безопасности предприятия:
-
кадровая или интеллектуальная;
-
финансовая;
-
силовая;
-
информационная;
-
технико-технологическая;
-
правовая;
-
экологическая.
Кадровая
безопасность - это процесс предотвращения негативных воздействий на
экономическую безопасность предприятия за счет рисков и угроз, связанных с
персоналом, его интеллектуальным потенциалом и трудовыми отношениями в целом.
(Невооруженным взглядом видно, что кадровая безопасность занимает доминирующее
положение по отношению к другим элементам системы безопасности компании, так
как она “работает” с персоналом, кадрами, а они в любой составляющей
первичны.).
Финансовая
безопасность рассматривает и регулирует вопросы финансово-экономической
состоятельности предприятия, устойчивости к банкротству, определяет параметры
платежеспособности и другие “денежные” характеристики.
Силовая
безопасность занимается режимами, физической охраной объектов и личной охраной
руководства, противодействием криминалу, взаимодействием с правоохранительными
и другими государственными органами.
Информационная
безопасность основана не только на защите собственной информации, в том числе
конфиденциальной, но и проводит деловую разведку, информационно-аналитическую
работу с внешними и внутренними субъектами и т.д.
Технико-технологическая
безопасность предполагает создание и использование такой технической базы,
оборудования и основных средств производства, и таких технологий и
бизнес-процессов, которые усиливают конкурентоспособность предприятия.
Правовой
безопасностью подразумевает всестороннее юридическое обеспечение деятельности
предприятия, грамотную правовую работу с контрагентами и властью, решения иных
правовых вопросов.
Экологической
безопасность предполагает комплекс мер по предотвращению негативных последствий
функционирования предприятия на окружающую среду.
Обеспечение
комплексной безопасности является необходимым условием функционирования любого
предприятия. Эта "комплексность" заключается, прежде всего, в
продуманности, сбалансированности защиты, разработке четких
организационно-технических мер и обеспечении контроля над их исполнением.
Для
разработки политики безопасности вначале необходимо провести аудит
информационных процессов фирмы, выявить критически важную информацию, которую
необходимо защищать. Иногда к этому делу подходят однобоко, полагая, что защита
заключается в обеспечении конфиденциальности информации. При этом упускаются из
виду необходимость обеспечения защиты информации от подделки, модификации,
парирования угроз нарушения работоспособности системы. Например, обиженный
чем-то программист может вставить деструктивную закладку в программное обеспечение,
которая сотрет ценную базу данных уже намного позднее времени его увольнения.
Аудит информационных процессов должен заканчиваться определением перечня
конфиденциальной информации предприятия, участков, где эта информация
обращается, допущенных к ней лиц, а также последствий утраты (искажения) этой
информации.
После
этого становится ясно, что защищать, где защищать и от кого защищать: ведь в
подавляющем случае инцидентов в качестве нарушителей будут выступать — вольно
или невольно — сами сотрудники фирмы. На самом деле, с этим ничего нельзя
поделать: это надо принять как данность. Различным угрозам безопасности можно
присвоить вероятности их реализации. Умножив вероятность реализации угрозы на
причиняемый этой реализацией ущерб, получим риск угрозы. После этого можно
приступать к разработке политики безопасности.
Для
достижения экономической безопасности на предприятии должна быть хорошая
система управления, то есть сама структура организации должна быть четко
продумана, каждый отдел должен иметь свой собственный четко обозначенный круг
деятельности, иметь возможность получать вовремя необходимую информацию для
выполнения поставленных задач. Должностные инструкции, положения об отделе,
документооборот – все это должно помогать в деятельности людей, работающих в
организации, а не мешать им. Делегирование (перенос обязанностей с одного лица
на другое) полномочий конечно же также может иметь место, но в разумных
пределах, чтобы не происходило нарушения субординации и «размывания»
деятельности как одного человека, так и целого отдела.
Огромное
влияние на деятельность организации имеет команда профессионалов, коллектив
людей, работающий в фирме, поэтому набор на должности необходимо осуществлять
не только с точки зрения профессионализма человека, но также следует учитывать
его способность войти в команду, стать с ней единым целым, для более
эффективной деятельности, поэтому в любой организации должна осуществляться
четкая кадровая политика, чтобы не оказывалось в фирме «случайных» людей.
Высокая текучесть кадров не сможет служить стабилизирующим фактором, а любая
нестабильность является фактором снижения экономической безопасности.
Немаловажное
значение для достижения экономической безопасности предприятия имеет план
производства, от него по большому счету зависит то каким будет товар и его
успех на рынке. Маркетинговый план может быть сколь угодно гениальном, но если
товар не отвечает современным требованиям качества, экологической безопасности,
если он может отрицательно воздействовать на здоровье людей из-за того, что
производится по устаревшей технологии или из более дешевых материалов, то товар
«провалится», если рынок вовремя не пополняется товаром может возникнуть
дефицит данного товара и фирма потеряет часть прибыли и так далее, поэтому
имеет огромное значение, чтобы производственный план дополнял все остальные
планы фирмы.
Угроза
экономической безопасности — это совокупность факторов и условий, создающих
опасность для нормального функционирования объектов экономики в соответствии с
их целями и задачами. Угрозы делятся на внешние и внутренние.
Финансово-экономические кризисы оказывают, как правило, негативное
воздействие на потенциал промышленных предприятий: сокращаются (или вообще
прекращаются) инвестиции в процессные и продуктовые инновации, стареет и изнашивается
основной капитал, истощаются научно-технические заделы, уходят наиболее
квалифицированные и молодые работники и т.д.
Перед предприятиями возникает актуальная задача внутренней самооценки
и прогнозирования своего состояния с точки зрения выполнения свойственных им
производственных функций, принятия мер защиты этих функций, то есть обеспечения
экономической безопасности производства от различных проявлений внешнего и
внутреннего происхождения, воздействующих на потенциал предприятия, создания
системы мониторинга индикаторов безопасности, обоснования и установления их
пороговых значений, принятия мер противодействия угрозам.
Проблемы собственной экономической безопасности возникают перед
каждым предприятием не только в кризисные периоды, но и при работе в стабильной
экономической среде, комплекс решаемых при этом целевых задач имеет
существенное различие.
В режиме устойчивого функционирования предприятие при решении задач
своей экономической безопасности акцентирует главное внимание на поддержании
нормального ритма производства и сбыта продукции, на предотвращении
материального и/или финансового ущерба, на недопущении несанкционированного
доступа к служебной информации и разрушения компьютерных баз данных, на
противодействии недобросовестной конкуренции и криминальным проявлениям.
Ни одно предприятие не может ощущать себя в экономической безопасности,
если его продукция не востребована рынком; ни одно предприятие, производящее
средства производства, не может ощущать себя в безопасности, если происходит длительный
спад в технологическом развитии страны.
Угроза экономической безопасности может быть определена в конечном
виде как некий ущерб, интегральный показатель которого характеризует степень
снижения экономического потенциала за определенный промежуток времени. Под
угрозой понимается совокупность условий, процессов, факторов, препятствующих
реализации национальных экономических интересов или создающих опасность для них
и субъектов хозяйственной деятельности.
Формы проявления угроз экономической безопасности на различных
уровнях иерархии организационно-экономических структур имеют отличия, несмотря
на общность действия дестабилизирующих факторов в условиях единого
экономического пространства. К числу таких глобальных факторов следует отнести
общий спад производства, расстройство финансовой системы, рост социальной
напряженности, криминализацию общества и экономики, дальнейшее ослабление
конкурентоспособности и т.д.
Из всех возможных видов угроз экономической безопасности предприятия
- катастрофических (природных и техногенных), информационных, конкурентных,
криминальных, связанных с некомпетентностью собственника в производственно-финансовых
и институциональных вопросах, организационных и ряда других - нами особо
выделяются и рассматриваются те, что непосредственно направлены на разрушение
или ослабление указанного потенциала под воздействием внешних (экзогенных)
факторов, определяемых недостатками или слабостью научно-промышленной политики
государства в реальном секторе экономики.
Другие угрозы экономической безопасности, перечисленные выше, в
том числе и неэффективные научно-производственная и маркетинговая стратегии,
некомпетентный менеджмент, также имеющие неоспоримое воздействие на потенциал
предприятия, не рассматриваются в силу их внутрисистемного происхождения. Если
научно-промышленная политика такова, что условия хозяйствования неизбежно
толкают предприятие к банкротству, заставляют его уходить в теневой сектор
экономики, использовать бартерные технологии взаиморасчетов на рынке готовой
продукции вместо естественных кредитно-денежных отношений, лишают его оборотных
средств, средств не только на расширенное, но и на простое воспроизводство, то
есть заведомо "загоняют" предприятие в опасную зону повышенного
экономического риска, оценивать состояние экономической безопасности по другим,
также существенным компонентам безопасности (информационная, криминальная,
экологическая и т.д.) не имеет практического смысла. На наш взгляд, важнее
исследовать факторы, влияющие на создание такой внешней экономической среды,
которая благоприятствует позитивным тенденциям развития потенциальных
возможностей производства и отвечает его интересам.
Состояние и тенденции развития, обеспечивающие экономическую безопасность
предприятия, исключают или минимизируют ущерб не только потенциалу этого
отдельного предприятия, но и экономике в целом. В этом и состоит основная
функция обеспечения экономической безопасности.
Очевидно, что экономическая безопасность предприятия имеет прямую
причинно-обусловленную связь с системой и результатами стратегического
планирования своего развития в зависимости от целей производства, средств и
возможностей их достижения, конкурентной среды, условий хозяйствования и т.д.
От точной идентификации угроз, от правильного выбора измерителей
их проявления, то есть системы показателей для мониторинга (их еще называют
индикаторами), зависит степень адекватности оценки экономической безопасности
предприятия существующей в производстве реальности и комплекс необходимых мер
по предупреждению и парированию опасности, соответствующих масштабу и характеру
угроз.
Для уменьшения ущерба от компьютерного
преступления очень важно своевременно его
обнаружить. Для того чтобы обнаружить компьютерное преступление или уязвимые места в системе
информационной безопасности следует
обращать внимание на:
-
несанкционированные попытки доступа к
файлам данных;
-
кражи частей компьютеров;
-
кражи программ;
-
физическое разрушение оборудования;
-
уничтожение данных или программ.
О наличии уязвимых мест в компьютерной
безопасности могут свидетельствовать следующие признаки:
1.
Не разработано
положений о защите информации или они не соблюдаются. Не назначен
ответственный за информационную безопасность.
2.
Пароли пишутся на
компьютерных терминалах, помещаются в общедоступные места, ими делятся с другими, или они появляются на компьютерном
экране при их вводе
3.
Удаленные терминалы и
микрокомпьютеры оставляются без присмотра в рабочие и нерабочие
часы. Данные отображаются на компьютерных экранах, оставленных без присмотра.
4.
Не существует
ограничений на доступ к информации, или на характер ее использования. Все пользователи имеют доступ ко всей информации и
могут использовать все функции системы.
5.
Не ведется системных
журналов, и не хранится информация о том, кто и для чего использует компьютер.
6.
Изменения в программы
могут вноситься без их предварительного утверждения руководством.
7.
Отсутствует
документация или она не позволяет делать следующее:
-
понимать получаемые
отчеты и формулы, по которым получаются результаты;
-
модифицировать
программы;
-
готовить данные для
ввода;
-
исправлять ошибки;
-
производить оценку
мер защиты;
-
понимать сами данные
- их источники, формат хранения, взаимосвязи между ними.
8.
Делаются
многочисленные попытки войти в систему с неправильными паролями.
9.
Вводимые данные не
проверяются на корректность и точность, или при их проверке много данных отвергается из-за ошибок в них, требуется
сделать много исправлений в данных, не делается записей в
журналах об отвергнутых транзакциях.
10.
Имеют место выходы из
строя системы, приносящие большие убытки.
11.
Не производился анализ информации,
обрабатываемой в компьютере, с целью определения
необходимого для нее уровня безопасности.
12.
Мало внимания
уделяется информационной безопасности. Хотя политика безопасности и существует, большинство людей считает, что на самом
деле она не нужна.
С
целью защиты информации каждый пользователь должен знать и осуществлять следующие меры:
1.
Контроль доступа как к информации в
компьютере, так и к прикладным программам.
Необходимо иметь гарантии того, что только авторизованные пользователи
имеют доступ к информации и приложениям.
2.
Нужно требовать,
чтобы пользователи выполняли процедуры входа в компьютер, и
использовать это как средство для идентификации в начале работы. Чтобы эффективно контролировать компьютер, может
оказаться наиболее выгодным использовать его как однопользовательскую
систему.
3.
Необходимо
использовать уникальные пароли для каждого пользователя, которые
не являются комбинациями данных пользователей, для аутентификации личности пользователя.
Нужно внедрить меры защиты при администрировании паролей и ознакомить пользователей с наиболее общими ошибками, позволяющими
совершиться компьютерному преступлению.
4.
Процедуры авторизации.
Необходимо разработать процедуры авторизации,
которые определяют, кто из пользователей должен иметь доступ к той или иной информации и приложениям и предусмотреть
соответствующие меры по внедрению этих процедур в организации.
Также установить порядок в организации, при
котором для использования компьютерных ресурсов, получения разрешения доступа к
информации и приложениям и получения пароля требуется разрешение тех или
иных начальников.
5.
Защита файлов -
помимо идентификации пользователей и процедур авторизации необходимо разработать процедуры по ограничению доступа к файлам с данными:
-
использовать внешние
и внутренние метки файлов для указания типа информации, который они содержат, и
требуемого уровня безопасности;
-
ограничить доступ в
помещения, в которых хранятся файлы данных (библиотеки данных, архивы);
-
использовать
организационные меры и программно-аппаратные средства для ограничения доступа к
файлам только авторизованных пользователей; для этого необходимо:
-
отключать
неиспользуемые терминалы;
-
закрывать комнаты,
где хранятся терминалы;
-
разворачивать экраны
компьютеров так, чтобы они не были видны со стороны двери, окон и тех мест в
помещениях, которые не контролируются;
-
установить
специальное оборудование, например, устройства, ограничивающие число неудачных
попыток доступа, устройства, обеспечивающие обратный звонок для проверки
личности пользователей, использующих телефоны для доступа к компьютеру;
-
программировать
терминал отключаться после определенного периода неиспользования.
6. Защита целостности информации. Вводимая информация должна
быть авторизована, полна, точна и должна
подвергаться проверкам на ошибки. Необходимо
проверять точность информации с помощью процедур сравнения результатов обработки с предполагаемыми результатами
обработки. Например, можно сравнивать суммы или проверять
последовательные номера.
Нужно проверять точность вводимых данных, проверяя их
корректность, например:
-
проверки на
нахождение символов в допустимом диапазоне символов (числовом и буквенном);
-
проверки на
нахождение числовых данных в допустимом диапазоне чисел;
-
проверки на
корректность связей с другими данными, сравнивающими входные данные с данными в
других файлах;
-
проверки на
разумность, сравнивающие входные данные с ожидаемыми стандартными значениями;
- ограничения на транзакции, сравнивающие входные данные с
административно установленными ограничениями на конкретные транзакции.
7. Защита системных программ. Если программное обеспечение используется совместно, необходимо защищать его от скрытой
модификации. Меры защиты при разработке
программ должны включать процедуры внесения
изменений в программу, ее приемки и тестирования до ввода в эксплуатацию.
8.
Адекватные меры
защиты. Сделать меры защиты более адекватными можно при помощи привлечения организаций, занимающихся тестированием компьютерной и информационной безопасности, при
разработке мер защиты в прикладных программах и консультаций с ними при
определении необходимости тестов и проверок при обработке
критических данных. Контрольные журналы,
встроенные в компьютерные программы, могут предотвратить или выявить компьютерное мошенничество и злоупотребление.
Должны
иметься контрольные журналы для наблюдения за тем, кто из пользователей
обновлял критические информационные файлы.
Если критичность информации, хранимой в компьютерах,
требует контрольных журналов, то важны как меры
физической защиты, так и меры по управлению
доступом. В компьютерной сети журналы должны храниться на хвосте, а не на рабочей станции. Контрольные
журналы не должны отключаться для повышения скорости работы. Распечатки
контрольных журналов должны просматриваться достаточно часто и регулярно.
Электронная
почта или e-mail - самый популярный
вид использования Интернета. С помощью электронной почты можно послать письмо
миллионам людей по всей планете.
Электронная почта становится все более важным условием ведения повседневной деятельности, поэтому в организации должна
быть разработана политика правильного
использования электронной почты, чтобы помочь
сотрудникам уменьшить риск умышленного или неумышленного неправильного ее
использования и гарантировать, что официальные документы, передаваемые с
помощью электронной почты, правильно обрабатываются.
Аудит
безопасности
Первый
подход — оценка безопасности на качественном уровне. Проводящий оценку эксперт
высказывает свое видение состояния дел в фирме, дает рекомендации по устранению
замеченных им изъянов. В таком подходе нет ничего предосудительного, однако,
субъективизм все же может присутствовать. Хотелось бы иметь действительно
независимую, объективную оценку информационной безопасности. Причем было бы
неплохо, чтобы эту, количественную, оценку признавали и другие фирмы — ваши
потенциальные партнеры. Очевидно, что для этого необходима разработка
некоторого набора правил или стандарта в области безопасности информационных систем.
Стандарт,
позволяющий дать количественную оценку информационной безопасности, уже
имеется. Речь идет о международном стандарте ISO 17799. Этот документ был
принят международным институтом стандартов в конце 2002 года на основе ранее
разработанного Великобританией стандарта BS7799. И хотя он пока не является общепринятым
документом в нашей стране, этот стандарт не противоречит руководящим документам
Гостехкомиссии и приказам ФАПСИ.
Стандарт
ISO 17799 позволяет получить количественную оценку комплексной безопасности
фирмы. Этот процесс настолько формализован, что существует (и продается в нашей
стране) программное обеспечение, позволяющее самостоятельно выполнить оценку
безопасности своей компании. Это программное обеспечение представляет собой, по
существу, вопросник. Сгенерированный программой отчет высылается в адрес фирмы,
имеющей полномочия на проведение сертификации на соответствие этому стандарту,
и та присылает вам соответствующий знак и процент соответствия стандарту. Этот
знак компания может разместить на своем корпоративном сайте.
В
заключении, необходимо особо подчеркнуть, что необходим постоянный и
эффективный контроль над реализацией политики безопасности, потому, что все
технические ухищрения в области обеспечения безопасности могут оказаться
бесполезными без организации должного контроля.
Для
оценке эффективности мероприятий по предупреждения угроз экономической
безопасности составим таблицу:
Таблица 24
|
Угроза
|
Обеспечение безопасности
|
Сумма ущерба
|
Экономический
эффект
|
|
До принятия мер
|
После принятия мер
|
|
1. Хищение товара
|
Инвентаризация (еженедельная)
Камера слежения в торговом зале
|
45000
|
10000
|
35000
|
|
2. Порча товара
|
Совершенствование погрузочного и складского
оборудования
|
19000
|
1000
|
18000
|
|
3. Пропажа компьютерной информации
|
Ежедневное копирование баз данных на флеш-диск,
использование антивирусных программ
|
14500
|
0
|
14500
|
|
4. Хищение компьютерной информации
|
Установление фильтров и антивирусных программ
|
57000
|
0
|
57000
|
|
Итого, руб.
|
124500
|
Таким
образом, в современных условиях наличие развитой системы информационной
безопасности становится одним из важнейших условий конкурентоспособности и даже
жизнеспособности любой компании. Для совершенствования
системы экономической безопасности предприятию «Косметик Лайн» рекомендуется:
Во-первых, обеспечить критерии и параметры экономической безопасности.
Во-вторых, определить меры по сохранению созданного потенциала,
прежде всего, определить дополнительные источники ресурсного (финансового)
обеспечения.
В-третьих, разработать способы
конкурентной борьбы и завоевания прочных позиций в различных сегментах внутреннего
и внешнего рынков конкурентоспособной продукции.
В-четвертых, разработать стратегию
экономической безопасности, которая должна включать характеристику внешних и
внутренних угроз экономической безопасности предприятия.
В-пятых, осуществлять мониторинг факторов, укрепляющих или разрушающих
устойчивость его социально-экономического положения на краткосрочную и
среднесрочную (три - пять лет) перспективу.
В-шестых, определение критериев и параметров (пороговых значений)
показателей, характеризующих интересы предприятия и отвечающих требованиям его
экономической безопасности.
В-седьмых, разработать механизмы учета воздействующих на состояние
экономической безопасности факторов;
В-восьмых, определить основные направления деятельности
предприятия по реализации стратегии.
Несмотря
на то, что в общем плане комплекс проблем оценки экономической безопасности
сформулирован и исследован достаточно полно во многих работах, детальные
рабочие методики, учитывающие отраслевую специфику предприятий на
корпоративном, фирменном уровнях, где они больше всего и нужны, еще только
появляются, поскольку здесь приемлемы только стандартные подходы, а обобщенные
системы критериев, показателей оценки экономической безопасности, как правило,
не применимы.