|
Курс по безопасности бизнеса
Время – 48 академических часов (5 дней)
Тема 1 Политика экономической безопасности в компании. Определение экономических рисков и построение корпоративной защиты
виды экономических рисков. Внешние и внутренние риски. Создание системы анализа и управления экономическими рисками;
прогнозирование рисковой ситуации. Определение источников информации, которые позволяют выявить причины риска и возможные его виды. Выяснение источников риска. Прогнозирование основных видов риска. Определение объектов, на которые воздействует тот или иной вид экономического риска;
оценка экономического риска. Применение статистического, экспертного и расчетно-аналитического методов оценки риска. Определение допустимых пределов риска;
применяемые методы управления экономическими рисками. Методы минимизации и методы возмещения потерь. Методы упреждения и методы уклонения от риска. Методы локализации и методы распределения риска;
построение корпоративной защиты. Технологии, применяемые для создания организационно-защищенной структуры бизнеса;
определение объектов защиты от экономических рисков. Определение субъектов безопасности. Аутсорсинговой обеспечение экономической безопасности компании. Решение каких задач рекомендуется отдать на аутсорсинг.
правовая сторона деятельности Службы безопасности компании (подразделения, отвечающего за безопасность). Какие действия законны, а какие нет. Подчинение Службы безопасности компании. Взаимодействие с акционерами, Владельцами и руководителями бизнеса;
финансирование Службы безопасности компании, мотивирование сотрудников Службы безопасности. Аанализ деятельности и оценка эффективности работы Службы безопасности компании;
начальник Службы безопасности. Какие требования к нему предъявлять, какими чертами характера и профессиональными качествами он должен обладать. Какой образовательный уровень и опыт в прошлой жизни;
законодательство РФ в области корпоративной безопасности и защиты от экономических рисков;
обеспечение экономической безопасности в представительствах иностранных компаний, действующих на территории России, в холдингах, в дочерних компаниях, в компаниях, имеющих сложную организационную (территориально разделенную) структуру;
методики комплексной оценки и обеспечения экономической безопасности компании;
формирование нормативного (правового) обеспечения экономической безопасности бизнеса. Концепция обеспечения экономической безопасности компании, политики безопасности, инструкции, регламенты и алгоритмы.
Тема 2 Конкурентная разведка. Анализ безопасности коммерческих предложений.
основные задачи конкурентной разведки. Стратегическое и оперативное направление конкурентной разведки. этапы конкурентной разведки. Понятие разведывательного цикла. От постановки задачи к оформлению результатов. Структура и оформление информационно-аналитической справки. Определение вероятности наступления событий;
Законодательство РФ об информации, информационных технологиях и защите информации. Законные способы сбора и анализа информации;
классификация информации и информационных ресурсов, применяемые информационные технологии, способы оценки информации, виды оперативного представления информационных услуг;
методы сбора информации, оценка информации и перевод ее в сведения. Систематизация работы по сбору информации о контрагенте (юридическом лице, индивидуальном предпринимателе и т.д.). Особенности получения (сбора) персональных данных;
получение официальной информации из государственных регулирующих и регистрационных органов;
получение информации из «открытых источников» (из ресурсов Интернета, баз данных, средств массовой информации и т.д.). Аутсорсинг информационных услуг;
возможность получения информации «оперативными» методами. Получение информации, используя «человеческий фактор». Мотивация человека на передачу (разглашение) информации;
методы анализа информации (SWOT анализ, анализ конкурентной среды методом 5 сил Майкла Портера, диверсионный анализ, метод аналогии, метод исключения, анализ причинно-следственных связей, экспертные методы анализа и т.д.);
обзор автоматизированных информационно-аналитических систем, представленных на рынке. Их возможности и особенности эксплуатации;
проверка надежности организации перед заключением гражданско-правовых отношений. Создание матрицы проверки предполагаемого контрагента в зависимости от суммы сделки и условий оплаты;
направления анализа предполагаемого контрагента. Анализ финансовой устойчивости компании по представленным отчетным документам (баланс). Анализ учредительных документов. Анализ фирменного стиля и атрибутов компании. Определение кризисных ситуаций в деятельности организации.
определение безопасности предложений и коммерческих проектов. Поведенческие аспекты при обсуждении предложений и коммерческих проектов. Верификация представителей и их статус;
растровые признаки опасности при определении надежности контрагентов и коммерческих проектов. Анализ возможных кризисных ситуаций в деятельности компании на основе статистических методов, использующих информацию о времени деятельности компании, ее обороте и количестве работающих сотрудников. Применение на практике эмпирических законов больших чисел.
Тема 3 Защита компании от мошеннических операций в гражданско-правовых отношениях. Работа с дебиторской задолженностью. Рейдерство – способы предупреждения и защиты.
Тема 3.1 Защита компании от мошеннических операций в гражданско-правовых отношениях.
общая характеристика и виды преступлений против собственности. Понятие и признаки мошенничества. Отличие мошенничества от иных видов преступлений против собственности. Новое в законодательстве РФ в части ответственности за мошенничество;
объективные и субъективные признаки мошенничества, объект и субъект мошенничества, объективная и субъективная сторона мошенничества;
мошенники и их мотивация, психологические приемы, применяемые мошенниками;
структура мошеннической операции (замысел, поиск клиента, организация случайного контакта и т.д.);
формы мошенничества в различных видах бизнеса (использование поддельных документов, создание фирм «однодневок», финансовые пирамида и т.д.);
некоторые сценарии проведения мошеннических операций (использование имиджа добросовестных компаний, создание первоначальной видимости надежного партнера, сговор продавца и покупателя и т.д.);
типы компаний, преследующие мошеннические цели. Прогнозирование надежности компании на основе «растровых признаков опасности». Формирование рейтингов надежности партнеров;
создание в компании системы предупреждения и защиты от мошеннических операций.
Тема 3.2 Работа с дебиторской задолженностью.
причины образования дебиторской задолженности. Типы компаний – должников, их мотивация, способы работы с каждым из них. Особенности работы с компаниями, находящимися в стадии банкротства;
формирование комплекса мер по минимизации угроз, связанных с дебиторской задолженностью. Перечень превентивных мер по недопущению дебиторской задолженности. Организация проведения договорной работы. Мониторинг неплатежей и финансовых рисков в договорной работе. Основные способы возврата долга, плюсы и минусы каждого из них. Переуступка долга;
коллекторская деятельность. Правовая основа деятельности коллекторских агентств. Особенности досудебного урегулирования конфликтов. Обзор международных и российских коллекторских агентств. Понятие антиколлектор. Обвинение в вымогательстве, как метод работы антиколлекторских агентств;
медиация, как вид посреднических услуг по досудебному решению вопросов взыскания долга. Правовая основа деятельности медиаторов. Некоторые особенности работы с медиаторами;
порядок взаимоотношений между подразделениями компании по взысканию задолженности. Судебные иски, арбитражное судебное производство и работа судебных приставов по взысканию дебиторской задолженности. Взаимоотношения с государственными правоохранительными органами;
проведение переговоров с должниками. Психологические приемы, применяемы в процессе переговоров с должниками. Применение элементов НЛП в процессе переговоров с должниками;
имиджевые приемы воздействия, применяемые при работе с должниками. Законные способы формирования отрицательного имиджа компании-должника. Некоторые приемы черного PR, применяемые на практике. Реестры ненадежных партнеров, существующие в Интернете.
Тема 3.3 Рейдерство – способы предупреждения и защиты.
определение рейдерства (враждебного поглощения) в законодательстве РФ. Виды рейдерства. Внутреннее и внешнее враждебное поглощение. Цели (причины, мотивы) рейдерства. Особенности враждебного поглощения в России. Типы компаний, наиболее подверженных возможному рейдерскому захвату. Понятие индекса рейдерпригодности компании – цели;
типы и стратегии деятельности компаний – агрессоров и их возможности. Сценарии рейдерских захватов. Белые, серые и черные схемы враждебного поглощения;
классификация превентивных мер по защите компании от враждебного поглощения Создание организационно защищенной структуры бизнеса. Организация охранных мероприятий. Защита реестра акционеров. Применение технологий «отравленных пилюль» и «золотых парашютов» в трудовых отношениях;
защита компании от начавшегося враждебного поглощения. Признаки начавшегося враждебного поглощения. Правовые и организационные способы защиты. Защита бухгалтерских и иных документов компании. Ведение информационной войны с компанией – агрессором. Судебная защита;
гринмейл или корпоративный шантаж. Что это такое? Сценарии действий гринмейлера. Права гринмейлера в зависимости от количества принадлежащих ему акций.
Тема 4 Политика информационной безопасности в компании
законодательство Российской Федерации в области защиты информации. Термины и определения. Правовые основы наличия в компании конфиденциальной информации. Информация, доступ к которой не может быть ограничен;
порядок создания корпоративной правовой базы в области защиты информации. Методика разработки политики информационной безопасности в компании;
создание службы информационной безопасности (СИБ) в компании. Разделение функций между СИБ, СБ и ИT-подразделением. Место СИБ в структуре компании;
менеджмент информационной безопасности. Порядок проведения аудита информационной безопасности в компании;
структура конфиденциальных информационных массивов. Источники конфиденциальной информации. Угрозы информационным ресурсам и варианты их реализации.
основные направления защиты конфиденциальной информации. Системный подход к защите информации;
организационные мероприятия по защите конфиденциальной информации. Анализ информационных ресурсов компании. Оптимизация информационных потоков. Определение формы представления информационных ресурсов, подлежащих защите;
режимные, технические и инженерно-технические мероприятия по защите конфиденциальной информации. Создание внутриобъектового и контрольно-пропускного режимов в компании. Физическая защита охраняемых информационных ресурсов. Способы хранения информации вне территории компании;
кадровые мероприятия по защите конфиденциальной информации. Распределение прав доступа к информации. Разглашение информации через «человеческий фактор», как основной канал утечки конфиденциальной информации.
ИT мероприятия по защите конфиденциальной информации. Защита конфиденциальной информации, представленной в электронном виде. Защита компьютерных сетей. Применение средств криптографической защиты информации, как наиболее эффективный способ защиты информации, представленный в электронном виде;
правовые мероприятия по защите конфиденциальной информации. Создание в компании правовых режимов по защите информации. Возможность использование правовых режимов для привлечения сотрудников компании к юридической ответственности за разглашение информации или неправомерному доступу к информации;
международные стандарты безопасности информационных систем. Американская концепция системного подхода к обеспечению защиты конфиденциальной информации (OPSEC Operation Security).
виды юридической ответственности за разглашение конфиденциальной информации, а также за ее незаконное получение. Уголовная, административная и гражданско-правовая ответственность. Обзор судебной практики.
Тема 5 Защита персональных данных компании
международные конвенции по защите персональных данных физических лиц. Законодательство РФ в сфере персональных данных. Основные правовые акты регуляторов, определяющих политику по защите персональных данных;
права субъекта персональных данных и обязанности оператора персональных данных. Виды юридической ответственности за разглашение персональных данных, а также за невыполнение требований по их защите;
формирование правового режима защиты персональных данных. Порядок получения, хранения, предоставления и уничтожения (обезличивания) персональных данных. Требования по защите персональных данных;
организационные, технические и инженерно-технические мероприятия, проводимые компанией при обработке персональных данных. Создание локальной базы организационно-распорядительных документов;
особенности обработки персональных данных, осуществляемой без использования средств автоматизации и их защита;
особенности обработки персональных данных, осуществляемой в информационных системах персональных данных. Формирование модели угроз безопасности персональных данных. Методика определения актуальных угроз. Требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз;
порядок использования шифровальных (криптографических) средств для защиты персональных данных;
требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных;
пошаговый алгоритм действий по созданию в компании системы обработки персональных данных, удовлетворяющей требованиям регуляторов;
административный регламент исполнения государственной функции по осуществлению государственного контроля за соответствием обработки персональных данных требованиям законодательства;
права и обязанности должностных лиц, осуществляющих государственный контроль и лиц, в отношении которых осуществляются мероприятия по контролю. Психологические приемы общения с проверяющими;
требования к порядку исполнению государственной функции по контролю за обработкой персональных данных. Состав, последовательность и сроки выполнения административных процедур;
порядок и формы контроля за исполнением государственной функции по контролю за обработкой персональных данных. Досудебный (внесудебный) порядок обжалования решений и действий (бездействий) проверяющих должностных лиц.
Тема 6 Режим коммерческой тайны. Конфиденциальное делопроизводство
законодательство РФ в сфере коммерческой тайны. Основные понятия, термины и определения;
создание режима коммерческой тайны. Подготовительные мероприятия перед созданием режима коммерческой тайны. Цель (необходимость) создания режима коммерческой тайны;
составление перечня сведений, составляющих коммерческую тайну компании. Практические советы - как составить этот перечень и что в него включить. Возможные аналитические приемы, применяемые при составления этого перечня (диверсионный анализ, анализ с позиции ущерба, анализ по аналогии, экспертный анализ и т.д.);
установление сроков защиты информации, составляющей коммерческую тайну. Определение времени и процедур оценки конфиденциальности конкретных документов компании. Установление порядка вывода документов из режима коммерческой тайны;
определение перечня должностей, при назначении на которые сотрудники будут допущены к коммерческой тайне компании. Обязательства сотрудников по сохранению коммерческой тайны компании;
правовые, режимные, технические и ИТ мероприятия по защите коммерческой тайны компании. Создание корпоративной правовой базы для функционирования режима коммерческой тайны;
виды юридической ответственности (уголовная, гражданско-правовая, дисциплинарная и иная) за разглашение коммерческой тайны, а также за незаконное получение этой информации. Необходимые и достаточные условия для ее наступления;
процедура предоставления информации, составляющей коммерческую тайну компании государственным контролирующим и правоохранительным органам. Что такое мотивированное требование государственных органов по предоставлению информации, составляющей коммерческую тайну;
обзор международного законодательства в части защиты коммерческих секретов компаний. Особенности защиты коммерческой тайны в США, странах Западной Европы и странах Азии;
конфиденциальное делопроизводство в компании. Определение порядка работы с конфиденциальными документами (создание, учет, хранение, перемещение и уничтожение). Карточка конфиденциальности документа. Организация защиты конфиденциальных материальных документов;
автоматизированные системы учета конфиденциальных документов, представленные на рынке. Создание системы регистрации, индексации и классификации конфиденциальных документов;
особенности делопроизводства электронных конфиденциальных документов. Цифровая подпись. Применение криптографических методов защиты конфиденциальной информации;
этапы создания конфиденциального делопроизводства в компании, практические рекомендации по порядку работы.
Тема 7 Политика кадровой безопасности. Корпоративное мошенничество со стороны персонала и способы защиты от него.
виды угроз, исходящих от сотрудников компании, варианты их реализации и возможные направления защиты;
противоправные действия сотрудников, ответственность за которые предусмотрена УК РФ, КОАП, ТК РФ и основные способы защиты от них;
формирование корпоративного кодекса поведения сотрудников компании как элемент кадровой безопасности;
порядок взаимодействия HR подразделения, юридического подразделения и Службы безопасности компании по вопросам кадровой безопасности;
выстраивание отношений между Службой безопасности и персоналом компании. Что эффективней – компромат или взаимопомощь?;
превентивные мероприятия по предотвращению противоправных действий со стороны сотрудников компании. Создание стимулов и мотивационных факторов, направленных на усиление лояльности сотрудников компании;
создание системы персональной ответственности сотрудников компании;
разглашение конфиденциальной информации, а также незаконное получение информации сотрудниками компании. Основные направления защиты;
защита компании от краж и хищений со стороны персонала;
«откаты» и коммерческий подкуп. Что это такое и как с этим бороться;
аутсайдерские угрозы, способы их реализации и возможные направления защиты;
корпоративное мошенничество. Классификация и ее виды. Основные приемы и методы корпоративного мошенничества. Понятие треугольника мошенничества;
наиболее типичные сценарии корпоративного мошенничества как со стороны сотрудников, так и со стороны руководителей компании;
квалифицирующие признаки корпоративного мошенничества. Аналитические симптомы мошенничества. Косвенные признаки корпоративного мошенничества;
защита экономических интересов компании от мошеннических операций. План действий по борьбе с мошенничеством. Определение должностей с мошенническими рисками. Основные способы устранения возможностей корпоративного мошенничества;
организационные, контрольные и кадровые меры по предупреждению корпоративного мошенничества;
взаимоотношения с государственными следственными и правоохранительными органами в связи с возбуждением уголовных дел по деяниям, классифицирующихся по статье 159 Уголовного кодекса Российской Федерации (мошенничество).
Тема 8 Прием-увольнение персонала.
законодательство РФ о персональных данных. Кто может собирать информацию о кандидатах на работу в компанию. Оформление «согласия» на сбор персональных данных. Возможность использования субъектов детективной деятельности для сбора информации;
процедуры приема на работу, предусмотренные Трудовым кодексом Российской Федерации. Оформление трудового договора. Какие причины могут служить основанием для отказа в приеме на работу;
какая информация собирается о кандидате. Сбор и анализ информации о физическом лице по методу SMICE. Порядок анализа резюме. На что обращать внимание при изучении трудовой книжки, дипломов, характеристик и иных официальных документов. Анкеты для кандидатов на работу;
официальные источники по сбору информации о кандидатах на работу. Информационные ресурсы ФМС РФ, ФНС РФ, ФССП РФ и иных государственных органов;
использование информационных ресурсов Интернет для сбора информации о кандидате на работу в компанию. Получение информации о физическом лице используя поисковые системы, социальные сети, базы данных, годовые отчеты акционерных обществ и иные информационные массивы;
возможность и необходимость использования субъектов детективной деятельности для сбора информации о кандидате. Легализация информации, полученная от детективов. Процедура заключения гражданско-правового договора между компанией и субъектом детективной деятельности по оказанию информационных услуг;
информация, предоставляемая самим кандидатом на работу. Порядок анализа резюме. Составление анкет для кандидатов на работу в зависимости от полномочий при выполнении своих функциональных обязанностей;
использование ресурсов и возможностей кадровых агентств для сбора информации о кандидате на работу, применение психологических приемов получения информации о кандидате от лиц, его знающих;
правила проведения индивидуальных бесед с кандидатами на работу. Формирование психологических портретов. Психологические особенности кандидатов, представляющие опасность для компании. Использование различных ролевых игр для моделирования поведения человека в различных ситуациях;
«растровые признаки опасности» у кандидата на работу. На что обратить внимание в «проверочных мероприятиях». Формирование модели потенциального правонарушителя, применительно к различным должностям. Аанализ графологии при приеме на работу;
особенности приема отдельных категорий персонала (ит-специалисты, лица, назначаемые на должности, связанные с мошенническими рисками, рисками «откатов», ведущих пилотные проекты и т.д.);
процедуры увольнения сотрудников с позиции безопасности. Как лучше расстаться с «нехорошими людьми». Правила проведения индивидуальных бесед с увольняющимися сотрудниками. Что предпринять, чтобы сотрудник после увольнения не представлял опасность. Имиджевые и репутационные аспекты воздействия на увольняющегося сотрудника;
алгоритм передачи «дел и должности». Превентивная работа с контрагентами. Что сделать, чтобы увольняющийся сотрудник не увел клиентов.
Тема 9 Методика проведения внутрикорпоративных расследований и проверок
что такое внутрикорпоративное расследование (проверка) и в каких случаях она проводится. Комиссионность, как обязательное условие их проведения;
что может являться основанием для проведения внутрикорпоративного расследования (проверки). Документальное оформление работодателем своего решения о ее проведении;
составление матрицы проведения внутрикорпоративного расследования (проверки);
особенность проведения внутрикорпоративного расследования (проверки) по наиболее характерным противоправным действиям сотрудников компании (хищение, коммерческий подкуп, мошенничество, разглашение информации, увод клиентов и т.д.);
психологические приемы взаимодействия с сотрудниками компании по сбору информации и проверки фактов в процессе проведения внутрикорпоративного расследования (проверки);
порядок взаимодействия HR подразделения, юридического подразделения и Службы безопасности компании в процессе проведения внутрикорпоративного расследования (проверки);
процессуальные нормы, которые должны выполняться в процессе проведения внутрикорпоративного расследования (проверки);
использование полиграфа (детектора лжи) при проведении внутрикорпоративных расследований (проверок). Контактный или бесконтактный полиграф, что лучше? Правовая и организационная сторона вопроса. Возможно ли обмануть полиграф?;
возможность использования информации из технических средств охраны (видеонаблюдение, системы контроля и управления доступом в компанию и т.д.) или ИТ систем в процессе проведения внутрикорпоративного расследования (проверки);
применение методов психозондирования при расследовании противоправных действий;
взаимодействие с государственными правоохранительными органами при расследовании противоправных действий сотрудников;
документальное оформление результатов внутрикорпоративного расследования (проверки). Возможность использования результатов в качестве доказательства вины сотрудника. Формирование и процедуры хранения номенклатурных дел с результатами внутрикорпоративных расследований (проверок);
особенности документального оформления результатов внутрикорпоративного расследования (проверки) в случае их представления суду либо государственному органу, наделенному правом привлекать к административной или гражданско-правовой ответственности;
процедуры проведения расследований несчастных случаев в соответствии с трудовым законодательством Российской Федерации. Несчастные случаи, подлежащие расследованию. Обязанности работодателя при несчастном случае. Порядок извещения, назначения комиссий и расследований. Сроки проведения и порядок оформления материалов расследования несчастных случаев.
|
