— Какие основные факторы определяют вектор деятельности предприятия в области безопасности?
— Деятельность предприятия в области безопасности определяют две группы требований. Первая — это представление о том, какая должна быть безопасность у руководителя предприятия и лица, ответственного за нее, если таковое имеется. Как показывает практика, на каждом предприятии есть свой перечень рисков и угроз, которые видятся актуальными для его руководства. Такой перечень может быть как явно определенным в виде модели угроз, так и в виде отдельных приказов, инструкций или принятых норм поведения. Однако часто такое представление бывает неполным.
Вторая группа требований — это те, которые руководство должно выполнять в силу обязанностей, возложенных на него законодательством. Обычно такие требования более структурированы, но существуют лишь для определенного круга предприятий, но при этом достаточно широки для локального использования «с колес». Правильное выполнение государственных требований, адаптированных под конкретную структуру и обстоятельства предприятия, позволяют снизить угрозу реализации актуальных угроз. Для такой адаптации требований законодательства и обеспечения защиты от подавляющего большинства существующих угроз необходимо проведение проектирования и внедрения системы безопасности, которую хотя и можно провести собственными силами, но лучше для этого привлечь специализированную организацию.
Обычно на предприятии используется в том или ином виде понятие комплексной безопасности, для обеспечения которой помимо физической, экономической и иных видов безопасности, должна достигаться (как состояние) и информационная. Для промышленных предприятий актуален вопрос обеспечения безопасности информационных (автоматизированных) систем (ИС, АС) и информационно-телекоммуникационных сетей (ИТКС). Для предприятий, указанные системы которых попадают под определение критической информационной инфраструктуры (КИИ) в соответствии с ФЗ187 «О безопасности объектов КИИ», актуальными требованиями для создания систем безопасности значимых объектов КИИ являются и подзаконные акты к ФЗ-187 (ПП РФ № 127 2018 г., приказы ФСТЭК России № 235, 239 от декабря 2017 г. и другие). Для объектов ТЭК, если они не являются значимыми объектами КИИ (ЗнОКИИ), применимы требования, изложенные в ст. 10 и 11 ФЗ-252 «О безопасности объектов топливно-энергетического комплекса» и приказе ФСТЭК России № 31 от 2014 г.