Корпоративная безопасность

1-й день

Общие вопросы построения системы корпоративной безопасности

• Что такое политика (концепция) безопасности. Постановочные вопросы перед созданием системы защиты бизнеса.
• Что мы будем защищать (определение объектов безопасности).
• Кто будет обеспечивать безопасность бизнеса (определение субъектов безопасности). Служба безопасности предприятия или аутсорсинговое обслуживание. Что выбрать. Плюсы и минусы обоих вариантов.
• Правовая сторона деятельности Службы безопасности предприятия. Подчинение Службы безопасности. Взаимодействие с акционерами, владельцами и руководителями бизнеса. Положение о Службе безопасности предприятия. Выстраивание взаимоотношений Службы безопасности с иными подразделениями предприятия.
• От каких угроз будем защищать бизнес (внешние/внутренние, постоянные/временные, мониторинг угроз, определение вероятности наступления, оценка возможного ущерба).
• Как будем строить систему безопасности бизнеса.
• Принципы построения корпоративной безопасности.
• Направления по обеспечению безопасности бизнеса.
• Структура системы безопасности организации.
• Критерии оценки эффективности деятельности системы обеспечения безопасности организации.
• Способы проверки эффективности мер по обеспечению безопасности.
• Подготовка к созданию системы безопасности.
• Формирование нормативного (правового) обеспечения безопасности бизнеса. Концепция (политика) обеспечения безопасности предприятия, инструкции, регламенты и алгоритмы.

Методика проведения аудита безопасности предприятия.

• Основные понятия и виды аудита. Критерии аудита.
• Организация процесса аудита. Контрольные процедуры внутреннего аудита. Профессиональная квалификация аудитора.
• Методики комплексной оценки обеспечения безопасности предприятия.

Система анализа и управления рисками на предприятии.

• Процесс управления рисками. Методы, используемые для диагностики рисков.
• Идентификация рисков.
• Методы расчета рисков. Сравнение количественных и качественных методов расчета.
• Этапы проведения диагностики рисков.
• Оценка рисков. Определение допустимых пределов риска.
• Приемлемость риска. Формирование карты рисков.
• Формирование отчета о рисках.
• Разработка программы мероприятий по управлению рисками.
• Мониторинг.
• Использование риск-менеджмента при принятии решений. Необходимость использования риск-менеджмента. Особенности рассмотрения рисков при принятии решений.
• Организационные аспекты управления рисками.

Управление инцидентами на предприятии

• Основы инцидент-менеджмента.
• Планирование и подготовка
• Обнаружение и оповещение о событиях безопасности
• Оценка и принятие решений по событиям безопасности
• Реагирование на инциденты безопасности
• Анализ
• Улучшение
• Организация инцидент-менеджмента в компании.
• Этапы управления инцидентами
• Внедрение системы инцидент-менеджмента
• Взаимосвязь инцидент-менеджмента и риск-менеджмента.
• Общий алгоритм действий при наступлении инцидента.

Информационная безопасность

• Защита информации как составная часть общей системы безопасности организации. Понятие информационной безопасности. Наиболее распространенные угрозы. Основные определения и критерии классификации угроз. Основные направления защиты информации.
• Уровни формирования режима ИБ. Законодательный уровень.
• Административный уровень. Понятие системы менеджмента информационной безопасности. Недостатки проектного подхода к построению системы управления информационной безопасностью. Процессный подход к обеспечению информационной безопасности. Международные стандарты безопасности информационных систем. Стандарт, базирующиеся на процессном подходе к обеспечению информационной безопасности – ISO 27001. ISO 27001 и национальные нормативные документы по ИБ. Требования ISO 27001. Политика информационной безопасности как основа системы менеджмента ИБ. Цели и задачи Политики информационной безопасности. Общая структура Политики информационной безопасности. Аудит состояния информационной безопасности на предприятии. Порядок проведения аудита информационной безопасности в организации.
• Программно-технический уровень. Понятие авторизации, идентификации и аутентификации пользователей. Разграничение доступа. Технологии защиты информации: криптографические методы защиты, электронная цифровая подпись как базовый механизм обеспечения юридической силы документа при электронном документообороте и наиболее эффективное средство подтверждения авторства и подлинности электронного документа. межсетевое экранирование, VPN (виртуальная частная сеть), активный аудит (DLP-системы, вредоносное программное обеспечение и антивирусные программы),
• Режим коммерческой тайны. Понятие «коммерческой тайны» в предпринимательской деятельности. Нормативно-правовые акты РФ, определяющие понятие коммерческая тайна. Порядок создания режима коммерческой тайны в организации. Составление и применение перечня сведений, составляющих коммерческую тайну организации, рекомендуемая информация, которая должна составлять коммерческую тайну организации. Процедура ограничения доступа к информации, составляющей коммерческую тайну организации. Внутренние нормативные документы, регламентирующие деятельность организации в области защиты коммерческой тайны. Изменения и дополнения, вносимые в нормативно-правовые документы организации при введении режима коммерческой тайны. Обязательство работника по сохранению коммерческой тайны организации. Соблюдение режима коммерческой тайны в договорной работе. Процедура передачи государственным органам информации, составляющей коммерческую тайну организации. Виды ответственности за разглашение коммерческой тайны, а также за незаконное получение информации.
• Подразделение информационной безопасности. Какой быть структуре эффективного подразделения информационной безопасности? Место подразделения ИБ в структуре организации. Разделение функций между подразделением ИБ и IT-подразделением. Организация взаимодействия с руководством подразделения информационной безопасности и руководителями структурных IT-подразделений организации.

Кадровая безопасность

• Внутренние угрозы предприятию со стороны «человеческого фактора».
• Мотивированное и немотивированное разглашение информации.
• Психологические особенности сотрудников, представляющих опасность для предприятия.
• Проверки кандидатов (соискателей) на работу.
• Превентивные мероприятия, проводимые Службой безопасности компании по предотвращению утечки информации со стороны работников предприятия.
• Различные варианты создания стимулов и мотивационных факторов, направленных на усиление лояльности работников предприятия.
• «Растровые признаки опасности» у работников. На что обратить внимание в проверочных мероприятиях.
• Технические средства контроля за работниками.
• Тестирование (оценка) работников.
• Досье работников. Правила при работе с досье.
• Приём персонала на работу. Методы обеспечения безопасности при приёме персонала.
• Проверка кандидата при приёме на работу.
• Способы получения информации о кандидате.
• Проверка сотрудника во время работы (испытательного срока).
• Безопасное увольнение работников. Угрозы при увольнении работников.
• Признаки неудовлетворённости сотрудников перед увольнением.
• Правила при увольнении работников.
• Мероприятия, проводимые Службой безопасности при увольнении работников.
• Процедура проведения внутрикорпоративной проверки (расследования) по фактам противоправных действий со стороны персонала.
• Использование полиграфа (детектора лжи) при проведении внутрикорпоративных проверок (расследований). Правовая и организационная сторона вопроса. Возможно ли обмануть полиграф?
• Применение методов психозондирования при расследовании противоправных действий.
• Процессуальное оформление результатов внутрикорпоративных проверок (расследований).
• Взаимодействие Службы безопасности с правоохранительными органами при расследовании противоправных действий.

2-й день

Экономическая безопасность

Разведка и контрразведка как инструменты снижения рисков и управления на предприятии

• Принципы добывания информации. Промышленный шпионаж, разведка и контрразведка. Добросовестная и недобросовестная конкуренция. Разведка и контрразведка как органы безопасности. Функции и задачи разведки и контрразведки. Основные задачи разведки. Виды разведки. Способы несанкционированного доступа к конфиденциальной информации. Назначение и виды операций. Факторы успеха бизнес-разведки. Контрразведка. Основные направления контрразведки. Предмет деятельности контрразведки. Деловая разведка (ДР) противника как угроза безопасности предприятия. Задачи внешней контрразведки.
• Этапы деловой разведки. Правовые и этические нормы ведения деловой разведки. Разведывательный цикл.
• Постановка задачи и планирование операции. Составление плана. Создание системы деловой разведки. Структура и функции подразделения ДР. Формирование команды исполнителей.
• Сбор информации. Характеристики и требования к информации. Особенности восприятия человеком информации. Ценностные характеристики информации. Источники информации. Методы сбора информации. Методы верификации информации. Информационная матрица. Информационные ресурсы для деловой разведки.
• Анализ информации. Методы анализа.
• Представление результатов.
• Новые информационные технологии при решении задач деловой разведки.

Методики определения надежности контрагентов и безопасности коммерческих предложений.

• Понятие «коммерческая осмотрительность».
• Признаки, свидетельствующие о неблагонадежности контрагента.
• Изучение контрагентов. Безопасность при договорной работе. Риски, связанные с недобросовестным партнерством.
• Ключевые показатели (индикаторы) для оценки партнера.
• Источники информации, используемые при изучении контрагентов.
• Автоматизация процедур проверки контрагентов.