Курс повышения квалификации «Безопасность бизнеса»

Построение системы обеспечения безопасности предприятия

• Риски, опасности и угрозы деятельности предприятия. Комплексная оценка состояния защищённости предприятия. Понятия «угроза» и «риск» с точки зрения безопасности негосударственного предприятия. Общая классификация угроз безопасности негосударственного предприятия. Основные угрозы безопасности негосударственного предприятия. Основные способы выявления угроз. Алгоритм проведения комплексной оценки состояния защищенности предприятия. Критерии оценки. Подготовка выводов о текущем уровне защищенности предприятия и его потребностях в КСОБ.
• Разработка концепции комплексной системы обеспечения безопасности (КСОБ) предприятия. Современная нормативно-правовая база функционирования КСОБ предприятия. Главные принципы обеспечения безопасности бизнеса. Системный подход в эффективном обеспечении безопасности бизнеса. Алгоритм разработки концепции обеспечения безопасности предприятия. Алгоритм разработки комплексной системы обеспечения безопасности предприятия. Основные нормативно-правовые акты создания и функционирования КСОБ предприятия.
• Основные элементы КСОБ предприятия. Структура взаимосвязей, принципы создания и функционирования, основные задачи и обеспечение жизнеспособности КСОБ предприятия. Функциональная модель типовой системы обеспечения безопасности предприятия. Основные задачи, стоящие перед структурными элементами типовой системы обеспечения безопасности предприятия. Основные принципы создания структурных элементов типовой системы обеспечения безопасности предприятия. Основные принципы жизнеспособности и эффективности типовой системы обеспечения безопасности предприятия.
• Режимы функционирования КСОБ предприятия. Причины и принципы изменений режимов. Основные режимы функционирования КСОБ. Карты режимов функционирования. Основные причины изменения текущего режима функционирования КСОБ.
• Функционирование предприятия в экстремальных условиях. «Кризисные планы»: разработка, внедрение и отработка на предприятии. Основные задачи, стоящие перед системой обеспечения безопасности в экстремальных условиях функционирования предприятия. Содержание пакета, его разработка, условия допуска, основные меры по внедрению в текущую работу системы обеспечения безопасности. Способы подготовки сотрудников к эффективным действиям в рамках реализации кризисного плана.
• Порядок проведения аудита безопасности. Виды аудитов системы безопасности предприятия и их задачи Алгоритм проведения комплексного аудита системы безопасности предприятия.
• Критерии оценки эффективности деятельности КСОБ. Основные критерии оценки. Определение уровня профессиональной эффективности работы КСОБ предприятия. Экономическая эффективность деятельности КСОБ.

Корпоративное мошенничество. Внутренние проверки и расследования

• Защита компании от корпоративного мошенничества.
• Виды корпоративного мошенничества. Понятие треугольника мошенничества. Наиболее типичные сценарии корпоративного мошенничества со стороны наемных работников. Признаки корпоративного мошенничества со стороны наемных работников. Сценарии корпоративного мошенничества со стороны руководителей.
• Квалифицирующие признаки мошенничества. Прямые и косвенные признаки корпоративного мошенничества. Признаки корпоративного мошенничества, выявляемые на основе анализа отношений с деловыми партнерами в рамках гражданско-правовых отношений.
• Признаки корпоративного мошенничества, выявляемые на основе анализа поведения сотрудников. Понятие симптомов мошенничества, применительно к человеческому фактору. Психологические приемы, применяемые для вычисления мошеннических схем. Выстраивание отношений между сотрудниками. Служб безопасности и персоналом по вычислению и пресечению корпоративного мошенничества.
• Косвенные признаки корпоративного мошенничества, связанные со слабостями внутрифирменного контроля (отсутствие разделения обязанностей, отсутствие физической охраны, отсутствие независимых проверок, отсутствие соответствующих полномочий, отсутствие соответствующих документов и записей и т.д.).
• Защита экономических интересов компании от мошеннических операций. Общий план действий по борьбе с мошенничеством (предупреждение, обнаружение, расследование). Определение в компании должностей с мошенническими рисками. Основные способы устранения возможностей корпоративного мошенничества.
• Организационные, кадровые и контрольные меры по предупреждению корпоративного мошенничества. Взаимоотношения службы безопасности компании с государственными следственными и правоохранительными органами в связи с возбуждением уголовных дел по деяниям, классифицирующихся по статье 159 Уголовного кодекса Российской Федерации (мошенничество).
• Процедуры проведения внутренних проверок и финансовых расследований.
• Что такое внутренняя проверка и в каких случаях она проводится. Основания для ее проведения. Составление матрицы проведения проверки.
• Особенность проведения внутренних проверок по наиболее характерным противоправным действиям сотрудников компании. Порядок взаимодействия подразделений предприятия в процессе проведения внутренней проверки. Процессуальные нормы, которые должны выполняться в процессе ее проведения.
• Использование полиграфа (детектора лжи) при проведении внутрикорпоративных расследований (проверок). Контактный или бесконтактный полиграф, что лучше? Правовая и организационная сторона вопроса. Возможно ли обмануть полиграф?
• Документальное оформление результатов внутренней проверки. Возможность использования результатов в качестве доказательства вины сотрудника. Формирование и процедуры хранения номенклатурных дел с результатами проверок.
• Финансовые расследования в договорной работе компании. Что такое Forensic accounting (форензик). Аудит регламентов осуществления гражданско-правовых отношений. Анализ инструкции по договорной работе.
• Анализ процедур принятия решения в договорной работе. Методы вычисления признаков аффилированности сотрудников организации с компаниями, являющимися сторонами договоров.
• Сбор и анализ информации по контрагентам компании на наличие экономических рисков. Выявление сомнительных контрагентов, нестандартных и экономически необоснованных хозяйственных и финансовых операций. Налоговые риски. Выявление злоупотреблений при осуществлении торгов и конкурсов.
• Документарный анализ гражданско-правовых отношений компании с позиции вычисления признаков корпоративного мошенничества. Анализ финансовых документов с позиции эмпирических законов (закон Бенфорда). Признаки подделки документа.
• Анализ системы закупок и реальности цен. Внеплановые проверки (ревизии) товарно-материальных ценностей и имущества компании.
• Антикоррупционная экспертиза договоров. Анализ заключенных компанией договоров с позиции экономических рисков, а также экономической целесообразности.
• Проверки сотрудников компании, занимающих должности с коррупционными (мошенническими) рисками. Анализ полномочий и результатов работы сотрудника в компании. Беседы и интервью.
• Международный опыт и корпоративные стандарты по защите компаний от финансовых преступлений. Международные акты по борьбе с мошенничеством (UK Bribery Act, Foreign Corrupt Practices Act, Закон Сарбейнза — Оксли).

Конкурентная разведка. Сбор и анализ информации при оценке надежности контрагентов

• Способы сбора информации. Систематизация работы по сбору информации о контрагенте. Информация, представляемая самим контрагентом. Получение информации с сайта контрагента.
• Получение официальной информации из государственных органов и регистрационных организаций. Обзор официальных сайтов государственных органов и представленных на них информационных ресурсов. Использование программных комплексов для сбора и анализа информации (СПАРК, Интегрум и т.д.).
• Получение неофициальной информации. Серые базы данных. Специализированные ресурсы по отраслям бизнеса и территориям. Использование информационных ресурсов интернета для задач конкурентной разведки. Работа в чатах, блогах, живых журналах и иных информационных массивах. Работа с невидимой частью интернета (интернет-разведка).
• Международные информационные ресурсы для сбора и анализа информации по контрагенту. Сбор информации по оффшорам. Способы вычисление конечного бенефициара.
• Сбор сведений оперативными методами. Беседы с сотрудниками и иные способы получение информации, используя «человеческий фактор». Мотивация человека на передачу (разглашение) информации. Визуальное наблюдение, осмотр помещений и местности.
• Методы анализа информации. Обзор автоматизированных информационных систем (АИС), применяемых на предприятиях. Что может и для чего используются АИС. Применение АИС для финансового анализа компании. Формирование корпоративных баз данных.
• Алгоритм определения надежности контрагентов — юридических и физических лиц. Формирование матрицы проверки организации в зависимости от суммы сделки, предоплате и иных условий. Применение метода Due Diligence при оценке компании.
• Оценка контрагента с позиции налоговых рисков. Понятие «должная осмотрительность» при взаимоотношениях с контрагентами. Коррупционные риски. Угроза конфликта интересов и аффилированности сотрудников с представителями контрагента.
• Анализ учредительных документов организации с позиции безопасности. Анализ атрибутов и фирменного стиля. Оценка возможности кризисных ситуаций в деятельности компании на основе статистических методов. Применение на практике эмпирических законов.
• Типы компаний, преследующие противоправные цели. Прогнозирование надежности организаций на основе «растровых признаков опасности». Формирование рейтингов надежности партнеров.
• Анализ безопасности коммерческих предложений и договоров. Изучение инициаторов проекта, их интересы и деловую репутацию. Верификация представителей. Изучение механизма получения прибыли. Анализ первого контакта. Поведенческие аспекты при выявлении ненадежного партнера.

Противодействие промышленному шпионажу. Техническая защита информации. Методы и средства защиты компьютерных систем. Подразделение информационной безопасности

• Противодействие промышленному шпионажу. Техническая защита информации.
• Технические виды каналов утечки информации, их классификация, защита акустической информации. Побочные электромагнитные излучения и наводки.
• Оценка уровня защищенности данных, инструменты и метода нахождения технических каналов утечки.
• Методы и средства защиты компьютерных систем. Подразделение информационной безопасности.
• Актуальность проблемы защиты информации. Защита информации как составная часть общей системы безопасности организации (предприятия). Понятие информационной безопасности. Основные составляющие.
• Наиболее распространенные угрозы. Основные определения и критерии классификации угроз.
• Основные направления защиты информации.
• Законодательный уровень информационной безопасности. Основные понятия, термины и определения в области защиты информации.
• Административный уровень информационной безопасности. Понятие системы менеджмента информационной безопасности. Недостатки проектного подхода к построению системы управления информационной безопасностью. Процессный подход к обеспечению информационной безопасности.
• Международные и российские стандарты безопасности информационных систем. Стандарт, базирующиеся на процессном подходе к обеспечению информационной безопасности — ISO 27001. ISO 27001 и национальные нормативные документы по ИБ. Требования ISO 27001.
• Организация ИБ. Менеджмент активов. Политика информационной безопасности как основа системы менеджмента ИБ. Цели и задачи Политики информационной безопасности. Общая структура Политики информационной безопасности.
• Проведение оценки текущего состояния информационной безопасности организации. Аудит состояния информационной безопасности на предприятии. Порядок проведения аудита информационной безопасности в компании.
• Управление рисками информационной безопасности. Основные понятия. Подготовительные этапы управления рисками. Основные этапы управления рисками.
• Организация реагирования на чрезвычайные ситуации (инциденты).
• Программные средства, поддерживающие управление информационной безопасностью на предприятии. Использование программных средств для управления рисками и политикой информационной безопасности.
• Возможность защиты информации при работе в сети Internet. Межсетевое экранирование.
• VPN (виртуальная частная сеть). Преимущества организации виртуальных частных сетей на основе Internet.
• Активный аудит. Системы контроля передачи информации (SearchInform и др. DLP-систем).
• Основы криптографической защиты информации. Классификация методов криптографического закрытия информации.
• «Облачные» технологии.
• Электронная подпись как базовый механизм обеспечения юридической силы документа при электронном документообороте и наиболее эффективное средство подтверждения авторства и подлинности электронного документа.
• Практические примеры применения криптографических методов защиты информации.
• Подразделение информационной безопасности. Какой быть структуре эффективного подразделения информационной безопасности? Место подразделения ИБ в структуре организации. Разделение функций между подразделением ИБ и IT-подразделением.
• Организация взаимодействия с руководством подразделения информационной безопасности и руководителями структурных IT-подразделений компании.

Уголовно-правовые риски бизнеса: понятие, выявление, снижение

• Основы уголовно-правовой безопасности бизнеса и технология защиты.
• Влияние уголовно-правовых рисков на ведение бизнеса, виды рисков.
• Причины и особенности возникновения уголовного преследования руководителей.
• Алгоритм определения инициатора уголовного дела.
• Выявление возможных причин для проведения полицией проверочных и следственных мероприятий. Особенности проведения «целенаправленных» проверок.
• Правовые основания для проведения полицейской проверки, полномочия сотрудников полиции при проведении проверки, права и обязанности. Сравнение полномочий сотрудников полиции и проверяемых. Особенности совместных проверок МВД и ФНС.
• Перечень способов сбора информации сотрудниками полиции о компании и ее руководителях. Правомерность доступа к налоговой, коммерческой и иной охраняемой законом тайне.
• Технология проведения проверки и последующего производства по уголовному делу. Перечень регулирующих документов.
• Алгоритм эффективной работы с запросами полиции: анализ оснований для их направления, определение правомерности, варианты действий, ответственность за непредоставление ответов.
• Алгоритм действий при получении различных видов повесток о вызове в полицию. Избежание ответственности за уклонение с помощью законных способов.
• Защита от незаконных действий полиции во время проведения оперативно-розыскных мероприятий.
• Доступные сотрудникам компании способы противодействия незаконному применению полицией физической силы и спецсредств во время проверочных действий.
• Посещение как предусмотренный законом способ контроля хозяйственной деятельности. Способы противодействия проверке при наличии у сотрудника полиции лишь удостоверения в качестве «основания» для проникновения в компанию.
• Методы воздействия сотрудников полиции на работников компании. Особенности защиты от полиции при проведении оперативно-розыскных мероприятий и следственных действий.
• Способы защиты при обысках и обследовании помещений, зданий и сооружений.
• Основные отличия в тактике защиты при досмотрах и осмотрах.
• Допрос и опрос: основания и порядок проведения, стратегия защиты, эффективное поведение.
• Нюансы изъятия предметов, документов и информации с жестких дисков компьютеров.
• Эффективная стратегия противодействия возбуждению уголовных дел: нивелирование результатов проверки, отказ от дачи показаний, важность заблаговременной разработки стратегии защиты, внедрение уголовно-правового комплайенса; форензик и реализация его результатов.
• Самые распространенные преступления в сфере экономической деятельности, особенности привлечения к уголовной ответственности за их совершение и тактика защиты. Статьи: 159, 160, 173.1, 173.2, 194, 193, 199, 201, 291, 204.
• Разграничение ответственности бухгалтера и руководителя.
• Прекращение уголовного преследования и уголовного дела: основания и порядок прекращения, возможность прекращения уголовного дела в суде и на предварительном следствии.
• Новеллы и перспективы развития законодательства. Возможные угрозы и варианты защиты.
• Внедрение комплексной защиты от неправомерных действий проверяющих органов на основе определения и анализа возможных рисков.
• Выявление уголовно-правовых рисков силами компании по следующим направлениям: взаимоотношения с госорганами и госкомпаниями, конкурентная среда, внутрикорпоративные отношения, контрагенты, текущие обязательства компании, трудовые отношения, схемы деятельности компании.
• Анализ выявленных рисков и проведение защитных мероприятий для их снижения. Исключения разглашения информации о выявленных рисках.
• Оценка угрозы, определение последствий, создание и внедрение плана действий на случай проверки.
• Обучение персонала всем необходимым правилам поведения и алгоритмам противодействия сотрудникам правоохранительных органов.
• Организация контроля за действиями полиции и порядка фиксации нарушений сотрудниками из числа ответственных на предприятии лиц.
• Внедрение дополнительных мер по защите бизнеса от проверок: ведение журнала проверок с целью снижения рисков проведения незаконной проверки, организация безопасной работы и хранения информации, введение режима «Коммерческой тайны», хранение информации на электронных носителях в удаленном доступе, защита ключевых сотрудников по программе «Личный адвокат», организация контрольно-пропускного режима на предприятии, внедрение систем ограниченного доступа в служебные помещения, закрепление помещений за различными организациями, проверка документов сотрудников полиции при входе на предприятие, вызов наряда полиции через службу «02», приглашение журналистов и съемочной группы, способы и порядок обжалования незаконных действий.