Аудит комплексных систем безопасности

прочитано

заместитель директора по безопасности и режиму АО «ИНПРОМ-ЭСТЕЙТ», член Ассоциации «Институт внутренних аудиторов», член ICSA (Международная ассоциация корпоративной безопасности)

#промышленная безопасность #аудит #внутренний аудит

Оценка эффективности и обоснованности затрат на внедрение комплексных систем безопасности часто вызывает сложности, которые связаны не только с необходимостью понимания компонентов и принципов работы систем, но и с обязательным знанием нормативных актов, требований к подготовке персонала и многого другого. Конечно, идеальным вариантом является привлечение экспертов при проведении аудита, но не всегда это возможно на практике. В статье рассмотрим ключевые этапы аудита комплексных систем безопасности и методику формирования заключений для оценки соответствия нормативным требованиям, позволяющую сторонним экспертам объективно оценить результаты.

1 18/09/2025

Основные проблемы аудита КСБ

Вопросы оценки эффективности и обоснованности затрат на внедрение и эксплуатацию комплексных систем безопасности (далее – КСБ) для ряда профильных специалистов в сфере аудита и финансового контроля могут показаться относительно сложными.

Отчасти это связано с необходимостью не только понимать архитектуру системы и основные принципы функционирования, но и знать нормативные акты, определяющие требования к функциональным характеристикам и составу систем, требования к профессиональной подготовке специалистов, эксплуатирующих КСБ, требования к защите информации о составе и функциональных характеристиках КСБ.

Отдельные вопросы возникают и на этапе идентификации обязательных требований к наличию и составу КСБ в зависимости от категорий и формы собственности объектов защиты, так как эти требования сегментированы по отраслям и ведомственной принадлежности объектов.

Кроме того, одной из целей аудита КСБ может являться определение степени соответствия уровня защищенности объекта выявленным угрозам, что требует наличия профильного опыта или методик для оценки.

Цели аудита КСБ

В общем виде цели аудита КСБ можно сформулировать следующим образом:

оценка эффективности затрат на создание, модернизацию и эксплуатацию КСБ;
оценка соответствия структуры КСБ обязательным нормативным требованиям в части антитеррористической защищенности объектов (территорий) и иных обязательных требований;
оценка соответствия структуры КСБ, компетенций персонала и руководителей, состава проектной, эксплуатационной, организационно-распорядительной документации возможности локализовать выявленные угрозы и обеспечить нормативный уровень защищенности активов и основных бизнес-процессов.

Достижение целей аудита КСБ непосредственно зависит от выбора методики, компетенции специалистов, участвующих в мероприятии, и наличия сформированной документальной базы, подтверждающей выводы аудиторов и экспертов.

Идентификация объекта защиты в целях определения обязательных нормативных требований

Это один из ключевых этапов в ходе подготовки к проведению аудита КСБ. В зависимости от формы собственности, ведомственной принадлежности, целевого назначения объекта (территории) обязательные требования по безопасности и антитеррористической защищенности , на основании которых объект должен быть оборудован КСБ , и иные обязательные требования будут отличаться.

Справка

Вот примеры нормативных актов для разных объектов:

торговые объекты (территории) – постановление Правительства РФ от 19.10.2017 № 1273;
места массового пребывания людей; объекты (территории), подлежащие обязательной охране войсками национальной гвардии Российской Федерации, – постановление Правительства РФ от 25.03.2015 № 272 и постановление Правительства от 29.09.2020 № 1139 (о внесении изменений);
гостиницы и иные средства размещения – постановление Правительства РФ от 14.04.2017 № 447;
объекты (территории), предназначенные для организации отдыха детей и их оздоровления, – постановление Правительства РФ от 14.05.2021 № 732;
объекты (территории) Минюста России, его территориальных органов и федеральных бюджетных учреждений – постановление Правительства РФ от 28.09.2020 № 1552;
объекты (территории) Минздрава России и объекты (территории), относящиеся к сфере здравоохранения, – постановление Правительства РФ от 13.01.2017 № 8;
объекты (территории) Минкультуры России, его территориальных органов и подведомственных организаций, а также иных организаций, осуществляющих деятельность в сфере культуры, – постановление Правительства РФ от 11.02.2017 № 176;
объекты (территории) Минобрнауки России и подведомственных ему организаций, объекты (территории), относящиеся к его сфере деятельности, – постановление Правительства РФ от 07.11.2019 № 1421;
объекты (территории) Минпросвещения России и объекты (территории), относящиеся к его сфере деятельности, – постановление Правительства РФ от 02.08.2019 № 1006;
объекты спорта – постановление Правительства РФ от 06.03.2015 № 202;
объекты водоснабжения и водоотведения – постановление Правительства от 23.12.2016 № 1467;
объекты (территории) религиозных организаций – постановление Правительства РФ от 05.09.2019 № 1165;
объекты транспортной инфраструктуры автомобильного транспорта – постановление Правительства РФ от 08.10.2020 № 1640;
объекты транспортной инфраструктуры морского и речного транспорта (различных категорий) – постановление Правительства РФ от 08.10.2020 № 1638;
объекты транспортной инфраструктуры воздушного транспорта – постановление Правительства РФ от 05.10.2020 № 1605;
объекты транспортной инфраструктуры железнодорожного транспорта – постановление Правительства РФ от 08.10.2020 № 1633, постановление Правительства РФ от 03.10.2020 № 1595;
объекты транспортной инфраструктуры по видам транспорта на этапе их проектирования и строительства – постановление Правительства РФ от 21.2020 № 2418;
объекты (здания, строения, сооружения), не являющиеся объектами транспортной инфраструктуры и расположенные на земельных участках, прилегающих к объектам транспортной инфраструктуры и отнесенных в соответствии с земельным законодательством Российской Федерации к охранным зонам земель транспорта, – постановление Правительства РФ от 23.01.2016 № 29;
правила обеспечения особого режима защиты от актов незаконного вмешательства (далее – АНВ) в зонах безопасности объектов топливно-энергетического комплекса (ТЭК), включенных в перечень отдельных объектов ТЭК, вокруг которых устанавливаются зоны безопасности объектов ТЭК, с описанием местоположения границ таких зон – постановление Правительства РФ от 10.11.2020 № 1809.

подробнее

Даже по такому выборочному перечню видно, что практически любой крупный объект должен быть оснащен тем или иным компонентом КСБ. С принятием нового национального стандарта ГОСТ Р 71917-2024 «Антитеррористическая защищенность» (дата введения 01.03.2025) эти требования стали унифицированными, что обеспечивает комплексный подход к защите объектов и включает в том числе требования к оценке рисков, проектным решениям, обучению персонала и т.д.

Состав системы

Сейчас не существует единой классификации компонентов КСБ, многие из них стали включать в систему относительно недавно. При анализе состава КСБ также стоит учитывать, какие виды защиты обеспечиваются в ее составе. Например, антикриминальная и антитеррористическая, пожарная, информационная, обеспечения непрерывности технологических процессов и т.д.

На крупных объектах может быть несколько КСБ. Например, в составе дежурно-диспетчерской службы (ДДС) для управления технологическим процессом и в составе системы сбора и обработки информации (далее – СОИ) для обеспечения транспортной безопасности.

К основным компонентам КСБ (антикриминальная, антитеррористическая защита) относятся:

система видеонаблюдения;
система интеллектуального видеонаблюдения (для ряда категорий объектов транспортной инфраструктуры);
охранная сигнализация;
тревожная сигнализация;
система контроля и управления доступом (далее – СКУД);
системы и средства досмотра;
средства связи, приема и передачи информации;
система СОИ;
инженерно-технические средства физической защиты;
система оповещения.

Отдельно выделяются компоненты КСБ, которые относятся к обеспечению противопожарной безопасности и непрерывности функционирования объекта.

Персонал объекта

Полноценная оценка эффективности КСБ без оценки компетенций персонала невозможна, но кроме того, в ряде случаев требования к компетенции (либо наличию соответствующего уровня образования) для персонала являются обязательными .

Поэтому логично дополнить план аудита КСБ также оценкой:

персонала объекта , в обязанности которого входят функции управления и контроля над компонентами КСБ;
персонала объекта, в трудовые функции которого входят функции технического обслуживания, планово-предупредительного ремонта, наладки компонентов КСБ;
персонала организаций-подрядчиков, если часть этих функций была передана на аутсорсинг.

Методика проведения аудита

изучение нормативно-правовых актов (далее – НПА), определяющих требования к конкретному объекту защиты, в т.ч. требования к квалификации персонала;
анализ проектно-сметной документации КСБ;
анализ локальных нормативных актов (далее – ЛНА) объекта защиты в части соответствия обязательным требованиям;
анализ актуальности обязательных документов, подтверждающих право персонала выполнять трудовые функции в части управления, контроля и технического обслуживания КСБ (базовое профессиональное образование, повышение квалификации, оценка срока действия аккредитации и т.д.);
при передаче части трудовых функций на аутсорсинг – анализ организации-подрядчика, оценка наличия обязательных лицензий, допусков к видам работ, аккредитаций:
анализ инцидентов на объекте защиты, которые могут являться маркерами для оценки эффективности КСБ;
анализ технической информации системы СОИ (в т.ч. данные о конфигурации приборов, количестве компонентов системы, записи журналов событий, записи журналов тревог).

Ниже остановимся только на наиболее значимых этапах проведения аудита.

Оценка соответствия функциональных характеристик КСБ

Это сложная задача, которая требует дополнительной квалификации и компетенций. В рамках проведения аудита одной из методик, которую можно взять на вооружение, является оценка соответствия компонентов КСБ требованиям проектной документации и обязательным требованиям, установленным НПА, например (для системы видеонаблюдения):

оценка соответствия фактической глубины архива системы видеонаблюдения данным технического задания на проектирование;
оценка глубины архива в соответствии с требованиями, утвержденными в НПА;
оценка соответствия секторов зон обзора видеокамер и разрешения (успешного выполнения функции обнаружения, распознавания и идентификации) данным технического задания на проектирование;
анализ причин отсутствия видеозаписей в случаях выявленных инцидентов на объекте;
наличие обязательных сертификатов на оборудование;
оценка возможности непрерывного функционирования КСБ (наличие в ЛНА алгоритма по компенсирующим мероприятиям в случае отказа/неисправности элементов КСБ, установки расчетного и фактического времени на устранение неисправности и т.д.).

Оценка компетенций персонала

Обычно первым этапом оценки компетенций персонала является проверка соответствия уровня подготовки сотрудников обязательным требованиям, установленным НПА. В этом случае набор необходимых компетенций уже сформулирован и может быть оценен по стандартным методикам, например, в ходе проведения интервью и изучения документов.

В качестве примера рассмотрим перечень компетенций для работников, управляющих техническими средствами транспортной безопасности:

уметь оценивать данные технических систем и средств обеспечения транспортной безопасности на постах управления обеспечением транспортной безопасности;
уметь моделировать поведение нарушителей, выявлять уязвимые места и прогнозировать возможные способы совершения АНВ

Аналогичные требования существуют и к сотрудникам подрядных организаций. В этом случае в перечень необходимых компетенций частного охранника входят знания компонентов КСБ по следующим направлениям:

технические средства охраны объектов;
назначение и классификация технических средств объектов;
принципы действия технических средств объекта;
технические средства охранной, пожарной и тревожной сигнализации;
состав системы охранной сигнализации;
особенности эксплуатации различных систем технических средств охраны;
проектирование, монтаж и эксплуатационное обслуживание технических средств охраны;
классификация систем управления техническими средствами охраны;
системы контроля и управления доступом.

Оценка материально-технического обеспечения КСБ

Этот этап важен сразу по двум причинам: во-первых, от качества технического обслуживания КСБ зависит возможность системы выполнять заданные функции, во-вторых, затраты на обслуживание в течение полезного срока эксплуатации системы могут составлять существенную часть от общей стоимости.

Кроме того, любая система не может быть статичной – меняются требования НПА, меняется конфигурация объекта, модернизируются системы, поэтому контроль и оценка требуются на всех этапах жизненного цикла КСБ.

В большинстве случаев техническое обслуживание КСБ передают на аутсорсинг, поэтому рассмотрим основные критерии оценки подрядной организации:

оценка соответствия формальным требованиям НПА (лицензии, членство в СРО, наличие аккредитации предприятий-изготовителей и т.д.);
оценка материалов конкурсного отбора или тендера, в результате которого организация-подрядчик получила право оказывать соответствующие услуги;
деловая репутация и формальное соответствие возможности персонала выполнять договорные обязательства (количество, образование, повышение квалификации);
наличие необходимого оборудования, транспортных средств, помещений.

Основное направление оценки качества технического обслуживания – анализ количества поломок элементов КСБ, оценка времени на их восстановление, наличие журналов учета, дефектных актов, актов ввода в эксплуатацию и так далее

Типичные нарушения в процессе внедрения и эксплуатации КСБ

Как показывает практика проведения аудита КСБ, в настоящее время случаи явного несоответствия количественных характеристик КСБ данным проектной документации встречаются не часто. Типичным нарушением являются ситуации, когда установленное оборудование эксплуатируется с нарушением алгоритмов, указанных в техническом задании, либо вообще не используется как компонент КСБ (функционирует автономно). Например, установленные турникеты и шлагбаумы не подключены к СКУД, а используются в «ручном» режиме.

Относительно часто встречаются случаи, когда система видеонаблюдения с «интеллектуальными» функциями эксплуатируется в режиме простого видеорегистратора, обеспечивая только функцию видеозаписи и видеопросмотра.

Один из маркеров, который может указывать на формальный подход к внедрению КСБ, – отсутствие в техническом задании количественных критериев соответствия КСБ целям защиты объекта: разрешение каждой видеокамеры с указанием функционального назначения и зон обзора, глубина и качество видеоархива и т.д. для каждого компонента системы

На практике отсутствие этих критериев приводит к тому, что на объекте используются приборы с избыточными характеристиками, которые за весь жизненный цикл системы так и не будут востребованы. При этом избыточные характеристики маскируются под якобы более дорогие модели одного и того же поставщика или производителя оборудования.

Следующим типичным нарушением является отсутствие контроля над затратами на эксплуатацию КСБ: сюда входят как затраты на расходные материалы и оборудование, так и затраты на персонал, в том числе на аутсорсинг. Часто эти нарушения «видны» уже на этапе анализа договора на эксплуатационное или техническое обслуживание, когда организация со штатом в два сотрудника обслуживает объекты по всей территории РФ.

Относительно часто встречаются использование несертифицированного оборудования или нарушения обязательных требований по защите информации, особенно сотрудниками подрядных организаций.

Аудит КСБ – относительно сложная задача, и ее решение лучше доверить профессионалам. В случае проведения этого мероприятия непрофильными специалистами важно, чтобы полученные заключения были подтверждены документально, а методика проведения аудита была комплексной. Это не только повысит «вес» аудиторского заключения, но и позволит при необходимости произвести независимую экспертную оценку.