Создание и внедрение корпоративных стандартов безопасности

Создание корпоративных стандартов и инструкций поведения сотрудников компании

Управление безопасностью предприятия. Распределение ответственности по выполнению КСБ между подразделениями предприятия и внешними организациями.

Пересмотр и оценка соответствия КСБ экономическим рискам и планам развития предприятия

Практические рекомендации по созданию и внедрению КСБ в современных условиях

1. ИСТОЧНИКИ УГРОЗ:

- работники предприятия;

- уволенные сотрудники предприятия;

- воровство, грабёж, разбой по отношению к имуществу или сотрудникам предприятия;

- конкуренты;

- рейдеры;

- контролирующие органы;

- угрозы техногенного или природного характера;

- сумасшедшие.

2. ОБЪЕКТЫ ЗАЩИТЫ

- персонал предприятия (руководящие работники, производственный персонал, имеющий

непосредственный доступ к финансам, ценностям, осведомленные в сведениях, составляющих коммерческую тайну);

- финансовые средства, ТМЦ;

- информационные ресурсы с ограниченным доступом, составляющие служебную и

коммерческую тайну, а также иная конфиденциальная информация на бумажной, магнитной, оптической основе, информационные массивы и базы данных, программное обеспечение, информативные физические поля различного характера;

- средства и системы информатизации (автоматизированные системы и вычислительные сети различного уровня и назначения, линии телефонной, факсимильной, радио- и космической связи, технические средства передачи информации, средства размножения и отображения информации,

вспомогательные технические средства и системы);

- материальные средства (здание, техническое оборудование, транспорт и иные средства);

- технические средства и системы охраны и защиты материальных и информационных ресурсов.

3. ЗАХВАТ КОМПАНИИ ЧЕРЕЗ БАНКРОТСТВО

- Рейдер приобретает или фальсифицирует долг предприятия. Цель: рейдер получает основания обратиться в суд с требованием о взыскании задолженности.

- Рейдер обращается в суд с требованием о взыскании задолженности. Суд удовлетворят иск, постановляет взыскать с предприятия задолженность и оплатить судебные расходы. Цель: рейдер организовывает судебный процесс таким образом, чтобы предприятие не знало о начале судебного процесса и не получило решение суда. Также, рейдер «решает вопрос» с исполнительной службой, чтобы с поглощаемого предприятия не был взыскан долг исполнителями.

- По истечению трёх месяцев, поглотитель обращается в суд с иском о признании должника банкротом. Суд удовлетворяет иск, назначая «правильного» арбитражного управляющего. Цель: с помощью подконтрольного арбитражного управляющего рейдер блокирует работу предприятия.

- Накладывается мораторий на удовлетворение требований кредиторов, созывается комитет

кредиторов. Цель: управление предприятием переходит от собственников к арбитражному управляющему рейдеру.

- Арбитражный управляющий готовит план санации, где санатором выступает рейдер или  принимается решение о продаже активов предприятия, покупателем которых выступает рейдер.

- Управление предприятием или его активы переходят к рейдеру.

Слайд 4.

Охранник, который должен рыться в памяти или ломать себе голову, чтобы понять, что

требует от него поданная команда, принесёт предприятию больше вреда, чем пользы.

Умозаключение

Слайд 5.

Минимально необходимый перечень нормативных документов для построения системы

безопасности на предприятии:

• Акт технической укреплённости объекта охраны

• Паспорт объекта

• Положение о системе контроля доступа

• Должностная инструкция охранника

• Инструкция по действиям охранника в случае возникновения чрезвычайной ситуации

• Инструкция охранника по порядку применения специальных средств

• Инструкция по технике безопасности

• Инструкция по порядку действия охраны и персонала предприятия при проверках

контролирующими органами

6. ТЕХНИЧЕСКОЕ ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ

Система физической защиты (безопасности) должна предусматривать:

• систему инженерно-технических и организационных мер охраны;

• систему контроля и регулирования доступа;

• систему мер (режима) выявления и контроля над вероятными каналами утечки информации.

7.Система охранных мер должна предусматривать:

• несколько рубежей построения охраны здания и помещений по нарастающей;

• комплексное применение современных технических средств охраны, обнаружения,  наблюдения, сбора и обработки информации, обеспечивающих достоверное отображение и объективное документирование событий;

• надежную инженерно-техническую защиту вероятных путей несанкционированного

проникновения на охраняемые объекты;

• устойчивую (дублированную) систему связи и управления всех взаимодействующих в охране структур;

• высокую подготовку и готовность основных и резервных сил охраны к оперативному

противодействию нарушителям.

8.Система контроля и регулирования доступа должна предусматривать:

• объективное определение "надежности" лиц, допускаемых к работе;

• максимальное ограничение количества лиц, допускаемых в помещения офиса;

• установление для каждого работника (или посетителя) дифференцированного по времени, месту и виду деятельности права доступа в офисные помещения;

• четкое определение порядка выдачи разрешений и оформление документов для входа (въезда) на территорию;

• оборудование контрольно-пропускного пункта (поста) техническими средствами,

обеспечивающими достоверный контроль проходящих, объективную регистрацию прохода и предотвращение несанкционированного (в том числе силового) проникновения посторонних лиц;

• высокую подготовленность и защищенность персонала контрольно-пропускного пункта.

9.Система мер (режим) сохранности ценностей и контроля должна предусматривать:

• строго контролируемый доступ лиц в режимные зоны;

• максимальное ограничение посещений режимных зон лицами, не участвующими в работе;

• обеспечение защищенного хранения документов, финансовых средств и ценных бумаг;

• соблюдение персональной и коллективной материальной и финансовой ответственности в процессе открытого обращения финансовых ресурсов и материальных ценностей.

10. Болонка, пудель или доберман никогда не затравят волка. Тут нужен волкодав или прирученный  волк. И у людей так же: не каждый способен противостоять бандитам…

Умозаключение

11. МОБИЛИЗАЦИОННЫЙ ПЛАН

- инструкцию по действию ответственного лица которое выявило угрозу

- список телефонов руководящего состава предприятия с установленным порядком оповещения

- отдельный телефон с готовыми текстами СМС (в зависимости от квалификации угрозы), с актуальным списком контактов которые должны получить рассылку

- инструкцию по действию должностных лиц (для каждого отдельно) по их действиям в случае получения сигнала Тревога

- детализированный план мест сбора и действий в зависимости от развития ситуации для каждого подразделения предприятия

- список резерва

- телефоны подрядных организаций, которые могут быть привлечены для локализации угрозы

.Крепость цепи определяется крепостью самого слабого её звена.

13.Корпоративные стандарты безопасности включают:

- контроль уставных документов на наличие процессуальных нарушений в их оформлении;

- обеспечение безопасности руководителей компании и её ключевых документов;

- детализировать полномочия руководителей, усложнить порядок отчуждения активов;

- контроль правильности составления приказов о назначении и увольнении топ менеджмента;

- дублирование финансовых потоков;

- работа с трудовым коллективом, чтоб в трудную ситуацию он был на стороне собственника;

- собственный юридический департамент и РR-служба, имеющая план действий для отражения

рейдерской атаки;

- собственная служба безопасности готовая «до последней капли крови» защищать предприятие,

 в том числе и нелегальными способами;

- построение эффективной СКД и видео наблюдения;

- регулярная профилактика «инсайдерства»;

- заключение договора на охрану с надёжным и подготовленным охранным предприятием.

Действия сотрудников при прибытии проверки на предприятии

Практика показывает, что чаще всего персонал предприятия не готов к внезапным проверкам контролирующих органов. При их виде он теряет дар речи, включая охрану, и ведёт себя «ущербно».

Вход на большинство предприятий начинается с поста охраны. Это первый рубеж обороны, на котором возможно обезопасить предприятие от вторжения ревизоров, в том числе и «липовых». Действия охранника должны варьироваться в зависимости от ситуации и органа, который хочет осуществить проверку предприятия. Пост охраны обязательно должен быть оборудован хорошей системой видеонаблюдения с функцией сохранения видео изображения и звука.

Действия охранника

Охрана предприятия первыми встречает всех посетителей, в том числе и контролирующие (правоохранительные) органы. Поэтому, в число основных обязанностей охраны должно входить следующие:

1. Не допускать посторонних лиц на охраняемую территорию предприятия (ни один посетитель не должен пройти через пост без ведома охраны).

2. При прибытии на предприятие работников контролирующих (правоохранительных) органов выяснить, какой именно орган представляют пришедшие, и сообщить об этом уполномоченным сотрудникам

3. Уверенно, безапелляционно, но в тоже время и тактично не применяя грубой физической силы (лучше использовать шлюзовую систему), препятствовать попаданию посетителей на территорию предприятия до получения необходимого разрешения со стороны уполномоченных лиц предприятия. Если работники контролирующих органов ведут себя вызывающие, провоцируют или угрожают - никоим образом не реагировать, не оказывать физическое сопротивление, продолжать не впускать и вызвать милицию по телефон.

Порядок встречи представителей контролирующих/ правоохранительных органов

Потребовать предъявить служебное удостоверение у каждого из пришедших и сверить их лица с фотографиями в удостоверениях.

Часто распространённой является ситуация, когда проверяющие, предъявив служебное удостоверение, сразу прячут его в карман, тем самым не давая переписать реквизиты. Удостоверение же может быть поддельным, просроченным либо выписанным на иное лицо. В данном случае необходимо настоять на предъявлении документов в развернутом виде с предоставлением возможности переписать его данные. На вопрос: «Зачем переписываете?» лучше отвечать: «есть распоряжение переписывать реквизиты в связи с участившимися случаями использования поддельных удостоверений». В случае изначального некорректного поведения визитеров ответ может звучать: «Для возможного составления жалоб в органы внутренне безопасности и в прокуратуру».

При отказе предъявить служебные удостоверения — вызвать милицию по телефону 102 (мотивировка — отсутствие уверенности в том, что пришедшие являются теми, за кого себя выдают).

Переписать все данные, которые указаны в служебных удостоверениях (серию, номер удостоверения, Ф.И.О., звание, должность, представляемый орган, дата выдачи, срок действия), на отдельную страницу журнала.

При отказе проверяющих предоставить возможность переписать данные удостоверений — вызвать милицию по тем же причинам (отсутствие уверенности в том, что пришедшие являются теми, за кого себя выдают).

Доложить ответственному лицу (юристу, офис менеджеру…) о факте прибытия на предприятие работников контролирующих органов в количестве пришедших.

Оперативно оповестить соответствующие подразделения компании (кадры, бухгалтерия, отдел продаж и т.д. ) о факте прибытия представителей правоохранительных органов.

Ответственное лицо предприятия (желательно что бы это был только юрист или адвокат) должен потребовать предъявить направление на проверку.

а) правильность указания в направлении названия и адреса предприятия;

б) соответствие указанных в направлении должностей, званий и фамилий уполномоченных на проведение проверки работников контролирующего органа, звания и фамилии фактически прибывших;

в) наличие подписи руководителя контролирующего органа;

г) соответствие даты и сроков проверки;

д) наличие печати контролирующего органа.

Вернуть направление на проверку работникам контролирующего органа.

Попросить пришедших подождать.

Охранник должен передать лист с переписанными данными служебных удостоверений ответственным.

После получения распоряжения директора (ответственного лица) о допуске пришедших на предприятие впустить только тех, кто указан в направлении на проверку и расписался в Журнале регистрации проверок.

Работники контролирующего органа, не отвечающие хотя бы одному из приведенных требований, на территорию предприятия не допускаются.

Проводить работников контролирующего органа в комнату переговоров.

Ответственное лицо предприятия заполняет все графы Журнала регистрации проверок со слов проверяющих (фамилия каждого из пришедших должна быть внесена в отдельную строку журнала) и предложить каждому из них расписаться в соответствующей графе напротив своей фамилии.

В дальнейшем лучше чтоб работу с контролирующими органами вела юридическая служба компании. В случае необходимости привлекать адвоката компании.

 «Глухая защита» - тактика при общении с контролирующими органами

Особое внимание руководству компании нужно обращать на то, как его подчиненные должны действовать в стрессовой ситуации, связанной с встречающимся зачастую «беспределом» работников контролирующих (правоохранительных) органов. Сотрудники предприятия должны использовать тактику «глухой защиты» — ничего не говорить, ничего не подписывать. Статистика подтверждает, что в стрессовых ситуациях человек, часто теряет самоконтроль, отвечает не умело на поставленные вопросы, а также подписывает документы, сам того не подозревая между строк дает сведения, впоследствии используемые против него и предприятия.

Применяя тактику «глухой защиты» сотрудник, по крайней мере, не сможет навредить предприятию и себе.

Правила «глухой защиты»

Потребовать у пришедших предъявить их служебные удостоверения и переписать от начала и до конца на отдельный лист бумаги данные этих документов. Лист с переписанными данными положить в стол (в карман ).

Без предъявления служебных удостоверений:

- Прекратить общение;

- Не выдавать никаких документов;

- Не подписывать никаких документов;

- Не оставлять рабочего места;

- Ждать указаний руководителя, уполномоченного лица .

Отвечать на задаваемые вопросы: «Я имею право не отвечать на вопросы».

Не подписывать никаких документов. Отвечать: «Я не имею полномочий и не обязан подписывать .

На все вопросы отвечать единственной фразой: «За разглашение коммерческой тайны я могу быть привлечен к уголовной ответственности. На все Ваши вопросы ответит руководство».

Обязательство предоставлять объяснения, отвечать на вопрос возникает во время следственного действия - допрос, о чем вручается лицу повестка.

Следственные действия могут фиксироваться с помощью технических средств, это требование необходимо обязательно внести в протокол обыска. Адвокат также вправе осуществлять видео фиксацию.

Что касается паролей к компьютеру, флешки, базы, электронки, или другое!

Следует помнить: лицо не обязано помнить пароли, и в случае, если вы его забыли, ответственность не наступает. Личные вещи работников не могут быть подвергнуты обыску и изъяты, однако закон все же дает возможность следователю или прокурору провести эти действия, если у последних есть достаточно оснований предполагать, что именно то, что подлежат изъятию, может находиться в личных вещах.

Нюанс кроется в том, что следователь или прокурор могут предполагать достаточность оснований по своему усмотрению.

Вещи, которые явно не имеют отношения к уголовному производству, следователь не должен изымать, а в случае, если такое изъятие происходит, это необходимо отразить в протоколе.

К сожалению, решение следственного судьи не может быть обжаловано сторонами в случае разрешения доступа к документам, их изъятие или обыска. Обыск или временный доступ к вещам и имуществу производится только после открытия уголовного производства в порядке и сроки, предусмотренные Уголовным процессуальным кодексом Украины, по постановлению следственного судьи. Копия постановления предоставляется лицу, которого обыскивают или у которого изымают документы.

ВЫВОД

На всех предприятиях, со 100% сотрудников должна проводиться регулярная разъяснительная работа (периодический, не реже одного раза в шесть месяцев, инструктаж на тему «как вести себя в случае прихода работников контролирующих (правоохранительных) органов», инструктаж о методе «глухой защиты»).

Сотрудники должны быть чётко проинструктированы, твердо помнить и знать — на все вопросы любых визитеров отвечает только один человек — директор или юрист. Они же имеют право молчать. Руководство предприятия должно понимать, что в «разноголосом хоре» сотрудников всегда можно найти противоречия.

Поэтому, с точки зрения личной безопасности руководителя, ему целесообразно отвечать на вопросы через юридический департамент, если приходится отвечать лично, тогда лучше в присутствии своего адвоката.

Если сотрудники начнут говорить — создадут неприятности для любого предприятия, причем не со зла, а по незнанию. Статистика подтверждает — действия в состоянии стресса в 99% случаев неадекватны, неверны и только ухудшают положение.

Сотрудник предприятия должен руководствоваться методом «глухой защиты» и знать, что самостоятельное принятие решения исключено. Все решения принимает только ответственные лица предприятия, и, находясь на рабочем месте, сотрудник предприятия подчиняется только им, а не работникам контролирующих (правоохранительных) органов.