Анализ терминологии в области безопасности

37





Правительство Российской Федерации

ФИНАНСОВЫЙ УНИВЕРСИТЕТ ПРИ ПРАВИТЕЛЬСТВЕ 

РОССИЙСКОЙ ФЕДЕРАЦИИ

(Финансовый университет)

	УДК 316:303.7

УТВЕРЖДАЮ

№ госрегистрации 



Проректор по научной работе 

д-р эконом. наук, профессор



Регистрационный № 

____________В.А. Цветков





«    »                 2017 г.

промежуточный частный Отчет

О НАУЧНО - ИССЛЕДОВАТЕЛЬСКОЙ РАБОТЕ

 по теме:

	РАЗРАБОТКА МЕТОДИКИ ПРОВЕРКИ СВЕДЕНИЙ, ПРЕДОСТАВЛЯЕМЫХ ПРИ ЗАКЛЮЧЕНИИ ДОГОВОРА О БАНКОВСКОМ ОБСЛУЖИВАНИИ, НА ОСНОВЕ 

	РИСК-ОРИЕНТИРОВАННОГО ПОДХОДА

	

	

	

Руководитель НИР,

заведующий кафедрой

д-р техн. наук, профессор



Исполнитель НИР

профессор, кандидат 

юридических наук                                                                                            



 

___________ И.А. Шеремет









                     ______________Г.О. Крылов

 

Москва 2017

	СОДЕРЖАНИЕ

5. Оценка нормативных правовых актов, позволяющая осуществлять   правовую поддержку разрабатываемых механизмов противодействия выявленным информационным угрозам при обеспечении защищенного банковского обслуживания в общедоступных каналах коммуникаций c описанием методологии проведения обозначенных работ.                       

                      

5.1.

Анализ терминологии в области безопасности. Актуальные термины и определения основных понятий комплексной безопасности  банковского обслужиивания



4

5.2.

Обоснование необходимости контроля обеспечения комплексной безопасности. Требования законодательства Российской Федерации

20

5.3.

Исторические аспекты осуществления контрольных мероприятий в области обеспечения безопасности объектов Банка России. Регламент проведения комплексных и иных проверок по линии ГУБиЗИ Банка России  

                                                                                                  

6.2. Выработка предложений по совершенствованию нормативных правовых актов, регулирующих отношения участников на этапе заключения договора о банковском обслуживании                                                                  

                                                                              

31

6.2..1.

Объективные предпосылки внедрения риск- ориентированного подхода при осуществлении контроля обеспечения комплексной безопасности. Особенности мотивации руководства и персонала проверяемых подразделений  Банка России 

23







6.2.2

Идентификация и экспертная оценка риска, связанного с недостатком в обеспечении безопасности 



28

	СПИСОК ИСТОЧНИКОВ                                                                                  33

	ПРИЛОЖЕНИЕ. Презентация                                                                            38

	

	

	

	

	

	

	

	

	

	

	

	

	

	

	

	

	

	

	

	

	

	

	

	

	





5. ОЦЕНКА НОРМАТИВНЫХ ПРАВОВЫХ АКТОВ, ПОЗВОЛЯЮЩАЯ ОСУЩЕСТВЛЯТЬ ПРАВОВУЮ ПОДДЕРЖКУ РАЗРАБАТЫВАЕМЫХ МЕХАНИЗМОВ ПРОТИВОДЕЙСТВИЯ ВЫЯВЛЕННЫМ ИНФОРМАЦИОННЫМ УГРОЗАМ ПРИ ОБЕСПЕЧЕНИИ ЗАЩИЩЕННОГО БАНКОВСКОГО ОБСЛУЖИВАНИЯ В ОБЩЕДОСТУПНЫХ КАНАЛАХ КОММУНИКАЦИЙ C ОПИСАНИЕМ МЕТОДОЛОГИИ ПРОВЕДЕНИЯ ОБОЗНАЧЕННЫХ РАБОТ (КРЫЛОВ).

5.1, Термины и определения основных понятий комплексной безопасности банковского обслуживания

Общеизвестно, что термины и определения используемых людьми понятий являются необходимым фундаментом теории и практики в любой области человеческой деятельности. В связи с этим однозначность и точность толкования одних и тех же понятий в среде конкретного профессионального сообщества является необходимым условием единого понимания рассматриваемых явлений и обсуждаемых проблем в целях дальнейшего развития соответствующей предметной области. Вместе с тем, в настоящее время достаточно часто отмечаются ситуации, когда одинаковые понятия имеют множество различных терминов и определений, что вносит существенную разобщенность и «местечковость» в профессиональные сообщества и в целом деструктивно отражается на интеграции и приумножении человеческих знаний.

Согласно принципам стандартизации терминологии, принятой в международном сообществе [29], термином называется слово или словосочетание специальной сферы употребления, являющееся наименованием понятия. Термин называет специальное понятие и в совокупности с другими терминами данной системы является компонентом научной теории определенной области знания. 

Основными требованиями, предъявляемыми к термину, являются:

однозначность соответствия между термином и понятием;

соответствие значения термина выражаемому понятию;

системность;

краткость;

деривационная способность;

лингвистическая правильность.

Термин т.е. слово или словосочетание определенной (научной, технической и т.д.) области знания, выбираемое или создаваемое для наименования понятия, является элементом терминосистемы, отражающей систему понятий какой-либо области науки и техники (ее части, раздела).

Определение есть логический прием, позволяющий установить четкие границы понятия и его место в системе понятий. Результатом определения является перечень наиболее существенных отличительных признаков понятия, формулируемый в виде предложения (т.е. определение это лаконичное объяснение и раскрытие значения термина).

Основными требованиями, предъявляемыми к определению и его результату-дефиниции, являются:

соразмерность определения;

включение в определение только существенных признаков;

системность определения;

недопустимость «порочного круга»;

недопустимость тавтологии;

недопустимость отрицательного определения для положительного понятия;

однозначность понимания определения;

непротиворечивость терминам других стандартов;

оптимальная краткость определения;

лингвистическая правильность определения.

Несмотря на развитую методологическую основу в области создания отраслевых терминосистем, с сожалением приходится констатировать, что в настоящее время не сформировано удовлетворительного (в том числе единого и приемлемого для широкого профессионального сообщества) понятийного аппарата теории безопасности, что на конкретных примерах показано в настоящей статье.

Вместе с тем, специалистам в области безопасности ежедневно необходимо решать текущие задачи и выполнять возложенные на них служебные обязанности по обеспечению безопасности защищаемых объектов. При этом имеющиеся различия в трактовке и понимании используемых в профессиональной деятельности терминов существенно сдерживают интеграционные процессы в области системного обеспечения безопасности и не способствуют формированию единых подходов и выработке оптимальных решений в области обеспечения комплексной безопасности.

Учитывая изложенное, далее приведено некоторое обобщение практики использования отраслевого понятийного аппарата и предложены актуальные термины и определения основных понятий в области безопасности, отвечающие, по возможности, как научному подходу к формированию терминосистем, так и отдельным сложившимся профессиональным стереотипам.

В Российской Федерации термин «безопасность» впервые нормативно был закреплен в Законе Российской Федерации от 05.03.1992 № 2446-I «О безопасности», согласно которому под безопасностью понималось состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз.

 Такой подход, а также результаты анализа международного и российского законодательства в области обеспечения безопасности позволяют ввести следующую условную иерархию видов безопасности (в зависимости от размерности и сущности объекта защиты):

1. Глобальная (геополитическая) и государственная безопасность;

2. Безопасность хозяйственной деятельности (бизнеса); 

3. Объектовая безопасность;

4. Безопасность личности.

В процессе дальнейшего развития науки, общества и нормативной правовой базы термин «безопасность» неоднократно уточнялся и достаточно свободно трактовался в зависимости от отраслевой направленности, а также физической природы (специфики) объекта защиты (защищаемых ресурсов) и сложившихся предубеждений соответствующих профессиональных сообществ. Проблеме классификации видов, типов и форм безопасности посвящено большое количество различных научно-исследовательских и иных работ, например [21].

Возникшее в настоящее время многообразие точек зрения и подходов к терминологии косвенно отражено в новом Федеральном законе от 28.12.2010 № 390-ФЗ «О безопасности», который уже не содержит какого-либо понятийного аппарата, а только определяет основные принципы и содержание деятельности по обеспечению безопасности государства, общественной безопасности, экологической безопасности, безопасности личности, иных видов безопасности, предусмотренных законодательством Российской Федерации, полномочия и функции различных органов власти в области безопасности, а также статус Совета Безопасности Российской Федерации, тем самым законодательно закрепляя многообразие различных видов безопасности, определяемых адекватными им видами и типами угроз.

В качестве примеров можно привести следующие определения видов безопасности, установленные в различных нормативных правовых и иных актах Российской Федерации:

общественная безопасность определяется как неотъемлемая часть национальной безопасности, охватывающая общественные отношения в сфере предотвращения или устранения угрозы для жизни, здоровья людей и их имущества. Она органически связана с личной безопасностью граждан и общественным порядком [26];

энергетическая безопасность определяется как состояние защищенности страны, ее граждан, общества, государства и экономики от угроз надежному топливо- и энергообеспечению, которые определяются внешними (геополитическими, макроэкономическими, конъюнктурными) факторами, а также состоянием и функционированием энергетического сектора страны [27];

транспортная безопасность определяется как состояние защищенности объектов транспортной инфраструктуры и транспортных средств от актов незаконного вмешательства [39];

авиационная безопасность определяется как состояние защищенности авиации от незаконного вмешательства в деятельность в области авиации [7];

криминальная безопасность определяется как состояние объекта защиты, при котором отсутствует риск, связанный с причинением ему вреда от реализации криминальной угрозы [9];

информационная безопасность определяется как безопасность, связанная с угрозами в информационной сфере [32].

Таким образом, в Российской Федерации установлено около сотни различных «отраслевых» видов безопасности, включая такую популярную в настоящее время безопасность как безопасность персональных данных, а также такие «экзотические» виды безопасности как безопасность книжных памятников, безопасность арматуры и безопасность наноматериалов.

Применительно к объектам (предприятиям, организациям, учреждениям, домовладениям и т.п.) гражданского назначения согласно ГОСТ Р 53704-2009. «Национальный стандарт Российской Федерации. Системы безопасности комплексные и интегрированные. Общие технические требования», утвержденному и введенному в действие Приказом Ростехрегулирования от 15.12.2009 № 1140-ст, безопасность защищаемого объекта определяется как состояние защищенности объекта от угроз причинения ущерба (вреда) жизни или здоровью людей; имуществу физических или юридических лиц; государственному или муниципальному имуществу; техническому состоянию, инфраструктуре жизнеобеспечения; внешнему виду, интерьеру(ам), ландшафтной архитектуре; окружающей природной среде.

В отношении организаций банковской системы Российской Федерации термин «безопасность» определен в отраслевом стандарте СТО БР ИББС–1.0–2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения», согласно которому безопасность – состояние защищенности интересов (целей) организации банковской системы Российской Федерации в условиях угроз.

Результаты проведенного анализа элементов множества отраслевых  определений понятия «безопасность» и обычаев делового оборота в соответствующих профессиональных сообществах свидетельствуют о том, что единого определения термина «безопасность» и единой точки зрения на принципы его формирования в настоящее время не существует [1, 2, 4, 17, 18, 21, 25, 30, 34, 44].

В большинстве случае, безопасность трактуется как состояние защищенности объекта защиты от различных угроз, с которыми человек и общество так или иначе сталкиваются в повседневной жизни. При этом определяющее значение имеет сущность (физическая природа) и структура объекта защиты, что является вполне логичным и обоснованным.

Таким образом, в целях создания единого понятийного аппарата предлагается ввести следующее определение термина «безопасность», учитывающее идущую в профессиональном сообществе полемику и современные подходы в этой предметной области [1, 2, 29].

Безопасность – это такое состояние защищаемого объекта (защищаемой системы объектов), при достижении и поддержании которого вероятность причинения защищаемому объекту вреда от реализации установленного (выявленного, известного, предполагаемого) и направленного на него множества угроз, а также ожидаемые размеры возможного ущерба будут меньше допустимых значений, экспертным образом установленных для этого объекта.

При этом необходимо учитывать следующее:

под «состоянием» согласно общепризнанным толкованиям русского языка [14, 20, 31, 37] понимается положение, в котором (с учетом внешних и внутренних условий, отношений,  обстоятельств и т.д.) в конкретный момент времени находится защищаемый объект;

под защищаемым объектом подразумевается не только единичный обособленный физически осязаемый «монумент», имеющий установленные технические характеристики и размерность по длине, ширине и высоте (хотя и это возможно), а также сложно организованный объект другой природы (в том числе система объектов, рассматриваемая как некое целое), имеющий структуру, взаимосвязи, внешние отношения и множество иных характеризующих его особенностей;

все субъективные показатели (вероятность причинения защищаемому объекту вреда, его возможные размеры и уровень допустимых, т.е. приемлемых для защищаемого объекта потерь) оцениваются и устанавливаются по известным методикам признанными в соответствующих областях знаний экспертами (в том числе собственниками и руководителями хозяйствующего субъекта, независимыми аудиторами, специалистами в области безопасности и др.).

Термин «угроза» также нуждается в уточнении, поскольку необходимой ясности и единообразия в отношении него в настоящее время не существует, что подтверждается, например, следующими отраслевыми определениями:

угроза защищаемому объекту – существующая возможность случайного или преднамеренного нанесения ущерба (вреда) защищаемому объекту [12];

угроза – опасность, предполагающая возможность потерь (ущерба) [32];

угроза (безопасности информации) – совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации [8];

угроза криминальная – совокупность условий и факторов, создающих опасность преднамеренного противоправного нанесения ущерба объекту и имуществу, здоровью и жизни физического лица, хищение материальной и интеллектуальной собственности [11];

угроза национальной безопасности – прямая или косвенная возможность нанесения ущерба конституционным правам, свободам, достойному качеству и уровню жизни граждан, суверенитету и территориальной целостности, устойчивому развитию Российской Федерации, обороне и безопасности государства [36];

угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных [3];

угроза причинения материального ущерба отрасли российской экономики – подтвержденная доказательствами неизбежность причинения материального ущерба отрасли российской экономики [38].

Как видно из приведенных примеров в одном случае под «угрозой» понимается совокупность неких условий и факторов, в другом – опасность или возможность нанесения вреда (ущерба) защищаемому объекту, в третьем – подтвержденная доказательствами неизбежность. Причем приведенные примеры не содержат выдержки из научно-популярных источников и поэтому только частично иллюстрируют свободу мысли при трактовке различными специалистами термина «угроза».

	В целях поиска истины следует в первую очередь обратиться к толковым словарям русского языка [14, 20, 31, 37], что позволит с учетом идущей в профессиональном сообществе полемики и современных подходов в этой предметной области [1, 2] дать следующее научно обоснованное, непротиворечивое и внятное определение термина «угроза» и других, связанных с ним терминов.

	Угроза – это потенциальная  возможность и/или выраженное каким-либо образом намерение установленного (выявленного, известного, предполагаемого) субъекта или явления причинить вред защищаемому объекту.

	Необходимо принимать во внимание, что при наличии объекта будет всегда присутствовать некоторая совокупность связанных с ним угроз, поскольку угроза есть не самостоятельно существующий феномен, а продукт специфического состояния связей и отношений данного объекта с другими объектами (внешней средой). Объектов вне связей и отношений в природе не существует [1, 2, 21, 28].

	Основными оценочными (количественными) характеристиками угрозы являются вероятность ее реализации и размеры предполагаемого ущерба в случае реализации.

	Единичное действие по реализации угрозы приято называть атакой. Процесс из нескольких согласованных по цели и времени атак принято называть нападением.

Вред – это результат воздействия на объект, выразившийся в наступлении неблагоприятных для этого объекта последствий.

Ущерб – это материализованная оценка (в большинстве случаев – стоимостной эквивалент) возможного вреда вследствие реализации угрозы.

	Важным и непосредственно связанным с угрозой понятием является «уязвимость». В целях выработки наиболее сбалансированного определения термина «уязвимость» рассмотрим некоторые примеры соответствующих определений, введенных в практику различными руководящими документами:

уязвимость (vulnerability) – недостатки или слабости в проекте или реализации информационной системы, включая меры обеспечения безопасности, которые могут быть преднамеренно или непреднамеренно использованы для оказания неблагоприятного воздействия на активы организации или ее функционирование [13];

уязвимость информационной безопасности – слабое место в инфраструктуре организации банковской системы Российской Федерации, включая систему обеспечения информационной безопасности, которое может быть использовано для реализации или способствовать реализации угрозы информационной безопасности [32];

уязвимость – некая слабость, которую можно использовать для нарушения системы или содержащейся в ней информации [3];

уязвимость сети электросвязи – недостаток или слабое место в средстве связи, технологическом процессе (протоколе) обработки/передачи информации, мероприятиях и механизмах обеспечения безопасности сети электросвязи, позволяющие нарушителю совершать действия, приводящие к успешной реализации угрозы безопасности [10].

Результаты анализа приведенных примеров, а также иных определений термина «уязвимость», используемых в том числе в научно-популярных и учебных печатных изданиях, свидетельствуют о редком единодушии при толковании термина «уязвимость» как некой слабости перед конкретной угрозой. Обобщая рассмотренные формулировки целесообразно ввести следующее уточненное определение термина «уязвимость».

Уязвимость – это любой недостаток (изъян, слабое место) защищаемого объекта или его системы защиты, наличие которого может привести к реализации адекватной ему  угрозы.

После введения определений понятий «безопасность», «угроза», «уязвимость» и «ущерб» необходимо дать приемлемое определение самому неопределенному в настоящее время понятию «риск».

Парадокс сложившейся ситуации заключается в том, что в нормативных правовых и иных актах Российской Федерации термин «риск» широко используется, однако его внятного научного определения не существует. При этом члены различных профессиональных сообществ и так («без излишней умственности») прекрасно понимают (как они думают), что обозначает термин «риск». 

Для иллюстрации приведем несколько примеров определений, используемых в различных областях человеческой деятельности:

риск – вероятность причинения вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде, жизни или здоровью животных и растений с учетом тяжести этого вреда [41];

риск – принятие решений и действия при недостаточно ясных (неопределенных) условиях достижения положительного результата, возможность наступления событий с отрицательными последствиями в результате определенных решений и действий [5];

риск – опасность возникновения непредвиденных потерь ожидаемой прибыли, дохода или имущества, денежных средств, других ресурсов в связи со случайным изменением условий экономической деятельности, неблагоприятными обстоятельствами [25];

риск (пожарный риск) – мера возможности реализации пожарной опасности объекта защиты и ее последствий для людей и материальных ценностей [40];

риск (профессиональный риск) – вероятность причинения вреда здоровью в результате воздействия вредных и (или) опасных производственных факторов при исполнении работником обязанностей по трудовому договору или в иных случаях, установленных настоящим Кодексом, другими федеральными законами [35];

риск нанесения ущерба – комплексный показатель, характеризующий вероятность возникновения ущерба за нормированный период времени и его величину [11];

риск нарушения информационной безопасности (security risk) – фактор, отражающий возможный ущерб организации в результате реализации угрозы информационной безопасности [16];

риск нарушения бесперебойности функционирования платежной системы – присущая функционированию платежной системы типичная возможность неоказания, ненадлежащего оказания услуг платежной системы участникам платежной системы вследствие наступления неблагоприятных событий, связанных с внутренними и внешними факторами функционирования платежной системы [23];

риск – мера, учитывающая вероятность реализации угрозы и величину потерь (ущерба от реализации этой угрозы [32];

риск ликвидности – риск убытков вследствие неспособности кредитной организации обеспечить исполнение своих обязательств в полном объеме. Риск ликвидности возникает в результате несбалансированности финансовых активов и финансовых обязательств кредитной организации (в том числе вследствие несвоевременного исполнения финансовых обязательств одним или несколькими контрагентами кредитной организации) и (или) возникновения непредвиденной необходимости немедленного и единовременного исполнения кредитной организацией своих финансовых обязательств [22].

Как видно из приведенных примеров в одном случае под «риском» понимается вероятность причинения вреда, в другом – некая опасность возникновения непредвиденных потерь, в третьем – принятие решений и действия (т.е. по сути некий процесс) при недостаточно ясных (неопределенных) условиях достижения положительного результата, в четвертом – фактор, что-то отражающий. 

Огромное количество определений понятия «риск» содержат «порочный круг», при котором одно понятие определяться с помощью другого понятия, которое в свою очередь определяется через первое.

Чтобы ввести определение понятия «риск», удовлетворяющее установленным требованиям [29] и приемлемое для большинства экспертных сообществ, необходимо учитывать следующее:

риск исходит от субъекта, т.е. возникает вследствие действия или бездействия конкретного человека или группы лиц, если они приняли какое-либо коллективное решение  и осуществили действия или, наоборот, не предприняли необходимых действий в случае такой необходимости;

риск есть атрибут деятельного акта субъекта, в результате которого ему может быть причинен вред или, наоборот, принесена польза;

наличие риска обусловлено неопределенностью конечного результата осуществляемой деятельности или бездействия;

риск всегда осмысленно или интуитивно связывается субъектом с осознаваемой или неосознаваемой им опасностью;

риск, возникающий вследствие бездействия (пассивности) субъекта, всегда связан с адекватной этому риску и направленной на субъект угрозой, в том числе через аффилированный с ним объект;

риск всегда (сознательно или бессознательно) количественно и/или качественно оценивается (измеряется) субъектом;

метод и порядок сознательной оценки риска устанавливается отраслевым экспертным сообществом и, соответственно, носит субъективный характер.

Учитывая изложенное, можно дать следующее определение понятию «риск».

Риск – качественный или количественный показатель, характеризующий величину возможного ущерба, который будет причинен субъекту в случае успешной реализации с принятой субъектом вероятностью направленной на него угрозы (множества угроз).

Таким образом, вполне отчетливо прослеживается следующая причинно-следственная связь, имеющая прикладное значение: «недостаток – угроза – уязвимость – риск – утрата безопасности». Кроме этого здравый смысл и законы логики позволяют утверждать, что теория рисков является частным случаем теории безопасности.



В современных рыночных условиях деятельность любого хозяйствующего субъекта связана с необходимостью обеспечения его безопасности. При этом если ставится задача обеспечить защиту от широкого спектра угроз, действующих в различных сферах (социальной, информационной, экономической, физической и др.), то речь идет об обеспечении комплексной безопасности.

В русском языке слово «комплексный» толкуется как охватывающий целую группу предметов, явлений, процессов; представляющий собой комплекс чего-либо [20, 31, 37]. В указанном значении оно используется в терминологии по безопасности, определенной в отраслевых руководящих документах. В частности,  в ГОСТ Р 53704-2009 комплексная защита объекта определена как совокупность взаимосвязанных по времени, ресурсам и месту проведения мероприятий для достижения цели(ей) по обеспечению защиты объекта от нормированных угроз техногенного, антропогенного и природно-климатического характера. Соответственно, комплексная система безопасности определена как система безопасности, одновременно выполняющая несколько функций безопасности, снижающих риски, обусловленные несколькими видами и/или источниками опасностей [12].

Вместе с тем, термин «комплексная система безопасности» с позиции русского языка в определенной степени тавтологичен, поскольку система [греч. systema – целое, составленное из частей, соединение] – это структура, представляющая собой единство закономерно расположенных, взаимно связанных частей или совокупность каких-либо элементов, предметов, приспособлений, имеющих одно назначение, служащих одной или объединенных по общему признаку или назначению [20, 31, 37]. В этом значении слово система используется в соответствующих руководящих документах. В частности, согласно [32] система – множество (совокупность) материальных объектов (элементов) любой, в том числе различной физической, природы и информационных объектов, взаимодействующих между собой для достижения общей цели, обладающее системным свойством (свойствами). При этом системным свойством (свойствами) является свойство, которое не имеет ни один из элементов и ни одно из подмножеств элементов при любом способе членения. Системное свойство не выводимо непосредственно из свойств элементов и частей.

Кроме этого, учитывая иерархию, принятую в технических науках: «элемент – устройство – комплекс – система», согласно которой «система» является организацией более высокого уровня, чем «комплекс», представляется более естественным при обобщении использовать термин «система комплексной безопасности», вместо термина «комплексная система безопасности». Аналогичная точка зрения принята, например, в [6].

Таким образом, под системой комплексной безопасности следует понимать совокупность специализированного персонала, объектов (элементов) и процессов различной природы, взаимодействующих между собой в целях обеспечения комплексной безопасности защищаемого объекта (хозяйствующего субъекта). Соответственно, такая система состоит из различных функциональных элементов и/или подсистем, взаимосвязанных и взаимодействующих на различных иерархических уровнях.

Под обеспечением комплексной безопасности защищаемого объекта (защищаемой системы объектов) следует понимать создание необходимых условий, привлечение и рациональное использование необходимых ресурсов для достижения и поддержания такого состояния защищаемого объекта (защищаемой системы объектов), при котором вероятность причинения ему вреда от реализации установленного (выявленного, известного, предполагаемого) и направленного на него множества угроз различной природы возникновения и различного характера проявления, а также ожидаемые размеры возможного ущерба будут меньше допустимых значений, экспертным образом установленных для этого объекта.

Указанное определение, несмотря на некую громоздкость и новизну формулировок, по сути согласуется с определениями, которые приведены в [12, 24] и других руководящих документах.

Управлением системой комплексной безопасности следует называть особый вид целенаправленно осуществляемой деятельности (управляющих воздействий), направленных на достижение поставленных целей по обеспечению комплексной безопасности защищаемого объекта (защищаемой системы объектов) путем наиболее рационального использования всех имеющихся ресурсов.

 Проактивное (упреждающее) управление заключается в том, что необходимые управленческие меры (управляющие воздействия) должны приниматься заблаговременно и предотвращать возникновение возможных проблемных ситуаций и инцидентов.

В современных условиях, при внедрении системного подхода и проактивного (упреждающего) управления система комплексной безопасности должна реагировать, главным образом, не на возникшую проблемную ситуацию или допущенный инцидент, а на предпосылки (тенденции, признаки, явления, статистику и предысторию событий, условия, взаимоотношения), предшествующие их появлению. 

В простейшем виде («минимальной комплектации») систему комплексной безопасности хозяйствующего субъекта условно можно представить как систему, обеспечивающую экономическую, информационную и внутреннюю безопасность.

При этом необходимо хорошо понимать и обязательно учитывать, что при обеспечении экономической, информационной, внутренней или иной безопасности также должен применяться комплексный и системный поход, предполагающий одновременное (совместное) использование всех имеющихся (доступных разработчику) методов, средств и ресурсов для выполнения поставленной задачи и достижения максимальной эффективности создаваемой или действующей системы безопасности [16, 19, 33, 43].

В заключение следует отметить, что использованные (упомянутые) в статье нормативные правовые акты, стандарты, публикации и иные документы (труды, источники), связанные с терминологией в области безопасности, не являются исчерпывающим набором материалов по рассматриваемой проблеме, а только иллюстрируют аргументы и примеры, которые являются, по мнению автора, достаточными для обоснования сделанных им выводов.



5.2.Обоснование необходимости контроля обеспечения комплексной безопасности. требования законодательства Российской Федерации



Не требует доказательств утверждение, что даже самая развитая нормативно-правовая база, адекватная и безупречная политика безопасности, подробные регламенты и процедуры, разработанные для всех направлений производственной (служебной) деятельности, определяют только потенциальную способность системы комплексной безопасности защищаемых объектов противостоять принятой модели угроз, поскольку на практике реальный уровень их безопасности зависит от множества различных по своей природе факторов, в том числе от эффективности организационно-управленческой деятельности, квалификации персонала и морально-психологического состояния коллектива, что в совокупности принято называть «человеческим фактором».

В связи с этим целесообразно различать следующие условные уровни безопасности критических объектов:

потенциальный, являющийся максимально достижимым уровнем безопасности при полном и наиболее эффективном использовании имеющихся материальных, технических, интеллектуальных и других ресурсов, а также стабильной общественно-политической, экологической, техногенной и т.п. ситуации в регионе. Этот уровень безопасности определяется сторонними (внешними) системными аналитиками на основе формальных данных о защищаемом объекте;

декларируемый (желаемый, провозглашаемый) уровень безопасности, обусловленный спецификой защищаемого объекта, наличием необходимых материально-технических ресурсов и собственным представлением работающих на нем руководителей и специалистов об эффективности используемых методов и средств обеспечения его безопасности. Этот уровень определяется в процессе самоанализа, который условно можно назвать «аудитом первой стороной»;

реальный («квазиобъективный») уровень безопасности, являющийся действующим в конкретный момент времени уровнем безопасности защищаемого объекта, обусловленный влиянием труднопредсказуемого «человеческого фактора», объективным ослаблением со временем ответственности, бдительности, защитных механизмов и другими специфическими факторами. Этот уровень безопасности определяется приглашенными (внешними) экспертами в процессе «аудита второй (или третьей) стороной».

Интуитивно понятно, что указанные уровни существенно отличаются друг от друга. Причем, реальный уровень безопасности всегда существенно ниже декларируемого и, тем более, потенциального. В организациях, способных обеспечить примерное равенство (соответствие) указанных уровней, так называемый КПД использования затраченных на безопасность средств и ресурсов приближается к 100 %.

Поэтому на практике важнейшее значение приобретает периодический квалифицированный и целенаправленный анализ состояния (уровня) комплексной безопасности критических объектов, адекватности принятой политики безопасности выявленным угрозам и наличия потенциально уязвимых мест в действующей системе (подсистеме) безопасности, проводимый по результатам протоколирования (документирования) значимых и предварительно определенных для этих целей событий и состояний, отмеченных на защищаемом объекте за определенный период времени.

Указанный анализ, проводимый в интересах защищаемого объекта, принято называть контролем или аудитом без.......................