Алексей Швецкий – Корпоративная безопасность, как бизнес-процесс (страница 9)

Сложность заключается в том, что сотрудники подразделений безопасности зачастую ограничиваются установлением и наказанием виновных, а деятельность Компании в контексте бизнес-процессов не рассматривают по причине непонимания их сущности и важности.

В этой связи, может быть полезно изучить оперативную среду и с этой стороны тоже.

Если на предприятии разработана структура бизнес-процессов, а сами они регламентированы – Вам крупно повезло! Как правило, бывает иначе.

Тем не менее, мы можем самостоятельно сформировать укрупненную схему бизнес-процессов, например, в рамках производственного цикла. Скорее всего она окажется не полной, но за неимением иного и это будет хорошо.

Как вариант:

Сокращения:

B2B (business-to-business) – это бизнес-модель, при которой одна компания продаёт продукцию другим компаниям.

B2C (business-to-consumer) – это модель бизнеса, в которой компания продаёт товар конечному потребителю, или частному лицу.

РЦ – распределительный центр.

Важно понимать, что с нашим описанием чужих бизнес-процессов и границами ответственности, их владельцы могут не согласиться. Особенно, если такие вопросы возникнуть в ходе корпоративного расследования по факту возникновения потерь или убытков. Все-таки процессы должны описывать их владельцы и закреплять это описание в локальных нормативных актах. Нам такая схема нужна, в первую очередь, для определения потенциальных точек потерь и внедрения контролей.

Для того, чтобы сделать процесс обеспечения безопасности предприятия системным, организация деятельности подразделения безопасности также должна представлять собой бизнес-процесс!

Соответственно, бизнес-процесс осуществляемый Дирекцией безопасности, включает подпроцессы:

обеспечение экономической безопасности;

обеспечение физической безопасности;

обеспечение информационной безопасности;

управление Дирекцией безопасности.

Схема бизнес-процессов Дирекции безопасности

Сокращения:

KPI (Key Performance Indicators) – это ключевые показатели эффективности или деятельности;

SOC (Security Operations Center) – структурное подразделение организации, отвечающее за оперативный мониторинг IT-среды и предотвращение киберинцидентов;

ТСБ—технические средства безопасности;

ПБ – пожарная безопасности;

Детализируя подпроцессы, получаем:

Управление функцией (Дирекцией) безопасности

Сокращения:

ВНД – внутренние нормативные документы.

ДИ —должностные инструкции.

ОШС – организационно-штатная структура.

Обеспечение экономической безопасности

Обеспечение физической безопасности

Обеспечение информационной безопасности

Сокращения:

ИОД – информация ограниченного доступа;

КТ —коммерческая тайна.

Таким образом, мы схематично отобразили внутренние процессы Дирекции безопасности и блоки операций внутри них.

Теперь необходимо определить владельцев и границы их ответственности. Для это требуется разработка пакета внутренних распорядительных документов.

Регламентирование бизнес-процессов Дирекции безопасности

Для того, чтобы бизнес-процессы заработали, изобразить их в виде прямоугольников, соединенных стрелками, недостаточно. Требуется закрепить роли участников и зоны ответственности во внутренних нормативных документах Компании.

При этом, несмотря на то, что описываются внутренние процессы Дирекции безопасности, утверждать их следует у Генерального директора или акционеров, поскольку эти активности зачастую осуществляются на «чужой территории» и влияют на организацию работы других функций и подразделений.

Набор и наименования необходимых документов зависят от сложившихся в Компании практики и требований нормоконтроля (при его наличии), поэтому, при разработке своего пакета ВНД, руководствуемся этими правилами. Если таковые отсутствуют, можно создать собственную иерархию нормативных актов.

В качестве примера можно предложить такую:

В некоторых случаях функционал Дирекции безопасности может оказаться частью процессов других подразделений. Например, проверка кандидатов на работу – операцией в бизнес-процессе блока HR6 или оценка контрагентов на риски взаимодействия – частью деятельности Дирекции по закупкам. Для решения таких задач, можно, как создать и регламентировать собственный подпроцесс, так и встроиться в чужой. При выборе второго варианта, мероприятия ДБ регламентируются нормативной базой дирекций-владельцев процесса, но критерии оценки и стоп-факторы разрабатывает «безопасность».

С учетом предложенной иерархии ВНД, их набор может быть следующим:

На уровне Компании (холдинга, группы):

Положение о Дирекции безопасности

– определяет структуру, цели, задачи и полномочия ДБ;

Стратегия развития функции безопасности на 3 года

– закрепляет концепцию обеспечения безопасности, преследуемые цели и образ желаемого результата;

Политика обеспечения физической безопасности

– регламентирует общие требования по организации пропускного режима и мерам защиты материальных активов

Политика обеспечения пожарной безопасности

– определяет общие правила и принципы обеспечения пожарной безопасности

Политика обеспечения информационной безопасности

– регламентирует общие требования по обеспечению сохранности данных и информации ограниченного доступа

Политика обеспечения экономической безопасности

– детализирует концепцию обеспечения безопасности и основные инструменты, используемые в работе

Политика обращения с информацией ограниченного пользования

– описывает виды такой информации (коммерческая тайна, персональные данные и т.п.) и порядок организации ее защиты

Положение о порядке обращения с ИОД

– детализирует положения Политики, определяет порядок допуска к таким сведениям и обмен ими

Регламент проведения корпоративных проверок (расследований)

– определяет цели, задачи, содержание, полномочия лиц, осуществляющих эти мероприятия;

Регламент классификации и расчета убытков для целей корпоративных проверок (расследований)

– обеспечивает достоверность и прозрачность для бизнес-заказчика отчетности Дирекции безопасности;

Регламент проверки юридических лиц