Экономическая и информационная безопасность как механизм повышения эффективности бизнеса

Тема 1. Политика экономической безопасности предприятия.

• Что такое политика (концепция) экономической безопасности. Постановочные вопросы перед созданием системы защиты бизнеса.
• Что мы будем защищать (определение объектов экономической безопасности).
• Кто будет обеспечивать экономической безопасность предприятия (определение субъектов экономической безопасности).
• От каких угроз будем защищать бизнес (внешние/внутренние, постоянные/временные, мониторинг угроз, определение вероятности наступления, оценка возможного ущерба).
• Как будем строить систему экономической безопасности предприятия (структура, задачи, принципы построения).
• Служба экономической безопасности предприятия или аутсорсинговое обслуживание. Что выбрать. Плюсы и минусы обоих вариантов.
• Законодательство российской федерации в области экономической безопасности.
• Особенности проведения политики экономической безопасности в условиях кризиса. На чем можно, а на чем нельзя экономить. Участие службы экономической безопасности в проведении антикризисных мероприятий.
• Методики комплексной оценки и обеспечения экономической безопасности предприятия.
• Формирование нормативного (правового) обеспечения экономической безопасности предприятия. Концепция (политика) обеспечения экономической безопасности предприятия, инструкции, регламенты и алгоритмы. 

Тема 2. Система анализа и управления экономическими рисками на предприятии.

• Виды экономических рисков (региональный, природно-естественный, политический, законодательный, транспортный, организационный, имущественный, личностный, маркетинговый, производственный, расчетный, инвестиционный, валютный, кредитный, финансовый и т.д.).
• Создание системы анализа и управления экономическими рисками. Составление карты экономических рисков. Участие службы безопасности в управлении экономическими рисками.
• Прогнозирование рисковой ситуации. Определение источников информации, которые позволяют выявить причины риска и возможные его виды. Выяснение источников риска. Прогнозирование основных видов риска. Определение объектов, на которые воздействует тот или иной вид экономического риска.
• Оценка экономического риска. Определение допустимых пределов риска.
• Применяемые методы управления экономическими рисками. Методы минимизации и методы возмещения потерь. Методы упреждения и методы уклонения от риска. Методы локализации и методы распределения риска.
• Существующие стандарты риск-менеджмента.
• Процесс управления рисками.
• Методы, используемые для диагностики рисков.
• Идентификация рисков.
• Методы расчета рисков.
• Этапы проведения диагностики рисков.
• Инструментальные средства анализа и управления рисками.
• Использование риск-менеджмента при принятии решений.
• Организационные аспекты управления рисками.

Тема 3. Корпоративное мошенничество. Противоправные действия.

• Что такое корпоративное мошенничество? Общая характеристика и виды преступлений против собственности. Понятие и признаки мошенничества. Отличие мошенничества от иных видов преступлений против собственности. Уголовная ответственность за мошенничество.
• Элементы мошенничества. Мошенники и их мотивация, психологические приемы, применяемые мошенниками.
• Структура мошеннической операции, формы и сценарии мошенничества в различных видах бизнеса.
• Как корпоративное мошенничество влияет на компании?
• Как отличить неэффективность от мошенничества?
• Цикл управления риском корпоративного мошенничества: обзор.
• Стратегии управления риском мошенничества.
• Предотвращение: основные мероприятия (система внутренних контролей, проверка контрагнетов и потенциальных сотрудников).
• Обнаружение: основные способы (горячая линия, отслеживание индикаторов в поведении, аналитические способы).
• Расследование: на что обратить внимание (юридическая сторона вопроса).
• Реагирование: что делать по результатам.
• Какие навыки необходимы для эффективного противодействия мошенничеству.
• Создание на предприятии системы предупреждения и защиты от мошеннических операций.

Тема 4. Методики определения надежности контрагентов и безопасности коммерческих предложений.

• Изучение контрагентов. Безопасность при договорной работе. Риски, связанные с недобросовестным партнерством.
• Ключевые показатели (индикаторы) для оценки партнера.
• Источники информации, используемые при изучении контрагентов.
• Автоматизация процедур проверки контрагентов. Практическая работа с источниками информации. Демонстрация проверок на реальных примерах с использованием ИАС «Интегрум» и «Прима-Информ», а также предоставление слушателям ограниченного полного доступа к этим системам для самостоятельного изучения
• Выявление аффилированности сотрудников предприятия и контрагентов. Скрытая аффилированность. Существующие методы и способы выявления аффилированности.
• Работа с зарубежными контрагентами.

Тема 5. Информационная безопасность в системе экономической безопасности компании. Политика информационной безопасности

• Актуальность проблемы защиты информации. Защита информации как составная часть экономической системы безопасности организации (предприятия). Понятие информационной безопасности. Основные составляющие.
• Наиболее распространенные угрозы. Основные определения и критерии классификации угроз.
• Основные направления защиты информации.
• Законодательный уровень информационной безопасности. Основные понятия, термины и определения в области защиты информации
• Административный уровень информационной безопасности. Понятие системы менеджмента информационной безопасности. Недостатки проектного подхода к построению системы управления информационной безопасностью. Процессный подход к обеспечению информационной безопасности.
• Международные и российские стандарты безопасности информационных систем. Стандарт, базирующиеся на процессном подходе к обеспечению информационной безопасности – ISO 27001. ISO 27001 и национальные нормативные документы по ИБ. Требования ISO 27001.
• Стандарты банка России: СТО БР ИББС-1.1-2007. Обеспечение ИБ организаций банковской системы РФ. Аудит ИБ. СТО БР ИББС-1.2-2010. Обеспечение ИБ организаций банковской системы РФ. Методика оценки соответствия. РС БР ИББС-2.1-2007. Обеспечение ИБ организаций банковской системы РФ. Руководство по самооценке соответствия
• Политика безопасности. Организация ИБ. Менеджмент активов. Политика информационной безопасности как основа системы менеджмента ИБ. Цели и задачи Политики информационной безопасности. Общая структура Политики информационной безопасности.
• Проведение оценки текущего состояния информационной безопасности организации. Аудит состояния информационной безопасности на предприятии. Порядок проведения аудита информационной безопасности в компании. ISO/IEC 27007:2007. Руководство по аудиту системы управления ИБ.
• Управление рисками информационной безопасности. Основные понятия. Подготовительные этапы управления рисками. Основные этапы управления рисками.
• Программные средства, поддерживающие управление информационной безопасностью на предприятии. Использование программных средств для управления рисками и политикой информационной безопасности. 

Тема 6. Противодействие промышленному шпионажу. Техническая защита информации.

• Классификация технических каналов утечки информации. 
• Технические каналы утечки акустической информации.
• Защита акустической (речевой) информации.
• Побочные электромагнитные излучения и наводки.
• Методы защиты информации от утечки через ПЭМИН.
• Средства и методы обнаружения технических каналов утечки информации.
• Мероприятия по выявлению технических каналов утечки информации. Оценка защищенности информации от утечки по ТКУИ.

Тема 7. Режим коммерческой тайны. Конфиденциальное делопроизводство.

• Коммерческая тайна. Понятие "коммерческой тайны" в предпринимательской деятельности. Федеральный закон «О коммерческой тайне», основные нормы закона, применяемые термины и определения. Нормативно-правовые акты Российской Федерации, определяющие понятие коммерческая тайна.
• Порядок создания режима коммерческой тайны в компании.
• Составление и применение перечня сведений, составляющих коммерческую тайну компании, рекомендуемая информация, которая должна составлять коммерческую тайну компании.
• Процедура ограничения доступа к информации, составляющей коммерческую тайну компании.
• Внутренние нормативные документы, регламентирующие деятельность компании в области защиты коммерческой тайны. Изменения и дополнения, вносимые в нормативно-правовые документы компании при введении режима коммерческой тайны.
• Обязательство работника по сохранению коммерческой тайны компании.
• Соблюдение режима коммерческой тайны в договорной работе.
• Процедура передачи государственным органам информации, составляющей коммерческую тайну компании.
• Кадровые, режимные и организационные способы защиты коммерческой тайны компании.
• Технические, инженерно-технические и ИТ мероприятия по защите коммерческой тайны компании.
• Виды юридической ответственности за разглашение коммерческой тайны, а также за незаконное получение информации. Необходимые и достаточные условия для ее наступления, другие виды ответственности, связанные с нарушением конфиденциальности информации в компании.
• Конфиденциальное делопроизводство – составная часть системы безопасности компании.
• Конфиденциальное делопроизводство как элемент режима защиты коммерческой тайны.
• Принципы построения конфиденциального делопроизводства.
• Порядок взаимодействия открытого и конфиденциального делопроизводства.
• Материальный (бумажный) документ и документ представленный в электронном виде, общие черты и принципиальные отличия, материальный (бумажный) и электронный документооборот, а также системы их сопряжения.
• Конфиденциальный документооборот и конфиденциальное информационное хранилище как составные части системы конфиденциального делопроизводства.
• Возможности, которыми должны обладать электронный конфиденциальный документооборот и электронное конфиденциальное информационное хранилище.
• Этапы создания конфиденциального делопроизводства, практические рекомендации по порядку создания.

Тема 8. Методы и средства защиты компьютерных систем. Подразделение информационной безопасности

• Возможность защиты информации при работе в сети Internet. Межсетевое экранирование.
• VPN (виртуальная частная сеть). Преимущества организации виртуальных частных сетей на основе Internet.
• Активный аудит.
• Основы криптографической защиты информации. Классификация методов криптографического закрытия информации.
• «Облачные» технологии.
• Электронная подпись как базовый механизм обеспечения юридической силы документа при электронном документообороте и наиболее эффективное средство подтверждения авторства и подлинности электронного документа.
• Практические примеры применения криптографических методов защиты информации.
• Подразделение информационной безопасности. Какой быть структуре эффективного подразделения информационной безопасности? Место подразделения ИБ в структуре организации. Разделение функций между подразделением ИБ и IT-подразделением.
• Организация взаимодействия с руководством подразделения информационной безопасности и руководителями структурных IT-подразделений компании.

Тема 9. Актуальные вопросы защиты персональных данных

• Федеральный закон «О персональных данных», основные нормы закона, применяемые термины и определения. Трудовой кодекс Российской Федерации и иные нормативно-правовые акты Российской Федерации, регламентирующие вопросы персональных данных и их защиту. Международные конвенции по защите персональных данных физических лиц.
• Общие вопросы обработки и обеспечения защиты персональных данных (ПДн) в компании.
• Общие вопросы проведения работ по комплексной защите ПДн.
• Порядок проведения проверок регуляторами в области защиты персональных данных.
• Обзор основных мероприятий, нормативно-правовой, организационно-распорядительной и нормативно-технической документации при создании системы защиты ПДн.
• Виды ответственности за разглашение персональных данных, а также за ее незаконное получение.