Курс: Обеспечение корпоративной безопасности компании Курс прошёл

Код 23413


О чём курс?

Цель курса: получить системные знания по организации безопасного функционирования бизнеса, усовершенствовать работу Службы Безопасности.

Для кого курс?

Курс предназначен для: собственников бизнеса, руководителей и ведущих специалистов служб безопасности, топ-менеджеров компаний, занимающихся обеспечением безопасности, индивидуальных предпринимателей.

Программа курса

Модуль 1 Организация системы корпоративной безопасности.
Политика безопасности компании.
что такое политика безопасности. Постановочные вопросы перед созданием системы защиты бизнеса;
что мы будем защищать (определение объектов безопасности);
кто будет обеспечивать безопасность бизнеса (определение субъектов безопасности);
от каких угроз будем защищать бизнес (внешние/внутренние, постоянные/временные, мониторинг угроз, определение вероятности наступления, оценка возможного ущерба);
как будем строить систему безопасности бизнеса (структура, задачи, принципы построения);
Служба безопасности компании или аутсорсинговое обслуживание. Что выбрать. Плюсы и минусы обоих вариантов;
законодательство Российской Федерации в области корпоративной безопасности. Новое в законодательстве Российской Федерации по вопросам охранной и детективной деятельности;
особенности проведения политики безопасности в условиях кризиса. На чем можно, а на чем нельзя экономить. Участие Службы безопасности в проведении антикризисных мероприятий;
международный опыт проведения политики безопасности. Особенности политик корпоративной безопасности в европейских и азиатских странах;
обеспечение безопасности бизнеса в представительствах иностранных компаний, действующих на территории России, в холдингах, в дочерних компаниях, в компаниях, имеющих сложную организационную (территориально разделенную) структуру;
методики комплексной оценки и обеспечения безопасности компании;
формирование нормативного (правового) обеспечения безопасности бизнеса. Концепция обеспечения безопасности компании, инструкции, регламенты и алгоритмы.

Служба безопасности компании как основное подразделение, отвечающее за политику безопасности.
правовая сторона деятельности Службы безопасности компании (подразделения, отвечающего за безопасность). Какие действия законны, а какие нет. Правовое прикрытие деятельности Службы безопасности;
подчинение Службы безопасности компании. Взаимодействие с акционерами, владельцами и руководителями бизнеса;
положение о Службе безопасности компании. Кто утверждает и что прописать;
должностные обязанности сотрудников Службы безопасности, их права и обязанности;
выстраивание взаимоотношений Службы безопасности с иными подразделениями компании;
этический кодекс поведения сотрудников Службы безопасности компании. Какие действия попадают под термин «неэтические»;
начальник Службы безопасности. Какие требования к нему предъявляются, какими чертами характера и профессиональными качествами он должен обладать. Какой образовательный уровень и опыт работы;
финансирование Службы безопасности компании;
управление Службой безопасности компании;
мотивирование сотрудников Службы безопасности;
анализ деятельности и оценка эффективности работы Службы безопасности компании.

Модуль 2 Экономическая безопасность компании.
Система анализа и управления экономическими рисками в компании.
виды экономических рисков (региональный, природно-естественный, политический, законодательный, транспортный, организационный, имущественный, личностный, маркетинговый, производственный, расчетный, инвестиционный, валютный, кредитный, финансовый и т.д.);
создание системы анализа и управления экономическими рисками. Составление карты экономических рисков. Участие Службы безопасности в управлении экономическими рисками;
прогнозирование рисковой ситуации. Определение источников информации, которые позволяют выявить причины риска и возможные его виды. Выяснение источников риска. Прогнозирование основных видов риска. Определение объектов, на которые воздействует тот или иной вид экономического риска;
оценка экономического риска. Применение статистического, экспертного и расчетно-аналитического методов оценки риска. Определение допустимых пределов риска;
применяемые методы управления экономическими рисками. Методы минимизации и методы возмещения потерь. Методы упреждения и методы уклонения от риска. Методы локализации и методы распределения риска.

Взыскание дебиторской задолженности.
наличие дебиторской задолженности, как разновидность финансового риска. Влияние дебиторской задолженности на финансовую устойчивость компании;
направления работы Службы безопасности по недопущению образования просроченной (безнадежной к получению) дебиторской задолженности;
перечень предупреждающих мер (воздействий) на возможных неплательщиков;
информационно-аналитическая работа по определению местоположения должника, анализу его финансовой устойчивости, а также причин непогашения дебиторской задолженности;
порядок взаимоотношений Службы безопасности с правовым подразделением компании по юридическому сопровождению взыскания задолженности. Судебные иски, арбитражное судебное производство и работа судебных приставов по взысканию дебиторской задолженности;
порядок взаимоотношений Службы безопасности с государственными правоохранительными органами в процессе взыскания дебиторской задолженности. Особенности работы с органами внутренних дел, прокуратурой и подразделениями экономической безопасности государственных органов;
проведение переговоров с должниками. Психологические приемы, применяемы в процессе переговоров с должниками. Применение элементов нейролингвистического программирования и эриксоновского гипноза в процессе переговоров с должниками;
имиджевые приемы воздействия, применяемые при работе с должниками. Законные способы формирования отрицательного имиджа компании-должника. Некоторые приемы черного PR, применяемые на практике. Существующие реестры ненадежных партнеров;
возможность привлечения аутсорсинговых компаний (коллекторских агентств) для взыскания долга;
деятельность антиколлекторских агентств. Обвинение в вымогательстве, как основное направление работы антиколлекторского агентства.

Модуль 3 Конкурентная разведка.
Конкурентная разведка. Стратегическое и оперативное направление информационно-аналитической работы.
основные задачи конкурентной разведки. Законодательство Российской Федерации об информации, информационных технологиях и защите информации. Законные способы сбора и анализа информации. Конкурентная разведка, бизнес разведка, деловая разведка и экономическая разведка. Что общего и в чем отличие?;
основные направления конкурентной разведки. Предметы интереса стратегического и оперативного направления. Где можно использовать результаты конкурентной разведки;
группы специалистов, работающие в конкурентной разведке. Субъекты информационно-аналитической работы. Аутсорсинг услуг по конкурентной разведке. Обзор российских и иностранных организаций, представляющих информационно-аналитические услуги;
создание службы конкурентной разведки. Где найти нужных специалистов? Безопасники или маркетологи, кто из них лучше? Этические и неэтические приемы, применяемые специалистами конкурентной разведки. Выстраивание отношений между службой конкурентной разведки и руководством компании, а также иными заказчиками и потребителями их информационных услуг. Финансирование и техническое оснащение службы конкурентной разведки;
этапы конкурентной разведки. Понятие разведывательного цикла. От постановки задачи к оформлению результатов. Структура и оформление информационно-аналитической справки. Определение вероятности наступления событий. Предоставление информации руководству компании для формирования его информационного поля перед принятием управленческих решений;
использование конкурентной разведки в инновационной деятельности компании, а также в бенчмаркинге.

Методы сбора информации, применяемые в конкурентной разведке.
классификация информации и информационных ресурсов. Первичная и вторичная информация. Влияние субъективных факторов на достоверность информации. Релевантность информации. Создание рубрикатора тем по основным направлениям сбора и анализа информации. Способы оценки информации. Процедура перевода информации в сведения. Виды оперативного представления информационных услуг;
методы сбора информации. Систематизация работы по сбору информации о юридическом лице. Получение информации из открытых источников. Определение внутренних источников информации. Какую информацию запросить у возможного контрагента? Процедура анализа информации, представленной на сайте возможного контрагента. Получение сведений из средств массовой информации. Особенности получение информации из детективных агентств;
получение информации из баз данных. Специализированные ресурсы с базами данных по отраслям бизнеса и территориям. Использование информационных ресурсов Интернета для задач конкурентной разведки. Работа в чатах, блогах, живых журналах и иных информационных массивах;
процедура получения официальной информации из государственных органов и регистрационных организаций. Обзор официальных сайтов государственных органов и представленных на них информационных ресурсов;
информация, добытая «оперативными» методами. Получение информации, используя «человеческий фактор». Мотивация человека на передачу (разглашение) информации. Что нужно сделать, чтобы использовать информацию как доказательство при привлечении к юридической ответственности.

Аналитические методы, применяемые в конкурентной разведке.
методы анализа информации (SWOT анализ, анализ конкурентной среды методом 5 сил Майкла Портера, диверсионный анализ, метод аналогии, метод исключения, анализ причинно-следственных связей, экспертные методы анализа и т.д.);
обзор автоматизированных информационных систем, применяемых на рынке. Что может и для чего используются АИС. Обработка больших массивов информации, выстраивание связей между объектами учета и работа по сценариям и иные алгоритмы, заложенные в АИС. Применение АИС для финансового анализа компании. Формирование корпоративных баз данных;
контент анализ текста. Примеры контент анализа, применяемы в конкурентной разведке Определение времени создания текста, его направленности, авторства и иных параметров документа.


Анализ надежности контрагентов и безопасности коммерческих предложений.
алгоритм определения надежности партнеров – юридических лиц. Алгоритм определения надежности партнеров – физических лиц. Формирование матрицы действий по проверке компании в зависимости от суммы сделки, предоплате и иных условий. Применение метода Due Diligence в анализе компании;
анализ финансовой устойчивости компании по представленным бухгалтерским отчетным документам (баланс, отчет о прибылях и убытках, отчет о движении капитала и т.д.). Анализ платежеспособности клиента;
анализ возможных кризисных ситуаций в деятельности компании на основе статистических методов, использующих информацию о времени деятельности компании, ее обороте и количестве работающих сотрудников. Применение на практике эмпирического закона больших чисел Бенфорда;
анализ учредительных документов компании с позиции безопасности. Анализ атрибутов компании и фирменного стиля компании;
типы компаний, преследующие противоправные цели. Прогнозирование надежности организаций на основе «растровых признаков опасности». Формирование рейтингов надежности партнеров;
анализ безопасности коммерческих предложений и договоров. Изучение инициаторов проекта, их интересы и деловую репутацию. Изучение механизма получения прибыли. Анализ первого контакта. Поведенческие аспекты при выявлении ненадежного партнера.

Модуль 4 Кадровая безопасность компании.
Классификация противоправных действий, совершаемых сотрудниками компании
виды угроз, исходящих от сотрудников компании, варианты их реализации и возможные направления защиты;
противоправные действия сотрудников, ответственность за которые предусмотрена Уголовным кодексом Российской Федерации;
противоправные действия сотрудников, ответственность за которые предусмотрена Кодексом об административных правонарушениях Российской Федерации;
противоправные действия сотрудников, ответственность за которые предусмотрена в Трудовом кодексе Российской Федерации;
корпоративный кодекс, возможные действия сотрудников компании, нарушающие его нормы. Как привлечь к ответственности за нарушения корпоративного кодекса.

Прием персонала. Порядок проведения проверок кандидатов для работы в компании.
законодательство Российской Федерации о персональных данных. Кто может собирать информацию о кандидатах на работу в компанию. Оформление «согласия» на сбор персональных данных. Возможность использования субъектов детективной деятельности для сбора информации;
какая информация собирается о кандидате. Порядок анализа резюме. Анкеты для кандидатов на работу. Официальные источники по сбору информации;
использование информационных ресурсов Интернет для сбора информации о кандидате на работу в компанию;
возможность легализации полученной информации о кандидате. Юридическое оформление отказа в приеме на работу;
«растровые признаки опасности» у кандидата на работу. На что обратить внимание в «проверочных мероприятиях»;
анализ графологии при приеме на работу;
формирование модели потенциального правонарушителя, применительно к различным должностям;
особенности приема отдельных категорий персонала (топ менеджеры, лица, назначаемые на должности, связанные с мошенническими рисками и т.д.)

Управление кадровой безопасностью в компании. Процедура проведения внутрикорпоративного расследования по фактам противоправных действий со стороны персонала.
превентивные мероприятия, проводимые Службой безопасности компании по предотвращению противоправных действий со стороны сотрудников компании;
различные варианты создания стимулов и мотивационных факторов, направленных на усиление лояльности сотрудников компании;
выстраивание отношений между Службой безопасности и персоналом компании. Что эффективней – компромат или взаимопомощь?
создание системы персональной ответственности сотрудников компании;
порядок проведения Службой безопасности внутрикорпоративных расследований по фактам совершения противоправных действий со стороны сотрудников компании;
использование полиграфа (детектора лжи) при проведении внутрикорпоративных расследований. Контактный или бесконтактный полиграф, что лучше? Правовая и организационная сторона вопроса. Возможно ли обмануть полиграф?;
применение методов психозондирования при расследовании противоправных действий;
процессуальное оформление результатов внутрикорпоративных расследований;
взаимодействие Службы безопасности с правоохранительными органами при расследовании противоправных действий.


Увольнение персонала. Как добиться лояльности от увольняющихся сотрудников?
правила работы с увольняющимися сотрудниками, имевшими доступ к конфиденциальной (опасной) информации;
правила проведения индивидуальных бесед с увольняющимися сотрудниками. Что предпринять, чтобы сотрудник после увольнения не представлял опасность;
имиджевые и репутационные аспекты воздействия на увольняющегося сотрудника;
информационно-аналитическая работа по определению истинных причин увольнения сотрудника;
процессуальное оформление увольнения с точки зрения безопасности. Как лучше расставаться с «нехорошими» людьми;
алгоритм передачи «дел и должности». Превентивная работа с контрагентами. Что сделать, чтобы увольняющийся сотрудник не увел клиентов.

Модуль 5 Информационная безопасность компании.
Режим коммерческой тайны.
Федеральный закон «О коммерческой тайне», основные нормы закона, применяемые термины и определения. Нормативно-правовые акты Российской Федерации, определяющие понятие коммерческая тайна;
порядок создания режима коммерческой тайны в компании;
составление и применение перечня сведений, составляющих коммерческую тайну компании, рекомендуемая информация, которая должна составлять коммерческую тайну компании;
процедура ограничения доступа к информации, составляющей коммерческую тайну компании;
изменения и дополнения, вносимые в нормативно-правовые документы компании при введении режима коммерческой тайны;
обязательство работника о сохранении коммерческой тайны компании;
соблюдение режима коммерческой тайны в договорной работе;
процедура передачи государственным органам информации, составляющей коммерческую тайну компании;
кадровые, режимные и организационные способы защиты коммерческой тайны компании;
технические, инженерно-технические и ИТ мероприятия по защите коммерческой тайны компании;
виды юридической ответственности за разглашение коммерческой тайны, а также за незаконное получение информации. Необходимые и достаточные условия для ее наступления, другие виды ответственности, связанные с нарушением конфиденциальности информации в компании;

Защита персональных данных.
Федеральный закон «О персональных данных», основные нормы закона, применяемые термины и определения. Трудовой кодекс Российской Федерации и иные нормативно-правовые акты Российской Федерации, регламентирующие вопросы персональных данных и их защиту;
международные конвенции по защите персональных данных физических лиц;
оператор персональных данных, его права и обязанности, порядок регистрации. Реестр операторов, осуществляющих обработку персональных данных;
формирование правового режима ограничения доступа и защиты персональных данных;
порядок получения, формирования и обработки персональных данных;
уведомление об обработке (о намерении осуществлять обработку) персональных данных;
особенности обработки и защиты персональных данных, осуществляемой без использования средств автоматизации;
особенности обработки и защиты персональных данных, осуществляемой с использованием средств автоматизации;
порядок проведения классификации информационных систем персональных данных;
порядок использования шифровальных (криптографических) средств для защиты персональных данных;
необходимость и порядок получения лицензии на техническую защиту конфиденциальной информации;
массивы биометрических персональных данных и требования к их защите;
виды ответственности за разглашение персональных данных, а также за ее незаконное получение. Необходимые и достаточные условия для ее наступления.


Модуль 6 Техническая и инженерно-техническая безопасность компании
Техническая безопасность компании. Защита от промышленного шпионажа.
технические каналы утечки информации, их особенности и характеристики;
оптический канал утечки информации и основные способы его защиты. Организационные, правовые, кадровые и технические мероприятия;
акустический (акустоэлектрический) канал утечки информации и основные способы его защиты. Организационные, правовые, кадровые и технические мероприятия;
телефонный (радиотелефонный) канал утечки информации как один из самых распространенных каналов утечки информации. Способы съема информации с телефонных каналов связи (контактное подключение, высокочастотное навязывание, индуктивный и емкостной способы, микрофонный съем информации и т.д.). Возможность использования телефонных аппаратов для акустического контроля помещений. Признаки использования подслушивающих устройств на телефонных каналах связи. Защита проводных и сотовых телефонов. Возможность использования системы конфиденциальной сотовой связи;
канал утечки информации за счет побочных электромагнитных излучений и наводок и основные способы его защиты. Организационные, правовые, кадровые и технические мероприятия;
принципы работы аппаратуры промышленного шпионажа. Способы установки технических средств негласного съема информации на территории компании – цели. Возможность использования легальных технических средств получения информации в противоправных целях (диктофоны, фотоаппараты, сотовые телефоны и т.д.). Возможность легализации информации, полученных с использованием технических средств;
обзор технических средств защиты каналов утечки информации и компаний, представляющих услуги по технической защите информации;
обзор технических средств обнаружения аппаратуры, предназначенной для получения информации. Аппаратура, использующая активные методы (нелинейные локаторы, рентгенометры, магнитно-резонансные локаторы, акустические корректоры и т.д.). Аппаратура, использующая пассивные методы (металлоискатели, тепловизоры, устройства поиска по электромагнитному излучению, устройства поиска аномальных параметров телефонной линии, устройства поиска аномалий магнитного поля и т.д.);
виды юридической ответственности за использование технических средств, предназначенных для негласного получения информации. Возможность привлечения к уголовной ответственности за подобные действия и обзор судебной практики.


Инженерно-техническая безопасность компании.
система инженерно-технической безопасности. Перечень инженерно-технических мероприятий по оборудованию защищаемого объекта;
мероприятия при выборе и проектировании объектов. Предварительное обследование защищаемого объекта;
противопожарная безопасность компании. Перечень организационных, правовых, кадровых и технических мероприятий. Обзор видов автоматических пожарных детекторов;
системы охраны периметров объектов. Принципы работы систем охраны периметров (инфракрасные, лучевые, радиолучевые, радиоволновые, емкостные, сейсмические, вибрационно-чувствительные, волоконно-оптические, магнитометрические системы). Тенденции развития систем охраны периметров;
системы охранного телевидения (видеонаблюдения). Правовые основы использования видеонаблюдения на объектах. Зоны видеонаблюдения, видеоконтроля, видеоохраны и видеозащиты. Человеческий фактор в системах видеонаблюдения. Интеллектуальные системы видеонаблюдения. Тенденции развития систем видеонаблюдения. Возможность использования видеозаписей как доказательства совершения правонарушения (преступления);
системы охранной сигнализации. Обзор технических средств охранных сигнализаций (инфракрасные, радиоволновые, ультразвуковые, магнитоконтактные, акустические, ударно-контактные, емкостные, вибрационные охранные извещатели);
системы контроля и управления доступом. Перечень организационных, правовых, кадровых и технических мероприятий. Автоматизированные системы контроля и управления доступом в компанию. Обзор технических средств контроля доступа. Биометрические системы распознавания личности. Пропускной режим компании как разновидность охранной деятельности, подлежащей лицензированию. Необходимость аутсорсинга при создании и осуществления пропускного и внутриобъектовых режимов в компании. Создание корпоративной правовой базы функционирования пропускного режима. Защита персональных данных при осуществлении пропускного режима.

Модуль 7 ИТ безопасность компании.
Создание системы ИТ безопасности в компании. Политика информационной безопасности.
задачи и место ИT - безопасности в системе корпоративной безопасности компании;
основные понятия, термины и определения в области защиты информации;
нормативно-правовая база Российской Федерации в области защиты информации;
порядок создания корпоративной нормативной базы в области защиты информации;
методика разработки политики информационной безопасности в компании;
построение системы защиты информации. Основные составные части этой системы;
создание службы информационной безопасности (СИБ) в компании. Разделение функций между СИБ, Службой безопасности и ИT-подразделением. Место СИБ в структуре компании;
менеджмент ИТ безопасности;
порядок проведения внутрикорпоративных расследований по фактам нарушения ИТ безопасности в компании;
анализ особенностей российского рынка ИT- безопасности.

Технические решения, применяемые в ИТ безопасности компании.

угрозы информации, представленной в электронном виде;
типовые сценарии несанкционированного доступа (НСД) к информации, представленной в электронном виде, и направления защиты от них;
канал утечки информации за счет побочных электромагнитных излучений и наводок и его защита;
возможная тактика использование программных и аппаратных закладных устройств. Уязвимость современных технических средств обработки информации;
криптографическая защита информации. Симметричное и несимметричное шифрование. Средства криптографической защиты информации. Практические примеры применения криптографических методов защиты информации;
угроза утери информационных ресурсов компании и варианты защиты;
вирусная угроза и защита от вредоносных программ (вирусов);
защита автономных средств обработки информации, представленной в электронном виде;
защита корпоративных информационных сетей;
защита информационных ресурсов от атак через Интернет;
межсетевые экраны и виртуальные частные сети;
схема анализа хакерского вторжения;
защита информации с использованием систем Honeypot;
угрозы, связанные с продуктами-шпионами и способы защиты от них.

Аудит ИТ безопасности в компании. Стандарты безопасности информационных систем.
анализ внутренних и внешних угроз информационной безопасности компании;
порядок проведения активного аудита ИТ безопасности в компании;
международные и российские стандарты безопасности информационных систем (ISO 17799, ГОСТ Р ИСО/МЭК 17799-2005);
американская концепция системного подхода к обеспечению защиты конфиденциальной информации (OPSEC Operation Security).

По окончании курса участники сдают тест (собеседование).