Политика безопасности предприятия

День 1.

Построение системы корпоративной безопасности. Безопасность как бизнес-функция.

• международные акты в сфере корпоративной безопасности. Законодательство РФ в области защиты предпринимательской деятельности. Ведомственные, отраслевые требования и стандарты в области защиты бизнеса;
• международный опыт и корпоративные стандарты по защите компаний от экономических преступлений. Международные акты по борьбе с мошенничеством (UK Bribery Act, Foreign Corrupt Practices Act, Закон Сарбейнза — Оксли);
• понятие безопасность в российском бизнесе. Постановочные вопросы перед созданием системы защиты бизнеса. Определение объектов защиты. Построение системы корпоративной безопасности. Безопасность как бизнес функция. Может ли безопасность зарабатывать деньги и быть прибыльной?;
• особенности построения корпоративной безопасности в публичных компаниях, организациях с государственным участием, а также в иностранных компаниях;
• особенности построения корпоративной безопасности в экосистемах, холдингах а также в организациях, имеющих сложную организационную (территориально разделенную) структуру;
• особенность построения корпоративной безопасности при дистанционной (удаленной) работе, а также при отсутствии «контура безопасности»;
• использование на практике теории хаоса в корпоративной безопасности. Принятие управленческих решений по безопасности в условиях неопределенности;
• риск-ориентированный подход при обеспечении безопасности предприятия. Экономические, политические, регуляторные, правовые, финансовые и иные риски. Составление карты рисков. Определение допустимых пределов риска и вероятности наступления. Построение системы управления экономическими рисками. Страхование рисков;
• обеспечение корпоративной безопасности при цифровой трансформации бизнес процессов предприятия. Обеспечение безопасности принятие управленческих решений в условиях избыточности информации, ее неточности и недостоверности;
• обеспечение безопасности предприятия в условиях кризиса и пандемии, а также при антикризисном управлении. На чем можно, а на чем нельзя экономить;
• методика проведения аудита безопасности предприятия. Составление плана аудита на основе карты экономических рисков и формирования моделей угроз. Оценка защищенности организационной структуры бизнеса и основных бизнес процессов;
• экспертные методы оценки защищенности предприятия. Оценка бесперебойности функционирования бизнес процессов предприятия при наступлении внештатных ситуаций. Создание кризисных планов. Наличие мониторинга безопасности предприятия;
• активы предприятия, как основной объект защиты. Материальные и нематериальные активы. Основные направления защиты товарно-материальных ценностей. Защита деловой репутации, имиджа, технологий и иных нематериальных активов;
• понятие комплаенс в законодательстве. Комплаенс как функция по обеспечению соответствия деятельности организации требованиям, налагаемым на нее российским и зарубежным законодательством, оценки рисков и обеспечению комплексной защиты организации;
• определение субъектов корпоративной безопасности. Свое подразделение безопасности или аутсорсинговое обслуживание. Плюсы и минусы обоих вариантов. Распределение полномочий и зон ответственности между безопасниками и иными должностными лицами предприятия;
• понятие собственная безопасность. Подразделение собственной безопасности, его задачи и функционал;
• особенности договорных отношений с аутсорсинговыми организациями, предлагающими услуги по корпоративной безопасности. Правовое обеспечение взаимодействия с адвокатами, частными охранными организациями, детективами и иными организациями (лицами, имеющими особый статус);
• правовая сторона деятельности подразделения безопасности. Закон и этика в работе. Подчинение, финансирование и оценка эффективности работы подразделения безопасности. Взаимодействие с акционерами, владельцами и руководителями подразделений. Структура подразделения безопасности;
• компетенции и навыки специалиста по безопасности, востребованные в современных условиях;
• корпоративные стандарты безопасности предприятия (КСБ). Совместимость КСБ с иными стандартами, действующими на предприятии. Включение процесс защиты бизнеса в процесс менеджмента непрерывности бизнеса;
• разработка локальных актов по обеспечению безопасности предприятия (политики, инструкции, регламенты и т.д.). Создание сводов правил и поведений сотрудников. Внедрение на предприятии культуры безопасности;
• обучение персонала требованиям КСБ. Организация взаимодействия с контрагентами и партнерами по бизнесу в связи с внедрением КСБ. Выполнение требований по безопасности в договорной работе и при взаимодействии с государственными органами.

День 2.

Экономическая безопасность предприятия. Организация безопасной договорной работы.

• понятие «безопасная договорная работа» на предприятии исходя из требований Гражданского кодекса РФ и иного законодательства;
• организация безопасной договорной работы на предприятии. Инструкция о договорной работе. Централизация или делегирование полномочий. Процедуры внутреннего согласования. Выдача доверенностей. Работа с допсоглашениями;
• распределение зон ответственности между подразделениями и должностными лицами предприятия в договорной работе. Матрица компетенций;
• информатизация и цифровая трансформация бизнес процессов, связанных с договорной работой и сделками. Принципы работы Big Data в договорной работе. Применение элементов искусственного интеллекта при выборе контрагента;
• особенности договорной работы в период кризиса и пандемии, а также в процессе антикризисного управления. Минимизация издержек. Безопасность закупок при дистанционных (удаленных) методах работы;
• виды риска при заключении различных типов договоров (продажа, оказание услуг, закупка, ремонт, строительство и т.д.);
• налоговые риски в договорной работе. Понятие «должная осмотрительность» в спорах с налоговыми органами. Требования нормативных правовых актов ФНС России по самостоятельной оценке налоговых рисков в сделках;
• риски получения низкокачественных товаров и услуг в договорных отношениях. Определение критериев качества и оценки эффективности траты денег;
• риски завышения цены в закупочной деятельности. Методы ценообразования, а также расчета начальной максимальной цены. Понятие «цена владения»;
• понятие комплаенс-рисков в договорной работе. Требования международного законодательства к минимизации комплаенс рисков в договорной работе;
• оценка коррупционных рисков в договорной работе. Требования законодательства РФ по принятию предприятиями мер по предупреждению и противодействию коррупции. Антикоррупционные оговорки в договорах;
• риски аффилированности работников предприятия с контрагентами. Понятие «конфликт интересов» в договорной работе. Информационно-аналитические и психологические способы выявления личной заинтересованности в сделке. Основы оперативной психологии;
• риски нарушения требований антимонопольного законодательства в договорной работе. Понятие недобросовестная конкуренция. Картельный сговор. Создание на предприятии антимонопольного комплаенс;
• мошеннические риски в договорной работе. Мошеннические схемы, применяемые в гражданско-правовых отношениях. Особенность мошенничества в различных видах бизнеса;
• риски нарушения информационной безопасности в договорной работе. Соглашения о конфиденциальности. Защита авторских прав, охрана интеллектуальной собственности и иных нематериальных прав при взаимоотношении с контрагентами;
• риски, связанные с выполнением требований федерального закона № 115-ФЗ. Понятие «подозрительная сделка» в документах Центрального банка и Росфинмониторинга. Признаки, указывающие на необычный характер сделки;
• организация конкурентных закупок на предприятии. Основные требования федеральных законов № 44-ФЗ и № 223-ФЗ к безопасной договорной работе;
• методы анализа надежности контрагента. Признаки опасности в деятельности организации. Применение метода Due Diligence при оценке компании. Методы оценки финансовой устойчивости и платежеспособности контрагента;
• анализ безопасности коммерческих предложений. Изучение инициаторов проекта, их интересы и деловую репутацию. Верификация представителей. Изучение механизма получения прибыли. Анализ первого контакта. Поведенческие аспекты при оценке ненадежности контрагента;
• правовая экспертиза как элемент безопасной договорной работы. Задачи правовой экспертизы. Стандартизация форм договора. Штрафные санкции за невыполнение условий договора. Типовые «подводные камни» в условиях договора;
• противодействие откатам, неправомерному выводу активов, коммерческому подкупу и иным противоправным действиям в договорной работе;
• организация контроля за выполнением условий договора как элемент безопасной договорной работы. Мониторинг информации по контрагентам. Создание алгоритмов реагирования на невыполнение контрагентами договорных обязательств;
• ведение эффективной претензионно-исковой работы. Мониторинг неплатежей. Понятие форсмажор в период кризиса и пандемии. Медиаторство как способ досудебного урегулирования спора. Психологические, юридические, имиджевые и иные способы воздействия на должника;
• создание эффективного внутреннего контроля за договорной работой на предприятии. Система внутреннего контроля по модели COSO. Компоненты по модели COSO. «Магический куб» COSO;
• система внутренних проверок, финансовых расследований и иные процедуры в договорной работе.

День 3.

Кадровая безопасность предприятия. Обеспечение безопасности при дистанционной (удаленной) работе.

• понятие кадровая безопасность. Виды оформления юридических взаимоотношений организации и физических лиц. Основные нормы трудового и гражданско-правового законодательства по вопросам кадровой безопасности;
• основные требования безопасности при заключении гражданско-правовых договоров с физическими лицами. Особенность работы с самозанятыми. Аутстаффинг персонала;
• основные риски и угрозы, исходящие от работников, варианты их реализации и возможные направления защиты. Противоправные действия, ответственность за которые предусмотрена законодательством и основные способы защиты от них;
• порядок взаимодействия структурных подразделений и должностных лиц предприятия по вопросам кадровой безопасности. Зоны ответственности подразделений (матрица компетенций). Аутсорсинг услуг по кадровой безопасности;
• выстраивание взаимодействий подразделения безопасности и работников предприятия. Компромат, взаимопомощь и иные методы взаимодействия;
• превентивные мероприятия по предотвращению противоправных действий со стороны работников. Создание стимулов и мотивационных факторов, направленных на усиление лояльности персонала;
• автоматизация и цифровая трансформация бизнес процессов, исключающая возможность совершения работниками противоправных действий. Контроль действий работников в корпоративной информационной инфраструктуре;
• создание и актуализация локальной правовой базы предприятия. Ознакомление и получение согласия от работника по вопросам, затрагивающим его конституционные права. Нормы трудового договора по вопросам кадровой безопасности;
• проверка персонала при приеме на работу. Сбор и анализ информации о кандидате по методу SMICE. Анкеты для кандидатов на работу. Основные источники по сбору информации о кандидатах на работу;
• признаки опасности у кандидата на работу. На что обратить внимание в «проверочных мероприятиях». Формирование модели потенциального нарушителя, применительно к различным должностям;
• российское и международное законодательство по обработке персональных данных. Алгоритм действий по выполнению на предприятии требований по защите персональных данных;
• изменения законодательства о персональных данных, вступивших в силу с 2021 года. Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения;
• политика кадровой безопасности в отношении различных групп риска («жалобщики», имеющие зависимость, испытывающие потребность в деньгах и т.д.);
• создание системы обучения работников действиям во внештатных и чрезвычайных ситуациях (пожар, стихийное бедствие, теракт и др.);
• политика кадровой безопасности в отношении материально ответственных лиц. Процедуры проведения инвентаризаций и привлечения работника к материальной и дисциплинарной ответственности;
• создание систем обратной связи на предприятия. Организация телефонов доверия и горячей линии. Применение методов «тайного покупателя» в кадровой политике;
• «оперативная психология». Анализ личности человека и формирование моделей его поведения. Методы выявления лжи в процессе коммуникаций (профайлинг). Анализ языка тела. Манипуляции в общении и технологии убеждения;
• особенность проведений внутренних проверок и расследований по наиболее характерным противоправным действиям работников предприятия (хищение, коммерческий подкуп, мошенничество, разглашение информации, увод клиентов и т.д.);
• методы кадровой политики, связанные с защитой от переманивания персонала;
• процедуры увольнения работников с позиции безопасности. Особенности увольнения работников, которые могут представлять угрозу для организации после увольнения;
• основные изменения трудового законодательства, вступившие в силу с 2021 года в части регламентации труда дистанционных (удаленных) работников. Обеспечение кадровой безопасности в условиях кризиса и пандемии;
• понятие «дистанционная (удаленная) работа» в Трудовом кодексе РФ и правовых актах Минтруда РФ. Кого можно перевести на дистанционную (удаленную) работу. Отличие дистанционного труда от надомного;
• целесообразность использования дистанционных работников в трудовых отношениях. Плюсы и минусы дистанционной работы с позиции безопасности;
• противодействие мошенничеству и выводу активов при использовании дистанционных работников;
• особенности порядка взаимодействия дистанционного работника и работодателя;
• определение дополнительных обязанностей дистанционному работнику. Особенности режима рабочего времени и времени отдыха дистанционного работника;
• особенности контроля выполнения дистанционным работником своих трудовых обязанностей. Оценка по регламентам и оценка по выполненным задачам. Составление отчетов и оформление результатов выполненных задач;
• оплата дистанционным работникам принадлежащих им либо арендованных ими оборудования, программно-технических средств, средств защиты информации;
• порядок и процедуры увольнения дистанционных работников. Процедуры прекращения трудового договора по общим основаниям, установленным Трудовым кодексом РФ;
• дополнительные основания прекращения трудового договора с дистанционным работником;
• политика информационной безопасности при переводе работника на удалённую работу.

День 4.

Защита конфиденциальной информации на предприятии. Цифровая трансформация информационной безопасности.

• особенности деятельности предприятия в условиях цифровой трансформации экономики. Защита информации, защита информационной инфраструктуры и информационное противоборство как три составляющих безопасности в цифровом мире;
• понятие критическая информационная инфраструктура в российском законодательстве, процедуры категорирования и основные требования по ее защите;
• защита конституционных прав физических лиц при цифровой трансформации. Неприкосновенность частной жизни, тайна телефонных переговоров, почтовых и иных сообщений. Процедуры использования технических средств, предназначенных для негласного получения информации;
• понятие культура информационной безопасности при цифровой трансформации. Культура информационной безопасности как составная часть корпоративной безопасности. Этические нормы в менеджменте информационной безопасности;
• политика информационной безопасности как основа системы менеджмента ИБ. Цели и задачи Политики информационной безопасности. Общая структура политики информационной безопасности;
• законодательство РФ в области защиты информации. Понятие конфиденциальная информация и конфиденциальность информации. Информация, доступ к которой не может быть ограничен;
• источники конфиденциальной информации. Виды и формы представления конфиденциальной информации;
• основные направления защиты конфиденциальной информации. Системный подход к защите информации;
• правовые, организационные, режимные и инженерно-технические мероприятия по защите конфиденциальной информации. Кибербезопасность предприятия. Создание внутриобъектового и пропускного режимов на предприятии. Физическая защита охраняемых информационных ресурсов;
• работники организации как основной канал утечки конфиденциальной информации. Политика кадровой безопасности. Мероприятия по предотвращению разглашения работниками конфиденциальной информации;
• порядок и процедуры защиты конфиденциальной информации при использовании дистанционных работников;
• требования по защите конфиденциальной информации в гражданско-правовых отношениях. Соглашение о конфиденциальности перед проведением переговоров;
• виды юридической ответственности за разглашение конфиденциальной информации, а также за ее незаконное получение. Уголовная, административная и гражданско-правовая ответственность. Обзор судебной практики;
• профессиональная тайна как составная часть конфиденциальной информации Законодательство РФ в области защиты профессиональных тайн (врачебная тайна, нотариальная тайна, банковская тайна, адвокатская тайна и т.д.);
• служебная тайна как составная часть конфиденциальной информации. Законодательство РФ в области защиты служебной тайны. Правовой режим применения ограничения доступа к служебной информации. Режим служебной тайны в коммерческих структурах;
• защита коммерческой информации на предприятии. Процедуры создания режима коммерческой тайны. Понятие обладатель коммерческой тайны, его права и обязанности;
• понятие разглашение коммерческой тайны в российском законодательстве. Обязательства работников по сохранению коммерческой тайны предприятия и отказ от использования ее в личных целях. Сохранность коммерческих секретов работниками после увольнения;
• ограничение доступа к коммерческой тайне и защита информации как обязательный элемент режима коммерческой тайны. Системный подход к защите информации. Организационные, кадровые, технические, режимные и иные мероприятия по защите коммерческой тайны;
• особенность работы с коммерческой информацией, представленной в электронном виде. Понятие электронный документ. Электронная подпись. Процесс цифровизации коммерческой тайны;
• соблюдение режима коммерческой тайны в договорных отношениях с юридическими и физическими лицами. Конфиденциальность полученной контрагентом информации как условие договора. Компенсация ущерба и штрафные санкции за разглашение коммерческой тайны или незаконное использование ее в личных целях;
• процедуры предоставления информации, составляющей коммерческую тайну предприятия государственным органам. Понятие мотивированное требование государственного органа. Обязанность государственных органов по охране конфиденциальности полученной информации;
• защита персональных данных на предприятии. Основные требования ФЗ «О персональных данных» и нормативных актов регуляторов (Роскомнадзор, ФСТЭК России, ФСБ России и т.д.), регламентирующие порядок обработки персональных данных;
• понятие оператор персональных данных, его права и обязанности, порядок регистрации. Реестр операторов, осуществляющих обработку персональных данных. Уведомление об обработке (о намерении осуществлять обработку) персональных данных;
• понятие субъект персональных данных, его права и обязанности в соответствии с российским законодательством;
• формирование правового режима защиты персональных данных. Перечень мер по защите персональных данных;
• пошаговый алгоритм действий по выполнению предприятием требований законодательства по обработке персональных данных;
• требования к обеспечению безопасности персональных данных, при их обработке в информационных системах персональных данных, в зависимости от типа угроз;
• административный регламент исполнения государственной функции по осуществлению государственного контроля за соответствием обработки персональных данных требованиям законодательства;
• методики проведения внутренних расследований по инцидентам, связанным с нарушением конфиденциальности на предприятии. Плановые и внеплановые проверки;
• виды юридической ответственности (уголовная, гражданско-правовая, дисциплинарная и иная) за разглашение конфиденциальной информации, использование ее в личных целях, а также за ее незаконное получение. Необходимые и достаточные условия для наступления ответственности.

День 5.

Антикоррупционная политика предприятия. Предотвращение и урегулирование конфликтов интересов.

• понятие «коррупция» в международном законодательстве. Конвенции ООН по противодействию коррупции. Нормы UK Bribery Act (Великобритания 2010 г.), Foreign Corrupt Practices Act (США 1977 год), закона Сарбейнcа-Оксли (SOX США 2002 год) и практика их применения;
• основные требования международного стандарта ИСО 37001 «Системы менеджмента противодействия коррупции – требования и рекомендации по применению»;
• понятие «коррупция» в российском законодательстве. Положения ФЗ «О противодействии коррупции», являющиеся обязательными для выполнения организациями, независимо от формы собственности. Методические рекомендации по их выполнению;
• основные положения Национального плана противодействия коррупции и его влияние на деятельность организации;
• основные нормы Антикоррупционной хартии российского бизнеса и ее дорожная карта. Порядок и процедуры присоединение к хартии;
• понятие «комплаенс» в международном и российском законодательстве. Требования приказов Росимущества по комплаенс процедурам в акционерных обществах с государственным участием;
• создание подразделения комплаенс (должности комплаенс-менеджер). Подчинение, основные права и обязанности. Взаимодействие с риск-менеджерами, службой внутреннего контроля и аудита, ревизионной комиссии и иными подразделениями;
• создание внутренних документов предприятия по предупреждению коррупции. Документы организационного и операционного уровней;
• антикоррупционные требования и ограничения, налагаемые на бывших государственных и муниципальных служащих при заключении ими трудовых или гражданско-правовые договоров;
• примерный перечень действий должностных лиц организации, которые могут квалифицироваться как коррупция по международному и российскому законодательству;
• ответственность юридических и физических лиц за коррупционные правонарушения и непринятие мер по противодействию коррупции. Возможность привлечения к дисциплинарной ответственности работника за нарушение антикоррупционного законодательства;
• методики оценки бизнес процессов с позиции коррупционных рисков. Составление карты коррупционных рисков в организации. Разработка и введение специальных антикоррупционных процедур;
• формирование антикоррупционной политики организации. Создание комиссии по противодействию коррупции и урегулированию конфликта интересов. Организация обучения и информирования работников;
• особенности создания и проведения антикоррупционной политики в различных видах бизнеса;
• цифровая трансформация антикоррупционных мероприятий. Технические средства контроля за действиями персонала, позволяющие вычислять личную заинтересованность и иные коррупционные признаки;
• порядок проведения антикоррупционных мероприятий в процессе антикризисного управления. Минимизация издержек. Минимизация коррупционных рисков при использовании дистанционных (удаленных) работников;
• понятие «конфликт интересов» в антикоррупционном и ином законодательстве. Кто обязан предпринимать меры по предотвращению и урегулированию конфликтов интересов. Декларации о конфликте интересов;
• методика анализа ситуации, попадающей под понятие «конфликт интересов». Применение мер дисциплинарного воздействия, включая увольнение, к участникам конфликта интересов;
• кодекс этики и корпоративного поведения в организации как составная часть антикоррупционной политики на предприятии. Этичность в действиях работника при выполнении должностных обязанностей, общении с клиентами и контрагентами, а также в межличностном общении в коллективе;
• понятие профессиональной этики в законодательстве РФ. Требования кодексов профессиональной этики, применительно к различным профессиям;
• культура информационной безопасности как элемент этики и корпоративного поведения. Конфиденциальность и этика при распространении информации в социальных сетях и иных информационных ресурсах интернета;
• правила, регламентирующие обмен подарками и знаками делового гостеприимства;
• комплаенс контроль за работниками предприятия, занимающих должности с коррупционными рисками. Процедуры приема-увольнения работников. Политика кадровой безопасности по минимизации коррупционных рисков. Антикоррупционные процедуры при делегировании полномочий и трудоустройстве родственников;
• минимизация коррупционных рисков в договорной работе. Регламентация процедур выбора контрагентов и взаимоотношения с ними. Проверки контрагентов (Due diligence). Вычисление аффилированности и личной заинтересованности в сделках;
• антикоррупционная экспертиза локальных правовых актов организации. Включение антикоррупционных оговорок в гражданско-правовых и трудовые договора;
• организация «горячей линии» по вопросам противодействия коррупции и защита лиц, сообщающих о коррупционных правонарушениях;
• создание процедур информирования работодателя о ставшей известной работнику информации о случаях совершения коррупционных правонарушений другими работниками, контрагентами предприятия или иными лицами;
• порядок проведения антикоррупционных мероприятий в процессе антикризисного управления. Минимизация издержек. Минимизация коррупционных рисков при использовании дистанционных (удаленных) работников;
• организация системы внутреннего контроля и аудита как элемент антикоррупционной политики организации. Проведение внутренних расследований по фактам нарушения антикоррупционной политики организации;
• противодействие фальсификации бухгалтерской (финансовой) отчетности как средство противодействия коррупции;
• деятельность органов прокуратуры по надзору за исполнением законодательства о противодействии коррупции. Деятельность Минтруда РФ в сфере методического обеспечения противодействия коррупции;
• взаимодействие предприятия с государственными правоохранительными, надзорными и иными государственными органами, а также общественно-политическими организациями по вопросам профилактики и противодействия коррупции.