Geum.ru

Программа обучения (подготовки) специалистов по корпоративной безопасности Время 100 академических часов

Вид материалаПрограмма

Содержание


Практикум. Разбор кейсов и алгоритмов по теме
Подобный материал:
1   2   3

составление и применение перечня сведений, составляющих коммер­ческую тайну компании, рекомендуемая информация, которая должна составлять коммерческую тайну компании;

  • процедура ограничения доступа к информации, составляющей коммерческую тайну компании;
  • изменения и дополнения, вносимые в нормативно-правовые документы компании при введении режима коммерческой тайны;
  • обязательство работника о сохранении коммерческой тайны компании;
  • соблюдение режима коммерческой тайны в договорной работе;
  • процедура передачи государственным органам информации, составляющей коммерческую тайну компании;
  • кадровые, режимные и организационные способы защиты коммерческой айны компании;
  • технические, инженерно-технические и ИТ мероприятия по защите коммерческой тайны компании;
  • виды юридической ответственности за разглашение коммерческой тайны, а также за незаконное получение информации. Необходимые и достаточные условия для ее наступления, другие виды ответственности, связанные с нарушением конфиденциальности информации в компании;


Практикум. Разбор кейсов и алгоритмов по теме


Тема 7.2. Защита персональных данных
  • Федеральный закон «О персональных данных», основные нормы закона, применяемые термины и определения. Трудовой кодекс Российской Федерации и иные нормативно-правовые акты Российской Федерации, регламентирующие вопросы персональных данных и их защиту;
  • международные конвенции по защите персональных данных физических лиц;
  • оператор персональных данных, его права и обязанности, порядок регистрации. Реестр операторов, осуществляющих обработку персональных данных;
  • формирование правового режима ограничения доступа и защиты персональных данных;
  • порядок получения, формирования и обработки персональных данных;
  • уведомление об обработке (о намерении осуществлять обработку) персональных данных;
  • особенности обработки и защиты персональных данных, осуществляемой без использования средств автоматизации;
  • особенности обработки и защиты персональных данных, осуществляемой с использованием средств автоматизации;
  • порядок проведения классификации информационных систем персональных данных;
  • порядок использования шифровальных (криптографических) средств для защиты персональных данных;
  • необходимость и порядок получения лицензии на техническую защиту конфиденциальной информации;
  • массивы биометрических персональных данных и требования к их защите;
  • виды ответственности за разглашение персональных данных, а также за ее незаконное получение. Необходимые и достаточные условия для ее наступления


Практикум. Разбор кейсов и алгоритмов по теме


Модуль 8 Конфиденциальное делопроизводство в компании


Тема 8.1. Создание и функционирование конфиденциального делопроизводства в компании
  • какая информация относится к конфиденциальной. Структура конфиденциальных информационных массивов. Конфиденциальное делопроизводство как элемент защиты информации;
  • определение необходимости создания в компании конфиденциального делопроизводства. Принципы построения конфиденциального делопроизводства. Порядок взаимодействия открытого и конфиденциального делопроизводства;
  • материальный и электронный документ, общие черты и принципиальные отличия, материальный и электронный документооборот, а также системы их сопряжения. Юридическая равнозначность материального и электронного документа при наличии электронной цифровой подписи;
  • электронная цифровая подпись, как подтверждение авторства и подлинности электронного документа. Удостоверяющие центры, как гарант легитимности электронной цифровой подписи;
  • конфиденциальный документооборот и конфиденциальное информационное хранилище как составные части системы конфиденциального делопроизводства;
  • определение порядка работы с конфиденциальными документами (создание, учет, хранение, перемещение и уничтожение). Карточка конфиденциальности документа.
  • процедуры ввода (вывода) документов из режима конфиденциальности. Порядок «засекречивания» и «рассекречивания» документов. Экспертные комиссии. Архив конфиденциальных документов;
  • возможность размещения конфиденциальных документов в СМИ, Интернете, а также передача их в иные организации, в том числе государственные, выполняющие контрольные, надзорные или правоохранительные функции;
  • автоматизированные системы учета конфиденциальных документов, представленные на рынке. Создание системы регистрации, индексации и классификации конфиденциальных документов;
  • порядок получения конфиденциальных документов из других организаций. Доклад и подписание конфиденциальных документов. Роль секретарей в конфиденциальном делопроизводстве;
  • материально-техническое обеспечение конфиденциального делопроизводства;
  • формирование внутренней нормативной базы для обеспечения конфиденциального делопроизводства. Инструкция по конфиденциальному делопроизводству в компании;
  • руководство конфиденциальным делопроизводством. Назначение ответственных должностных лиц. Персональная ответственность сотрудников за сохранность конфиденциального документа и защиту информации, в нем содержащуюся. Обучение сотрудников компании правилам работы с конфиденциальными документами. Формирование культуры работы с конфиденциальными документами;
  • контроль и учет документооборота в конфиденциальном делопроизводстве. Контроль за размножением и тиражированием конфиденциальных документов. Плановая и внеплановая проверка конфиденциального делопроизводства;
  • этапы создания конфиденциального делопроизводства в компании, практические рекомендации по порядку работы.


Практикум. Разбор кейсов и алгоритмов по теме


Тема 8.2. Способы защита информации, применяемые в конфиденциальном делопроизводстве
  • способы и средства защиты конфиденциального делопроизводства. Основные направления защиты материальных и электронных конфиденциальных документов;
  • организационные способы защиты конфиденциальных документов;
  • режимные меры по защите конфиденциальных документов. Физическая защита конфиденциальных документов. Способы хранения конфиденциальных документов вне территории компании;
  • кадровые меры по защите конфиденциальных документов. Распределение прав доступа сотрудников к конфиденциальным документам. Процедуры проведения проверок сотрудников и кандидатов перед допуском к конфиденциальным документам. Разглашение информации через «человеческий фактор», как основной канал утечки информации из конфиденциальных документов.
  • инженерно-технические меры по защите конфиденциального делопроизводства. Применение систем видеонаблюдения для защиты материальных носителей конфиденциальной информации. Возможность использовать видеозаписи как доказательства противоправных действий с конфиденциальными документами;
  • ИТ меры по защите конфиденциальных документов. Защита конфиденциальных электронных документов. Применение средств криптографической защиты информации в конфиденциальном делопроизводстве;
  • правовые меры по защите конфиденциальных документов. Создание в компании правовых режимов по защите информации. Возможность использование правовых режимов для привлечения сотрудников компании к юридической ответственности за разглашение информации или неправомерному доступу к конфиденциальным документам;
  • процедура проведения внутрикорпоративного расследования по факту нарушения правил работы с конфиденциальными документами или разглашению информации, содержащейся в конфиденциальных документах.


Практикум. Разбор кейсов и алгоритмов по теме


Модуль 9 Инженерно-техническая безопасность компании

Тема 9.1. Инженерно-техническая безопасность компании.
  • система инженерно-технической безопасности. Перечень инженерно-технических мероприятий по оборудованию защищаемого объекта;
  • мероприятия при выборе и проектировании объектов. Предварительное обследование защищаемого объекта;
  • противопожарная безопасность компании. Перечень организационных, правовых, кадровых и технических мероприятий. Обзор видов автоматических пожарных детекторов;
  • системы охраны периметров объектов. Принципы работы систем охраны периметров (инфракрасные, лучевые, радиолучевые, радиоволновые, емкостные, сейсмические, вибрационно-чувствительные, волоконно-оптические, магнитометрические системы). Тенденции развития систем охраны периметров;
  • системы охранного телевидения (видеонаблюдения). Правовые основы использования видеонаблюдения на объектах. Зоны видеонаблюдения, видеоконтроля, видеоохраны и видеозащиты. Человеческий фактор в системах видеонаблюдения. Интеллектуальные системы видеонаблюдения. Тенденции развития систем видеонаблюдения. Возможность использования видеозаписей как доказательства совершения правонарушения (преступления);
  • системы охранной сигнализации. Обзор технических средств охранных сигнализаций (инфракрасные, радиоволновые, ультразвуковые, магнитоконтактные, акустические, ударно-контактные, емкостные, вибрационные охранные извещатели);
  • системы контроля и управления доступом. Перечень организационных, правовых, кадровых и технических мероприятий. Автоматизированные системы контроля и управления доступом в компанию. Обзор технических средств контроля доступа. Биометрические системы распознавания личности. Пропускной режим компании как разновидность охранной деятельности, подлежащей лицензированию. Необходимость аутсорсинга при создании и осуществления пропускного и внутриобъектовых режимов в компании. Создание корпоративной правовой базы функционирования пропускного режима. Защита персональных данных при осуществлении пропускного режима.


Практикум. Разбор кейсов и алгоритмов по теме


Модуль 10 Техническая безопасность компании. Защита от промышленного шпионажа


Тема 10. Техническая безопасность компании. Защита от промышленного шпионажа
  • технические каналы утечки информации, их особенности и характеристики;
  • оптический канал утечки информации и основные способы его защиты. Организационные, правовые, кадровые и технические мероприятия;
  • акустический (акустоэлектрический) канал утечки информации и основные способы его защиты. Организационные, правовые, кадровые и технические мероприятия;
  • телефонный (радиотелефонный) канал утечки информации как один из самых распространенных каналов утечки информации. Способы съема информации с телефонных каналов связи (контактное подключение, высокочастотное навязывание, индуктивный и емкостной способы, микрофонный съем информации и т.д.). Возможность использования телефонных аппаратов для акустического контроля помещений. Признаки использования подслушивающих устройств на телефонных каналах связи. Защита проводных и сотовых телефонов. Возможность использования системы конфиденциальной сотовой связи;
  • канал утечки информации за счет побочных электромагнитных излучений и наводок и основные способы его защиты. Организационные, правовые, кадровые и технические мероприятия;
  • принципы работы аппаратуры промышленного шпионажа. Способы установки технических средств негласного съема информации на территории компании – цели. Возможность использования легальных технических средств получения информации в противоправных целях (диктофоны, фотоаппараты, сотовые телефоны и т.д.). Возможность легализации информации, полученных с использованием технических средств;
  • обзор технических средств защиты каналов утечки информации и компаний, представляющих услуги по технической защите информации;
  • обзор технических средств обнаружения аппаратуры, предназначенной для получения информации. Аппаратура, использующая активные методы (нелинейные локаторы, рентгенометры, магнитно-резонансные локаторы, акустические корректоры и т.д.). Аппаратура, использующая пассивные методы (металлоискатели, тепловизоры, устройства поиска по электромагнитному излучению, устройства поиска аномальных параметров телефонной линии, устройства поиска аномалий магнитного поля и т.д.);
  • виды юридической ответственности за использование технических средств, предназначенных для негласного получения информации. Возможность привлечения к уголовной ответственности за подобные действия и обзор судебной практики.


Практикум. Разбор кейсов и алгоритмов по теме


Модуль 11 ИТ безопасность компании

Тема 11.1. Создание системы ИТ безопасности в компании. Политика информационной безопасности 
  • задачи и место ИT - безопасности в системе корпоративной безопасности компании;
  • основные понятия, термины и определения в области защиты информации; 
  • нормативно-правовая база Российской Федерации в области защиты информации;
  • порядок создания корпоративной нормативной базы в области защиты информации; 
  • методика разработки политики информационной безопасности в компании;
  • построение системы защиты информации. Основные составные части этой системы; 
  • создание службы информационной безопасности (СИБ) в компании. Разделение функций между СИБ, Службой безопасности и ИT-подразделением. Место СИБ в структуре компании;
  • менеджмент ИТ безопасности;
  • порядок проведения внутрикорпоративных расследований по фактам нарушения ИТ безопасности в компании;
  • анализ особенностей российского рынка ИT- безопасности.


Практикум. Разбор кейсов и алгоритмов по теме

Тема 11.2. Технические решения, применяемые в ИТ безопасности компании
  • угрозы информации, представленной в электронном виде;
  • типовые сценарии несанкционированного доступа (НСД) к информации, представленной в электронном виде, и направления защиты от них;
  • канал утечки информации за счет побочных электромагнитных излучений и наводок и его защита;
  • возможная тактика использование программных и аппаратных закладных устройств. Уязвимость современных технических средств обработки информации; 
  • криптографическая защита информации. Симметричное и несимметричное шифрование. Средства криптографической защиты информации. Практические примеры применения криптографических методов защиты информации;
  • угроза утери информационных ресурсов компании и варианты защиты;
  • вирусная угроза и защита от вредоносных программ (вирусов);
  • защита автономных средств обработки информации, представленной в электронном виде;
  • защита корпоративных информационных сетей;
  • защита информационных ресурсов от атак через Интернет;
  • межсетевые экраны и виртуальные частные сети;
  • схема анализа хакерского вторжения;
  • защита информации с использованием систем Honeypot;
  • угрозы, связанные с продуктами-шпионами и способы защиты от них.


Практикум. Разбор кейсов и алгоритмов по теме

Тема 11.3. Аудит ИТ безопасности в компании. Стандарты безопасности информационных систем
  • анализ внутренних и внешних угроз информационной безопасности компании;
  • порядок проведения активного аудита ИТ безопасности в компании;
  • международные и российские стандарты безопасности информационных систем (ISO 17799, ГОСТ Р ИСО/МЭК 17799-2005)
  • американская концепция системного подхода к обеспечению защиты конфиденциальной информации (OPSEC Operation Security)


Практикум. Разбор кейсов и алгоритмов по теме


Модуль 12 Личная безопасность

Тема 12.1. Организация защиты первых лиц компании
  • системность в обеспечении личной безопасности первых лиц компании. Перечень мероприятий по обеспечению личной безопасности (физическая защита, юридическая защита, психологическая защита и т.д.);
  • правовые особенности работы телохранителей в России. Законодательство Российской Федерации об охранной деятельности (государственная охрана, ведомственная охрана, вневедомственная охрана, частная охрана). Что нужно знать физическому лицу, нанимающему телохранителей;
  • планирование охранных мероприятий по физической защите человека;
  • организация охранных мероприятий по физической защите руководителя (дом, офис, перемещение в городе, перемещение по стране и т.д.);
  • информационно-аналитическая работа, как составная часть работы телохранителей;
  • особенности обеспечения личной безопасности иностранных граждан.


Практикум. Разбор кейсов и алгоритмов по теме