БЕЗОПАСНОСТЬ БИЗНЕСА

КОМПЛЕКСНАЯ СИСТЕМА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ

Риски, опасности и угрозы деятельности предприятия. Комплексная оценка состояния защищённости предприятия. Основные способы выявления угроз. Алгоритм проведения комплексной оценки состояния защищенности предприятия.

Разработка концепции комплексной системы обеспечения безопасности (КСОБ) предприятия. Системный подход в эффективном обеспечении безопасности бизнеса. Основные нормативно-правовые акты создания и функционирования КСОБ предприятия.

Основные элементы КСОБ предприятия. Функциональная модель типовой системы обеспечения безопасности предприятия.

Режимы функционирования КСОБ предприятия.

Функционирование предприятия в экстремальных условиях.

Порядок проведения аудита безопасности.

Критерии оценки эффективности деятельности КСОБ.

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ В СИСТЕМЕ КОРПОРАТИВНОЙ БЕЗОПАСНОСТИ КОМПАНИИ. ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Порядок создания корпоративной нормативной базы в области защиты информации.

Методика разработки политики информационной безопасности в компании.

Построение системы защиты информации. Основные составные части этой системы.

Менеджмент информационной безопасности.

Порядок проведения аудита информационной безопасности в компании.

Международные и российские стандарты безопасности информационных систем.

Американская концепция системного подхода к обеспечению защиты конфиденциальной информации (OPSEC Operation Security).

КАНАЛЫ УТЕЧКИ ИНФОРМАЦИИ И ТЕХНИЧЕСКИЕ СРЕДСТВА ЗАЩИТЫ

Возможные технические каналы утечки информации.

Технические средства промышленного шпионажа.

Акустический канал утечки информации и его защита.

Акустоэлектрический канал утечки информации и его защита.

Телефонный (в том числе радиотелефонный) канал утечки информации и его защита.

Электромагнитный канал утечки информации и его защита.

Меры и средства защиты информации от технических средств ее съема.

Приборы обнаружения технических средств промышленного шпионажа.

IT-БЕЗОПАСНОСТЬ В КОМПАНИИ

Актуальность вопроса защиты информации

Актуальность проблемы защиты информации. Защита информации как составная часть общей системы безопасности организации (предприятия).

Основные понятия, термины и определения в области защиты информации.

Основные направления защиты информации.

Законодательная и нормативная база правового регулирования вопросов защиты информации.

Требования к организации защиты конфиденциальной информации на предприятии (организации).

Современные угрозы и тенденции в области информационной безопасности

Информационная безопасность (ИБ) для бизнеса. Необходимый набор требований к ИБ.

Угрозы информационной безопасности – прошлое, настоящее и будущее.

Недостатки проектного подхода к построению системы управления информационной безопасностью.

Понятие системы менеджмента информационной безопасности

Процессный подход к обеспечению информационной безопасности.

Стандарт, базирующиеся на процессном подходе к обеспечению информационной безопасности – ISO 27001.

ISO 27001:2005 и национальные нормативные документы по ИБ.

Структура и основные понятия ISO 27001:2005.

Требования ISO 27001:2005.

Политика безопасности. Организация ИБ. Менеджмент активов.

Политика информационной безопасности как основа системы менеджмента ИБ

Цели и задачи Политики информационной безопасности.

Общая структура Политики информационной безопасности.

Модель угроз информационной безопасности, определяемая в рамках Политики.

Требования к информационной безопасности предприятия, которые определяются в Политике.

Процесс разработки и внедрения системы менеджмента информационной безопасности

Проведение оценки текущего состояния информационной безопасности организации.

Разработка проекта по внедрению системы управления информационной безопасностью.

Мониторинг информационной безопасности

Понятие системы мониторинга информационной безопасности.

Особенности создания и внедрения систем мониторинга.

Требования к системам мониторинга событий информационной безопасности.

Методы и средства защиты компьютерных систем

Возможность защиты информации при работе в сети Internet. Межсетевое экранирование.

VPN (виртуальная частная сеть). Преимущества организации виртуальных частных сетей на основе Internet.

Активный аудит.

Основы криптографической защиты информации. Классификация методов криптографического закрытия информации. Шифрование (симметричные криптосистемы и криптосистемы с открытым ключом). Кодирование и сжатие информации. Стеганография.

Электронная цифровая подпись. Электронная цифровая подпись как базовый механизм обеспечения юридической силы документа при электронном документообороте.

Практические примеры применения криптографических методов защиты информации.

Подразделение информационной безопасности

Какой быть структуре эффективного подразделения информационной безопасности?

Место подразделения ИБ в структуре организации.

Разделение функций между подразделением ИБ и IT-подразделением.

Организация взаимодействия с Руководством и руководителями структурных IT-подразделений компании.

РЕЖИМ КОММЕРЧЕСКОЙ ТАЙНЫ. КОНФИДЕНЦИАЛЬНОЕ ДЕЛОПРОИЗВОДСТВО. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

Угрозы информации. Возможные каналы утечки информации

Виды угроз информационной безопасности.

Определение предмета и объекта защиты.

Технические каналы утечки информации. Их классификация. Механизмы образования.

Организационные, организационно-технические меры и технические средства защиты информации от утечки по техническим каналам.

Угрозы несанкционированного доступа (НСД) к информации. Источники угроз Классификация угроз.

Возможная тактика использование программных и аппаратных закладных устройств (ЗУ). Уязвимость современных технических средств обработки информации (проводные и беспроводные системы, Интернет, мобильные средства связи и пр.).

Мероприятия по защите информации. Противодействие промышленному шпионажу. Технические средства защиты информации

Формирование организационной структуры системы защиты информации на предприятии. Принципы формирования, факторы и критерии принятия решения.

Технические средства промышленного шпионажа.

АУДИТ БЕЗОПАСНОСТИ БИЗНЕСА

Общее понятие аудита безопасности бизнеса. Виды аудитов безопасности. Основные цели и задачи. Основные инструменты и технологии.

Общее определение понятия «аудит безопасности предприятия».

Общее определение понятия «комплексный аудит безопасности предприятия». Основные цели и задачи. Субъекты и объекты данного вида аудита.

Аудит службы безопасности предприятия. Основные цели и задачи. Субъекты и объекты данного вида аудита.

Аудит информационной безопасности предприятия. Основные цели и задачи. Субъекты и объекты данного вида аудита.

Другие виды аудитов безопасности предприятия.

Алгоритмы проведения основных видов аудитов безопасности бизнеса. Анализ полученных результатов. Подготовка выводов и рекомендаций для заказчика аудита.

Разбор понятия «алгоритм аудита безопасности». Критерии эффективности алгоритма.

Алгоритм проведения комплексного аудита безопасности предприятия.

Алгоритм проведения аудита службы безопасности предприятия.

Алгоритм проведения аудита информационной безопасности предприятия.

Разбор понятий «квалиметрия оценки» и «квалиметрия данных».

Статистические и прогностические выводы.

Оценка достоверности собранной информации и способы повышения ее достоверности.

Требования к оформлению и содержательной части результатов аудита (выводов).

Доведение содержательной части результатов аудита до заказчика.

СОЗДАНИЕ И УПРАВЛЕНИЕ КОМПЛЕКСНОЙ СИСТЕМОЙ ОБЕСПЕЧЕНИЯ ЭКОНОМИЧЕСКОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ

Риски, опасности и угрозы деятельности предприятия. Комплексная оценка состояния защищённости предприятия. Понятия «угроза» и «риск» с точки зрения безопасности негосударственного предприятия. Общая классификация угроз безопасности негосударственного предприятия. Основные угрозы безопасности негосударственного предприятия. Основные способы выявления угроз. Алгоритм проведения комплексной оценки состояния защищенности предприятия. Критерии оценки. Подготовка выводов о текущем уровне защищенности предприятия и его потребностях в КСОБ.

Разработка концепции комплексной системы обеспечения безопасности (КСОБ) предприятия. Современная нормативно-правовая база функционирования КСОБ предприятия. Главные принципы обеспечения безопасности бизнеса. Системный подход в эффективном обеспечении безопасности бизнеса. Алгоритм разработки концепции обеспечения безопасности предприятия. Алгоритм разработки комплексной системы обеспечения безопасности предприятия. Основные нормативно-правовые акты создания и функционирования КСОБ предприятия.

Основные элементы КСОБ предприятия. Структура взаимосвязей, принципы создания и функционирования, основные задачи и обеспечение жизнеспособности КСОБ предприятия. Функциональная модель типовой системы обеспечения безопасности предприятия. Основные задачи, стоящие перед структурными элементами типовой системы обеспечения безопасности предприятия. Основные принципы создания структурных элементов типовой системы обеспечения безопасности предприятия. Основные принципы жизнеспособности и эффективности типовой системы обеспечения безопасности предприятия.

Режимы функционирования КСОБ предприятия. Причины и принципы изменений режимов. Основные режимы функционирования КСОБ. Карты режимов функционирования. Основные причины изменения текущего режима функционирования КСОБ.

Функционирование предприятия в экстремальных условиях. «Кризисные планы»: разработка, внедрение и отработка на предприятии. Основные задачи, стоящие перед системой обеспечения безопасности в экстремальных условиях функционирования предприятия. Содержание пакета, его разработка, условия допуска, основные меры по внедрению в текущую работу системы обеспечения безопасности. Способы подготовки сотрудников к эффективным действиям в рамках реализации кризисного плана.

Порядок проведения аудита безопасности. Виды аудитов системы безопасности предприятия и их задачи. Алгоритм проведения комплексного аудита системы безопасности предприятия.

Критерии оценки эффективности деятельности КСОБ. Основные критерии оценки. Определение уровня профессиональной эффективности работы КСОБ предприятия. Экономическая эффективность деятельности КСОБ.

КОРПОРАТИВНОЕ МОШЕННИЧЕСТВО. ПРОТИВОПРАВНЫЕ ДЕЙСТВИЯ. ОТКАТЫ И ХИЩЕНИЯ

Что такое корпоративное мошенничество?

Элементы мошенничества: что воруют? как воруют (типичные схемы)? почему воруют? кто ворует?

Как корпоративное мошенничество влияет на компании?

Как отличить неэффективность от мошенничества?

Цикл управления риском корпоративного мошенничества: обзор.

Стратегии управления риском мошенничества: zero tolerance или risk management.

Предотвращение: основные мероприятия (система внутренних контролей, проверка контрагнетов и потенциальных сотрудников).

Обнаружение: основные способы (горячая линия, отслеживание индикаторов в поведении, аналитические способы).

Расследование: на что обратить внимание (юридическая сторона вопроса).

Реагирование: что делать по результатам.

Какие навыки необходимы для эффективного противодействия мошенничеству.

Мошеннические схемы.

Структура проведения проверочных мероприятий.

«Полевые» методы проверки.

Документальные методы проверки.

ОБЕСПЕЧЕНИЕ ВНЕШНЕЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ

Внешние угрозы безопасности предприятия. Современные методы недобросовестной конкуренции и способы противодействия им. Общее определение понятий «угроза» и «внешняя угроза» с точки зрения безопасности предприятия. Основные внешние угрозы безопасности предприятия. Современные методы недобросовестной конкуренции. Основные способы противодействия методам недобросовестной конкуренции.

Определение возможности наступления негативных последствий и их нейтрализация. Основные виды негативных последствий. Основные методы нейтрализации негативных последствий.

Деловая разведка, как инструмент достижения конкурентного преимущества. Нормативно-правовая база функционирования. Источники информации при ведении деловой разведки. «Деловая разведка» и «конкурентное преимущество». Основные цели и задачи деловой разведки. Деловая разведка как инструмент конкурентного преимущества. Нормативно-правовая база функционирования. Источники и методы получения информации при ведении деловой разведки.

Место деловой разведки в комплексной системе обеспечения безопасности предприятия. Технические средства ведения деловой разведки. Функциональная модель типовой системы безопасности. Технические средства ведения деловой разведки.

«Конкурентные войны»: стратегия и тактика выживания на рынке. Коммерческий шпионаж в современных условиях: субъекты ведения, способы и приёмы доступа к закрытым источникам информации. Методы выявления и локализации последствий. «Конкурентные войны», «стратегия» и «тактика». Стратегия и тактика выживания на рынке, с точки зрения системы безопасности. «Шпионаж» и «коммерческий шпионаж» Субъекты коммерческого шпионажа. Основные способы доступа к закрытым источникам информации. Основные методы выявления актов коммерческого шпионажа. Основные способы локализации агрессий коммерческого шпионажа.

ПРОТИВОДЕЙСТВИЕ ПРОТИВОПРАВНОМУ ПОГЛОЩЕНИЮ ПРЕДПРИЯТИЯ

Противоправные поглощения наиболее яркая разновидность корпоративного конфликта.

Рейдерство в России, как криминальное явление и угроза экономической безопасности страны. Основные характеристики и современные тенденции.

Анализ состояния правового противодействия рейдерским захватам.

Собирательный портрет рейдера.

Противоправные поглощения: причины, признаки и классификация.

Признаки начала рейдерской атаки на предприятие.

Классификация корпоративных захватов.

Способы противоправных поглощений субъектов экономической деятельности.

Противодействие противоправным поглощениям предприятий в современных социально-экономических условиях.

Анализ уголовно-правовых аспектов противоправных поглощений.

ПОЛИЦЕЙСКИЕ ПРОВЕРКИ: как выстроить эффективную защиту

Поводы для визита сотрудников правоохранительных органов в офис организации и проведения проверки.

Запросы о предоставлении информации и документации, направляемые правоохранительными органами в организации: их правомерность необходимо ли предоставлять ответов; ответственность за непредставление ответов.

Опросы руководства и сотрудников проверяемой компании: является ли обязательным вызов на опрос; имеете ли Вы право отказаться от опроса; порядок поведения в ходе опроса; риски, дачи показаний без предварительной подготовки.

Оперативно-розыскные мероприятия, проводимые в ходе проверок организаций: обследование помещений, зданий, сооружений, участков местности и транспортных средств, изъятие и исследование предметов и документов, опрос лиц и другие оперативно-розыскные мероприятия, проводимые в ходе проверки.

Полномочия сотрудников правоохранительных органов: нормативные акты, которыми руководствуются сотрудники правоохранительных органов при проведении проверок; права и обязанности сотрудников полиции, о которых они не говорят.

Практические рекомендации для руководства и сотрудников организаций: проверка правомерности визита и полномочий проверяющих; контроль за действиями сотрудников правоохранительных органов при проведении проверки; порядок фиксирования и обжалования нарушений, допущенных сотрудниками правоохранительных органов в ходе проверки; рекомендации по минимизации рисков наступления неблагоприятных последствий для организаций.

Возбуждение уголовного дела по результатам проверки, на реальных примерах распространенных составов преступлений: уклонение от уплаты налогов с организации (ст. 199 УК РФ); мошенничество (ст. 159 УК РФ).