Политика безопасности предприятия

День 1.

Построение системы корпоративной безопасности. Безопасность как бизнес-функция.

• Международные акты в сфере корпоративной безопасности. Законодательство РФ в области защиты предпринимательской деятельности. Ведомственные, отраслевые требования и стандарты в области защиты бизнеса.
• Международный опыт и корпоративные стандарты по защите компаний от экономических преступлений. Международные акты по борьбе с мошенничеством (UK Bribery Act, Foreign Corrupt Practices Act, Закон Сарбейнза — Оксли).
• Понятие безопасность в российском бизнесе. Постановочные вопросы перед созданием системы защиты бизнеса. Определение объектов защиты. Построение системы корпоративной безопасности. Безопасность как бизнес функция. Может ли безопасность зарабатывать деньги и быть прибыльной?
• Особенности построения корпоративной безопасности в публичных компаниях, организациях с государственным участием, а также в иностранных компаниях.
• Особенности построения корпоративной безопасности в экосистемах, холдингах а также в организациях, имеющих сложную организационную (территориально разделенную) структуру.
• Особенность построения корпоративной безопасности при дистанционной (удаленной) работе, а также при отсутствии «контура безопасности».
• Использование на практике теории хаоса в корпоративной безопасности. Принятие управленческих решений по безопасности в условиях неопределенности.
• Риск-ориентированный подход при обеспечении безопасности предприятия. Экономические, политические, регуляторные, правовые, финансовые и иные риски. Составление карты рисков. Определение допустимых пределов риска и вероятности наступления. Построение системы управления экономическими рисками. Страхование рисков.
• Обеспечение корпоративной безопасности при цифровой трансформации бизнес процессов предприятия. Обеспечение безопасности принятие управленческих решений в условиях избыточности информации, ее неточности и недостоверности.
• Обеспечение безопасности предприятия в условиях кризиса и пандемии, а также при антикризисном управлении. На чем можно, а на чем нельзя экономить.
• Методика проведения аудита безопасности предприятия. Составление плана аудита на основе карты экономических рисков и формирования моделей угроз. Оценка защищенности организационной структуры бизнеса и основных бизнес процессов.
• Экспертные методы оценки защищенности предприятия. Оценка бесперебойности функционирования бизнес процессов предприятия при наступлении внештатных ситуаций. Создание кризисных планов. Наличие мониторинга безопасности предприятия.
• Активы предприятия, как основной объект защиты. Материальные и нематериальные активы. Основные направления защиты товарно-материальных ценностей. Защита деловой репутации, имиджа, технологий и иных нематериальных активов.
• Понятие комплаенс в законодательстве. Комплаенс как функция по обеспечению соответствия деятельности организации требованиям, налагаемым на нее российским и зарубежным законодательством, оценки рисков и обеспечению комплексной защиты организации.
• Определение субъектов корпоративной безопасности. Свое подразделение безопасности или аутсорсинговое обслуживание. Плюсы и минусы обоих вариантов. Распределение полномочий и зон ответственности между безопасниками и иными должностными лицами предприятия.
• Понятие собственная безопасность. Подразделение собственной безопасности, его задачи и функционал.
• Особенности договорных отношений с аутсорсинговыми организациями, предлагающими услуги по корпоративной безопасности. Правовое обеспечение взаимодействия с адвокатами, частными охранными организациями, детективами и иными организациями (лицами, имеющими особый статус).
• Правовая сторона деятельности подразделения безопасности. Закон и этика в работе. Подчинение, финансирование и оценка эффективности работы подразделения безопасности. Взаимодействие с акционерами, владельцами и руководителями подразделений. Структура подразделения безопасности.
• Компетенции и навыки специалиста по безопасности, востребованные в современных условиях.
• Корпоративные стандарты безопасности предприятия (КСБ). Совместимость КСБ с иными стандартами, действующими на предприятии. Включение процесс защиты бизнеса в процесс менеджмента непрерывности бизнеса.
• Разработка локальных актов по обеспечению безопасности предприятия (политики, инструкции, регламенты и т.д.). Создание сводов правил и поведений сотрудников. Внедрение на предприятии культуры безопасности.
• Обучение персонала требованиям КСБ. Организация взаимодействия с контрагентами и партнерами по бизнесу в связи с внедрением КСБ. Выполнение требований по безопасности в договорной работе и при взаимодействии с государственными органами.

День 2.

Экономическая безопасность предприятия. Организация безопасной договорной работы.

• Понятие «безопасная договорная работа» на предприятии исходя из требований Гражданского кодекса РФ и иного законодательства.
• Организация безопасной договорной работы на предприятии. Инструкция о договорной работе. Централизация или делегирование полномочий. Процедуры внутреннего согласования. Выдача доверенностей. Работа с допсоглашениями.
• Распределение зон ответственности между подразделениями и должностными лицами предприятия в договорной работе. Матрица компетенций.
• Информатизация и цифровая трансформация бизнес процессов, связанных с договорной работой и сделками. Принципы работы Big Data в договорной работе. Применение элементов искусственного интеллекта при выборе контрагента.
• Особенности договорной работы в период кризиса и пандемии, а также в процессе антикризисного управления. Минимизация издержек. Безопасность закупок при дистанционных (удаленных) методах работы.
• Виды риска при заключении различных типов договоров (продажа, оказание услуг, закупка, ремонт, строительство и т.д.).
• Налоговые риски в договорной работе. Понятие «должная осмотрительность» в спорах с налоговыми органами. Требования нормативных правовых актов ФНС России по самостоятельной оценке налоговых рисков в сделках.
• Риски получения низкокачественных товаров и услуг в договорных отношениях. Определение критериев качества и оценки эффективности траты денег.
• Риски завышения цены в закупочной деятельности. Методы ценообразования, а также расчета начальной максимальной цены. Понятие «цена владения».
• Понятие комплаенс-рисков в договорной работе. Требования международного законодательства к минимизации комплаенс рисков в договорной работе.
• Оценка коррупционных рисков в договорной работе. Требования законодательства РФ по принятию предприятиями мер по предупреждению и противодействию коррупции. Антикоррупционные оговорки в договорах.
• Риски аффилированности работников предприятия с контрагентами. Понятие «конфликт интересов» в договорной работе. Информационно-аналитические и психологические способы выявления личной заинтересованности в сделке. Основы оперативной психологии.
• Риски нарушения требований антимонопольного законодательства в договорной работе. Понятие недобросовестная конкуренция. Картельный сговор. Создание на предприятии антимонопольного комплаенс.
• Мошеннические риски в договорной работе. Мошеннические схемы, применяемые в гражданско-правовых отношениях. Особенность мошенничества в различных видах бизнеса.
• Риски нарушения информационной безопасности в договорной работе. Соглашения о конфиденциальности. Защита авторских прав, охрана интеллектуальной собственности и иных нематериальных прав при взаимоотношении с контрагентами.
• Риски, связанные с выполнением требований федерального закона № 115-ФЗ. Понятие «подозрительная сделка» в документах Центрального банка и Росфинмониторинга. Признаки, указывающие на необычный характер сделки.
• Организация конкурентных закупок на предприятии. Основные требования федеральных законов № 44-ФЗ и № 223-ФЗ к безопасной договорной работе.
• Методы анализа надежности контрагента. Признаки опасности в деятельности организации. Применение метода Due Diligence при оценке компании. Методы оценки финансовой устойчивости и платежеспособности контрагента.
• Анализ безопасности коммерческих предложений. Изучение инициаторов проекта, их интересы и деловую репутацию. Верификация представителей. Изучение механизма получения прибыли. Анализ первого контакта. Поведенческие аспекты при оценке ненадежности контрагента.
• Правовая экспертиза как элемент безопасной договорной работы. Задачи правовой экспертизы. Стандартизация форм договора. Штрафные санкции за невыполнение условий договора. Типовые «подводные камни» в условиях договора.
• Противодействие откатам, неправомерному выводу активов, коммерческому подкупу и иным противоправным действиям в договорной работе.
• Организация контроля за выполнением условий договора как элемент безопасной договорной работы. Мониторинг информации по контрагентам. Создание алгоритмов реагирования на невыполнение контрагентами договорных обязательств.
• Ведение эффективной претензионно-исковой работы. Мониторинг неплатежей. Понятие форсмажор в период кризиса и пандемии. Медиаторство как способ досудебного урегулирования спора. Психологические, юридические, имиджевые и иные способы воздействия на должника.
• Создание эффективного внутреннего контроля за договорной работой на предприятии. Система внутреннего контроля по модели COSO. Компоненты по модели COSO. «Магический куб» COSO.
• Система внутренних проверок, финансовых расследований и иные процедуры в договорной работе.

День 3.

Кадровая безопасность предприятия. Обеспечение безопасности при дистанционной (удаленной) работе.

• Понятие кадровая безопасность. Виды оформления юридических взаимоотношений организации и физических лиц. Основные нормы трудового и гражданско-правового законодательства по вопросам кадровой безопасности.
• Основные требования безопасности при заключении гражданско-правовых договоров с физическими лицами. Особенность работы с самозанятыми. Аутстаффинг персонала.
• Основные риски и угрозы, исходящие от работников, варианты их реализации и возможные направления защиты. Противоправные действия, ответственность за которые предусмотрена законодательством и основные способы защиты от них.
• Порядок взаимодействия структурных подразделений и должностных лиц предприятия по вопросам кадровой безопасности. Зоны ответственности подразделений (матрица компетенций). Аутсорсинг услуг по кадровой безопасности.
• Выстраивание взаимодействий подразделения безопасности и работников предприятия. Компромат, взаимопомощь и иные методы взаимодействия.
• Превентивные мероприятия по предотвращению противоправных действий со стороны работников. Создание стимулов и мотивационных факторов, направленных на усиление лояльности персонала.
• Автоматизация и цифровая трансформация бизнес процессов, исключающая возможность совершения работниками противоправных действий. Контроль действий работников в корпоративной информационной инфраструктуре.
• Создание и актуализация локальной правовой базы предприятия. Ознакомление и получение согласия от работника по вопросам, затрагивающим его конституционные права. Нормы трудового договора по вопросам кадровой безопасности.
• Проверка персонала при приеме на работу. Сбор и анализ информации о кандидате по методу SMICE. Анкеты для кандидатов на работу. Основные источники по сбору информации о кандидатах на работу.
• Признаки опасности у кандидата на работу. На что обратить внимание в «проверочных мероприятиях». Формирование модели потенциального нарушителя, применительно к различным должностям.
• Российское и международное законодательство по обработке персональных данных. Алгоритм действий по выполнению на предприятии требований по защите персональных данных.
• Изменения законодательства о персональных данных, вступивших в силу с 2021 года. Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения.
• Политика кадровой безопасности в отношении различных групп риска («жалобщики», имеющие зависимость, испытывающие потребность в деньгах и т.д.).
• Создание системы обучения работников действиям во внештатных и чрезвычайных ситуациях (пожар, стихийное бедствие, теракт и др.).
• Политика кадровой безопасности в отношении материально ответственных лиц. Процедуры проведения инвентаризаций и привлечения работника к материальной и дисциплинарной ответственности.
• Создание систем обратной связи на предприятия. Организация телефонов доверия и горячей линии. Применение методов «тайного покупателя» в кадровой политике.
• «Оперативная психология». Анализ личности человека и формирование моделей его поведения. Методы выявления лжи в процессе коммуникаций (профайлинг). Анализ языка тела. Манипуляции в общении и технологии убеждения.
• Особенность проведений внутренних проверок и расследований по наиболее характерным противоправным действиям работников предприятия (хищение, коммерческий подкуп, мошенничество, разглашение информации, увод клиентов и т.д.).
• Методы кадровой политики, связанные с защитой от переманивания персонала.
• Процедуры увольнения работников с позиции безопасности. Особенности увольнения работников, которые могут представлять угрозу для организации после увольнения.
• Основные изменения трудового законодательства, вступившие в силу с 2021 года в части регламентации труда дистанционных (удаленных) работников. Обеспечение кадровой безопасности в условиях кризиса и пандемии.
• Понятие «дистанционная (удаленная) работа» в Трудовом кодексе РФ и правовых актах Минтруда РФ. Кого можно перевести на дистанционную (удаленную) работу. Отличие дистанционного труда от надомного.
• Целесообразность использования дистанционных работников в трудовых отношениях. Плюсы и минусы дистанционной работы с позиции безопасности.
• Противодействие мошенничеству и выводу активов при использовании дистанционных работников.
• Особенности порядка взаимодействия дистанционного работника и работодателя.
• Определение дополнительных обязанностей дистанционному работнику. Особенности режима рабочего времени и времени отдыха дистанционного работника.
• Особенности контроля выполнения дистанционным работником своих трудовых обязанностей. Оценка по регламентам и оценка по выполненным задачам. Составление отчетов и оформление результатов выполненных задач.
• Оплата дистанционным работникам принадлежащих им либо арендованных ими оборудования, программно-технических средств, средств защиты информации.
• Порядок и процедуры увольнения дистанционных работников. Процедуры прекращения трудового договора по общим основаниям, установленным Трудовым кодексом РФ.
• Дополнительные основания прекращения трудового договора с дистанционным работником.
• Политика информационной безопасности при переводе работника на удалённую работу.

День 4.

Защита конфиденциальной информации на предприятии. Цифровая трансформация информационной безопасности.

• Особенности деятельности предприятия в условиях цифровой трансформации экономики. Защита информации, защита информационной инфраструктуры и информационное противоборство как три составляющих безопасности в цифровом мире.
• Понятие критическая информационная инфраструктура в российском законодательстве, процедуры категорирования и основные требования по ее защите.
• Защита конституционных прав физических лиц при цифровой трансформации. Неприкосновенность частной жизни, тайна телефонных переговоров, почтовых и иных сообщений. Процедуры использования технических средств, предназначенных для негласного получения информации.
• Понятие культура информационной безопасности при цифровой трансформации. Культура информационной безопасности как составная часть корпоративной безопасности. Этические нормы в менеджменте информационной безопасности.
• Политика информационной безопасности как основа системы менеджмента ИБ. Цели и задачи Политики информационной безопасности. Общая структура политики информационной безопасности.
• Законодательство РФ в области защиты информации. Понятие конфиденциальная информация и конфиденциальность информации. Информация, доступ к которой не может быть ограничен.
• Источники конфиденциальной информации. Виды и формы представления конфиденциальной информации.
• Основные направления защиты конфиденциальной информации. Системный подход к защите информации.
• Правовые, организационные, режимные и инженерно-технические мероприятия по защите конфиденциальной информации. Кибербезопасность предприятия. Создание внутриобъектового и пропускного режимов на предприятии. Физическая защита охраняемых информационных ресурсов.
• Работники организации как основной канал утечки конфиденциальной информации. Политика кадровой безопасности. Мероприятия по предотвращению разглашения работниками конфиденциальной информации.
• Порядок и процедуры защиты конфиденциальной информации при использовании дистанционных работников.
• Требования по защите конфиденциальной информации в гражданско-правовых отношениях. Соглашение о конфиденциальности перед проведением переговоров.
• Виды юридической ответственности за разглашение конфиденциальной информации, а также за ее незаконное получение. Уголовная, административная и гражданско-правовая ответственность. Обзор судебной практики.
• Профессиональная тайна как составная часть конфиденциальной информации Законодательство РФ в области защиты профессиональных тайн (врачебная тайна, нотариальная тайна, банковская тайна, адвокатская тайна и т.д.).
• Служебная тайна как составная часть конфиденциальной информации. Законодательство РФ в области защиты служебной тайны. Правовой режим применения ограничения доступа к служебной информации. Режим служебной тайны в коммерческих структурах.
• Защита коммерческой информации на предприятии. Процедуры создания режима коммерческой тайны. Понятие обладатель коммерческой тайны, его права и обязанности.
• Понятие разглашение коммерческой тайны в российском законодательстве. Обязательства работников по сохранению коммерческой тайны предприятия и отказ от использования ее в личных целях. Сохранность коммерческих секретов работниками после увольнения.
• Ограничение доступа к коммерческой тайне и защита информации как обязательный элемент режима коммерческой тайны. Системный подход к защите информации. Организационные, кадровые, технические, режимные и иные мероприятия по защите коммерческой тайны.
• Особенность работы с коммерческой информацией, представленной в электронном виде. Понятие электронный документ. Электронная подпись. Процесс цифровизации коммерческой тайны.
• Соблюдение режима коммерческой тайны в договорных отношениях с юридическими и физическими лицами. Конфиденциальность полученной контрагентом информации как условие договора. Компенсация ущерба и штрафные санкции за разглашение коммерческой тайны или незаконное использование ее в личных целях.
• Процедуры предоставления информации, составляющей коммерческую тайну предприятия государственным органам. Понятие мотивированное требование государственного органа. Обязанность государственных органов по охране конфиденциальности полученной информации.
• Защита персональных данных на предприятии. Основные требования ФЗ «О персональных данных» и нормативных актов регуляторов (Роскомнадзор, ФСТЭК России, ФСБ России и т.д.), регламентирующие порядок обработки персональных данных.
• Понятие оператор персональных данных, его права и обязанности, порядок регистрации. Реестр операторов, осуществляющих обработку персональных данных. Уведомление об обработке (о намерении осуществлять обработку) персональных данных.
• Понятие субъект персональных данных, его права и обязанности в соответствии с российским законодательством.
• Формирование правового режима защиты персональных данных. Перечень мер по защите персональных данных.
• Пошаговый алгоритм действий по выполнению предприятием требований законодательства по обработке персональных данных;
• Требования к обеспечению безопасности персональных данных, при их обработке в информационных системах персональных данных, в зависимости от типа угроз.
• Административный регламент исполнения государственной функции по осуществлению государственного контроля за соответствием обработки персональных данных требованиям законодательства.
• Методики проведения внутренних расследований по инцидентам, связанным с нарушением конфиденциальности на предприятии. Плановые и внеплановые проверки.
• Виды юридической ответственности (уголовная, гражданско-правовая, дисциплинарная и иная) за разглашение конфиденциальной информации, использование ее в личных целях, а также за ее незаконное получение. Необходимые и достаточные условия для наступления ответственности.

День 5.

Антикоррупционная политика предприятия. Предотвращение и урегулирование конфликтов интересов.

• Понятие «коррупция» в международном законодательстве. Конвенции ООН по противодействию коррупции. Нормы UK Bribery Act (Великобритания 2010 г.), Foreign Corrupt Practices Act (США 1977 год), закона Сарбейнcа-Оксли (SOX США 2002 год) и практика их применения.
• Основные требования международного стандарта ИСО 37001 «Системы менеджмента противодействия коррупции — требования и рекомендации по применению».
• Понятие «коррупция» в российском законодательстве. Положения ФЗ «О противодействии коррупции», являющиеся обязательными для выполнения организациями, независимо от формы собственности. Методические рекомендации по их выполнению.
• Основные положения Национального плана противодействия коррупции и его влияние на деятельность организации.
• Основные нормы Антикоррупционной хартии российского бизнеса и ее дорожная карта. Порядок и процедуры присоединение к хартии.
• Понятие «комплаенс» в международном и российском законодательстве. Требования приказов Росимущества по комплаенс процедурам в акционерных обществах с государственным участием.
• Создание подразделения комплаенс (должности комплаенс-менеджер). Подчинение, основные права и обязанности. Взаимодействие с риск-менеджерами, службой внутреннего контроля и аудита, ревизионной комиссии и иными подразделениями.
• Создание внутренних документов предприятия по предупреждению коррупции. Документы организационного и операционного уровней.
• Антикоррупционные требования и ограничения, налагаемые на бывших государственных и муниципальных служащих при заключении ими трудовых или гражданско-правовые договоров.
• Примерный перечень действий должностных лиц организации, которые могут квалифицироваться как коррупция по международному и российскому законодательству.
• Ответственность юридических и физических лиц за коррупционные правонарушения и непринятие мер по противодействию коррупции. Возможность привлечения к дисциплинарной ответственности работника за нарушение антикоррупционного законодательства.
• Методики оценки бизнес процессов с позиции коррупционных рисков. Составление карты коррупционных рисков в организации. Разработка и введение специальных антикоррупционных процедур.
• Формирование антикоррупционной политики организации. Создание комиссии по противодействию коррупции и урегулированию конфликта интересов. Организация обучения и информирования работников.
• Особенности создания и проведения антикоррупционной политики в различных видах бизнеса.
• Цифровая трансформация антикоррупционных мероприятий. Технические средства контроля за действиями персонала, позволяющие вычислять личную заинтересованность и иные коррупционные признаки.
• Порядок проведения антикоррупционных мероприятий в процессе антикризисного управления. Минимизация издержек. Минимизация коррупционных рисков при использовании дистанционных (удаленных) работников.
• Понятие «конфликт интересов» в антикоррупционном и ином законодательстве. Кто обязан предпринимать меры по предотвращению и урегулированию конфликтов интересов. Декларации о конфликте интересов.
• Методика анализа ситуации, попадающей под понятие «конфликт интересов». Применение мер дисциплинарного воздействия, включая увольнение, к участникам конфликта интересов.
• Кодекс этики и корпоративного поведения в организации как составная часть антикоррупционной политики на предприятии. Этичность в действиях работника при выполнении должностных обязанностей, общении с клиентами и контрагентами, а также в межличностном общении в коллективе.
• Понятие профессиональной этики в законодательстве РФ. Требования кодексов профессиональной этики, применительно к различным профессиям.
• Культура информационной безопасности как элемент этики и корпоративного поведения. Конфиденциальность и этика при распространении информации в социальных сетях и иных информационных ресурсах интернета.
• Правила, регламентирующие обмен подарками и знаками делового гостеприимства.
• Комплаенс контроль за работниками предприятия, занимающих должности с коррупционными рисками. Процедуры приема-увольнения работников. Политика кадровой безопасности по минимизации коррупционных рисков. Антикоррупционные процедуры при делегировании полномочий и трудоустройстве родственников.
• Минимизация коррупционных рисков в договорной работе. Регламентация процедур выбора контрагентов и взаимоотношения с ними. Проверки контрагентов (Due diligence). Вычисление аффилированности и личной заинтересованности в сделках.
• Антикоррупционная экспертиза локальных правовых актов организации. Включение антикоррупционных оговорок в гражданско-правовых и трудовые договора.
• Организация «горячей линии» по вопросам противодействия коррупции и защита лиц, сообщающих о коррупционных правонарушениях.
• Создание процедур информирования работодателя о ставшей известной работнику информации о случаях совершения коррупционных правонарушений другими работниками, контрагентами предприятия или иными лицами.
• Порядок проведения антикоррупционных мероприятий в процессе антикризисного управления. Минимизация издержек. Минимизация коррупционных рисков при использовании дистанционных (удаленных) работников.
• Организация системы внутреннего контроля и аудита как элемент антикоррупционной политики организации. Проведение внутренних расследований по фактам нарушения антикоррупционной политики организации.
• Противодействие фальсификации бухгалтерской (финансовой) отчетности как средство противодействия коррупции.
• Деятельность органов прокуратуры по надзору за исполнением законодательства о противодействии коррупции. Деятельность Минтруда РФ в сфере методического обеспечения противодействия коррупции.
• Взаимодействие предприятия с государственными правоохранительными, надзорными и иными государственными органами, а также общественно-политическими организациями по вопросам профилактики и противодействия коррупции.