1 Курс по безопасности бизнеса Время – 48 академических
advertisement
1 Курс по безопасности бизнеса Время – 48 академических часов (5 дней) Тема 1 Политика экономической безопасности в компании. Определение экономических рисков и построение корпоративной защиты - виды экономических рисков. Внешние и внутренние риски. Создание системы анализа и управления экономическими рисками; - прогнозирование рисковой ситуации. Определение источников информации, которые позволяют выявить причины риска и возможные его виды. Выяснение источников риска. Прогнозирование основных видов риска. Определение объектов, на которые воздействует тот или иной вид экономического риска; - оценка экономического риска. Применение статистического, экспертного и расчетноаналитического методов оценки риска. Определение допустимых пределов риска; - применяемые методы управления экономическими рисками. Методы минимизации и методы возмещения потерь. Методы упреждения и методы уклонения от риска. Методы локализации и методы распределения риска; - построение корпоративной защиты. Технологии, применяемые для создания организационно-защищенной структуры бизнеса; - определение объектов защиты от экономических рисков. Определение субъектов безопасности. Аутсорсинговой обеспечение экономической безопасности компании. Решение каких задач рекомендуется отдать на аутсорсинг. - правовая сторона деятельности Службы безопасности компании (подразделения, отвечающего за безопасность). Какие действия законны, а какие нет. Подчинение Службы безопасности компании. Взаимодействие с акционерами, Владельцами и руководителями бизнеса; - финансирование Службы безопасности компании, мотивирование сотрудников Службы безопасности. Аанализ деятельности и оценка эффективности работы Службы безопасности компании; - начальник Службы безопасности. Какие требования к нему предъявлять, какими чертами характера и профессиональными качествами он должен обладать. Какой образовательный уровень и опыт в прошлой жизни; - законодательство РФ в области корпоративной безопасности и защиты от экономических рисков; - обеспечение экономической безопасности в представительствах иностранных компаний, действующих на территории России, в холдингах, в дочерних компаниях, в компаниях, имеющих сложную организационную (территориально разделенную) структуру; - методики комплексной оценки и обеспечения экономической безопасности компании; - формирование нормативного (правового) обеспечения экономической безопасности бизнеса. Концепция обеспечения экономической безопасности компании, политики безопасности, инструкции, регламенты и алгоритмы. 2 Тема 2 Конкурентная разведка. Анализ безопасности коммерческих предложений. - основные задачи конкурентной разведки. Стратегическое и оперативное направление конкурентной разведки. этапы конкурентной разведки. Понятие разведывательного цикла. От постановки задачи к оформлению результатов. Структура и оформление информационно-аналитической справки. Определение вероятности наступления событий; - Законодательство РФ об информации, информационных технологиях и защите информации. Законные способы сбора и анализа информации; - классификация информации и информационных ресурсов, применяемые информационные технологии, способы оценки информации, виды оперативного представления информационных услуг; - методы сбора информации, оценка информации и перевод ее в сведения. Систематизация работы по сбору информации о контрагенте (юридическом лице, индивидуальном предпринимателе и т.д.). Особенности получения (сбора) персональных данных; - получение официальной информации из государственных регулирующих и регистрационных органов; - получение информации из «открытых источников» (из ресурсов Интернета, баз данных, средств массовой информации и т.д.). Аутсорсинг информационных услуг; - возможность получения информации «оперативными» методами. Получение информации, используя «человеческий фактор». Мотивация человека на передачу (разглашение) информации; - методы анализа информации (SWOT анализ, анализ конкурентной среды методом 5 сил Майкла Портера, диверсионный анализ, метод аналогии, метод исключения, анализ причинно-следственных связей, экспертные методы анализа и т.д.); - обзор автоматизированных информационно-аналитических систем, представленных на рынке. Их возможности и особенности эксплуатации; - проверка надежности организации перед заключением гражданско-правовых отношений. Создание матрицы проверки предполагаемого контрагента в зависимости от суммы сделки и условий оплаты; - направления анализа предполагаемого контрагента. Анализ финансовой устойчивости компании по представленным отчетным документам (баланс). Анализ учредительных документов. Анализ фирменного стиля и атрибутов компании. Определение кризисных ситуаций в деятельности организации. - определение безопасности предложений и коммерческих проектов. Поведенческие аспекты при обсуждении предложений и коммерческих проектов. Верификация представителей и их статус; - растровые признаки опасности при определении надежности контрагентов и коммерческих проектов. Анализ возможных кризисных ситуаций в деятельности компании на основе статистических методов, использующих информацию о времени деятельности компании, ее обороте и количестве работающих сотрудников. Применение на практике эмпирических законов больших чисел. Тема 3 Защита компании от мошеннических операций в гражданско-правовых отношениях. Работа с дебиторской задолженностью. Рейдерство – способы предупреждения и защиты. 3 Тема 3.1 Защита компании от мошеннических операций в гражданско-правовых отношениях. - общая характеристика и виды преступлений против собственности. Понятие и признаки мошенничества. Отличие мошенничества от иных видов преступлений против собственности. Новое в законодательстве РФ в части ответственности за мошенничество; - объективные и субъективные признаки мошенничества, объект и субъект мошенничества, объективная и субъективная сторона мошенничества; - мошенники и их мотивация, психологические приемы, применяемые мошенниками; - структура мошеннической операции (замысел, поиск клиента, организация случайного контакта и т.д.); - формы мошенничества в различных видах бизнеса (использование поддельных документов, создание фирм «однодневок», финансовые пирамида и т.д.); - некоторые сценарии проведения мошеннических операций (использование имиджа добросовестных компаний, создание первоначальной видимости надежного партнера, сговор продавца и покупателя и т.д.); - типы компаний, преследующие мошеннические цели. Прогнозирование надежности компании на основе «растровых признаков опасности». Формирование рейтингов надежности партнеров; - создание в компании системы предупреждения и защиты от мошеннических операций. Тема 3.2 Работа с дебиторской задолженностью. - причины образования дебиторской задолженности. Типы компаний – должников, их мотивация, способы работы с каждым из них. Особенности работы с компаниями, находящимися в стадии банкротства; - формирование комплекса мер по минимизации угроз, связанных с дебиторской задолженностью. Перечень превентивных мер по недопущению дебиторской задолженности. Организация проведения договорной работы. Мониторинг неплатежей и финансовых рисков в договорной работе. Основные способы возврата долга, плюсы и минусы каждого из них. Переуступка долга; - коллекторская деятельность. Правовая основа деятельности коллекторских агентств. Особенности досудебного урегулирования конфликтов. Обзор международных и российских коллекторских агентств. Понятие антиколлектор. Обвинение в вымогательстве, как метод работы антиколлекторских агентств; - медиация, как вид посреднических услуг по досудебному решению вопросов взыскания долга. Правовая основа деятельности медиаторов. Некоторые особенности работы с медиаторами; - порядок взаимоотношений между подразделениями компании по взысканию задолженности. Судебные иски, арбитражное судебное производство и работа судебных приставов по взысканию дебиторской задолженности. Взаимоотношения с государственными правоохранительными органами; - проведение переговоров с должниками. Психологические приемы, применяемы в процессе переговоров с должниками. Применение элементов НЛП в процессе переговоров с должниками; - имиджевые приемы воздействия, применяемые при работе с должниками. Законные способы формирования отрицательного имиджа компании-должника. Некоторые при- 4 емы черного PR, применяемые на практике. Реестры ненадежных партнеров, существующие в Интернете. Тема 3.3 Рейдерство – способы предупреждения и защиты. - определение рейдерства (враждебного поглощения) в законодательстве РФ. Виды рейдерства. Внутреннее и внешнее враждебное поглощение. Цели (причины, мотивы) рейдерства. Особенности враждебного поглощения в России. Типы компаний, наиболее подверженных возможному рейдерскому захвату. Понятие индекса рейдерпригодности компании – цели; - типы и стратегии деятельности компаний – агрессоров и их возможности. Сценарии рейдерских захватов. Белые, серые и черные схемы враждебного поглощения; - классификация превентивных мер по защите компании от враждебного поглощения Создание организационно защищенной структуры бизнеса. Организация охранных мероприятий. Защита реестра акционеров. Применение технологий «отравленных пилюль» и «золотых парашютов» в трудовых отношениях; - защита компании от начавшегося враждебного поглощения. Признаки начавшегося враждебного поглощения. Правовые и организационные способы защиты. Защита бухгалтерских и иных документов компании. Ведение информационной войны с компанией – агрессором. Судебная защита; - гринмейл или корпоративный шантаж. Что это такое? Сценарии действий гринмейлера. Права гринмейлера в зависимости от количества принадлежащих ему акций. Тема 4 Политика информационной безопасности в компании - законодательство Российской Федерации в области защиты информации. Термины и определения. Правовые основы наличия в компании конфиденциальной информации. Информация, доступ к которой не может быть ограничен; - порядок создания корпоративной правовой базы в области защиты информации. Методика разработки политики информационной безопасности в компании; - создание службы информационной безопасности (СИБ) в компании. Разделение функций между СИБ, СБ и ИT-подразделением. Место СИБ в структуре компании; - менеджмент информационной безопасности. Порядок проведения аудита информационной безопасности в компании; - структура конфиденциальных информационных массивов. Источники конфиденциальной информации. Угрозы информационным ресурсам и варианты их реализации. - основные направления защиты конфиденциальной информации. Системный подход к защите информации; - организационные мероприятия по защите конфиденциальной информации. Анализ информационных ресурсов компании. Оптимизация информационных потоков. Определение формы представления информационных ресурсов, подлежащих защите; - режимные, технические и инженерно-технические мероприятия по защите конфиденциальной информации. Создание внутриобъектового и контрольно-пропускного режимов в компании. Физическая защита охраняемых информационных ресурсов. Способы хранения информации вне территории компании; 5 - кадровые мероприятия по защите конфиденциальной информации. Распределение прав доступа к информации. Разглашение информации через «человеческий фактор», как основной канал утечки конфиденциальной информации. - ИT мероприятия по защите конфиденциальной информации. Защита конфиденциальной информации, представленной в электронном виде. Защита компьютерных сетей. Применение средств криптографической защиты информации, как наиболее эффективный способ защиты информации, представленный в электронном виде; - правовые мероприятия по защите конфиденциальной информации. Создание в компании правовых режимов по защите информации. Возможность использование правовых режимов для привлечения сотрудников компании к юридической ответственности за разглашение информации или неправомерному доступу к информации; - международные стандарты безопасности информационных систем. Американская концепция системного подхода к обеспечению защиты конфиденциальной информации (OPSEC Operation Security). - виды юридической ответственности за разглашение конфиденциальной информации, а также за ее незаконное получение. Уголовная, административная и гражданскоправовая ответственность. Обзор судебной практики. Тема 5 Защита персональных данных компании - международные конвенции по защите персональных данных физических лиц. Законодательство РФ в сфере персональных данных. Основные правовые акты регуляторов, определяющих политику по защите персональных данных; - права субъекта персональных данных и обязанности оператора персональных данных. Виды юридической ответственности за разглашение персональных данных, а также за невыполнение требований по их защите; - формирование правового режима защиты персональных данных. Порядок получения, хранения, предоставления и уничтожения (обезличивания) персональных данных. Требования по защите персональных данных; - организационные, технические и инженерно-технические мероприятия, проводимые компанией при обработке персональных данных. Создание локальной базы организационно-распорядительных документов; - особенности обработки персональных данных, осуществляемой без использования средств автоматизации и их защита; - особенности обработки персональных данных, осуществляемой в информационных системах персональных данных. Формирование модели угроз безопасности персональных данных. Методика определения актуальных угроз. Требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз; - порядок использования шифровальных (криптографических) средств для защиты персональных данных; - требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных; - пошаговый алгоритм действий по созданию в компании системы обработки персональных данных, удовлетворяющей требованиям регуляторов; 6 - административный регламент исполнения государственной функции по осуществлению государственного контроля за соответствием обработки персональных данных требованиям законодательства; - права и обязанности должностных лиц, осуществляющих государственный контроль и лиц, в отношении которых осуществляются мероприятия по контролю. Психологические приемы общения с проверяющими; - требования к порядку исполнению государственной функции по контролю за обработкой персональных данных. Состав, последовательность и сроки выполнения административных процедур; - порядок и формы контроля за исполнением государственной функции по контролю за обработкой персональных данных. Досудебный (внесудебный) порядок обжалования решений и действий (бездействий) проверяющих должностных лиц. Тема 6 Режим коммерческой тайны. Конфиденциальное делопроизводство - законодательство РФ в сфере коммерческой тайны. Основные понятия, термины и определения; - создание режима коммерческой тайны. Подготовительные мероприятия перед созданием режима коммерческой тайны. Цель (необходимость) создания режима коммерческой тайны; - составление перечня сведений, составляющих коммерческую тайну компании. Практические советы - как составить этот перечень и что в него включить. Возможные аналитические приемы, применяемые при составления этого перечня (диверсионный анализ, анализ с позиции ущерба, анализ по аналогии, экспертный анализ и т.д.); - установление сроков защиты информации, составляющей коммерческую тайну. Определение времени и процедур оценки конфиденциальности конкретных документов компании. Установление порядка вывода документов из режима коммерческой тайны; - определение перечня должностей, при назначении на которые сотрудники будут допущены к коммерческой тайне компании. Обязательства сотрудников по сохранению коммерческой тайны компании; - правовые, режимные, технические и ИТ мероприятия по защите коммерческой тайны компании. Создание корпоративной правовой базы для функционирования режима коммерческой тайны; - виды юридической ответственности (уголовная, гражданско-правовая, дисциплинарная и иная) за разглашение коммерческой тайны, а также за незаконное получение этой информации. Необходимые и достаточные условия для ее наступления; - процедура предоставления информации, составляющей коммерческую тайну компании государственным контролирующим и правоохранительным органам. Что такое мотивированное требование государственных органов по предоставлению информации, составляющей коммерческую тайну; - обзор международного законодательства в части защиты коммерческих секретов компаний. Особенности защиты коммерческой тайны в США, странах Западной Европы и странах Азии; - конфиденциальное делопроизводство в компании. Определение порядка работы с конфиденциальными документами (создание, учет, хранение, перемещение и уничтожение). Карточка конфиденциальности документа. Организация защиты конфиденциальных материальных документов; 7 - автоматизированные системы учета конфиденциальных документов, представленные на рынке. Создание системы регистрации, индексации и классификации конфиденциальных документов; - особенности делопроизводства электронных конфиденциальных документов. Цифровая подпись. Применение криптографических методов защиты конфиденциальной информации; - этапы создания конфиденциального делопроизводства в компании, практические рекомендации по порядку работы. Тема 7 Политика кадровой безопасности. Корпоративное мошенничество со стороны персонала и способы защиты от него. - виды угроз, исходящих от сотрудников компании, варианты их реализации и возможные направления защиты; - противоправные действия сотрудников, ответственность за которые предусмотрена УК РФ, КОАП, ТК РФ и основные способы защиты от них; - формирование корпоративного кодекса поведения сотрудников компании как элемент кадровой безопасности; - порядок взаимодействия HR подразделения, юридического подразделения и Службы безопасности компании по вопросам кадровой безопасности; - выстраивание отношений между Службой безопасности и персоналом компании. Что эффективней – компромат или взаимопомощь?; - превентивные мероприятия по предотвращению противоправных действий со стороны сотрудников компании. Создание стимулов и мотивационных факторов, направленных на усиление лояльности сотрудников компании; - создание системы персональной ответственности сотрудников компании; - разглашение конфиденциальной информации, а также незаконное получение информации сотрудниками компании. Основные направления защиты; - защита компании от краж и хищений со стороны персонала; - «откаты» и коммерческий подкуп. Что это такое и как с этим бороться; - аутсайдерские угрозы, способы их реализации и возможные направления защиты; - корпоративное мошенничество. Классификация и ее виды. Основные приемы и методы корпоративного мошенничества. Понятие треугольника мошенничества; - наиболее типичные сценарии корпоративного мошенничества как со стороны сотрудников, так и со стороны руководителей компании; - квалифицирующие признаки корпоративного мошенничества. Аналитические симптомы мошенничества. Косвенные признаки корпоративного мошенничества; - защита экономических интересов компании от мошеннических операций. План действий по борьбе с мошенничеством. Определение должностей с мошенническими рисками. Основные способы устранения возможностей корпоративного мошенничества; - организационные, контрольные и кадровые меры по предупреждению корпоративного мошенничества; - взаимоотношения с государственными следственными и правоохранительными органами в связи с возбуждением уголовных дел по деяниям, классифицирующихся по статье 159 Уголовного кодекса Российской Федерации (мошенничество). 8 Тема 8 Прием-увольнение персонала. - законодательство РФ о персональных данных. Кто может собирать информацию о кандидатах на работу в компанию. Оформление «согласия» на сбор персональных данных. Возможность использования субъектов детективной деятельности для сбора информации; - процедуры приема на работу, предусмотренные Трудовым кодексом Российской Федерации. Оформление трудового договора. Какие причины могут служить основанием для отказа в приеме на работу; - какая информация собирается о кандидате. Сбор и анализ информации о физическом лице по методу SMICE. Порядок анализа резюме. На что обращать внимание при изучении трудовой книжки, дипломов, характеристик и иных официальных документов. Анкеты для кандидатов на работу; - официальные источники по сбору информации о кандидатах на работу. Информационные ресурсы ФМС РФ, ФНС РФ, ФССП РФ и иных государственных органов; - использование информационных ресурсов Интернет для сбора информации о кандидате на работу в компанию. Получение информации о физическом лице используя поисковые системы, социальные сети, базы данных, годовые отчеты акционерных обществ и иные информационные массивы; - возможность и необходимость использования субъектов детективной деятельности для сбора информации о кандидате. Легализация информации, полученная от детективов. Процедура заключения гражданско-правового договора между компанией и субъектом детективной деятельности по оказанию информационных услуг; - информация, предоставляемая самим кандидатом на работу. Порядок анализа резюме. Составление анкет для кандидатов на работу в зависимости от полномочий при выполнении своих функциональных обязанностей; - использование ресурсов и возможностей кадровых агентств для сбора информации о кандидате на работу, применение психологических приемов получения информации о кандидате от лиц, его знающих; - правила проведения индивидуальных бесед с кандидатами на работу. Формирование психологических портретов. Психологические особенности кандидатов, представляющие опасность для компании. Использование различных ролевых игр для моделирования поведения человека в различных ситуациях; - «растровые признаки опасности» у кандидата на работу. На что обратить внимание в «проверочных мероприятиях». Формирование модели потенциального правонарушителя, применительно к различным должностям. Аанализ графологии при приеме на работу; - особенности приема отдельных категорий персонала (ит-специалисты, лица, назначаемые на должности, связанные с мошенническими рисками, рисками «откатов», ведущих пилотные проекты и т.д.); - процедуры увольнения сотрудников с позиции безопасности. Как лучше расстаться с «нехорошими людьми». Правила проведения индивидуальных бесед с увольняющимися сотрудниками. Что предпринять, чтобы сотрудник после увольнения не представлял опасность. Имиджевые и репутационные аспекты воздействия на увольняющегося сотрудника; - алгоритм передачи «дел и должности». Превентивная работа с контрагентами. Что сделать, чтобы увольняющийся сотрудник не увел клиентов. 9 Тема 9 Методика проведения внутрикорпоративных расследований и проверок - что такое внутрикорпоративное расследование (проверка) и в каких случаях она проводится. Комиссионность, как обязательное условие их проведения; - что может являться основанием для проведения внутрикорпоративного расследования (проверки). Документальное оформление работодателем своего решения о ее проведении; - составление матрицы проведения внутрикорпоративного расследования (проверки); - особенность проведения внутрикорпоративного расследования (проверки) по наиболее характерным противоправным действиям сотрудников компании (хищение, коммерческий подкуп, мошенничество, разглашение информации, увод клиентов и т.д.); - психологические приемы взаимодействия с сотрудниками компании по сбору информации и проверки фактов в процессе проведения внутрикорпоративного расследования (проверки); - порядок взаимодействия HR подразделения, юридического подразделения и Службы безопасности компании в процессе проведения внутрикорпоративного расследования (проверки); - процессуальные нормы, которые должны выполняться в процессе проведения внутрикорпоративного расследования (проверки); - использование полиграфа (детектора лжи) при проведении внутрикорпоративных расследований (проверок). Контактный или бесконтактный полиграф, что лучше? Правовая и организационная сторона вопроса. Возможно ли обмануть полиграф?; - возможность использования информации из технических средств охраны (видеонаблюдение, системы контроля и управления доступом в компанию и т.д.) или ИТ систем в процессе проведения внутрикорпоративного расследования (проверки); - применение методов психозондирования при расследовании противоправных действий; - взаимодействие с государственными правоохранительными органами при расследовании противоправных действий сотрудников; - документальное оформление результатов внутрикорпоративного расследования (проверки). Возможность использования результатов в качестве доказательства вины сотрудника. Формирование и процедуры хранения номенклатурных дел с результатами внутрикорпоративных расследований (проверок); - особенности документального оформления результатов внутрикорпоративного расследования (проверки) в случае их представления суду либо государственному органу, наделенному правом привлекать к административной или гражданско-правовой ответственности; - процедуры проведения расследований несчастных случаев в соответствии с трудовым законодательством Российской Федерации. Несчастные случаи, подлежащие расследованию. Обязанности работодателя при несчастном случае. Порядок извещения, назначения комиссий и расследований. Сроки проведения и порядок оформления материалов расследования несчастных случаев.
