Распоряжение ОАО РЖД от 20.12.2010 N 2628р
ОАО «РОССИЙСКИЕ ЖЕЛЕЗНЫЕ ДОРОГИ»
РАСПОРЯЖЕНИЕ
от 20 декабря 2010 г. N 2628р
ОБ УТВЕРЖДЕНИИ КОНЦЕПЦИИ КОРПОРАТИВНОЙ БЕЗОПАСНОСТИ ОАО «РЖД» В УСЛОВИЯХ РЕФОРМИРОВАНИЯ
В целях формирования единого подхода к защите интересов ОАО «РЖД» от внешних и внутренних угроз в условиях преобразования в компанию холдингового типа, повышения эффективности деятельности подразделений безопасности:
1. Утвердить прилагаемую Концепцию корпоративной безопасности ОАО «РЖД» в условиях реформирования (далее — Концепция).
2. Начальнику Департамента управления дочерними и зависимыми обществами Давыдову А.Ю. обеспечить доведение Концепции до дочерних обществ ОАО «РЖД».
3. Начальнику Департамента безопасности Мартынову П.Е. использовать Концепцию при формировании системы корпоративной безопасности ОАО «РЖД».
Вице-президент ОАО «РЖД»
А.С.Бобрешов
УТВЕРЖДЕНА
распоряжением ОАО «РЖД»
20 декабря 2010 г. N 2628р
КОНЦЕПЦИЯ
КОРПОРАТИВНОЙ БЕЗОПАСНОСТИ ОАО «РЖД» В УСЛОВИЯХ РЕФОРМИРОВАНИЯ
Открытое акционерное общество «Российские железные дороги» — единый хозяйствующий субъект, учредителем которого является Российская Федерация.
В настоящее время ОАО «РЖД» участвует своими активами более чем в 100 хозяйствующих субъектах, большинство из которых являются дочерними и зависимыми обществами ОАО «РЖД» (далее — ДЗО).
В соответствии с Программой структурной реформы на железнодорожном транспорте одной из целей третьего этапа реформы отрасли (2006 — 2010 г. г.) является превращение ОАО «РЖД» в компанию холдингового типа, конкурентоспособную на мировом транспортном рынке, обеспечивающую содержание и развитие железнодорожной инфраструктуры, а также предоставляющую конкурентоспособные перевозочные услуги.
В рамках реализации мероприятий данного этапа активизируется процесс создания дочерних обществ (далее — ДО) на базе имущества, которым в установленном порядке наделены самостоятельные структурные подразделения ОАО «РЖД», предусмотрено начало продаж их акций потенциальным инвесторам.
По мере постепенной продажи пакетов акций дочерних обществ, формирования развитого конкурентного рынка железнодорожных перевозок, сопутствующих транспортных и иных услуг ОАО «РЖД» передает на конкурсной основе выполнение отдельных видов работ на аутсорсинг.
ОАО «РЖД» осуществляет свою деятельность в условиях нарастающей международной и внутрироссийской конкуренции в сфере оказания транспортных услуг.
В сложившейся ситуации, а также с учетом проводимой структурной реформы отрасли, для обеспечения эффективной экономической деятельности ОАО «РЖД» особую актуальность приобретает своевременное реагирование и принятие мер по выявлению новых угроз, их предупреждению и нейтрализации.
Эти обстоятельства диктуют необходимость дальнейшего развития системы корпоративной безопасности ОАО «РЖД», которая позволит на базе имеющихся подразделений безопасности в центре и в регионах, а также служб безопасности ДО, своевременно прогнозировать, предупреждать, выявлять и эффективно устранять разного рода угрозы и порождающие их факторы.
1. Настоящая Концепция является методологической основой для формирования и проведения в ОАО «РЖД» единой политики в области обеспечения корпоративной безопасности. Она определяет систему взглядов на вопросы корпоративной безопасности в условиях реформирования отрасли и ее последующей деятельности в качестве холдинговой компании, а также представляет собой систематизированное изложение целей и задач защиты, основных принципов построения, организационно-правовых и процедурных аспектов обеспечения безопасности.
2. Настоящая Концепция учитывает современное состояние, а также перспективы развития ОАО «РЖД» в компанию холдингового типа и должна рассматриваться как:
1) документ, опирающийся на законодательство Российской Федерации, а также локальную нормативную базу ОАО «РЖД»;
2) документ, на основании которого строится система корпоративной безопасности ОАО «РЖД».
3. Настоящая Концепция отражает совокупность официально принятых руководством ОАО «РЖД» стратегических взглядов в области обеспечения безопасности от внешних и внутренних угроз с учетом имеющихся корпоративных ресурсов и возможностей.
4. Целями настоящей Концепции являются:
1) формирование целостного представления о корпоративной безопасности ОАО «РЖД»;
2) повышение эффективности мероприятий, направленных на обеспечение корпоративной безопасности ОАО «РЖД»;
3) обеспечение единой трактовки корпоративной безопасности всеми участниками производственного процесса ОАО «РЖД»;
4) определение принципов функционирования и развития системы корпоративной безопасности ОАО «РЖД»;
5) разработка концептуальных подходов к формированию единых требований и построению системы корпоративной безопасности ОАО «РЖД»;
6) обеспечение целостности системы управления корпоративной безопасностью ОАО «РЖД» в условиях реформирования.
5. В настоящей Концепции сформулированы важнейшие направления и принципы обеспечения корпоративной безопасности ОАО «РЖД», которые являются основой для разработки конкретных программ и организационных мероприятий в данной области.
6. Настоящая Концепция является основой для разработки и поддержания функционирования целостной системы корпоративной безопасности ОАО «РЖД» как хозяйствующего субъекта.
7. Реализация функций системы корпоративной безопасности осуществляется через Департамент безопасности ОАО «РЖД», региональные центры безопасности — структурные подразделения ОАО «РЖД», подразделения безопасности филиалов, представительств и других структурных подразделений, дочерних обществ ОАО «РЖД».
8. Законодательной основой настоящей Концепции являются Конституция Российской Федерации, законодательные и нормативные правовые акты Российской Федерации и субъектов Российской Федерации, а также внутренние документы ОАО «РЖД».
9. В настоящей Концепции применяются следующие термины и понятия:
1) акт незаконного вмешательства (далее АНВ) — противоправное действие (бездействие), в том числе террористический акт, угрожающее безопасной деятельности железнодорожного комплекса, повлекшее за собой причинение вреда жизни и здоровью людей, материальный ущерб либо создавшее угрозу наступлению таких последствий;
2) безопасность — состояние объекта в системе его связей с точки зрения способности к устойчивости (самовыживанию) и развитию в условиях внутренних и внешних угроз, действий непредсказуемых и трудно прогнозируемых факторов;
3) безопасность железнодорожного транспорта — состояние защищенности объектов железнодорожной инфраструктуры и железнодорожных транспортных средств от актов незаконного вмешательства;
4) бизнес-единица часть организации, которая обладает полным и уникальным набором следующих признаков: специфические виды деятельности, обеспечивающий их имущественный комплекс, специализированные производственные и управленческие технологии, персонал, структура управления, бизнес-процессы управления и пр.;
5) должностные лица ОАО «РЖД» — президент, первый вице-президент, старшие вице-президенты и вице-президенты ОАО «РЖД», члены правления, руководители департаментов, управлений, филиалов, представительств и иных структурных подразделений, их заместители и лица, исполняющие их обязанности;
6) дочернее общество ОАО «РЖД» — хозяйственное общество, в отношении которого ОАО «РЖД» в силу преобладающего участия в его уставном капитале, либо в соответствии с заключенным договором, либо иным образом имеет возможность определять решения, принимаемые таким обществом;
7) железнодорожный комплекс — совокупность объектов и субъектов железнодорожной инфраструктуры и железнодорожных транспортных средств;
8) зависимое общество ОАО «РЖД» — хозяйственное общество, в котором ОАО «РЖД» имеет более 20% голосующих акций или 20% уставного капитала общества с ограниченной ответственностью;
9) иерархия — система последовательно подчиненных элементов, расположенных от низшего к высшему и характеризующая многоуровневость целого;
10) имущество ОАО «РЖД» — основные средства, нематериальные активы, финансовые вложения, производственные запасы, готовая продукция, товары, прочие запасы, денежные средства и финансовые активы, а также любое другое имущество, которое в соответствии с законодательством Российской Федерации является объектом собственности;
11) категорирование объектов железнодорожного комплекса — отнесение объектов к определенным категориям с учетом вероятности угрозы совершения противоправных действий и возможных последствий;
12) коммерческая тайна — конфиденциальность информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, услуг или получить иную коммерческую выгоду; научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании, и в отношении которой введен режим коммерческой тайны;
13) концептуальная модель безопасности (далее КМБ) — системное изложение общих представлений об объектах, определяемых связями компании, и процессах, которые учитывают наиболее существенные взаимоотношения объектов, относящихся к сфере безопасности. Разработка КМБ определяется необходимостью обеспечения оптимального баланса между структурой системы безопасности и организационно-производственной структурой компании. Выработка КМБ предопределяет разработку концепции безопасности;
14) концепция безопасности — документ, отражающий систему взглядов руководства компании на проблемы безопасности на различных этапах, уровнях и в различных сферах хозяйственной деятельности, а также определяющий основные пути их решения, принципы, направления и этапы реализации мер безопасности;
15) корпоративная безопасность (далее — КБ) — состояние защищенности жизненно важных интересов от внутренних и внешних угроз — противоправных действий и недобросовестной конкуренции.
16) корпоративный конфликт — затрагивающие интересы ОАО «РЖД» разногласия или споры между ОАО «РЖД» как акционером (участником) дочерних и зависимых обществ и этими обществами, возникший в связи с участием в указанных обществах, либо разногласие или спор ОАО «РЖД» с другими акционерами (участниками) указанных дочерних и зависимых обществ;
17) модель угроз — перечень возможных противоправных действий по отношению к объектам защиты;
18) обеспечение безопасности железнодорожного комплекса — реализация системы правовых, экономических, организационных и иных мер в сфере железнодорожного комплекса, соответствующих угрозам совершения актов незаконного вмешательства;
19) объекты безопасности — различные структурные подразделения ОАО «РЖД», группы сотрудников/сотрудники, ресурсы (информационные, кадровые, материально-технические, финансовые, интеллектуальные), виды деятельности (управленческая, производственная, снабженческая и т.д.);
20) оперативное подчинение (применительно к системе корпоративной безопасности ОАО «РЖД») — переход подразделений безопасности филиалов, структурных подразделений, дочерних обществ ОАО «РЖД» в подчинение вице-президенту Компании по вопросам корпоративной безопасности через Департамент безопасности исключительно по вопросам текущей деятельности, связанной с обеспечением корпоративной безопасности, в целях надежного и бесперебойного управления режимом корпоративной безопасности в целом, а также входящими в ее систему подразделениями;
21) охрана объекта — регламентированная совокупность организационных мероприятий, инженерно-технических средств и действий персонала, направленных на предотвращение АНВ на охраняемом объекте, устранение или снижение угрозы здоровью и жизни людей, а также на защиту технических средств охраны и безопасности от умышленного вывода их из строя;
22) объекты инфраструктуры железнодорожного транспорта — технологический комплекс, включающий в себя железнодорожные пути, контактные линии, тоннели, эстакады, мосты, вокзалы, железнодорожные станции, объекты систем связи и управления движением, а также иные обеспечивающие функционирование железнодорожного комплекса здания, сооружения, устройства и оборудование;
23) оценка уязвимости — определение степени защищенности объектов железнодорожного комплекса от угроз совершения АНВ;
24) программно-технический комплекс — совокупность программных и технических средств, совместное функционирование которых направлено на повышение эффективности работы подразделений системы корпоративной безопасности;
25) риск — средний ущерб (в некоторой количественной или качественной шкале) от реализации конкретной угрозы, определяемый как функция от вероятности (шанса) реализации угрозы и ущерба от реализации угрозы;
26) система корпоративной безопасности (далее — СКБ) — совокупность защитных мер (теории, политики и стратегии безопасности, а также средств и методов ее обеспечения), которая обеспечивает защиту интересов и ресурсов ОАО «РЖД» для создания объединенными усилиями субъектов безопасности условий его устойчивого функционирования;
27) субъект безопасности — субъект, регулирующий активность или состояние объектов, обеспечивающих объектам безопасности защиту от угроз в зависимости от их характера и целей воздействия;
28) субъекты железнодорожной инфраструктуры — юридические и физические лица, являющиеся собственниками объектов железнодорожной инфраструктуры и средств железнодорожного транспорта или использующие их на ином законном основании;
29) субъект обеспечения безопасности — подразделение безопасности (уполномоченное должностное лицо), осуществляющее в пределах предоставленных полномочий действия, необходимые для защиты объекта безопасности от угроз;
30) субъект опасности — потенциальный источник угроз, имеющий определенный характер (подготовленность, оснащенность, организованность) и цель/цели воздействия;
31) угроза — потенциально или реально возможное событие, действие, процесс или явление, которое способно нарушить устойчивость и развитие объекта или привести к остановке его деятельности;
32) уровень безопасности — степень защищенности железнодорожного комплекса, соответствующая степени угрозы совершения акта незаконного вмешательства;
33) уязвимость — несоответствие мер защиты объекта прогнозируемым угрозам или заданным требованиям безопасности;
34) функция безопасности — действия, направленные на выявление, предупреждение, пресечение, снижение (ослабление), нейтрализацию (локализацию), отражение и устранение угроз;
35) холдинг, холдинговая компания — совокупность материнской компании и контролируемых ею дочерних компаний; предприятие независимо от его организационно-правовой формы, в состав активов которого входят контрольные пакеты акций других предприятий.
2. СОСТОЯНИЕ КОРПОРАТИВНОЙ БЕЗОПАСНОСТИ ОАО «РЖД»
10. В настоящее время управление корпоративной безопасностью ОАО «РЖД» осуществляется на двух уровнях:
1) общем уровне реализуется руководством ОАО «РЖД», всеми подразделениями и работниками в пределах своей компетенции и регулируются законодательством Российской Федерации и организационно-распорядительными документами ОАО «РЖД»;
2) специальном уровне — реализуется Департаментом безопасности, региональными центрами безопасности и подразделениями безопасности (сотрудниками) филиалов, других структурных подразделений и дочерних обществ ОАО «РЖД» в пределах предоставленных им полномочий.
11. В непосредственном ведении Департамента безопасности находятся структурные подразделения ОАО «РЖД» — региональные центры безопасности (далее — РЦБ) и Бюро пропусков (далее ПБ).
12. В целях обеспечения безопасности Департаменту безопасности в установленном порядке предоставлено право использования интеллектуального, технического, финансового и материального потенциала ОАО «РЖД».
13. Деятельность Департамента безопасности и региональных центров безопасности — структурных подразделений ОАО «РЖД» осуществляется во взаимодействии с правоохранительными органами, как на федеральном, так и на региональном уровнях.
14. Охранные, специальные технические и иные меры по обеспечению безопасности ОАО «РЖД» на договорной основе обеспечиваются силами и средствами ФГП «ВО ЖДТ России», частных охранных организаций (далее ЧОО), подразделений милиции, пожарной охраны, иных юридических лиц.
Создано дочернее общество ООО «ЧОП «РЖД»-Охрана», обеспечивающее охрану основных объектов аппарата управления ОАО «РЖД».
Разработаны документы, регламентирующие работу Бюро пропусков — структурного подразделения ОАО «РЖД», режим допуска и пребывания на объектах представителей сторонних организаций.
15. Для координации действий и разработки практических мероприятий по защите объектов железнодорожного транспорта от АНВ, в том числе террористического характера, в 2004 году в ОАО «РЖД» и на всей сети железных дорог были созданы антитеррористические комиссии различного уровня, которые в 2010 году преобразованы в комиссии по транспортной безопасности (далее — КТБ).
Организовано взаимодействие аппарата управления, филиалов и других структурных подразделений ОАО «РЖД» с органами исполнительной власти и правоохранительными органами по профилактике и предупреждению АНВ на объектах ОАО «РЖД», устранению причин и условий, способствующих их совершению.
Ведется разработка предложений по реализации в ОАО «РЖД» единой технической политики в области обеспечения транспортной безопасности.
В рамках реализации проекта «Антитеррор» («Транспортная безопасность» с 2010 г.) инвестиционной программы проводится оснащение объектов ОАО «РЖД» инженерно-техническими средствами охраны (далее — ИТСО).
16. Защита информации, составляющей коммерческую тайну, осуществляется сочетанием мер организационного и технического характера.
В целях обеспечения конфиденциальности информации и в соответствии с Федеральным законом от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне» в ОАО «РЖД» приказом от 27 декабря 2004 г. N 240 «О порядке обращения с информацией, составляющей коммерческую тайну ОАО «РЖД» установлен режим коммерческой тайны. Создаются системы управления информационной безопасностью и оценки защищенности информационных и телекоммуникационных ресурсов.
Разработаны и внедряются технологии защиты от несанкционированного доступа к информационным и сетевым ресурсам ОАО «РЖД».
Разработана и введена система антивирусной защиты.
Введена в эксплуатацию инфраструктура открытых ключей, обеспечивающая использование электронной цифровой подписи.
17. Начаты работы по созданию системы управления информационной безопасностью, предназначенной для категорирования информации ОАО «РЖД», формирования требований к уровню безопасности информации в информационных и телекоммуникационных системах, мониторинга соответствия текущего состояния информационной безопасности утвержденным требованиям, планирования и реализации мероприятий по достижению необходимого уровня безопасности.
Технические меры по обеспечению информационной безопасности реализуются РЦБ и подразделениями по защите информационных ресурсов информационно-вычислительных центров (далее — ИВЦ) — структурных подразделений Главного вычислительного центра (далее ГВЦ) ОАО «РЖД», а также организациями-лицензиатами ФСБ России и ФСТЭК России.
18. В совместной работе подразделений безопасности по защите корпоративных интересов ОАО «РЖД» имеются определенные трудности и, прежде всего, при организации взаимодействия с ДО.
В складывающейся системе безопасности ОАО «РЖД» они занимают особое положение. Объективно на процесс их вовлечения в более тесное, предметное и эффективное сотрудничество в сфере обеспечения корпоративной безопасности направлены:
распоряжение ОАО «РЖД» от 23 марта 2007 г. N 469р «Об утверждении примерной формы соглашения между ОАО «РЖД» и дочерним обществом о сотрудничестве в области обеспечения корпоративной безопасности» (далее — Соглашение);
распоряжение ОАО «РЖД» от 12 мая 2009 г. N 984р «Об утверждении типовых регламентов взаимодействия ОАО «РЖД» и дочерних обществ ОАО «РЖД» по вопросам обеспечения безопасности» (далее — Регламент).
Организационно-правовая регламентация сотрудничества с подразделениями безопасности ДО в области обеспечения корпоративной безопасности в соответствии с указанными распорядительными документами предусматривает по существу два этапа.
Первый — заключение Соглашения между ОАО «РЖД» и соответствующим ДО о сотрудничестве в области корпоративной безопасности. Второй — подписание Регламента взаимодействия ОАО «РЖД» и ДО в области обеспечения безопасности.
В отличие от Регламентов взаимодействия Департамента безопасности с подразделениями безопасности филиалов и других структурных подразделений ОАО «РЖД», Соглашения и Регламенты с ДО о сотрудничестве и взаимодействии по вопросам обеспечения безопасности заключаются не между подразделениями безопасности сторон, а между ОАО «РЖД» и соответствующим ДО на уровне их руководителей. При этом, непосредственная реализация положений заключенных Соглашений возлагается на Департамент безопасности и/или РЦБ со стороны ОАО «РЖД» и на ответственное подразделение или лицо ДО.
19. С правовой точки зрения распоряжение ОАО «РЖД» от 23 марта 2007 г. N 469р не предусматривает обязательность заключения дочерними обществами такого Соглашения с ОАО «РЖД». Распоряжение обязывает Департамент безопасности «во взаимодействии с Департаментом управления дочерними и зависимыми обществами организовать работу по заключению соглашений с дочерними обществами о сотрудничестве в области обеспечения корпоративной безопасности». Утвержденная распоряжением примерная форма Соглашения определяет только общие принципы взаимодействия сторон и не устанавливает для них никаких гражданско-правовых обязательств. Кроме этого, сторонам дано право заключать договоры и подписывать регламенты взаимодействия, условия которых в случае отличия от условий утвержденной формы Соглашения будут иметь преимущественную силу.
20. Таким образом, в настоящее время в обеспечении безопасности ОАО «РЖД» участвуют три относительно самостоятельные, не связанные единым оперативным руководством группы субъектов управления:
1) Департамент безопасности, региональные центры безопасности, Бюро пропусков — в рамках прямой подчиненности;
2) подразделения безопасности филиалов, структурных подразделений и ДО ОАО «РЖД» в рамках заключенных Соглашений и подписанных Регламентов;
3) ФГП ВО ЖДТ России и его филиалы на железных дорогах, а также частные охранные организации — в рамках исполнения заключенных договоров.
21. Деятельность указанных субъектов безопасности регулируется локальными распорядительными документами ОАО «РЖД», которые имеют разное организационно-правовое содержание, наделяют подразделения безопасности разной компетенцией (правами и обязанностями), а также условиями взаимодействия с Департаментом безопасности, между собой и с внешними партнерами. В силу этих обстоятельств фактически отсутствует целостность существующей системы безопасности, что, в свою очередь, не способствует равнозащищенности объектов корпоративной безопасности.
22. Проводимое в настоящее время в ОАО «РЖД» реформирование, основным аспектом которого является создание дочерних обществ и функциональных филиалов, приводит к разрыву управленческих связей, в том числе и в области обеспечения корпоративной безопасности.
В условиях ведения функциональными филиалами и ДО самостоятельной производственной и финансово-хозяйственной деятельности на переданных им объектах, остро встает вопрос организации единой системы охраны и защиты всей инфраструктуры железнодорожного комплекса. В складывающейся ситуации нерешенным остается вопрос передачи и постановки на баланс созданных и создаваемых хозяйствующих субъектов технических средств охраны и защиты объектов железнодорожной инфраструктуры, назначения ответственных за их сохранность, использование по прямому назначению, своевременное гарантийное и послегарантийное текущее обслуживание.
Данное обстоятельство ставит под реальную угрозу целостность системы мер, направленных на противодействие АНВ в деятельности железных дорог, защиту жизни и здоровья людей, а также предотвращение материального ущерба и подрыва деловой репутации ОАО «РЖД».
23. В связи с тем, что производственная и финансово-хозяйственная деятельность ОАО «РЖД» осуществляется в условиях неблагоприятной криминогенной обстановки, характеризующейся значительным количеством противоправных действий экономической направленности, создание значительного количества новых ДО несет в себе потенциальные угрозы последующего вывода их активов из-под контроля ОАО «РЖД» или размывания уставного капитала.
24. С учетом вступления в силу Федерального закона от 9 февраля 2007 г. N 16-ФЗ «О транспортной безопасности» необходимо обеспечить безопасность объектов инфраструктуры и средств железнодорожного транспорта ОАО «РЖД», что предполагает выработку единой технической политики в области оснащения объектов железнодорожного комплекса ИТСО, определения уровня и источников финансирования их охраны и защиты.
25. Складывающаяся обстановка и тенденции ее развития требуют выработки единой идеологии по формированию и функционированию системы корпоративной безопасности как в аппарате управления ОАО «РЖД», так и в его филиалах, структурных подразделениях, дочерних обществах, а также координации работы всех участвующих в обеспечении корпоративной безопасности подразделений, их объединению в единый блок с вертикально-интегрированной системой управления и подчиненностью.
3. ОСНОВЫ ОБЕСПЕЧЕНИЯ КОРПОРАТИВНОЙ БЕЗОПАСНОСТИ ОАО «РЖД»
Угрозы корпоративной безопасности ОАО «РЖД». Направления обеспечения корпоративной безопасности
26. Основными угрозами корпоративной безопасности ОАО «РЖД» являются:
1) подрыв деловой репутации;
2) хищения принадлежащих ОАО «РЖД» материальных и финансовых ресурсов, ноу-хау, составляющих коммерческую тайну сведений;
3) уничтожение или причинение ущерба имуществу, в том числе нанесение ущерба функционированию автоматизированных информационных или телекоммуникационных систем;
4) перехват управления ОАО «РЖД» или захват его имущества;
5) корпоративный шантаж в отношении ОАО «РЖД»;
6) акты незаконного вмешательства в деятельность железнодорожного транспорта, включая террористические акты;
7) нарушения работниками трудовой дисциплины;
8) нарушение технологической дисциплины и ошибки персонала;
9) «некачественный» подбор персонала.
27. Перечисленные в пункте 26 настоящей Концепции угрозы могут исходить от:
1) террористических организаций;
2) экстремистов — одиночек;
3) организованных преступных структур;
4) лиц из криминальной среды (воры, грабители, мошенники и пр.);
5) пассажиров, посторонних лиц, сторонних организаций, совершающих противоправные действия;
6) сотрудников железнодорожного транспорта, допускающих нарушения трудовой и технологической дисциплины, а также совершающих противоправные действия;
7) больных и психически неуравновешенных людей.
28. Ранжирование угроз по степени их опасности для ОАО «РЖД» зависит от реально сложившейся ситуации на момент проведения соответствующей оценки. Ранжирование определяется совокупностью финансово-экономических потерь и социально-политических издержек, которые оказывают непосредственное влияние на состояние безопасности и, как следствие, на организацию и функционирование системы управления подразделениями безопасности и порядка взаимодействия между ними. Таким образом, по своей природе процесс ранжирования угроз носит динамический характер, поэтому с течением времени и изменением обстановки ранги угроз и их перечень могут изменяться.
29. К основным, обеспечивающим корпоративную безопасность ОАО «РЖД» направлениям деятельности относятся:
1) защита экономических интересов в области:
а) производственной и финансово-хозяйственной деятельности подразделений аппарата управления ОАО «РЖД», его филиалов, представительств и других структурных подразделений, а также дочерних обществ;
б) научно-исследовательской и проектно-конструкторской деятельности в области модернизации железнодорожного транспорта, его инфраструктуры, а также смежных с ними производств;
в) инвестиционной деятельности;
2) обеспечение информационной безопасности:
а) сведений ограниченного доступа (за исключением сведений, составляющих государственную тайну), в том числе составляющих коммерческую тайну;
б) обеспечение целостности, доступности и конфиденциальности информационных ресурсов, информационных и телекоммуникационных систем;
в) процессов обработки информации в автоматизированных системах -информационных технологий, регламентов и процедур сбора, обработки, хранения и передачи информации, программного обеспечения, баз данных, алгоритмов (в том числе как объектов интеллектуальной собственности);
г) информационной инфраструктуры, включающей системы обработки и анализа информации, технические и программные средства обработки, в том числе каналы связи и телекоммуникации, системы и средства защиты информации, объекты и помещения для размещения указанных средств;
3) охрана и защита объектов инфраструктуры, включающих в себя железнодорожные пути (наиболее важные участки, включая участки высокоскоростного и скоростного движения), тоннели, эстакады и мосты, вокзалы и станции, объекты систем электроснабжения, автоматики и телемеханики, связи, иные обеспечивающие функционирование железнодорожного транспорта здания, сооружения, устройства и оборудование.
Цель, задачи и функции обеспечения корпоративной безопасности
30. Целью обеспечения корпоративной безопасности ОАО «РЖД», на достижение которой направлена настоящая Концепция, является обеспечение устойчивой работы аппарата управления, филиалов, других структурных подразделений, представительств и дочерних обществ ОАО «РЖД».
31. Указанная цель достигается:
1) комплексным воздействием на потенциальные и реальные угрозы, позволяющим ОАО «РЖД» успешно функционировать в нестабильных условиях внешней и внутренней среды;
2) обеспечением безопасности жизни и здоровья пассажиров, персонала, а также иных лиц, пользующихся услугами железнодорожного транспорта;
3) предупреждением и пресечением возможного нанесения материального, морального, физического или иного ущерба посредством преднамеренного или случайного несанкционированного вмешательства в процесс деятельности ОАО «РЖД» в целом, его бизнес — и производственных единиц;
4) предотвращением потерь, в том числе хищений финансовых средств и материально-технических ресурсов, уничтожения имущества и ценностей, разглашения, утраты, искажения и уничтожения информации, составляющей коммерческую тайну, нарушения работы технических средств обеспечения производственной деятельности, включая средства информатизации;
5) защитой объектов инфраструктуры железнодорожного транспорта от АНВ.
32. Задачами обеспечения корпоративной безопасности для всех направлений деятельности являются:
1) обеспечение целостности хозяйственного комплекса, защита всех видов ресурсов ОАО «РЖД», включая интеллектуальную собственность;
2) мониторинг возможных угроз для стабильного и эффективного развития ОАО «РЖД», выработка и реализация мер противодействия;
3) своевременное информирование руководства ОАО «РЖД» о фактах нарушения законодательства со стороны государственных и муниципальных органов, коммерческих и некоммерческих организаций, затрагивающих его интересы. Подготовка информационно-аналитических документов, предложений и рекомендаций по вопросам обеспечения безопасности;
4) разработка и совершенствование локальных правовых актов, касающихся вопросов корпоративной безопасности;
5) разработка и реализация мер по предупреждению угроз утраты (уничтожения) имущества;
6) возмещение нанесенного в результате неправомерных (противоправных) действий отдельных юридических и физических лиц материального и морального ущерба;
7) организация взаимодействия с правоохранительными и контрольными государственными органами в целях предупреждения и пресечения правонарушений, направленных против интересов ОАО «РЖД», его подразделений, а также реализации взаимосогласованных мероприятий, направленных на предотвращение и профилактику преступлений;
8) методическое руководство деятельностью по созданию подразделениями безопасности информационных баз данных и последующей их интеграции в единый банк данных Департамента безопасности ОАО «РЖД»;
9) оказание методической и практической помощи в создании на местах структур безопасности, организации режима и охраны.
33. Задачи в области защиты экономических интересов ОАО «РЖД» — создание условий для своевременного выявления, предупреждения и локализации внутренних и внешних угроз экономическим интересам, а также организация и осуществление мероприятий по минимизации (возмещению) нанесенного ущерба:
1) обеспечение безопасности при подготовке и реализации крупных инвестиционных проектов, контрактов, соглашений, научно-исследовательских и опытно-конструкторских работ;
2) противодействие недобросовестной конкуренции, всестороннее изучение контрагентов, выявление несостоятельных деловых партнеров;
3) борьба с коррупцией — злоупотреблениями сотрудниками служебным положением, нарушениями финансовой дисциплины, лоббированием интересов сторонних организаций.
34. Задачи в области обеспечения информационной безопасности ОАО «РЖД» организация и осуществление мероприятий по защите информации (за исключением сведений, составляющих государственную тайну) и информационной инфраструктуры от случайных или преднамеренных воздействий, которые могут нанести ущерб субъектам информационных отношений:
1) разработка и реализация организационно-правовых основ и технической политики обеспечения информационной безопасности;
2) организация и осуществления контроля деятельности по защите сведений, составляющих коммерческую тайну, в структурных подразделениях ОАО «РЖД»;
3) обеспечение информационной безопасности посредством проектирования, разработки, внедрения, оценки соответствия и сопровождения систем обеспечения информационной безопасности автоматизированных информационных и телекоммуникационных систем;
4) разработка и внедрение комплексной системы контроля защищенности информации и эффективности применяемых мер и средств защиты.
35. В области охраны и защиты объектов инфраструктуры железнодорожного транспорта — организация и координация мероприятий по защите пассажиров и работников железнодорожного транспорта, объектов его инфраструктуры от АНВ, иных преступных посягательств и действий как самостоятельно в пределах компетенции субъектов корпоративной безопасности, так и во взаимодействии с федеральными органами исполнительной власти, органами исполнительной власти субъектов Российской Федерации и органами местного самоуправления:
1) разработка и реализация мер, направленных на обеспечение надежной охраны зданий, помещений и имущества, а также руководства и сотрудников ОАО «РЖД»;
2) организация охраны объектов инфраструктуры, производственных и иных важных объектов, а также внутриобъектового и пропускного режимов;
3) разработка и внедрение системы режимных мер по охране и защите материально-технических ресурсов и интеллектуальной собственности;
4) обеспечение безопасности проводимых в ОАО «РЖД» организационных, представительских и иных массовых мероприятий;
5) предупредительно-профилактическая работа с населением, проживающим в границах объектов инфраструктуры железнодорожного транспорта, с использованием возможностей СМИ;
6) организация и координация деятельности аппарата управления, Комиссии по транспортной безопасности, филиалов ОАО «РЖД» при реализации мер правового, экономического и организационного характера, направленных на выполнение Федерального закона «О транспортной безопасности»;
7) анализ эффективности работы аппарата управления, филиалов, других структурных подразделений по обеспечению транспортной безопасности объектов ОАО «РЖД»;
8) мониторинг политических, социально-экономических и иных процессов, оказывающих влияние на состояние защищенности объектов инфраструктуры и транспортных средств ОАО «РЖД»;
9) разработка необходимых рекомендаций по реализации Федерального закона «О транспортной безопасности» филиалам, другим структурным подразделениям, дочерним обществам ОАО «РЖД», а также предложений по проведению единой технической политики в области обеспечения транспортной безопасности, профилактике и предупреждению АНВ, устранению причин и условий, способствующих их совершению.
36. Решение поставленных задач достигается за счет:
1) надлежащего учета всех подлежащих защите ресурсов;
2) безусловного выполнения всеми подразделениями безопасности требований организационно-распорядительных документов ОАО «РЖД» по вопросам обеспечения корпоративной безопасности;
3) персональной ответственности за свои действия каждого сотрудника, участвующего в рамках своих функциональных обязанностей в процессах, связанных с обеспечением корпоративной безопасности;
4) принятия эффективных мер по обеспечению целостности и непрерывного поддержания необходимого уровня защищенности всех элементов производственной, научной и финансово-экономической деятельности ОАО «РЖД»;
5) применения современных инженерных и технических средств охраны;
6) юридической защиты интересов ОАО «РЖД» при взаимодействии с внешними (сторонними) организациями;
7) проведения постоянного анализа эффективности и достаточности мер и применяемых средств по обеспечению корпоративной безопасности ОАО «РЖД»;
8) создания и совершенствования нормативной базы обеспечения корпоративной безопасности, разработки и реализации организационно-правовых основ и технической политики ее обеспечения, а также контроля за организацией и осуществлением мероприятий по защите информации (за исключением сведений, составляющих государственную тайну) и информационной инфраструктуры в ОАО «РЖД»;
9) внедрения современных средств и методов защиты информационных систем ОАО «РЖД», обеспечивающих выполнение необходимых требований к информационной безопасности;
10) разработки и внедрения системы контроля защищенности информационных ресурсов и объектов информатизации, а также оценки эффективности принимаемых мер и используемых средств защиты;
11) повышения уровня профессиональной подготовки сотрудников Департамента безопасности, региональных центров безопасности, подразделений безопасности филиалов и дочерних обществ ОАО «РЖД» в области обеспечения корпоративной безопасности.
Принципы обеспечения корпоративной безопасности
37. Основополагающий принцип обеспечения корпоративной безопасности ОАО «РЖД» — оптимизация управления путем выработки
Департаментом безопасности единой политики (стратегии) и координации совместных действий всех подразделений безопасности, входящих в систему ОАО «РЖД» и его ДО.
38. Принципы обеспечения корпоративной безопасности:
1) системность — учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения корпоративной безопасности;
2) комплексность — согласованное применение разнородных средств при построении целостной системы безопасности, перекрывающей (блокирующей) угрозы корпоративным интересам;
3) устойчивость — система корпоративной безопасности, обеспечивающая состояние безопасности при негативном воздействии на объекты корпоративной безопасности в рамках заложенных пределов прочности;
4) единоначалие — четкая координация действий всех элементов, входящих в систему корпоративной безопасности, наличие единого управленческого центра;
5) экономическая целесообразность — соответствие уровня затрат на обеспечение безопасности величине возможного ущерба;
6) своевременность — упреждающий характер мер, направленных на обеспечение корпоративной безопасности;
7) адаптивность и наступательность — оперативное совершенствование мер и средств обеспечения корпоративной безопасности под изменяющиеся условия функционирования среды существования;
8) непрерывность — принятие соответствующих мер на всех этапах обеспечения корпоративной безопасности, поддержание должного уровня готовности к отражению внешних и внутренних угроз;
9) равнозащищенность — все объекты корпоративной безопасности должны быть одинаково защищены в соответствии с их классификацией и категорией;
10) законность — осуществление защитных мероприятий и разработка системы корпоративной безопасности в соответствии с законодательством Российской Федерации;
11) специализация и профессионализм — привлечение к разработке средств и реализации мер по обеспечению корпоративной безопасности специализированных организаций и профессионально подготовленных специалистов;
12) персональная ответственность — возложение ответственности за обеспечение корпоративной безопасности на каждого сотрудника ОАО «РЖД» в пределах его должностных полномочий;
13) взаимодействие и сотрудничество — создание благоприятной атмосферы для четкого взаимодействия подразделений, непосредственно занимающихся обеспечением корпоративной безопасности, с остальными подразделениями ОАО «РЖД».
Объекты и субъекты корпоративной безопасности
39. Реализацию интересов ОАО «РЖД» обеспечивают его корпоративные ресурсы (объекты), которые должны быть надежно защищены от прогнозируемых угроз безопасности:
1) персонал ОАО «РЖД»;
2) имущество (материальные ценности — здания, сооружения, хранилища, техническое оборудование, транспорт, иные средства);
3) финансово-экономические ресурсы (капитал, коммерческие интересы, бизнес-планы, договорные документы и обязательства, новейшие технологии и т.п.);
4) информация (за исключением сведений, составляющих государственную тайну) и информационные системы — совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
5) технические средства и системы охраны и защиты материальных и информационных ресурсов.
40. Обеспечением корпоративной безопасности ОАО «РЖД» занимаются три группы субъектов.
Первая группа включает в себя подразделения, непосредственно входящие в структуру ОАО «РЖД» и основным предназначением которых является постоянная в рамках своей компетенции профессиональная деятельность по обеспечению безопасности — Департамент безопасности, РЦБ, подразделения безопасности филиалов, структурных подразделений и дочерних обществ.
Вторая группа включает в себя все остальные подразделения ОАО «РЖД» и их персонал, которые участвуют в обеспечении корпоративной безопасности в пределах полномочий, предусмотренных положениями о подразделениях и должностными инструкциями работников.
Третью группу составляют организации, обеспечивающие безопасность ОАО «РЖД» в рамках договорных отношений. К ним относятся ФГП ВО ЖДТ России, ЧОО, подразделения МВД и другие.
41. Субъектами правоотношений в решении вопросов корпоративной безопасности ОАО «РЖД» являются:
1) органы законодательной власти;
2) органы исполнительной власти;
3) судебные органы;
4) правоохранительные органы.
Инструменты обеспечения корпоративной безопасности
42. Инструменты, обеспечивающие корпоративную безопасность, можно разделить на следующие основные группы:
1) нормативно-правовая база совокупность официальных документов установленной формы, принятых (изданных) в пределах компетенции уполномоченного государственного органа или должностного лица с соблюдением установленной законодательством процедуры, содержащих общеобязательные правила поведения, рассчитанные на неопределенный круг лиц и неоднократное применение, а также внутренние нормативные документы ОАО «РЖД», которые включают в себя исполнительно-распорядительные документы, принятые (изданные) в пределах компетенции ее органов управления или должностных лиц;
2) научно-методическая база — представляют собой совокупность методик, норм и стандартов по безопасности, определяющих теоретический аспект обеспечения корпоративной безопасности;
3) организационно-штатные мероприятия — мероприятия, направленные на формирование оптимально адаптированных к условиям осуществляемого реформирования ОАО «РЖД» в компанию холдингового типа структур подразделений безопасности и их кадровое наполнение;
4) инженерные и технические средства охраны — комплекс инженерных и технических средств, обеспечивающих защиту объектов ОАО «РЖД», его персонал и пассажиров от АНВ;
5) программно-технический комплекс (далее — ПТК) — совокупность программных и технических средств, совместное функционирование которых направлено на повышение эффективности работы организации, а именно — используемых для защиты жизненно-важных интересов и ресурсов ОАО «РЖД». ПТК состоят из персональных ЭВМ или компьютерных систем, автоматизированных рабочих мест (далее — АРМ), различного рода вычислительных комплексов, многопользовательских информационно-телекоммуникационных центров и других средств. Состав, назначение и размеры ПТК определяются решаемыми им задачами.
4. ПОСТРОЕНИЕ СИСТЕМЫ КОРПОРАТИВНОЙ БЕЗОПАСНОСТИ ОАО «РЖД»
Роль и место системы корпоративной безопасности в деятельности ОАО «РЖД»
43. Построение системы корпоративной безопасности и управление ею должны обеспечить успешную реализацию структурной реформы железнодорожной отрасли, работу ОАО «РЖД» в условиях формируемого рынка железнодорожных транспортных услуг и эффективное выполнение инвестиционных планов, предусмотренных стратегией развития железнодорожного транспорта на период до 2030 года. Для этого необходимо обеспечить интеграцию и синхронизацию планируемых мероприятий по созданию (реорганизации существующей) системы безопасности с проводимыми и планируемыми изменениями в системе управления ОАО «РЖД» в ходе реформирования.
44. Роль системы корпоративной безопасности:
1) оптимизация системы управления всеми подразделениями (субъектами) безопасности с учетом особенностей деятельности производственных и управленческих подразделений ОАО «РЖД»;
2) обеспечение комплексности, непрерывности решения задач и реализации функций обеспечения корпоративной безопасности;
3) согласование различных элементов системы корпоративной безопасности, при которой каждый элемент рассматривается как часть единой системы при оптимальном соотношении мероприятий как организационно-правового характера, так и с использованием технических средств.
45. Место системы корпоративной безопасности в ОАО «РЖД» определяется с использованием современных подходов к построению и изучению организационно-технических систем на основе методов системного анализа и исследования операций (рисунок 1), что отражено в серии международных стандартов по управлению качеством и менеджменту организации (серия ИСО 9001:2000), которые выделяют в рамках системного подхода к исследованию систем/организаций 4 вида подсистем:
1) основная (производственная) подсистема — включает в себя подсистемы, обеспечивающие достижение целевых функций деятельности ОАО «РЖД» и определяющие сферу ее деятельности;
2) подсистема административного управления — включает в себя подсистемы принятия решений по функционированию ОАО «РЖД» в целом путем управления остальными тремя группами подсистем за счет выдачи соответствующих целеуказаний на основании данных по их состоянию;
3) подсистема обеспечения ресурсами (включая трудовые — включает в себя снабжение ОАО «РЖД» необходимыми материальными, финансовыми, техническими и людскими ресурсами;
4) подсистема корректировки/поддержки (контроля, улучшения и т.д.) — данная подсистема включает в себя две группы:
направленной на совершенствование, развитие всех процессов в ОАО «РЖД»;
постоянного контроля и анализа состояния элементов подсистемы.
При подобном представлении о функционировании организации можно сказать, что система корпоративной безопасности является частью подсистемы поддержки функционирования организации, что отмечено красным элементом на рисунке 1. На общей схеме потоки (движение различного рода информации. организационных, материальных и иных ресурсов), задействованные при функционировании системы корпоративной безопасности, выделены красным цветом.
46. Краткая характеристика видов потоков:
1) управляющий поток — обеспечивает процесс управления путем выдачи соответствующих целеуказаний;
2) отчетный поток — отражает реакцию подсистем на управляющие воздействия;
3) информационный поток — обеспечивает обмен информацией между подсистемами об их состоянии. Организуется на основании формирования соответствующих запросов и ответов на них, а также периодическом обмене данными между подсистемами. Характер информации по потоку: информационно-справочная, рекомендательная, запросная информация;
4) материальный поток — включает в себя материальные, кадровые, технические и финансовые ресурсы, необходимые для обеспечения функционирования подсистем;
5) научно-технический поток — включает в себя научно-методическую документацию, программно-технические комплексы, инновационные разработки и т.п. для обеспечения функционирования подсистем.
Учитывая роль и место системы корпоративной безопасности в деятельности ОАО «РЖД», общие положения, текущее состояние системы безопасности и перспективы ее развития сформировано графическое отображение целостного представления о системе корпоративной безопасности ОАО «РЖД» (рисунок 2).
Целостное представление основы системы корпоративной безопасности ОАО «РЖД» складывается из семи основных базовых элементов.
47. Основные организационные компоненты ОАО «РЖД»:
1) аппарат управления ОАО «РЖД» — данный компонент является совокупностью подразделений, входящих в его состав;
2) железные дороги — данный компонент является совокупностью подразделений, находящихся под непосредственным управлением руководства железных дорог;
3) функциональные филиалы — данный компонент объединяет функциональные филиалы ОАО «РЖД», выделяемые в ходе реформирования компании;
4) ДЗО — данный компонент объединяет дочерние и зависимые общества ОАО «РЖД».
48. Направления обеспечения корпоративной безопасности данный элемент включает в себя основные направления, по которым обеспечивается корпоративная безопасность ОАО «РЖД».
49. Цели, задачи и функции корпоративной безопасности — цели, задачи и функции корпоративной безопасности определяют характер ее функционирования.
50. Принципы обеспечения корпоративной безопасности — принципы обеспечения корпоративной безопасности формируют концептуальный подход к ее реализации.
51. Инструменты обеспечения корпоративной безопасности — инструменты обеспечения корпоративной безопасности представляют собой силы и средства, необходимые для безопасного функционирования организации в целом.
52. Система корпоративной безопасности ОАО «РЖД» в совокупности с остальными элементами осуществляет непосредственную деятельность по обеспечению безопасности и построена на основе объектового представления систем различного рода с учетом взаимодействия с факторами среды ее существования.
53. Направления деятельности ОАО «РЖД» — данный элемент включает в себя основные направления деятельности, на которые направлено функционирование системы корпоративной безопасности ОАО «РЖД».
Взаимодействие системы корпоративной безопасности с внешними и внутренними факторами
54. Взаимодействие системы корпоративной безопасности со средой ее существования определяется двумя базовыми составляющими: факторами взаимодействия и угрозами, определяющими характер взаимодействия. Поскольку среда существования системы корпоративной безопасности складывается из внутренней и внешней среды, то существуют внешние и внутренние факторы и угрозы безопасности.
55. Система корпоративной безопасности является «открытой» системой и не может рассматриваться без взаимодействия со средой ее существования, как внутренней так и внешней.
На рисунке 3 представлена схема взаимодействия системы корпоративной безопасности ОАО «РЖД» с факторами среды ее существования, что является раскрытием элемента 6 на рисунке 2.
На рисунке 3 представлена следующая совокупность элементов:
1) внешние факторы среды существования, воздействующие на систему корпоративной безопасности;
2) внутренние факторы среды существования, воздействующие на СКБ;
3) внешние факторы среды существования, зависящие от СКБ;
4) внутренние факторы среды существования, зависящие от СКБ;
5) механизмы управления системой корпоративной безопасности, связанные с выделенными факторами;
6) управляющие воздействия на систему корпоративной безопасности, связанные с выделенными факторами.
Описание элементов на рисунке 3 представлено в приложении.
Концептуальная модель системы обеспечения корпоративной безопасности ОАО «РЖД»
56. Построение концептуальной модели системы корпоративной безопасности ОАО «РЖД» реализуется с учетом всех аспектов, определенных настоящей Концепцией — направлений, целей, задач и принципов обеспечения корпоративной безопасности ОАО «РЖД».
57. Концептуальная модель системы корпоративной безопасности представлена совокупностью системного подхода и организационного представления системы корпоративной безопасности (рисунок 4).
58. Концептуальная модель представлена в виде взаимодействия 5 основных элементов, составляющих СКБ в целом:
1) элемент 1 — это организации, осуществляющие управляющее воздействие на СКБ, а именно:
правоустанавливающие органы — осуществляют функции законодательного и нормативно-правового регулирования на железнодорожном транспорте: президент, Государственная Дума, Правительство Российской Федерации;
контролирующие и правоустанавливающие организации — осуществляют функции нормативно-правового регулирования на железнодорожном транспорте, контроля исполнения нормативов и требований управляющей документации: Минтранс России, Ростехнадзор, Ространснадзор, Федеральное агентство железнодорожного транспорта, Минздрав России и т.д.;
силовые структуры — осуществляют контроль и корректировку деятельности системы корпоративной безопасности в рамках правового поля, а также взаимодействие и поддержку по непосредственному обеспечению безопасности: МВД, ФСБ, ФСО, МЧС, Минобороны;
2) элемент 2 это воздействие среды существования на СКБ, что является входным воздействием на систему или входом системы. Воздействие на систему включает в себя воздействие всех влияющих на нее факторов и угроз, определенных в рамках настоящей Концепции;
3) элемент 3 — это результат функционирования СКБ, что является выходным воздействием системы на среду ее существования или выходом системы, реакция системы на воздействие на нее. В интерпретации факторной модели системы (рисунок 3) это состояние факторов, зависящих от функционирования системы;
4) элемент 4 — это механизмы управления СКБ, использование которых позволяет системе выполнять свои целевые функции. Механизмами управления системы являются организации, участвующие в функционировании системы. К таким организациям относятся:
организации, осуществляющие непосредственную охрану объектов защиты (ЧОО и ФГП ВО ЖДТ РФ);
организации, обслуживающие ПТК и ИТСО (осуществляют на договорной основе регламентные и ремонтные работы технических средств охраны и элементов программно-технического комплекса с целью поддержания их в рабочем состоянии);
научно-исследовательские организации, осуществляющие разработку элементов ПТК, ИТСО и научно-методической базы, необходимых для функционирования системы;
производственные и снабженческие организации, осуществляющие снабжение материально-техническими ресурсами и производство необходимых для функционирования системы элементов ПТК и ИТСО;
иные сторонние организации, участвующие в деятельности СКБ и осуществляющие свою деятельность на объектах ОАО «РЖД», направленную на обеспечение перевозочного процесса. К таким организациям относятся компании-операторы, компании-перевозчики, монтажно-строительные организации;
5) элемент 5 — собственно система корпоративной безопасности, представленная на организационном уровне в виде взаимодействия элементов, входящих в иерархию управления СКБ. Более детально данные элементы описаны в разделе 2 настоящей Концепции.
59. Взаимодействие элементов, входящих в иерархию управления СКБ, основано на использовании соответствующих инструментов обеспечении корпоративной безопасности ОАО «РЖД» (указано направлениями применяемых стрелок).
60. Взаимодействие на уровне руководства ОАО «РЖД» в рамках системы корпоративной безопасности осуществляется с использованием нормативно-правовой базы и ПТК в сфере информационного обмена данными.
В свою очередь, руководство ОАО «РЖД» осуществляет взаимодействие с аппаратом Департамента безопасности, структурными подразделениями, филиалами и дочерними обществами с использованием нормативно-правовой базы, ПТК и организационно-штатных мероприятий.
61. Департамент безопасности ОАО «РЖД» осуществляет взаимодействие с Бюро пропусков и региональными центрами безопасности с использованием следующих инструментов: нормативно-правовой базы, ПТК, научно-методической базы, организационно-штатных мероприятий, как это представлено на рисунке 4. Аппарат Департамента безопасности так же осуществляет взаимодействие со структурными подразделениями, филиалами и дочерними обществами с использованием всех инструментов обеспечения корпоративной безопасности ОАО «РЖД».
62. Взаимодействие между структурными подразделениями, филиалами и дочерними обществами ОАО «РЖД» осуществляется с использованием ПТК.
63. Департамент безопасности, структурные подразделения, филиалы и дочерние общества ОАО «РЖД» осуществляют взаимодействие на уровне управление объектами с использованием соответствующих элементов ПТК, нормативно-правовой базы и организационно-штатных мероприятий.
Основные элементы системы корпоративной безопасности ОАО «РЖД»
64. В условиях проводимых мероприятий по реформированию ОАО «РЖД» в компанию холдингового типа и построению системы управления ею в единую вертикаль через укрупненные организационно-функциональные блоки по видам деятельности очевидна необходимость построения жесткой вертикально-интегрированной системы обеспечения корпоративной безопасности для всех субъектов безопасности через корпоративный центр (Департамент безопасности, рисунок 5) и создания для ее обеспечения современных эффективных инструментов.
65. Важным элементом этой системы должно стать оперативное подчинение подразделений безопасности (служб, управлений, отделов, секторов, заместителей руководителя при отсутствии подчиненных подразделений безопасности) филиалов, других структурных подразделений, а также ДО вице-президенту ОАО «РЖД» по вопросам корпоративной безопасности через Департамент безопасности.
При этом, координация деятельности подразделений безопасности хозяйствующих и управленческих структур (бизнес-единиц) ОАО «РЖД» в границах железной дороги, а также единое их представительство при взаимодействии с правоохранительными, контрольными и надзорными органами, в рамках оперативного подчинения возлагаются на региональные центры безопасности.
66. В соответствии с целостным представлением основ формирования системы корпоративной безопасности ОАО «РЖД» ее основными элементами являются Департамент безопасности (центр управления корпоративной безопасностью) и региональные центры безопасности (региональные подразделения управления корпоративной безопасностью).
67. Работы по законодательному и нормативно-методическому обеспечению системы корпоративной безопасности ОАО «РЖД» включают разработку пакета нормативных, организационно-распорядительных и эксплуатационных документов, регламентирующих все вопросы организации, управления и контроля корпоративной безопасности. Основные типы документов по корпоративной безопасности ОАО «РЖД» указаны на рисунке 6.
Первоочередными документами, разработанными в развитие Концепции и регламентирующими деятельность ОАО «РЖД» по обеспечению безопасности, должны быть соответствующие стандарты, широко применяемые в мировой практике построения систем безопасности компаний холдингового типа. Стандарты ОАО «РЖД» (далее — СТО РЖД) должны быть направлены на проведение единой политики в области обеспечения корпоративной безопасности ОАО «РЖД», использовании совместимых и взаимоувязанных организационно-правовых, административно-режимных, технических, программных и аппаратных решений, руководством к действию, обязательными для исполнения всеми участниками процесса обеспечения безопасности, включая ДО.
68. Кадровое обеспечение СКБ предполагает:
1) укомплектование подразделений безопасности ОАО «РЖД», его филиалов, ДО и других подразделений специалистами в области обеспечения безопасности;
2) организацию системы подготовки, переподготовки (повышения квалификации) и порядка подбора кадров ОАО «РЖД» для подразделений безопасности.
69. СКБ включает программно-технические комплексы, инженерные и технические средства охраны, функционирование которых направлено на повышение эффективности работы, защиты интересов и ресурсов Компании.
5. ОСНОВНЫЕ ЭТАПЫ РАБОТ ПО СОЗДАНИЮ СИСТЕМЫ КОРПОРАТИВНОЙ БЕЗОПАСНОСТИ ОАО «РЖД»
70. Формирование системы корпоративной безопасности ОАО «РЖД» в условиях реформирования должно быть основано на:
1) анализе состояния СКБ;
2) оценке положения в области обеспечении корпоративной безопасности в настоящий момент;
3) анализе внешних и внутренних угроз для корпоративной безопасности;
4) построении системы корпоративной безопасности, базирующейся на данной Концепции;
5) исследовании состояния инструментов обеспечения корпоративной безопасности — нормативно-правовой базы, программно-технического комплекса, инженерно-технических средств, организационно-штатных мероприятий;
6) проведении корреляционного анализа системы корпоративной безопасности с исследованной инструментальной базой обеспечения безопасности, выявлении и устранении пробелов в обеспечении системы необходимым инструментарием.
71. Формирование системы корпоративной безопасности ОАО «РЖД» включает в себя два этапа работ.
Первый этап:
1) разработка нормативной документации, корпоративных регламентов и СТО РЖД (внесение изменений, дополнений в действующие, разработка новых документов), обязательных для исполнения всеми субъектами системы корпоративной безопасности ОАО «РЖД» как на общем, так и на специальном уровнях;
2) формирование перечня подлежащих защите основных ресурсов и интересов ОАО «РЖД». Проведение оценки их уязвимости, в том числе объектов инфраструктуры железнодорожного транспорта в соответствии с Федеральным законом «О транспортной безопасности»;
3) подготовка предложений по формированию структур (подразделений) безопасности в функциональных филиалах и дочерних обществах ОАО «РЖД»;
4) подготовка предложений по оптимизации подразделений блока безопасности Департамента безопасности, региональных центров безопасности и Бюро пропусков применительно к системе корпоративной безопасности ОАО «РЖД» и управления ею в условиях реформирования и последующей деятельности в качестве холдинговой компании, а также реализации требований федерального закона «О транспортной безопасности»;
5) формирование в аппарате управления ОАО «РЖД» и в функциональных филиалах комиссий (рабочих групп) по транспортной безопасности из числа специалистов профильных департаментов и служб.
Нормативно-правовое обеспечение их деятельности.
Второй этап:
1) подготовка предложений по формированию вертикали управления системой корпоративной безопасности ОАО «РЖД»;
2) формирование локальных (для подразделений безопасности) и единой информационной базы данных по состоянию корпоративной безопасности ОАО «РЖД»;
3) разработка ситуационной модели обеспечения функционирования системы корпоративной безопасности.
Описание факторов среды существования корпоративной безопасности ОАО «РЖД»
1. Внешние факторы, влияющие на КБ. Текущее состояние данных факторов определяет условия функционирования КБ. К данным факторам относятся:
1) уровень криминогенной и террористической опасности — данный фактор связан с результатами расчетов уровня криминогенной и террористической опасности компетентными органами исполнительной власти Российской Федерации в отношении районов размещения охраняемых объектов. КБ должна поддерживать требуемый уровень безопасности объектов в соответствии с их категорией, динамически учитывая изменения по уровням;
2) природные и климатические условия — данный фактор учитывает текущие погодные условия, а также характеристики климатических особенностей местности, рельефа местности, сейсмологической активности и
3) политическая и экономическая обстановка — данный фактор оказывает непосредственное влияние на безопасность функционирования ОАО «РЖД» и определяет характер взаимоотношений с элементами внешней среды. Например: начавшийся в 2008 году мировой финансово-экономический кризис негативно отразился на экономике России, ее развитии, а также серьезно осложнил финансовое состояние ОАО «РЖД». Указанные обстоятельства спровоцировали дефицит инвестиционных ресурсов, влекущий за собой недостаточный ввод новых мощностей, относительно низкие темпы реконструкции и технического перевооружения, быстро нарастающее моральное и физическое старение производственного потенциала. Неприемлемо высоким стал уровень дебиторской задолженности и большой объем невыполненных или выполненных с ненадлежащим качеством, но полностью оплаченных работ. Дестабилизация социально-экономической обстановки привела к обострению криминогенной ситуации, банкротству деловых партнеров, общему ухудшению эффективности функционирования, устойчивости развития ОАО «РЖД». Производственная и финансово-хозяйственная деятельность российских железных дорог еще в большей степени стала осуществляться в условиях значительно возросшей (потенциально существующей) вероятности потери ресурсов или неполучения доходов, которые принято называть факторами угрозы или рисков из-за содержащейся в них опасности. Риски подразделяются на внешние и внутренние. Внешние риски возникают во внешней по отношению к ОАО «РЖД» среде, а внутренние — в рамках ОАО «РЖД» и непосредственно связаны с деятельностью ее сотрудников;
4) техногенные катастрофы и аварии — данный фактор учитывает техногенные катастрофы и аварии, повлиявшие на деятельность ОАО «РЖД» путем воздействия на объекты управления КБ. Этот же фактор связан с вероятностью возникновения подобных событий.
2. Внутренние факторы, влияющие на КБ. Текущие состояние данных факторов определяет условия функционирования КБ. К данным факторам относятся следующие:
1) состояние технических и программных средств — фактор отражает состояние технических и программных средств, уровень их износа и качество, которые напрямую оказывают влияние на уровень корпоративной безопасности в целом и каждого объекта защиты, в частности. Данные средства включают в себя элементы, позволяющие производить автоматический сбор, обработку, хранение и передачу информации о состоянии корпоративной безопасности ОАО «РЖД»;
2) состояние безопасности объектов транспортной инфраструктуры и транспортных средств фактор отражает текущее состояние на объекте защиты КБ, которое связано с АНВ и транспортными происшествиями (вандализм, терроризм, хищения, несанкционированное производство работ на железнодорожных путях и т.п.) в режиме реального времени;
3) состояние технологической дисциплины — данный фактор отражает соблюдение персоналом ОАО «РЖД» регламентов работ, инструкций, иных нормативных документов и договорных условий по обеспечению корпоративной безопасности;
4) уровень уязвимости объектов транспортной инфраструктуры и транспортных средств от АНВ — данный фактор связан с корректировкой работы элементов по защите объектов транспортной инфраструктуры и транспортных средств в зависимости от результатов официальных проверок, производящих оценку уровня уязвимости объектов, заключающейся в поддержании требуемого уровня безопасности, установленного в соответствии с категорией объекта.
3. Внешние факторы, зависящие от КБ. Текущее состояние корпоративной безопасности ОАО «РЖД» определяет параметры зависящих факторов внешней среды существования КБ:
1) жизнь и здоровье людей (пассажиры и третьи лица) — функционирование КБ должно обеспечивать сохранность жизни и здоровья людей, пользующихся услугами железнодорожного транспорта (пассажиров), а также проживающих или временно находящихся вблизи объектов железнодорожной инфраструктуры (третьи лица);
2) сохранность материально-технических средств клиентов компании и третьих лиц — фактор рассматривает сохранение целостности и обеспечение надлежащего уровня безопасности материальных и технических средств, которые включают в себя грузы и иные средства клиентов, а также средств лиц, проживающих или временно находящихся вблизи объектов железнодорожной инфраструктуры (третьи лица) от последствий транспортных происшествий и иных случаев, возникших в ходе деятельности подразделений ОАО «РЖД»;
3) косвенные факторы — определяют имидж, эффективность деятельности ОАО «РЖД», а также его влияние на внешнюю среду существования. К ним относятся:
а) репутация ОАО «РЖД»;
б) конкурентоспособность ОАО «РЖД»;
в) уровень обороноспособности Российской Федерации (данный фактор связан с защитой стратегических объектов, находящихся в сфере корпоративной безопасности ОАО «РЖД»);
г) экономическая привлекательность для инвесторов.
4. Внутренние факторы, зависящие от КБ. Текущее состояние корпоративной безопасности ОАО «РЖД» определяют параметры (состояния) зависящих факторов внутренней среды существования КБ:
1) жизнь и здоровье персонала ОАО «РЖД» — КБ должна обеспечивать защиту жизни и здоровья персонала, участвующего в обеспечении функционирования ОАО «РЖД» на объектах транспортной инфраструктуры и транспортных средствах;
2) степень защищенности объектов ОАО «РЖД» — КБ должна обеспечивать и поддерживать требуемый уровень безопасности для объектов защиты. Уровни безопасности для объектов транспортной инфраструктуры и транспортных средств в соответствии с Федеральным законом «О транспортной безопасности» устанавливаются Правительством Российской Федерации;
3) финансовые потери — функционирование КБ непосредственно связано с риском финансовых потерь. Фактически это финансовое выражение функционирования КБ. Для КБ можно выделить следующие виды финансовых потерь ОАО «РЖД», напрямую и косвенно зависящих от нее:
а) расходование средств на ликвидацию последствий транспортных происшествий и АНВ, брака в работе и т.п.;
б) расходование средств на совершенствование (модернизацию) и поддержание КБ на требуемом нормативной базой уровне;
в) потери финансовых средств, связанные с неисполнением условий контрактных обязательств по обеспечению безопасности объектов транспортной инфраструктуры и транспортных средств. А именно, страховые выплаты, связанные с нанесением вреда жизни и здоровью людей, персонала ОАО «РЖД», утратой грузов, нарушениями сроков доставки и т.п;
4) сохранность материально-технических средств — фактор рассматривает сохранение целостности и обеспечение уровня безопасности материальных и технических средств ОАО «РЖД», которые включают в себя объекты железнодорожной транспортной инфраструктуры, подвижной состав, иные материальные и технические средства.
5. Механизмы управления. Механизмы управления корпоративной безопасностью ОАО «РЖД» включают в себя определенный ряд инструментов, позволяющих достигать поставленную цель, решать задачи и выполнять функции. На рисунке 3 выделены механизмы, связанные с факторами среды существования КБ. Механизмы управления включают в себя:
1) программы обучения персонала — данный механизм включает в себя программы высшего, среднего профессионального образования, повышения квалификации, профессиональной переподготовки кадров, техническое обучение персонала и т.д., а также уровень подготовки персонала в области обеспечения корпоративной безопасности;
2) планы и мероприятия по обеспечению корпоративной безопасности — вырабатываются для конкретного объекта управления корпоративной безопасности на основе нормативной базы, ее изменений, состоянию воздействующих факторов на КБ и управляющих воздействий на КБ, который должен обеспечить требуемый уровень безопасности ОАО «РЖД» в соответствии с требованиями, предъявляемыми к ней;
3) оснащение средствами обеспечения корпоративной безопасности — складывается из технических средств и организационных мероприятий обеспечения корпоративной безопасности. Оснащение зависит от воздействующих факторов на КБ и управляющих воздействий на нее;
4) модель расчета рисков — данный механизм реализует научно-техническую поддержку функционирования КБ. Модели расчета рисков являются механизмом контроля состоянии объектов управления и выявления потенциально опасных элементов при обеспечении корпоративной безопасности.
6. Управляющие воздействия на корпоративную безопасность. Воздействия определяют порядок работы, нормативные показатели функционирования, направления развития и обеспечения корпоративной безопасности ОАО «РЖД». Данные воздействия включают в себя:
1) стратегические программы развития и планы обеспечения корпоративной безопасности — программы и планы развития ОАО «РЖД» по направлениям функционирования в целом и по корпоративной безопасности, в частности, определяют направление развития ОАО «РЖД» в соответствии с заявленными целями и правоустанавливающими документами Российской Федерации;
2) категорирование объектов транспортной инфраструктуры и транспортных средств — в соответствии с требования Федерального закона «О транспортной безопасности» категорирование объектов транспортной безопасности заключается в отнесении объектов к определенным категориям с учетом степени угрозы совершения акта незаконного вмешательства и его возможных последствий. Категорирование объектов осуществляется государственными структурами. ОАО «РЖД» участвует в процессе категорирования объектов транспортной инфраструктуры и транспортных средств, по результатам которого принимает управленческие решения, обязательные для исполнения всеми работниками и подразделениями, включая ДЗО;
3) категорирование информационных и телекоммуникационных систем осуществляется в соответствии с внутренними документами ОАО «РЖД»;
4) классификация информационных систем персональных данных производится в соответствии с приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. N 55/86/20;
5) нормативная база — определяет порядок работы и нормативные показатели функционирования КБ в рамках ОАО «РЖД». Она включает в себя приказы, распоряжения, указания, методологии, методики, инструкции, положения и другую документацию, регламентирующую обеспечение корпоративной безопасности на сети дорог ОАО «РЖД».
Взаимодействие КБ с факторами среды ее существования осуществляется при помощи выделенных механизмов управления и управляющих воздействий. Это представление корпоративной безопасности при детализации взаимосвязей до параметров качественного и количественного характера необходимо учесть при проектировании/модернизации системы корпоративной безопасности ОАО «РЖД» периода реформирования.
1. Закон Российской Федерации от 5 марта 1992 г. N 2446-1 «О безопасности»
2. Федеральный закон от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне»
3. Федеральный закон от 09 февраля 2007 г. N 16-ФЗ «О транспортной безопасности»
4. Постановление Правительства РФ от 18 мая 2001 г. N 384 «О программе структурной реформы на железнодорожном транспорте»
5. Положение о Департаменте безопасности открытого акционерного общества «Российские железные дороги» (утверждено ОАО «РЖД» 19 мая 2009 г. N 36)
6. Положение о региональном центре безопасности — структурном подразделении ОАО «РЖД» (утверждено ОАО «РЖД» 28 апреля 2006 г.)
7. Распоряжение ОАО «РЖД» от 23 марта 2007 г. N 469р «Об утверждении примерной формы соглашения между ОАО «РЖД» и дочерним обществом о сотрудничестве в области обеспечения корпоративной безопасности»
8. Распоряжение ОАО «РЖД» от 23 января 2007 г. N 103р «О разработке и реализации проекта «Построение системы управления ОАО «РЖД» в условиях реформирования»
9. Распоряжение ОАО «РЖД» от 06 февраля 2007 г. N 162р «О Регламенте участия ОАО «РЖД» в дочерних и зависимых обществах и корпоративного управления этими обществами»
10. Распоряжение ОАО «РЖД» от 11 марта 2009 г. N 480р «Управление информационной безопасностью. Общие положения»
11. Приказ ОАО «РЖД» от 12 мая 2009 г. N 100 «Об утверждении Регламента взаимодействия Департамента безопасности и подразделений безопасности филиалов и других структурных подразделений ОАО «РЖД»
12. Распоряжение ОАО «РЖД» от 12 мая 2009 г. N 984р «Об утверждении типовых регламентов взаимодействия ОАО «РЖД» и дочерних обществ ОАО «РЖД» по вопросам обеспечения безопасности
13. Распоряжение ОАО «РЖД» от 11 января 2007 г. N 13р «Об утверждении функциональной стратегии управления рисками в ОАО «РЖД»