Журнал «Директор по безопасности» by Андрей Сурков

16 ФИЛОСОФИЯ ЗАЩИТЫ

Технологии безопасности предприятия

56 ЕСТЬ РЕШЕНИЕ

80 ПРАВО

Режим коммерческой тайны в компании

Фотографии и видеозаписи в качестве доказательств

92 ИНСТРУМЕНТЫ БЕЗОПАСНОСТИ

Современные тенденции видеонаблюдения

ДИРЕКТОР ПО БЕЗОПАСНОСТИ www.s-director.ru июль 2012

ТЕХНИЧЕСКИЙ КОНТРОЛЬ ПЕРСОНАЛА ЦЕННОСТЬ ОБЛАДАНИЯ ИНФОРМАЦИЕЙ

WWW.S-DIRECTOR.RU

ОТ РЕДАКЦИИ

Совпадение интересов

лучилось необычное. ФБР проводит рекламную кампанию. Натурально, в городах Соединенных Штатов установлены рекламные билборды с лозунгом: «13 миллиардов утрачено. Защити коммерческие тайны Америки». То есть государственный, так сказать, регулятор предлагает частному бизнесу заботиться о себе, любимом. «В чем профит? – спросит пытливый читатель. – А как же «звериный оскал капитализма» и прочие штампованные аксиомы вроде «человек человеку волк в мире наживы и чистогана»?» Циничный российский опыт моментально рисует в воображении такого читателя чудовищные картины распила бюджетных зеленых денег, выделенных на реализацию доктрины информационной безопасности. Мол, надо же отчитаться – вот вам наглядная инфографика по всей стране. Если серьезно – конечно же, американцы как никто умеют считать деньги и, если уж тратят их, то только в случае ожидания прибыли, причем в корпоративных, а не в личных интересах. В данном случае ФБР отстаивает интересы корпорации под громким названием «USA», отыгрывая логическую цепочку «плохая безопасность – материальные потери – ухудшение положения на рынке – сокращение рабочих мест – снижение поступления налогов – ухудшение экономической ситуации», таким образом подразумевая, что безопасность отдельно взятой частной фирмы напрямую влияет на безопасность государства. В российском общественном сознании традиционно интересы частного бизнеса тождественны интересам одного единственного человека – владельца, а уж какие-то меры по безопасности этого бизнеса вообще воспринимаются как угроза государственным интересам – мол, главная задача бизнесмена – как-нибудь исхитриться и обмануть страну, коварно норовя оставить свою рубашку ближе к корыстолюбивому телу. Хотя, надо сказать, в последнее время заметны перемены в отношении истеблишмента к частной безопасности. Все чаще, хотя пока еще не в рамках системной политики, чиновники и общественные деятели различных уровней озвучивают мысль о том, что бизнесу сейчас просто необходимо дать в руки возможность обезопасить себя. Причем не только дать такую возможность, но и помочь в этом, поскольку безопасные вменяемые компании обеспечивают дополнительный приток инвестиций, а из экономически успешных маленьких компаний складавается успешность экономики страны. Мне кажется, это хорошая тенденция.

НИКОЛАЙ ДВОРЕЦКИЙ, главный редактор

Июль 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

WWW.S-DIRECTOR.RU

СОДЕРЖАНИЕ ИЮЛЬ 2012

ТЕХНИЧЕСКИЙ КОНТРОЛЬ ПЕРСОНАЛА

Следственный комитет и ФСБ России провели серию обысков в аэропорту «Домодедово»

7 12

КОРОТКО

ФИЛОСОФИЯ ЗАЩИТЫ Руководитель службы безопасности XXI века Технологии безопасности предприятия

12 16

Необходимо решить вопрос о разработке общегосударственной концепции защиты частной собственности Добейтесь большего от ваших камер видеонаблюдения Культура информационной безопасности Обзор зарплат: внутренний аудитор

24 26 30

ТЕМА НОМЕРА: ТЕХНИЧЕСКИЙ КОНТРОЛЬ ПЕРСОНАЛА Правовые основы контроля информационных потоков на предприятии

Работодатель является собственником телефонных линий и электронных сетей Распознавание речи в системах контроля персонала Технический контроль персонала: контур эффективности Собственный микробизнес сотрудников за счет компании «ПАПИЛОН»: Оперативная биометрическая идентификация личности Контроль корпоративной аудиоинформации Видеонаблюдение. БЛИЦ-ОПРОС Июль 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

38 42 44 48 52 55 3

WWW.S-DIRECTOR.RU

В СЛЕДУЮЩЕМ НОМЕРЕ

ДИРЕКТОР ПО БЕЗОПАСНОСТИ № 7 ИЮЛЬ 2012 Свидетельство ПИ № ФС77-31874 от 23 апреля 2008 г. Учредитель Николай Дворецкий Издатель ООО «Деловые Медиа» Руководитель проекта Константин Новиков Главный редактор Николай Дворецкий Макет Оксана Кудрич Ответственный секретарь Елена Розанова Верстка Ирина Гюнтнер Фото Мария Сбытова Корректор Ольга Абизова Реклама ООО «Рекламное агентство» «Отраслевые ведомости» Прямая линия Тел.: (499) 265-50-35, E-mail: ov@vedomost.ru Руководитель Марина Мячинова E-mail: m@vedomost.ru Директор по привлечению Юлия Нечупас E-mail: nechupas@vedomost.ru Директор по продажам Олег Блохин E-mail: blokhin@vedomost.ru Руководитель проекта Жанна Лубенец E-mail: lubenets@vedomost.ru Подписка в редакции ООО «Агентство подписки и продвижения «Алеф Принт» Тел.: (499) 277-11-12, 8-800-200-11-12

О современных рисках ИБ, кадровых и методологических проблемах и путях их решения ЕСТЬ РЕШЕНИЕ Устанавливаем режим коммерческой тайны Как в компании победить инсайдерство? Кого назначить ОзООПДн Разграничение доступа и парольная политика

56 62 66 68

Парольная политика представляет собой средство защиты информации, которое доступно любой организации Защита корпоративных данных: точная настройка Мероприятия. V Международный салон «Комплексная безопасность – 2012»

Менеджер Ирина Васильева Е-mail: podpiska@vedomost.ru Екатерина Стуканова E-mail: prodaga@vedomost.ru По каталогу «Роспечать» – индекс 83072 «Пресса России» – индекс 29730 Для СНГ и других стран ООО «Информнаука», Тел.: (495) 787-38-73 Е-mail: Alfimov@viniti.ru, www.informnauka.com

Приложенная к акту фотография, зафиксировавшая лист бумаги с объявлением «Магазин работает, вход через проходную», не может являться доказательством

Редакция не имеет возможности вступать в переписку, редактировать и возвращать не заказанные ею рукописи и иллюстрации. Мнение редакции может не совпадать с мнением авторов опубликованных материалов. Перепечатка материалов и использование их в любой форме, в том числе и в электронных СМИ, допускается только с письменного разрешения редакции.

74 78

Адрес редакции: 105066, Москва, Токмаков пер., д. 16, стр. 2 Тел./факс: +7 (903) 512-86-69 www.s-director.ru E-mail: info@s-director.ru

Редакция не несет ответственности за содержание рекламных материалов. Рекламируемые товары и услуги подлежат обязательной сертификации

Кадровая безопасность Проведение аттестации сотрудников Конфликты безопасников и айтишников

ПРАВО Фотографии, аудио- и видеозаписи в качестве доказательств

ИНСТРУМЕНТЫ БЕЗОПАСНОСТИ Как обезопасить информацию от утечек персональных данных клиентов? Правильный Интернет для бизнеса Современные тенденции в сфере видеонаблюдения Июль 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

86 88 92 5

НОВОСТИ

КОРОТКО «СБЕРБАНК» ОБЪЯСНИЛ, ПОЧЕМУ ОТКАЗЫВАЕТ КЛИЕНТАМ С БРАКОВАННЫМИ ПАСПОРТАМИ

вать ему заменить паспорт. При этом клиенту рекомендуется вручать копию данного письма», – сказал агентству представитель банка. newsru.com

Крупнейший российский банк «Сбербанк» может отказать клиенту в проведении операции, если тот предъявил подлинный паспорт, но без положенных водяных знаков либо с неформатной фотографией. Об этом сообщает «Прайм» со ссылкой на представителя банка. Собеседник агентства при этом сослался на разъяснение Федеральной миграционной службы, полученное банком в августе прошлого года. Согласно письму, подписанному замначальника управления по организации паспортной работы и регистрационного учета населения ФМС полковника внутренней службы Маленкова, ФГУП «Гознак» изготовило партию бланков паспортов гражданина РФ старого образца с техническим браком − без защитной полосы «МВД России», видимой в ультрафиолетовом диапазоне. Кроме того, судя по документу, часть граждан предъявляют паспорта с фотографиями неустановленного образца. Тем не менее в ФМС полагают, что заинтересованные лица могут по такой фотографии идентифицировать личность гражданина.

РАСПРОСТРАНЯЕМАЯ ЧЕРЕЗ FACEBOOK ВРЕДОНОСНАЯ ПРОГРАММА СПОСОБНА ОТКЛЮЧАТЬ АНТИВИРУСЫ

Компания Trend Micro сообщила, что пользователи социальной сети Facebook подверглись атаке вируса, способного отключать антивирусное ПО на компьютере жертвы. «Учитывая изложенное, при предоставлении паспорта с личной фотографией неустановленного размера либо не соответствующей требованиям, предъявляемым к ней, а также бланков паспорта гражданина РФ старого образца... полагали бы возможным рекомендовать гражданину заменить такой паспорт», − написал представитель службы. В «Сбербанке» данное разъяснение толкуют как возможность отказать клиенту в проведении операции. «Указанное письмо обязывает сотрудника банка при наличии в паспорте подобных фотографий или при отсутствии на бланке паспорта образца 1997, 2000 годов волнистой защитной полосы «МВД России» отказать гражданину в проведении операции и рекомендо-

СЛЕДСТВЕННЫЙ КОМИТЕТ РОССИИ НАЛАЖИВАЕТ СВЯЗИ С ФБР

В Следственном комитете России проведена рабочая встреча председетеля СК Александра Бастрыкина с генеральным прокурором США Эриком Холдером, в ходе которой обсуждены перспективы сотрудничества в борьбе с транснациональной преступностью, а также конкретные уголовные дела. В частности, американской стороне представлена информация о ходе расследования уголовных дел по факту убийства Пола Хлебникова, Анны Политковской, а также гибели Сергея Магнитского. Также отмечена проблема применения в американских семьях насилия по отношению к усыновленным в России детям. Со стороны СК России отмечено тесное взаимодействие с представителями ФБР США в расследовании сложных

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Июль 2012

По данным экспертов, вредоносная программа распространяется при помощи одного из популярных сервисов социальной сети. Жертва получает мгновенное сообщение от пользователя из своего списка контактов, содержащее ссылку на внешний источник. Если пользователь переходит по предложенной ссылке, вирус автоматически загружается на его компьютер. Загрузившись на компьютер жертвы, вредоносная программа отключает антивирусное ПО и создает бэкдор. Кроме того, данный червь может собирать информацию о просмотренных пользователем web-страницах, а также рассылать в социальных сетях сообщения от его имени. securitylab.ru

трансграничных преступлений. Так, исключительно благодаря совместным усилиям удалось изобличить и привлечь к ответственности педофилов Андрея Могилянского и Кеннета Шнайдера, граждан США, совершивших на территории России ряд преступлений сексуального характера в отношении несовершеннолетних. В соответствии с достигнутыми договоренностями тема защиты детей должна стать одной из главных во взаимоотношениях СК России и Минюста США. Кроме того, российской стороной высказана просьба относительно скорейшего рассмотрения компетентными органами США ранее представленного проекта соглашения о взаимодействии между СК России и ФБР США. Главы двух ведомств пришли к выводу о необходимости укрепления двустороннего взаимодействия по вопросам, представляющим взаимный интерес. legis.ru

WWW.S-DIRECTOR.RU

МАЛЫЙ БИЗНЕС ОСВОБОДЯТ ОТ НАЛОГА НА НОВОЕ ОБОРУДОВАНИЕ

ЗАКОНОПРОЕКТ О ПАТЕНТНОЙ СИСТЕМЕ ВОЗВРАЩАЕТСЯ

Госдума рассматривает законопроект о патентной системе. По словам председатель Госдумы Сергея Нарышкина, документ, внесенный еще Госдумой предыдущего созыва, учитывает интересы всех и стимулирует развитие малого бизнеса. «Этот закон, думаю, все фракции поддержат. Речь идет о вступлении в силу закона, который дает возможность для индивидуальных предпринимателей приобретать патенты на ведение определенного вида деятельности и освобождает предпринимателя от другой деятельности: от ведения бухгалтерии, от приобретении кассовых аппаратов», − отметил председатель нижней палаты. Согласно законопроекту, патентная система налогообложения будет применяться индивидуальными предпринимателями наряду с другими режимами налогообложения, предусмотренными законодательством о налогах и сборах. Налоговая ставка при патентной системе устанавливается в размере 6 %, а налоговый период составляет календарный год. Патент выдается по выбору индивидуального предпринимателя на период от 1 до 12 месяцев в пределах календарного года. При применении патентной системы налогообложения индивидуальный предприниматель вправе привлекать наемных работников, средняя численность которых не должна превышать за налоговый период 15 человек. При этом доход такого индивидуального предпринимателя от реализации по итогам налогового периода не должен будет превышать 60 млн рублей. Патентная система налогообложения может применяться в отношении 47 видов деятельности и вводится в действие законами субъектов РФ. Одновременно предусматривается сохранение системы налогообложения в виде единого налога на вмененный доход (ЕНВД) до 1 января 2018 года. При этом предусматривается добровольность, а не обязательность, как

«Госдума примет закон, который освободит малый бизнес от налога на новое оборудование», – сообщил журналистам глава думского комитета по бюджету и налогам Андрей Макаров. «Очень большая часть малого бизнеса работает на обычной системе налогообложения, потому что считает, что для него это выгодно, – констатировал Макаров. − Они (предприниматели) приобретают новое оборудование и сразу получают 2,8 % налога на имущество. Мы полагаем, что до конца этого года обязательно примем закон об освобождении недвижимого имущества и уже с нового года − с нового налогового периода − он вступит в действие». По словам председателя комитета, данная мера позволит значительно простимулировать малый бизнес в обновлении парка оборудования. «То есть мы простимулируем приобретение нового, модернизацию имеющегося оборудования», – заявил Макаров. Предполагается, что законопроект будет разработан комитетом Госдумы по бюджету и налогам. legis.ru

В АЭРОПОРТУ «ДОМОДЕДОВО» ПРОШЛА СЕРИЯ ОБЫСКОВ

Следственный комитет и ФСБ России провели серию обысков в аэропорту «Домодедово». Об этом пишет газета «Коммерсантъ».

Налоговая ставка при патентной системе устанавливается в размере 6 %, а налоговый период составляет календарный год сейчас, перехода на ЕНВД. Законопроект также предусматривает уведомительный, а не заявительный, как сейчас, порядок перехода организаций и индивидуальных предпринимателей на уплату единого сельскохозяйственного налога и на упрощенную систему налогообложения. Закон должен вступить в силу с 1 января 2013 года, за исключением отдельных положений, для которых установлены иные сроки. При этом субъектами РФ в 2012 году должны быть приняты законы о введении с 1 января 2013 года патентной системы налогообложения на территории соответствующего региона. legis.ru

Обыски проводились в рамках трех уголовных дел − о мошенничестве, фальсификации доказательств и нарушении тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений. Все эти дела были возбуждены в процессе расследования дела о необеспечении транспортной безопасности, которое завели в связи с терактом в аэропорту (само это дело недавно закрыли). Дело о прослушке возбудили после обнаружения «жучка» в кабинете топменеджера, работавшего в грузовом терминале. Дело о мошенничестве − после того, как выяснилось, что в «Домодедово» изготовили фиктивные документы о поставках авиатоплива ОАО «Красноярские авиалинии». Эта компания обанкротилась, и ее поручителем стал аэропорт «Внуково». По версии следствия, «Домодедово» в арбитраже незаконно потребовало с «Внуково» 224 миллиона рублей за топливо. Дело о фальсификации доказательств связано с делом о мошенничестве. Некоторые источники «Коммерсанта» подозревают, что обыски в «Домодедово» как-то связаны с арбитражным процессом. lenta.ru Июль 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

НОВОСТИ

МИНФИН ПРЕДЛАГАЕТ ВСЕ ЗАРПЛАТЫ СДЕЛАТЬ БЕЗНАЛИЧНЫМИ Все работодатели с 2013 года обязаны будут перечислять зарплату своим сотрудникам только в безналичной форме – на банковские карты. Соответствующие поправки в Трудовой кодекс Минфин уже вынес на обсуждение рабочей группы по вопросам развития безналичных платежей и на экспертизу в «ОПОРЕ России». Как пишут «Известия», такая мера позволит уменьшить затраты государства на наличный денежный оборот, снизить риски разбойных нападений на получателей зарплаты в день ее перечисления, а также повысить контроль за собираемостью налогов. Согласно поправкам в статью 136 ТК, деньги должны быть переведены работодателем строго на счет, который ему укажет сотрудник. Избежать этого смогут только фирмы, которые действуют в отдаленных районах, не охваченных банковскими услугами, а также компании с численностью персонала менее 35 человек (для розничной торговли − 20 человек). Причем поправки будут распространятся как на юрлиц, так и индивидуальных предпринимателей. По оценке зампреда комитета Госдумы по финансовому рынку Анатолия Аксакова, зарплатными проектами в городах еще не охвачено более 50 % предприятий, а если взять в расчет и сельское население, то цифра составит 70 %. По мнению президента «ОПОРЫ» Сергея Борисова, новация может добавить лишней работы небольшим компаниям. Особенно в случаях, если работники будут требовать, чтобы деньги переводились в разные банки, а не в один, как сейчас обычно делается в рамках зарплатных проектов. newsru.com

В РОССИИ ВПЕРВЫЕ БУДУТ СУДИТЬ МЕНЕДЖЕРА ЗА «ХИЩЕНИЕ» КАДРОВ

Тверской районный суд Москвы принял к рассмотрению иск банка «ДельтаКредит» к гражданке США Ларисе Файнзилберг, которая занимала пост заместителя председателя правления этой организации до 2011 года. Информация о деле опубликована на сайте суда. Как пишет «РБК daily», подобный судебный процесс в России состоится впервые. В банке утверждают, что Файнзилберг склоняла к увольнению других сотрудников учреждения, и просят суд запретить ей это делать. При этом ответчица нарушила пункт о неконкуренции, который содержался в ее трудовом договоре. В частности, Файнзилберг предлагала другим сотрудникам перейти на новую работу вместе с ней. При этом она якобы распространяла недостоверные сведения об отрицательных финансовых результатах банка по итогам прошлого года, а также о трудностях, которые ожидают «Дельтакредит» из-за смены акционера. В департаменте управления персоналом «ДельтаКредита» изданию сообщили, что после увольнения Файнзилберг банк потерял около десяти ведущих сотрудников, среди которых были вице-президент по развитию бизнеса, глава юриди8

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Июль 2012

Банк потерял около десяти ведущих сотрудников, среди которых были вице-президент по развитию бизнеса, глава юридической службы, а также руководитель самарского представительства банка ческой службы, а также руководитель самарского представительства банка. Сами сотрудники признавались, что приняли решение об уходе после беседы с бывшей зампредправления. Экс-менеджер «ДельтаКредита» считает претензии в ее адрес необоснованными. «Вину за текучку кадров, происходящую в «ДельтаКредит», они возлагают на других, вместо того чтобы удержать сотрудников», − заявила она. Смена места работы специалистами вслед за увольнением одного из топ-менеджеров является достаточно частым явлением для российской корпоративной практики. Так, в конце ноября 2011 года газета «Коммерсантъ» писала о подобной ситуации в головной

структуре «ДельтаКредита» − Росбанке. Тогда сообщалось, что банк покинет руководитель корпоративного направления − Олеся Афанасьева, а за ней уйдет еще около десяти сотрудников. Массовое увольнение менеджеров связывали с изменениями условий работы в банке. В Росбанке эту информацию опровергли. lenta.ru МИНКОМСВЯЗИ ВЫРАЗИЛО СОМНЕНИЕ В НАЛИЧИИ НЕОБХОДИМОСТИ НАЦИОНАЛЬНОЙ ОС

Согласно сообщению заместителя главы Минкомсвязи России Павла Пугачева, облачные технологии являются более приоритетными, чем разработка и развитие национальной операционной системы для госорганов. Об этом он сообщил на заседании комиссии Совета законодателей по развитию информационного общества. Кроме того, по словам чиновника, переход российских ведомств на свободное программное обеспечение (СПО) не является обязательным для увеличения экономической эффективности, передает РИА Новости. Как известно, переход государственных органов исполнительной власти на СПО до 2015 года предусмотрен распоряжением правительства. Кроме того, распоряжением № 2299-р Правительства РФ

WWW.S-DIRECTOR.RU

от 17 декабря 2010 года также предусмотрено создание единого репозитория СПО. Предполагается, что на его базе будут разрабатывать регламенты, стандарты и различные программы. «Сейчас технологии и тенденции в области IT направлены в область облачных вычислений. И создание операционной системы, которую можно было бы использовать во всех органах власти, не может заменить и получить тот эффект, которые дают сейчас облачные технологии», − заявил Пугачев. Выделять средства, сравнимые с затратами крупных софтверных компаний на разработку ПО, Россия не может. «Если брать такую компанию, как Oracle, затраты на разработки в ней составляют 4 миллиарда долларов в год. При этом понимая, что в пакете базового программного обеспечения у нас присутствует СУБД, сделать Oracle у нас, наверное, не получится», − пояснил представитель Минкомсвязи. Вместо этого, по заверениям Пугачева, государству следует создать условия, вынуждающие зарубежных производителей учитывать совместимость их продуктов с продукцией разработчиков СПО. securitylab.ru ОФШОРНЫЕ ПРИБЫЛИ ОБЛОЖАТ НАЛОГОМ

Минфин России готовится обложить налогом офшорные прибыли российских холдингов. Новые налоговые правила пока распространятся только на юридические лица, сообщают «Ведомости». В итоговом варианте «Основных направлений налоговой политики на 2013 г. и плановый период 2014 и 2015 гг.» (одобрен правительством) Минфин анонсировал введение в законодательство налогообложения нераспределенной прибыли иностранных контролируемых компаний. Не выплаченный собственникам доход таких компаний или его часть будет облагаться налогом на прибыль (20 %) у материнских структур в России. О физических лицах речи нет. Минфин указывает, что мера позволит бороться с выводом дохода

материнской компании под действие низконалоговых юрисдикций. Проработать правила, по которым российский резидент должен сам декларировать и платить налог с доходов от иностранных активов, Владимир Путин поручил 5 марта. В мире такие компании известны как CFC (controlled foreign company). В министерстве настроены побыстрее написать законопроект о CFC, но пока дальше того, что написано в «Основных направлениях», не продвинулись. По словам чиновника Минфина, проект должен быть готов в июне. Принимая закон о CFC, нужно учитывать, что он может спровоцировать уход холдингов из страны: так вышло в Великобритании, и тогда британцы провели реформу законодательства в этой области и с 1 апреля смягчили его. legis.ru FORBES НАЗВАЛ ЛУЧШИЕ ДЛЯ БИЗНЕСА ГОРОДА РОССИИ

Самым лучшим для ведения бизнеса российским городом оказался Сочи. Об этом свидетельствуют результаты исследования Forbes «30 лучших городов для бизнеса – 2012». В список впервые были включены Москва и СанктПетербург, но оказались в самом его конце – на 27-м и 29-м местах.

Рейтинг составлялся с учетом нескольких показателей, включая кадровые и финансовые ресурсы, инфраструктуру, административные барьеры, налоги и численность населения. Для выбора критериев оценки редакция журнала изучила три исследования: «Измерение бизнес-климата в регионах России» (РЭШ и Ernst & Young), исследование предпринимательского климата в российских регионах, проведенное по заказу «ОПОРА России», и Doing Business Всемирного банка. Второе и третье место заняли Уфа и Челябинск, незначительно уступившие лидеру. По сравнению с предыдущим исследованием, которое проводилось в 2010 году, тройка полностью сменилась − тогда во главе таблицы были Краснодар, Хабаровск и Екатеринбург. В десятку также попали Тюмень, Нижний Новгород, Махачкала, Казань, Улан-Удэ и Краснодар. Замкнул список 30 городов Ростов-на-Дону. Успех Сочи был предопределен графой «доступность финансовых ресурсов». По этому показателю он намного обогнал своих ближайших преследователей. lenta.ru

ПРАВИТЕЛЬСТВО РФ ТЕСТИРУЕТ СИСТЕМУ ЭЛЕКТРОННЫХ ДОКУМЕНТОВ

На расширенном заседании коллегии Минкомсвязи Дмитрий Рогозин заявил, что в ближайшее время в России могут ввести систему электронных документов. Так, ожидается, что электронные документы заменят внутренний паспорт, а также медицинскую и социальную карты граждан страны. Кроме того, планируется, что специальный документ будет создан и для иммигрантов, въезжающих в страну. В паспорта нового поколения встроят специальные микросхемы, позволяющие каждому ведомству получать доступ к ограниченной, необходимой ему информации о человеке. Рогозин отметил, что в настоящее время испытания новых микросхем проходит на базе трех производителей − ОАО «НИИМЭ и Микрон», ОАО «Ангстрем-М» и ЗАО «Атлас-карт». securitylab.ru Июль 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

НОВОСТИ

ЗА ДЕНЬ МОШЕННИКИ ПЫТАЮТСЯ ПОХИТИТЬ СРЕДСТВА ИЗ РОССИЙСКИХ СИСТЕМ ДБО 15-20 РАЗ В среднем в течение одного дня хакеры совершают 15-20 попыток хищения финансов из российских систем ДБО. При этом за раз хакеры пытаются похитить около 400 тысяч рублей, сообщил начальник управления информационной безопасности ОАО «Россельхозбанка» Артем Сычев в ходе конференции Positive Hack Days 2012. Сколько попыток оказывается удачными, он не уточнил. По словам эксперта, такие данные удалось получить по итогам исследования с участием более чем 200 кредитных организаций, располагающихся на территории России. Вместе с тем Сычев подчеркнул, что в настоящий момент в РФ имеется 800 банков, поэтому реальный уровень угрозы может оказаться значительно выше. Причина упаднического положения в отечественном интернет-банкинге, по заверениям эксперта, не всегда в технологиях. «Проблемы в головах банковских менеджеров по безопасности и простых пользователей», − пояснил он. Как пользователи, так и некоторые российские банки уделяют недостаточное количество внимания вопросам информационной безопасности. Эксперт утверждает, что в некоторых кредитных организациях вовсе не осознают, что подобный инцидент может произойти, а некоторые держатели банковских карт до сих пор записывают пин-код на обороте самой карты. Очевидным выходом из ситуации Сычев считает развитие методов предупреждения пользователей о возможных угрозах при использовании подобных технологий. securitylab.ru

ОБМАН ПО БЕЗНАЛИЧНОМУ РАСЧЕТУ

Центральный банк обеспокоен ростом потерь от мошенничеств, совершаемых с помощью терминалов, банкоматов и прочих каналов удаленного доступа к банковским счетам, сообщает «Коммерсантъ». В 2011 году ЦБ зафиксировал 40-процентный рост потерь от мошенничеств по безналичным расчетам. Согласно статистике, приведенной начальником главного управления безопасности и защиты информации Банка России О. Крыловым на заседании прошедшего в ЦБ круглого стола по проблемам безналичных и наличных расчетов, первое место занимают хищения через удаленные терминалы, на их долю приходится 58 % объема всех потерь, 40 % средств мошенники украли с помощью банкоматов, в оставшихся 2 % потерь большая часть приходится на расчеты через электронные деньги. Основным способом хищений с использованием банкоматов является скимминг, далее следуют взломы и хищения путем физических атак. По данным МВД, ущерб от мошеннических операций с картами в прошлом году вырос на 36 % и составил 1,6 млрд руб. Статистика по мошенничествам с наличностью, притом что на операции с ней приходится 90 % всех денежных трансакций, по мнению ЦБ, выглядит позитивнее. Впрочем, общего объема потерь от подделки банкнот, краж и 10

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Июль 2012

нападений на инкассаторов господин Крылов не привел. По мнению ЦБ, росту мошенничества по безналичным операциям способствует несколько факторов − в частности, небольшая доля карт с чипами, более защищенных от несанкционированного доступа, чем магнитные, а также незащищенность рынка электронных платежей. legis.ru IKEA УВОЛИЛА 4 ТОП-МЕНЕДЖЕРОВ ИЗ-ЗА СЛЕЖКИ ЗА ПЕРСОНАЛОМ И КЛИЕНТАМИ

Французское подразделение IKEA уволило четырех топменеджеров из-за слежки за персоналом и клиентами. Компанию покинут бывший управляющий директор, бывшая директор по персоналу, бывший финансовый директор и действующий директор по управлению рисками. Le Parisien пишет, что ранее эти сотрудники были зачислены в кадровый резерв. По информации издания, бывший глава подразделения − это Жан-Луи Байо (Jean-Louis Baillot), который занимал пост в 1996-2009 годах, бывшая директор по кадрам − Клэр Эри (Claire Hery), директор по управлению рисками − Жан-Франуса Пари (Jean-Franois Paris). Имя бывшего финансового директора неизвестно. Топ-менеджеров IKEA France обвинили в шпионаже в феврале этого года.

Руководство французского подразделения шведской компании покупало информацию из полицейской базы Stic для слежки за клиентами и сотрудниками Сатирический еженедельник Canard enchaine написал, что руководство французского подразделения шведской компании покупало информацию из полицейской базы Stic для слежки за клиентами и сотрудниками. В распоряжении влиятельного издания оказались, в том числе, и электронные письма, которые косвенно подтверждали факт шпионажа. lenta.ru

WWW.S-DIRECTOR.RU

ФБР ЗАПУСТИЛО РЕКЛАМНУЮ КАМПАНИЮ В ЗАЩИТУ КОММЕРЧЕСКОЙ ТАЙНЫ

Федеральное бюро расследований разместило в девяти городах США билборды со слоганом «13 миллиардов утрачено. Защити коммерческие тайны Америки». Билборд содержит ссылку на сайт ФБР. Кампания связана с учащением случаев утечки коммерческих тайн в компаниях США, что приводит к потере рабочих мест и ухудшению экономической ситуации в стране. Об этом заявил The Wall Street Journal помощник директора ФБР по контрразведке Фрэнк Фильюцци (Frank Figliuzzi). Если учесть все дела, касающиеся утечки коммерческих тайн в США с октября 2011 года, суммарные убытки американских компаний составили 13 миллиардов долларов, сообщил представитель ФБР. В расчет включена предполагаемая ценность коммерческих тайн на рынке. В качестве примера утечки коммерческой тайны ФБР приводит судебное дело о незаконной передаче информации сотрудником химической компании Lubrizol в Кливленде (штат Огайо) Кьюн Кимом корейскому конкуренту SK Chemicals. Кьюн Ким был приговорен к 19 месяцам лишения свободы и выплате компенсации в размере 189 тысяч долларов. The Wall Street Journal отмечает, что ФБР редко проводит рекламные кампании и обычно не афиширует свою деятельность. lenta.ru

В КАБИНЕТЕ ЗАМГЛАВЫ ФСИН НАШЛИ «ЖУЧКИ»

Скандал с прослушкой разгорелся в Федеральной службе исполнения наказаний (ФСИН). Первый замглавы ведомства Эдуард Петрухин подозревался в том, что собирает компромат на своего шефа Александра Реймера. Сотрудники ФСБ действительно нашли «жучки», однако, как оказалось, кто-то прослушивал самого Петрухина. Источники, близкие к руководству ФСИН, рассказали, что Петрухин был вызван в свой кабинет 21 апреля. Там его уже ожидали глава ведомства Александр Реймер, замминистра юстиции Алу Алханов и группа сотрудников управления собственной безопасности ФСИН. Они сообщили, что имеются подозрения на то, что в кабинете замглавы ФСИН установлены устройства, «слушающие» Реймера, кабинет которого расположен прямо под кабинетом Петрухина. В поисках «жучков» оперативники проломили часть стены рабочего кабинета и действительно обнаружили незаконно установленные прослушивающие устройства. Однако выяснилось, что слежку вели за самим Петрухиным. Спецслужбы отследили, куда ведут провода от «жучков». Теперь оперативникам предстоит выяснить, кто собирал компромат на замглавы ФСИН. Как пишет газета «Известия», сразу после инцидента у Петрухина состоялся непростой разговор с Реймером. Он проходил на повышенных тонах. Конфликт удалось погасить только после вмешательства Алу Алханова. dni.ru

ФИЛОСОФИЯ ЗАЩИТЫ | КОМПЛЕКСНАЯ БЕЗОПАСНОСТЬ

ФИЛОСОФИЯ ЗАЩИТЫ

Руководитель службы безопасности

CLIPART DESIGN / SHUTTERSTOCK.COM

XXI века

Современная безопасность бизнеса – многоуровневый, непрерывный бизнеспроцесс, система управления которым предполагает анализ широкого спектра корпоративных рисков и угроз, разработку предложений для принятия управленческих решений по минимизации утрат в результате деятельности Компании. Результативность работы системы безопасности зависит от целого ряда факторов, но фигура руководителя, несомненно, видится в этой модели ключевой. Чтобы уметь анализировать, прогнозировать, моделировать обстановку, принимать верные решения по всем направлениям, в идеале человек на этой должности обязан обладать глубокими и всесторонними экономическими и правовыми познаниями, иметь опыт в области защиты бизнеса, обширные рабочие контакты с государственными органами, разбираться в современных информационных технологиях, бизнес-процессах и управлении сложными системами. В результате личность руководителя СБ рисуется в нашем воображении в образе некоего супермена и теряется в облаках. Поэтому мы попросили СЕРГЕЯ КАШУРНИКОВА, директора по безопасности аптечной сети «36,6», создать для наших читателей портрет оптимального современного руководителя СБ коммерческой компании. 12

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Июль 2012

WWW.S-DIRECTOR.RU

СЕРГЕЙ КАШУРНИКОВ

Руководитель службы безопасности XX века: case study на самом себе В 1969 г. я закончил Горьковское зенитно-ракетное училище, получил звание лейтенанта и диплом радиотехника войск ПВО страны. С 1969 по 1992 г. был офицером советской армии, дослужился до звания подполковника. Как человек активный, был избран секретарем комитета комсомола части, затем проходил службу на различных должностях, как сейчас называют, в воспитательных органах. Здесь потребовалось гуманитарное образование. Я получил его заочно на историческом факультете МГУ им. М. В. Ломоносова, был командирован за границу, по возвращении перешел на работу в Центр социальных, психологических и правовых исследований Министерства обороны СССР и впоследствии защитил кандидатскую диссертацию на тему: «Негосударственная система обеспечения безопасности российского общества на современном этапе: политологический анализ». В 1990-е гг. вышел в отставку. Небольшая пенсия по выслуге лет, возраст – 43 года и мой достаточно высокие амбиции исключили для меня возможность провести остаток лет на рыбалке. Честно говоря, поначалу мне казалось, что перестройка и демократизация не приведут к смене общественно-политической формации в государстве и все потихоньку вернется на круги своя, но вышло все по-другому. У меня же на тот момент сил и энергии было еще хоть отбавляй, к тому же я обладал армейским опытом и приобретенными на идеологической работе навыками «инженера человеческих душ». С учетом полученной за годы армейской службы жизненной, общественно-политической и военной практики, нетрудно было понять: мой профессиональный опыт стал никому уже не нужен, зато военная выправка и навыки работы с людьми могут стать для меня пропуском в новую жизнь. В эпоху рэкета и криминальных разборок я, как многие отставные военные, нашел себя в нарождающихся структурах

негосударственной системы безопасности: стал охранником в холдинге одного из олигархов «первой волны» – ТОО «Группа «МОСТ». Поначалу открывал ворота и сидел у мониторов, но время шло и стало скучно. И я понял, что надо двигаться дальше. На что рассчитывал? На то, что если приму правильное решение, то справлюсь. Я считаю: когда дела идут не так, как хочется, значит, надо принимать какое-то решение и устраиваться в новой жизни. И за последующие годы я вырос до начальника службы физической охраны группы объектов, находящихся в собственности г-на Гусинского. Отвечал за физическую охрану НТВ, ТНТ, издательств журнала «7 дней», «Караван» и газеты «Сегодня», радио «Эхо Москвы» и еще многих частных предприятий, стремительно возникавших в это время. Никаких МВА по безопасности и курсов повышения квалификации я не заканчивал – их тогда и не было, да и официально не существовало самой профессии «безопасник коммерческой структуры». Были малиновые пиджаки, голодные семьи и потребность бизнеса в организации своей безопасности. По-

вые технологии и подходы в условиях ограниченных ресурсов. Требованием времени стало не просто обеспечение безопасности объектов собственности любыми средствами, а создание рациональной системы защиты собственности при разумном использовании финансовых, кадровых и интеллектуальных ресурсов. И тут понадобились, наконец, и мой военный опыт, и гуманитарное политологическое образование, и практический опыт работы в охранных структурах, и все остальное.

Эстафета поколений: директор СБ XXI века Новое поколение специалистов по безопасности призвано решать задачи широчайшего спектра, основываясь на знаниях математического анализа рисков в технологической, технической, физической и экономической сферах. Разрабатывать экономическое обоснование систем защиты собственности немыслимо без глубокого изучения влияния факторов риска и моделирования их последствий. Поэтому такого рода профессионалов надо готовить и растить совершенно в новой парадигме

Умение договариваться с государством перестало быть ключевым, хотя в нашей стране и это будет всегда крайне необходимо сле известных событий, в результате которых Гусинский стал персоной «нон грата», компания перестала существовать как единое целое, ее разделили на части. Я возглавил частное охранное предприятие. А 9 лет назад был приглашен в компанию «Аптечная сеть «36,6». В то время она работала только в московском регионе и насчитывала немногим более 1000 человек персонала. Мой приход в эту организацию был продиктован временем. Эпоха так называемых «решал» уходила в небытие, и требовались руководители СБ, способные системно выстраивать и обеспечивать безопасность, используя но-

концепции безопасности бизнеса. Военного опыта в горячих точках, большой выслуги лет и даже больших звезд на погонах сегодня недостаточно для того, чтобы заниматься организацией защиты хозяйствующего субъекта. Умение договариваться с государством перестало быть ключевым, хотя в нашей стране и это будет всегда крайне необходимо, и все произошедшее с Гусинским является свидетельством тому. Приоритетным качеством становится умение осуществлять анализ информации о состоянии рынков и финансовых потоков компании, но специалисты такого профиля не всегда могут справиться с Июль 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ФИЛОСОФИЯ ЗАЩИТЫ | КОМПЛЕКСНАЯ БЕЗОПАСНОСТЬ

ТРЕБОВАНИЯ РЫНКА БЕЗОПАСНОСТИ К СПЕЦИАЛИСТАМ ТРЕБОВАНИЯ К КВАЛИФИКАЦИИ

СПЕЦИАЛИСТЫ

ПРОФЕССИОНАЛЬНЫЕ КОМПЕТЕНЦИИ

Руководитель предприятия безопасности

Высшее профессиональное образование

Удостоверение о переподготовке с правом ведения нового вида деятельности

Аналитик

Высшее профессиональное образование

Профессиональный сертификат

Аудитор (внутренний аудит)

Высшее профессиональное образование

Диплом внутреннего аудитора (по программе сертификации CIA, CFSA, CCSA)

Внутренний контролер

• Высшее профессиональное образование (экономическое) • Доп. спец. подготовка

Диплом специалиста по внутреннему контролю

Менеджер экономической безопасности

Высшее профессиональное образование

• Диплом специалиста (экономика) • Диплом о переподготовке с правом ведения нового вида деятельности

Риск-менеджер

• Высшее экономическое и/или юридическое образование • Стаж работы

Удостоверение о переподготовке с правом ведения нового вида деятельности

криминальной угрозой или рейдерской атакой. Совместить в одном профессионале все необходимые качества и подготовить полноценного современного руководителя стало приоритетной задачей текущего момента. Достаточно профессионально решается эта задача (на мой взгляд) на кафедре «Анализ рисков и экономическая безопасность» Финансового университета при Правительстве РФ, до-

центом которого я являюсь. На кафедре создана современная научная школа, позволившая занять университету ведущее место среди профильных вузов страны. Формально составить в настоящее время программу для обучения будущего специалиста по безопасности довольно просто. Потому что в отличие от недавних времен, сегодня уже выстроена стройная система профессиональной

CLIPART DESIGN / SHUTTERSTOCK.COM

Сегодня уже выстроена система образования для профессии специалиста-управленца в сфере негосударственной безопасности

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Июль 2012

подготовки специалиста-управленца в негосударственной сфере безопасности. В таблице представлены современные требования к различным специальностям системы экономической безопасности, которые в дальнейшем, при наращивании познаний и навыков позволят продвигаться по карьерной лестнице и дорасти до руководителя подразделения безопасности крупной коммерческой структуры. Кафедра предлагает хорошую возможность учиться не только с нуля, а пошагово совершенствовать знания и навыки людям, которые уже имеют высшее профессиональное образование и занимаются практическими вопросами экономической безопасности: сначала можно получить сертификат на коротком вводном тренинге, потом удостоверение о краткосрочном повышении квалификации, затем диплом о профессиональной переподготовке или профессиональный сертификат в области менеджмента и, высшей ступенью профессиональной подготовки станет диплом магистра экономики по специальности «анализ рисков и экономическая безопасность», т. е. второе высшее образование. Теоретически человек с дипломом специалиста в области безопасности должен уметь комплексно управлять рисками, используя технические, информационные, организационные, финансовые, кадровые, правовые и интеллектуаль-

WWW.S-DIRECTOR.RU

Наши юристы приложат все усилия, чтобы охранная организация компенсировала наши убытки CLIPART DESIGN / SHUTTERSTOCK.COM

ные ресурсы. В его компетенцию входит решение следующих главных задач: сбор, обобщение и анализ информации, связанной с деятельностью организации, прогнозирование тенденций развития социально-экономических и технологических процессов, выбор оптимального режима функционирования системы безопасности в конкретной ситуации; разработка обоснованных предложений владельцу бизнеса по совершенствованию экономической безопасности, а также поиск и внедрение эффективных методов, прогрессивных приемов и средств противодействия рискам и угрозам бизнеса, исходящим как извне, так и изнутри, с любой стороны. В повседневном режиме работы руководитель подразделения экономической безопасности занят выявлением, оценкой и предотвращением угроз, а также развитием и корректировкой программ обеспечения безопасности и работой с кадрами. При обнаружении нерегулярных угроз, требующих пресечения, он должен скорректировать планы, подтянуть ресурсы, создать антикризисную группу, поставить ей задачу и курировать процесс ее решения. Подобные задачи стояли и перед нами, например, в недавнее лето, когда в Москве и Подмосковье горели торфяники (предприятия сети были окружены пожарами). В кризисной ситуации, требующей отражения угрозы или локализации противника (которым может быть человек или компания, а также экономический кризис в мире или технический дефолт в отдельной компании), руководитель СБ обеспечивает полную готовность не только своего подразделения, но и всего персонала фирмы к соответствующим действиям. Он инициирует формирование и курирует работу совета по безопасности, одновременно привлекает иные структуры – силовые, государственные, финансовые и др. – для разрешения возникшей нестандартной ситуации. При этом важно понимать, что источниками угроз в подобных случаях может быть и собственный персонал, и недобросовестные чиновники, криминальные структуры, конкуренты.

В аптечной сети «36,6» ведется постоянный анализ прецедентов нарушения рубежей защиты бизнеса, мы анализируем факты, разрабатываем меры противодействия и учим персонал, которого касаются те или иные опасности, как им противостоять или минимизировать утраты любых ресурсов. Провизорам и фармацевтам выдаются рекомендации по поводу того, как определять мошенников, воров и грабителей «на глаз», прививаются навыки при их появлении вести себя компетентно, корректно и не забывать при этом об эффективной защите собственной жизни и бизнеса. У нас любая женщина-провизор в аптечном учреждении знает, как своевременно вызвать пультовую охрану и не пострадать самой. А наши юристы в случае, если сотрудники ГБР предприятия оказывающего на договорной основе услуги пультовой охраны приехали позже, чем установлено в договоре, а в результате мы потеряли деньги, ТМЦ, приложат все усилия, чтобы охранная организация компенсировала все наши убытки. Специалисты IT разрабатывают комплекс мер по предотвращению угроз для информационных ресурсов, инженерно-техническая служба обеспечивает должную защиту сооружений от форс-мажорных обстоятельств и т. д. Как профессионалы, мы постоянно бежим наперегонки с обстоятельства-

ми и преступниками всех сортов. Это конкурентный бизнес-процесс. Мы защищаемся от них, они нападают на нас. Главное, чтобы тебя не застали врасплох. А для этого надо уметь анализировать ситуацию, моделировать процессы, адекватно оценивать угрозы и своевременно принимать верные решения. Такие навыки важны в любые времена. Сегодня, конечно, требуется еще и определенная система современных знаний, информационной, технологической, экологической и правовой защиты, позволяющих разрабатывать необходимые меры и эффективно их реализовывать. «Позвонковый» генерал не может сегодня решить задач безопасности, для этого нужен человек, который разбирается в коммерции и безопасность воспринимает как составную часть бизнес-процессов. Молодым специалистам по безопасности XXI в. надо начинать с того направления безопасности, которое лучше всего им дается, а по мере карьерного роста уже осваивать новые профессиональные знания, совершенствовать практические навыки. Действующим специалистам любого уровня не надо стесняться садиться за «парту» и осваивать новые инновационные технологии в безопасности, совершенствовать навыки и умения. Но главное, надо уметь принимать решения и брать ответственность на себя! Это в безопасности первое дело. Июль 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ФИЛОСОФИЯ ЗАЩИТЫ | КОМПЛЕКСНАЯ БЕЗОПАСНОСТЬ

Технологии безопасности предприятия: от оперативного решения возникших проблем к риск анализу В обсуждении этой темы принимает участие заместитель проректора по научным исследованиям и разработкам, заведующий кафедрой «Анализ рисков и экономическая безопасность» Финансового университета при Правительстве Российской Федерации, генерал-лейтенант полиции, доктор юридических наук, профессор ВЛАДИМИР АВДИЙСКИЙ. 16

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Июль 2012

WWW.S-DIRECTOR.RU

ачавшиеся в конце прошлого века в России процессы реформирования экономики и демократические преобразования, которые потом нашли свое закрепление в Конституции и других законодательных актах, регламентирующих деятельность хозяйствующих субъектов, существенно изменили структуру форм собственности, а также методы государственного регулирования экономики в целом. Это, в свою очередь, предопределило сегодня необходимость не только существенно повысить уровень и качество обеспечения защиты частной собственности, но и модернизировать это направление экономической деятельности (имеется в виду оказание широкого спектра современных специфических услуг). В соответствии с действующим законодательством сегодня участники любого общества (хозяйствующие субъекты) обязаны функционировать исключительно в интересах собственников и за счет средств, которые они передали этим обществам. При этом руководители хозяйствующих субъектов должны принимать все необходимые меры по эффективному использованию вверенного обществу имущества в целях его приумножения и получения прибыли, защите интересов собственников, а также самой собственности от любых преступных посягательств. Однако, как свидетельствует фактическое положение дел, на сегодняшний день значительное количество хозяйствующих субъектов не обеспечивает на должном уровне защиту интересов своих собственников, в том числе инвесторов. Ежегодно большое количество различных предприятий подвергается рейдерским захватам, в их стенах совершаются значительные хищения материальных ценностей, процветает корпоративное мошенничество, широкое распространение получил должностной подкуп. В отдельных компаниях, прежде всего крупных, имеет место организация теневого производства, дают о себе

На сегодняшний день значительное количество хозяйствующих субъектов не обеспечивает на должном уровне защиту интересов своих собственников знать корпоративная коррупция и другие негативные моменты. Все это в совокупности не только причиняет существенный вред собственникам (акционерам), инвесторам, но и подрывает экономическую стабильность компаний, делает их неконкурентоспособными, инвестиционно не привлекательными и в конечном итоге создает угрозу для экономической безопасности государства в целом. Как показывает практика, основной причиной сложившегося положения дел в сфере экономики является несовершенство действующего законодательства, в стране отсутствует единая общегосударственная концепция защиты частной собственности, из-за чего основная деятельность в сфере защиты интересов собственников, инвесторов на сегодняшний день практически сведена к организации охранной деятельности хозяйствующих субъектов. При этом сами охранники в силу специфики своих функций не заинтересованы в защите интересов собственников, инвесторов и не несут никакой ответственности за причиненный им ущерб. Опыт становления и развития российского бизнеса свидетельствует о том, что за последние десятилетия крайне усложнился сам процесс управления корпоративными структурами, причем он находится в прямой зависимости не только от уровня развития экономики, но и от процессов, происходящих в различных сферах жизни и деятельности государства и общества в целом. Сегодня уже ни у кого не вызывает сомнения тот факт, что эффективность бизнеса независимо от форм его собственности и уровня капитализации во многом обусловлена средой его функционирования, как внутренней, так и

внешней. Это находит свое выражение в широком спектре постоянно и динамично меняющихся опасностей и угроз, способных оказывать негативное воздействие на результаты деятельности компании, уровень ее безопасности, конкурентоспособность и т. д. Все это в комплексе приводит к тому, что на современном этапе развития экономики проблема обеспечения безопасности становится многоплановой задачей, которая выходит за рамки охранной функции. При этом сама организация безопасности требует комплексного подхода с учетом специфики и конкретных условий деятельности компании, на основании которых определяются отдельные направления, по которым и обеспечивается защита собственников, инвесторов, наращивается конкурентоспособность. В числе таких направлений охранной деятельности могут быть, например, охрана объекта, обеспечение личной безопасности руководителя, сотрудников, а также информационной безопасности, защита коммерческой тайны, материальных, денежных ценностей от расхищений, противодействие корпоративному мошенничеству, коррупции, а также рейдерскому захвату компании, контроль за лояльностью сотрудников по отношению к корпоративным интересам и т. д. На современном этапе государственного строительства, в условиях осложнения производственно-хозяйственных связей хозяйствующих субъектов, вхождения России в ВТО, нарастающих процессов глобализации экономики, в целях обеспечения защиты интересов собственников, инвесторов необходимо в первую очередь решить вопрос о разработке общегосударственной концепции защиты Июль 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ФИЛОСОФИЯ ЗАЩИТЫ | КОМПЛЕКСНАЯ БЕЗОПАСНОСТЬ

едеральное государственное образовательное бюджетное учреждение высшего профессионального образования «Финансовый университет при Правительстве Российской Федерации» – один из старейших российских вузов, готовящих экономистов, финансистов и юристов по финансовому праву. Университет прошел путь от института, академии, специализирующихся на подготовке специалистов в финансово-банковской сфере, до крупного научно-образовательного комплекса, в структуре которого 14 факультетов, 55 кафедр, 5 институтов, 3 высших школы, 7 научно-исследовательских институтов и центров, 3 учебно-научныe лаборатории, 11 филиалов в семи регионах России. Университет ежегодно осуществляет подготовку около 23000 студентов, в том числе свыше 11000 студентов по программам высшего профессионального образования (бакалавриат – специалитет – магистратура), около 10000 студентов по программам среднего профессионального образования, более 300 человек по программам МВА и до 20000 слушателей по программам профессиональной переподготовки и повышения квалификации.

частной собственности. Следующим этапом должно стать внедрение в российскую действительность системы обеспечения экономической безопасности хозяйствующих субъектов, основанной на общегосударственных стандартах, которые, в свою очередь, должны соответствовать и международным требованиям. Следует также иметь в виду, что задачи корпоративной службы безопасности значительно изменились за последние пять-семь лет – все бизнес-процессы плотно переплелись, информатизация увеличила их интенсивность и связность, что вкупе с усилением государственного контроля сформировало новую многостороннюю систему угроз, требующих 18

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Июль 2012

от бизнеса постоянного контроля за состоянием экономической стабильности компаний, уровнем их конкурентоспособности. Как следствие, в организациях, переживших кризис, изменилась модель управления СБ, требования к квалификации ее руководителя и сотрудников. Основным направлением их деятельности в современных реалиях прежде всего становится своевременное выявление и устранение причин и условий, оказывающих дестабилизирующее влияние на деятельность компании. В ответ на эти вызовы времени опытный практик и теоретик в сфере безопасности Владимир Авдийский создал систему обучения, которая нацелена на развитие ключевой компетенции современного специалиста по безопасности – способности управлять рисками в деятельности хозяйствующих субъектов различных форм собственности и уровня капитализации. На созданной им кафедре «Анализ рисков и экономическая безопасность» молодежь «с нуля» постигает все тонкости столь востребованной в настоящее время профессии специалиста по безопасности. А на курсах повышения квалификации при Финансовом университете, являющихся частью единой системы сквозного обучения, сотрудники СБ различных фирм, в том числе и ведущих компаний России, совершенствуют свои навыки.

Модель современного управления системой безопасности предприятия Владимир Иванович, давайте начнем с того, как устроена в вашем понятии современная служба безопасности крупного предприятия. Потому что, поняв, что собой представляет сегодняшняя модель и каковы механизмы ее функционирования, можно будет разобраться, почему вы ввели именно такую специальность

и в чем суть вашей системы обучения. Вы ведь считаете, что пребывание в стенах вашего учебного заведения полезно не только начинающим, но и уже опытным специалистам по безопасности, так как именно у вас они могут научиться успешно решать задачи службы СБ в изменившейся реальности. Надо сказать, что мы не столько придумали нечто новое, сколько увидели и систематизировали главные современные тренды отрасли. Любое предприятие в нашем понятии не аморфно и по сути является «живым организмом»; более того, оно есть не что иное, как результат деятельности групп людей, и, естественно, должно полностью подчиняться их интересам. Главная изюминка любых бизнес-процессов компании заключается в том, что люди все время принимают некие решения, так или иначе оказывающие определенное влияние на конечный результат ее деятельности, а вернее сказать, такие решения, которые позволяют обеспечить реализацию стратегической цели организации. Саму стратегию развития, естественно, определяют владельцы компаний, у каждой из них независимо от форм собственности и уровня капитализации она имеется. Практика показывает, что указанный алгоритм функционирования предприятий является основополагающим, поэтому он в обязательном порядке учитывается при разработке их системы защиты, а по сути дела, при отстаивании интересов собственников, в том числе инвесторов. На современном этапе развития мирового сообщества, в том числе и нашего государства, существует огромное количество функциональных рисков, которые сильно влияют на экономические процессы как на макро-, так и на микроуровне. Как свидетельствует анализ, по мере движения общества вперед, усложнения экономических процессов указанные функциональные риски имеют тенденцию к росту как в количественном, так и качественном отношении. Если срав-

WWW.S-DIRECTOR.RU

нить финансовые, страховые, производственные, операционные и другие риски внешней и внутренней среды функционирования хозяйствующих субъектов прошлых лет и современные, то мы увидим, насколько изменился их характер. Причем стоит обратить внимание на то, что прежде они в какой-то мере управлялись различными подразделениями. Между тем оптимальная работа компании возможна лишь в том случае, когда управление всеми этими рисками эффективно согласовано, а приоритеты этого управления выставлены в соответствии с задачами бизнеса, особенностями отрасли и состоянием рынка. Иногда главным фактором риска может быть конкретное структурное подразделение компании или ряд взаимозависимых структурных подразделений, например финансовый департамент, финансовый департамент в связке с бухгалтерией, юридической службой и т. д. В любом случае деятельность всех бизнес процессов компании необходимо рассматривать в комплексе в агрегированной их связи. Таким аналитическим центром сегодня может и должен стать служба безопасности или если быть более точным экономической безопасности. Тогда ведущим направлением в деятельности СБ должен стать риск-аудит, который позволяет сформировать систему индикаторов риска, в дальнейшем осуществлять их мониторинг, профилактику, предотвращение и пресечение. Причем поскольку рынки динамичны, то поле рисков будет также постоянно меняться и для управления ими потребуются оперативные современные ИТ-системы. Что же главное сегодня для СБ в этой работе? Самое главное – правильно определить, какие внешние и внутренние факторы влияют на обеспечение экономической безопасности предпри-

ятия, каким образом это происходит, насколько сильно их воздействие, как они связаны друг с другом и с задачей обеспечения экономической стабильности, конкурентоспособности и развития бизнеса. Для детализации этих негативных процессов необходимо с определенной периодичностью проводить риск-аудит компании. Посредством этого очень важного и очень сложного процесса мы анализируем законы, регулирующие работу компании, ее территориальное местоположение, криминальную ситуацию в отрасли и регионе работы и т. д. Внутренние риски создает система бизнеспроцессов предприятия, которая связана с решением определенных задач владельцев. Система рисков для одного и того же бизнеса может выстраиваться по-разному: в одном случае это будет решение по раскручиванию конкретной бизнес-идеи с целью сорвать куш в течение года и уйти с рынка, продав компанию, в другом – реализация долгосрочного холдингового

профилактических мероприятий. СБ обеспечивает безопасность на указанном пути с учетом природы, приоритетов и взаимосвязей выявленных угроз. Скажите, из каких ключевых компонентов складывается обычно эта стратегия безопасности? Из двух – системы минимизации рисков и более широкой системы обеспечения экономической безопасности компании.Каждому индикатору соответствуют соответствующие качественные и количественные показатели, посредством которых и осуществляется контроль, а также мониторинг реального состояния компании. Т. е. прежде всего ее экономическая стабильность, уровень ее конкурентоспособности, наличие угроз и т. д. На практике мы все индикаторы группируем по уровню опасности. Условно мы такую градацию называем светофором. При зеленом уровне индикатора мы работаем в стандартном режиме,

Необходимо в первую очередь решить вопрос о разработке общегосударственной концепции защиты частной собственности проекта, нацеленного на широкий охват новых территорий и обеспечение значительного роста капитализации компании. Когда эти задачи определены владельцами бизнеса, на базе риск-анализа и выявленных факторов риска мы формируем систему индикаторов, которая становится главным инструментарием для СБ компании по обеспечению реализации ее стратегии. Эта система индикаторов позволяет оберегать стратегию развития, определенную владельцем компании, а структура этих индикаторов акцентирует внимание сотрудников СБ на тех направлениях, которые требуют проведения, например, мониторинга или

возникает желтый – начинаем деятельность по профилактике и пресечению угроз, появляется красный, означающий, что случился некий форс-мажор, произошло ЧП, и мы реагируем в соответствии со сложившимися обстоятельствами. Приведите, пожалуйста, пример типичной системы индикаторов, разработанной вами для бизнеса. Сама система минимизации рисков и обеспечения экономической безопасности довольно сложный продукт. В связи с этим для большей наглядности я постараюсь проиллюстрировать работу системы на повседневных Июль 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ФИЛОСОФИЯ ЗАЩИТЫ | КОМПЛЕКСНАЯ БЕЗОПАСНОСТЬ

примерах практике, которые встречаются практически в каждой компании. Самые яркие примеры касаются сейчас факторов риска, связанных с государственным регулированием. Эти «правовые» факторы я делю на три составляющие: грамотный мониторинг обновлений законодательства, касающихся деятельности предприятия; контроль за квалификацией всей линейки юристов компании, с тем чтобы она соответствовала постоянно меняющимся задачам бизнеса; и наблюдение за качеством и своевременностью исполнения обязательств предприятия и его контрагентов. Какие индикаторы риска и механизмы управления им вы предлагаете предприятиям с такими факторами риска? Когда ясны индикаторы, обычно понятен и механизм управления соответствующими рисками. Например, первый фактор – обновление информации о законах. Индикатор для него – это информационное обеспечение, т. е. оснащенность предприятия действующими нормативными документами и организация их своевременного обновления. Второй фактор – квалификация юристов – регулируется грамотным подбором, расстановкой, обучением и постоянным ассессментом юридического персонала. Можно взять юриста за 300 долл. и получить от него документ, на котором компания потеряет сотни тысяч долларов. Можно поставить предельно дорогостоящего юриста на задачи, не окупающие его зарплату. Вот это соотношение цена/качество в интересах безопасности должно примерятся к работникам всей юридической службы в соответствии с четкой системой критериев, которые определяются факторами «юридического» риска. Мы обычно разрабатываем квалифицирующие признаки, функционал и зону ответственности каждого сотрудника. Самые важные индикаторы в кадровой зоне – это функционал и зона ответственности. Люди боятся ответственности, поэтому 20

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Июль 2012

грамотное противорисковое поведение им надо прямо предписать. Сделал то, что должен был, – хорошо. Выполнил что-то неграмотно – отвечай. Не совершил каких-то необходимых действий – тем более отвечай, потому что из-за этого компания понесла убытки. Хорошо, но как же быть с индикаторами исполнения – там ведь друг на друга накладываются полномочия нескольких подразделений и зоны ответственности многих людей? Да, индикаторы исполнения зависят от нормативных документов компании, законов страны, бизнес-процессов и решений конкретных людей. Мы строим систему контроля, в которой у каждого своя роль: финансовая служба отвечает за бухучет, юристы – за договоры, ИТслужба – за информационное обеспечение и т. д. Инструментов контроля за исполнением может быть много, но главный индикатор тут – качество и своевременность исполнения предписанных процедур. Мы добиваемся, чтобы все было сделано вовремя и так, как надо, т. е. эффективно, результативно, при этом без ущерба другим сторонам процесса. Потому что можно выполнить задачу достаточно оперативно и верно, но при этом навредить делу: например, договор написан и заключен, но у него такие риски, при которых компания потеряет больше, чем заработает. Когда факторы, индикаторы и механизмы определены, как ввести в реальную работу все, что вы разработали? Мы вводим онлайн-систему на базе ИТ-инфраструктуры компании и в режиме реального времени наблюдаем за происходящим, поэтому сразу же видим, если что-то пошло не так, понимаем, почему это случилось и кто виноват. Таким образом, у компании появляется описанная система рисков, их индикаторы и механизм каждодневного управления этими рисками.

Система обучения и повышения квалификации специалистов по безопасности Мы поговорили о том, как система безопасности должна разрабатываться, на чем она зиждется и как ею управлять. Теперь главный вопрос: чему надо доучиться уже состоявшимся специалистам или что требуется постичь студентам, чтобы соответствовать современным требованиям к работникам СБ и успешно решать стоящие на повестке дня задачи? Сейчас идет этап замены старого мышления на новое. СБ сегодня возглавляют люди, которые стояли у истоков в период формирования рыночных отношений указанной деятельности. Люди, благодаря которым была спасена значительная доля предприятий от разорения. Благодаря этим охранным структурам оставленные государством на произвол судьбы целые отрасли смогли не только выжить, но и сохранить многие производства, а вместе с ними и большое количество рабочих и их семей от разорения, натиска криминала. Однако практика показывает, что опыт работы, приобретенный в 90-х годах, сегодня уже не может обеспечить эффективность работы современной службы СБ. Взамен старым методам организации работы сегодня нужны специалисты новой формации и это, прежде всего, аналитики бизнес-процессов и их составляющих. А почему так случилось, что в 2005 г. эти люди еще годились для защиты бизнеса, а сегодня именно аналитики востребованы для работы в СБ, только они способны обеспечить ее эффективную деятельность? Потому что ввиду усиления контроля государства, повышения уровня инфор-

WWW.S-DIRECTOR.RU

матизации и глобализации очень усложнились производственно-хозяйственные связи. Сейчас нельзя решить проблемы и задачи безопасности, устранив конкретную атаку криминальных структур, финансовую махинацию или эпизод государственного контроля. Сильно изменилось законодательство, ужесточился госконтроль, возникла масса транснациональных операций, расширилась система связей каждого хозяйствующего субъекта. То есть система давления на бизнес со всех сторон стала более тонкой и сложной, и это вынуждает перейти от модели оперативного решения возникших проблем к системе комплексного анализа, мониторинга и управления рисками. Да, и все это надо делать превентивно и комплексно. А почему технологии анализа и создания систем безопасности и управления рисками специалисты по безопасности должны изучать на кафедре «Анализ рисков и экономическая безопасность», а не постигать в реальной практике? Во-первых, по традиции в СБ один специалист занимается документооборотом, другой – угрозами внешней среды, третий – проблемами с государством, и в одну систему все это соединяется за счет более-менее случайной взаимосвязи оперативных задач, а не единой разработанной риск-системы управления СБ. Во-вторых, в реальной практике директора различных подразделений, а иногда и владельцы блокируют доступ СБ к нужной информации. Руководители стремятся такими действиями избежать контроля за своей не всегда совершенной работой и сохранить влияние и власть в компании, а владельцы попросту опасаются, что, получив доступ ко всем данным, СБ начнет контролировать их бизнес. В результате ввиду

Система рисков для одного и того же бизнеса может выстраиваться по-разному

развития бизнесов и рынков задачи СБ становятся все более системными, а выживание руководителя СБ и его сотрудников в компании зависит от степени их невмешательства в те сферы и процессы, к контролю над которыми их не хотят допускать, а также от демонстрации привычного «узкоспециализированного» поведения. Июль 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ФИЛОСОФИЯ ЗАЩИТЫ | КОМПЛЕКСНАЯ БЕЗОПАСНОСТЬ

То есть для развития на практике навыков системного анализа рисков и комплексного управления у сотрудников СБ просто нет возможности. А поскольку жизнь требует перехода к системной работе на базе рискаудита, то им приходится учиться здесь, у вас – профессионалов, которые оценивают работу компаний со стороны. А затем, уже постигнув ваши системные методы, эти люди должны убедить свое руководство в их коммерческой пользе и своевременности, а также профессиональной необходимости для СБ.

в соответствии с нашей моделью, в результате удалось выяснить, что группа мошенников наладила станки таким образом, чтобы большая часть качественной продукции шла в брак. Выбракованный текстиль продавали на сторону, и этот поток составлял существенный процент. То есть фактически к основному предприятию присосался теневой бизнес, который, внешне не нарушая бизнес-процессов и правил, что называется, пил кровь компании по полной программе.

Главный плюс системного построения СБ на базе риск-аудита состоит в том, что многие вопросы, цена которых порой доходит до сотен тысяч долларов, можно решить заранее, выявляя и контролируя причины, а не симптомы болезни, проявляющиеся в виде конфликта с государством или криминальными структурами, мошенничества персонала или финансовых проблем.

Ничего подобного. Мы пошли, как говорят, другим путем, через проведение комплексного экономического анализа всех бизнес-процессов, связанных с производством готовой продукции. В конечном итоге это позволило нам не только выявить теневое производство, о котором не было известно собственникам, но и установить, куда утекали миллионы, а также конкретных лиц, организовавших это неучтенное теневое производство о котором не знал собственник. И более того при другом раскладе его могли обвинить в изготовлении неучтенной продукции в целях получения неучтенных доходов и естественно в неуплате налогов. Что с удовольствием сделала бы наша доблестная полиция для иллюстрации своей эффективной работы. Кроме того, на основе полученных результатов были выявлены причины и условия, способствовавшие организации теневого производства, а также разработаны конкретные превентивные меры по их устранению.

Более того, поскольку сегодня, согласно исследованиям, основную опасность для бизнеса – особенно крупного и межрегионального – представляет его собственный персонал, то контроль СБ за подразделениями выгоден владельцам компании особенно в том случае, если он распространяется на самые высокие уровни управления, обеспечивая безопасность дорогостоящих решений, принимаемых топменеджерами всех сортов. Вот пример: мы исследовали текстильный бизнес по запросу владельца. Проблема заключалась в том, на сделанные инвестиции наш клиент не получил никакой отдачи. Все бизнес-процессы вроде бы работали нормально. В чем же дело, было не понятно. Нашими специалистами был сделан риск-аудит 22

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Июль 2012

Как вы вышли на этот мошеннический механизм? Допросили кого-нибудь с пристрастием?

То есть вы сделали то, что обычно предпринимали Эркюль Пуаро и Шерлок Холмс, – проанализировали картину преступления в деталях и связях и увидели, где потоки людей, денег, товаров и предметов идут не так, как следует из законов природы. А это озна-

чало, что именно там и скрывается преступник, паразитирующий на ресурсах компании. Мы четко указали, на каком участке начинается воровство, утекание товаров, денег, продукции. Изучили список людей, которые там задействованы. Тщательно все проанализировали – и нашли признаки воровства. А дальше работу вели уже правоохранительные органы, но уже по инициативе собственника и естественно в его интересах. А бывает обратный результат риск-анализа – проблема у компании есть, а внутри нее оказывается все о,кей, т. е. виновата в проблеме не она? Бывает. Мы недавно работали с банком. По итогам финансового мониторинга ему были предъявлены серьезные претензии, он обвинялся в обслуживании незаконных компаний и неинформировании государства о том, что его клиенты отмывают деньги. Банк перепроверил документы всех тех, кто пользовался его услугами, оказалось, что там все нормально. Меж тем те, кто осуществлял этот мониторинг, стояли на своем, и руководители банка просто не знали, что делать. Мы провели комплексный экономико-правовой анализ деятельности банка, оценили соответствие этой деятельности действующему законодательству. Одновременно проверили, насколько реальные бизнеспроцессы клиентов находятся в рамках нормативных и внутренних документов, а также состояние их валютных счетов, объем зарплаты, количество персонала и т. д. И нам удалось доказать, что у этих компаний нарушений нет. Именно благодаря системному анализу компанииклиенты были видны как на ладони. Сделанные нашими специалистами выводы в рамках проведенного экономико-правового исследования позволили снять претензии с банка, который одновременного по нашей рекомендации принялся за усовершенствование внутренних локальных

WWW.S-DIRECTOR.RU

В конечном итоге нам удалось не только выявить теневое производство, о котором не было известно собственникам, но и установить, куда утекали миллионы документов, так как именно они оказались его слабым местом и явились основанием для проведения проверки. То есть клиенты не отмывали там деньги, они просто неправильно оформляли результаты финансово-хозяйственных операций? Именно так. Но это дело клиентов, и банк в их неразумности не виноват. Претензии, возникшие к банку в результате проведения финансового мониторинга, с него были сняты. Вернемся к обучению, которое, на ваш взгляд, необходимо работающим специалистам СБ-предприятий, чтобы уметь проводить такой анализ самостоятельно и управлять этими рисками профессионально, на современном уровне. Такое обучение должно быть отраслевым, потому что у каждой отрасли свои законы, структура рынка, особенности работы с персоналом и государством, специфика бизнес-процессов и отношений. Поэтому мы делаем отдельные курсы для работников СБ угледобывающих предприятий или банков, легкой промышленности или нефтяной отрасли. Мы стремимся, чтобы те, кто пришел к нам на курсы, в полной мере овладели всем спектром инструментария анализа и управления рисками, вопросами обеспечения экономической безопасности. Что является основой такого отраслевого курса обучения для профессионалов? Мы предлагаем их вниманию такие дисциплины, как «проектирование системы минимизации рисков и экономический анализ», «правовой и налоговый анализ»,

«исследование теневой экономики и риски в реальном секторе», «финансовые и таможенные риски», – и все это в приложении к конкретной отрасли. Естественно изучение всех этих направлений завершается вопросами обеспечения экономической безопасности, так как минимизация рисков это инструментарий обеспечения безопасности компании в целом. А чему вы учите молодежь, которая начинает у вас свое становление в профессии «с нуля»? На бакалавриате первые два года студенты в основном изучают предметы, отнесенные к федеральным компонентам, т.е. это обязательные предметы. Затем они, выбрав отраслевую специализацию, т. е. определенное направление деятельности компаний (их я перечислял, рассказывая о курсах для профессионалов), постигают все тонкости системы управления рисками и экономической безопасности. С третьего курса пришедший к нам студент в качестве практики индивидуально под руководством педагога ведет проект по изучению и управлению рисками и экономической безопасности виртуального предприятия в рамках учебно-накопительного комплекса. Иногда студенты делают это так успешно, что, выйдя за двери нашего учебного заведения с дипломом бакалавра, открывают свой бизнес. Так у нас недавно в Москве и Подмосковье под руководством наших выпускников стартовали два предприятия оптовой торговли и кафе, проектированием которых они занимались в процессе обучения. Наши магистранты – это зачастую практики с опытом, они либо делают проект для предприятия, где работают, либо участвуют в проектах изучения и консультирования реального бизнеса, которые я упоминал выше.

Вообще не покидает ощущение, что сегодня профессия специалиста по безопасности все чаще начинает заменять МВА и, чтобы начать свое дело или сделать управленческую карьеру, надо в настоящее время учиться не менеджменту, а управлению рисками и экономической безопасности. Да, наши дипломные работы – это серьезные системы управления рисками и экономической безопасности для реальных предприятий. Аналогичное обучение в других вузах – это только теория. У нас же два года базы, два года работы с виртуальным предприятием и участия в многочисленных НИР нашей кафедры, затем два года проектирования задач безопасности или консалтинга для реальных компаний. Молодые ребята, которые когда-то пришли в Финансовый университет со школьной скамьи, после окончания учебы у нас благодаря своим учебно-накопительным комплексам способны продемонстрировать такие результаты исследования виртуального отраслевого предприятия, что получают руководящие должности и очень быстро продвигаются по карьерной лестнице. Все это впечатляет, но нашим читателям будет интересно еще и на деле увидеть, как вы выстраиваете очередную систему экономической безопасности для какой-то компании, и проследить все этапы этой работы на страницах нашего журнала. Спасибо за интервью. Удачи вам, Владимир Иванович, и вашим студентам всех возрастов и категорий! Июль 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ФИЛОСОФИЯ ЗАЩИТЫ | ВИДЕОНАБЛЮДЕНИЕ

МИЛИНД БОРКАР, вице-президент компании «Infinova»

Добейтесь большего от ваших камер видеонаблюдения Популярность купольных камер не вызывает удивления – они надежны, не бросаются в глаза, способны работать при ярком или слабом освещении и, самое главное, скрывают положение объектива. Данная статья поможет ответить на вопрос, как можно в полной мере использовать потенциал установленной системы видеонаблюдения.

упольные камеры обычно устанавливаются в местах, где требуется скрыть направление съемки и перемещение объектива. Для камеры с возможностью PTZ1-съемки защитный купол создает условия для ведения беспрепятственного наблюдения независимо от того, на какой объект направлен ее объектив. Купольные PTZ-камеры могут покрыть большую площадь, обеспечивая значительную гибкость параметров при панорамировании, наклоне и масштабировании. Их конструкция также позволяет осуществлять непрерывную съемку панорамы на 360° и движение в вертикальной плоскости по дуге в 180º. Пользователям нравится и то, что купольные камеры при потолочном или настенном монтаже не привлекают к себе лишнего внимания. Например, фиксированная купольная мини-камера размером всего несколько сантиметров в диаметре идеально подходит для установки в тех местах, где по соображениям безопасности незаметность такого оборудования оказывается определяющим фактором. 24

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Июль 2012

Выбор камеры Прежде всего, следует смотреть, как быстро PTZ-камеры способны изменять свои позиции в пространстве. Они могут перемещаться со скоростью до 280° в секунду при автоматическом движении в заданную позицию, но, когда службы безопасности контролируют устройство вручную, этот показатель снижается до 100° в секунду. Скоростной купол, который быстро перемещается по ряду позиций, является хорошей альтернативой обычным камерам, особенно в тех случаях, если существует много точек для мониторинга с единственной камеры или если объект слежения быстро передвигается. Еще одним важным фактором при выборе PTZ-камер является количество заданных позиций, которые могут быть в них запрограммированы. Предварительная проработка набора позиций, на которые будет настроена камера для автоматического прохождения в течение смены или суток, значительно повышает эффективность покрытия подчиненной территории, особенно если система видеонаблюдения интегрирована с сигнализацией и системой

управления доступом. Камеру также можно запрограммировать для перехода к соответствующей заданной позиции при наступлении какого-то события, например при открытии двери. В режиме предварительной настройки точность позиционирования из одного положения в другое имеет решающее значение. Неправильно настроенная камера не будет показывать четкой картинки в случае произвольной остановки оператором движения по заданному маршруту. Поэтому при расследовании, например, происшествия это может явиться причиной того, что видеозапись сочтут бесполезным доказательством. Для собственной службы видеонаблюдения стоит рассматривать камеры с точностью позиционирования не менее 0,1º. Купольная камера также может быть запрограммирована на режим охраны, при котором она автоматически переходит из одного заданного положения в другое в заранее определенном порядке или случайным образом. В среднем до двух десятков охранных «туров» могут быть настроены и активированы в разное время суток. В режиме охраны одна

WWW.S-DIRECTOR.RU По материалам журнала SECURITY MIDDLE EAST http://www.securitymiddleeastmagazine.com/features/view/33

В режиме охраны одна поворотная сетевая камера способна покрыть такую площадь, для контроля которой обычно требуется целых 10 фиксированных сетевых камер

Независимо от того, являются ли купольные или фиксированные камеры частью уже имеющейся системы, либо

1 PTZ-камера (pan–tilt–zoom, англ.) камера с функциями поворота, наклона и масштабирования

WAYNEHOWES / SHUTTERSTOCK.COM

Антивандальные купола

их предполагается приобрести в рамках обновления оборудования, руководителю отдела безопасности необходимо учитывать обстановку, в которой они будет работать. Некоторые из них имеют антивандальное устройство и купола повышенной прочности, которые весьма полезны, если камеры устанавливаются в зоне досягаемости бейсбольных бит или их подстерегают другие опасности. Отдельным камерам такой защиты может оказаться недостаточно – потребуются дополнительные меры для ее усиления. Может возникнуть и необходимость в специальных корпусах, если камеры будут установлены на улице. В некоторых климатических зонах для обеспечения нормального функционирования камер не обойтись без специальных нагревателей, а в других районах, наоборот, – без охлаждения. Солнцезащитные козырьки также могут играть важную роль. В зависимости от типа конечного пользователя – предприятия или отрасли − выпускаются различные виды корпусов, которые защищают от повреждения водой или пылью. Имеются также модели с герметичным уплотнением. Герметичные купольные камеры выполнены в корпусе из нержавеющей стали для максимальной защиты от загрязнения воздуха и влаги. Внутренность их заполнена азотом под давлением, равным давлению окружающей среды, причем специальные клапаны минимизируют его снижение с течением времени. Датчики в корпусе передают важную системную информацию (например, внутреннюю температуру и давление) в центр управления. Энергонезависимая память в корпусе позволяет обеспечивать загрузку в камеру программируемых данных и другой информации. Выпускаются и купольные камеры ночного видения, работающие в полной темноте, которые могут быть в антивандальном исполнении, а также двух типов – для использования внутри и снаружи помещений.

поворотная сетевая камера способна покрыть такую площадь, для контроля которой обычно требуется целых 10 фиксированных сетевых камер. Однако основным недостатком этого режима является то, что в определенный момент времени можно наблюдать только одно место, а остальные позиции остаются неконтролируемыми.

Маскировка Приватная 3D-маскировка поддерживается в большинстве купольных камер PTZ, в результате отдельные области, включенные в зону контроля, оказываются скрытыми от просмотра и записи. Маскировка сохраняется в поле зрения камеры даже при изменении панорамирования, наклона и масштабирования, так как она движется с камерой в одной системе координат. При наружной установке купольных PTZ-камер с зумом от 20x и выше следует помнить, что они являются чувствительными к вибрации, вызванной передвижением транспорта или ветром. Электронный стабилизатор изображения (EIS) помогает снизить влияние вибрации на видео. Кроме того, чтобы полу-

чить большее количество результативных видеокадров, EIS уменьшает размер файла сжатого изображения, тем самым экономя ценное дисковое пространство. Если камера устанавливается на потолке и предполагается, что она станет использоваться для слежения за людьми, то надо быть готовыми к такой ситуации, что порой человек будет проходить прямо под камерой. Когда она проследует за ним, то изображение должно будет перевернуться «вверх ногами» в случае, если отсутствует функция E-ﬂip, которая в автоматическом режиме переворачивает изображение на 180°. Это происходит незаметно для оператора. Одним из недостатков купольных камер является то, что выбор объективов ограничен пространством внутри купола. Чтобы компенсировать это, обычно применяются объективы с переменным фокусным расстоянием, позволяющим существенно расширить поле зрения камеры.

Июль 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ФИЛОСОФИЯ ЗАЩИТЫ | ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

АЛЕКСЕЙ ДРОЗД

Культура информационной безопасности − Как заставить сотрудников не записывать пароли на бумажке и не оставлять конфиденциальные документы на столе? Как выстроить в компании культуру информационной безопасности? Как привить сотрудникам эту культуру?

Сегодня любая компания, являясь частью информационного общества, ощущает необходимость защиты одного из главных своих активов – информации. Такая защита не может быть эффективной, основываясь только на формальных технических решениях. Необходимо выстраивание в организации общей культуры информационной безопасности (ИБ): у каждого сотрудника должно быть ощущение ценности информации, понимание, зачем и почему именно таким образом внедряются те или иные процедуры информационной защиты, порой причиняющие неудобство. Привитие такой культуры может стать первым шагом в систематизации подходов и действий по защите информации в компании, где ранее ничего не делалось в плане информационной безопасности. Даже без технических мероприятий, внедрение культуры ИБ само по себе снижает риски в этой области. 26

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Июль 2012

ZIVEN / SHUTTERSTOCK.COM

необходимая составная часть информационной защиты компании

WWW.S-DIRECTOR.RU

Лишь 20 % руководителей компаний осуществляют контроль за перемещением файлов и данных

ZIVEN / SHUTTERSTOCK.COM

сем знакома пословица «Пока гром не грянет, мужик не перекрестится». Это высказывание как нельзя лучше характеризует состояние дел и отношение к ИБ во многих компаниях. Пока угроза не реализуется, многие руководители считают, что ее как бы нет. А о простых сотрудниках и говорить не приходится, «моя хата с краю» − еще одна поговорка, которая характеризует отношение персонала к защите информации как нельзя лучше. Именно для перелома в сознании, для того чтобы меры ИБ воспринимались как неотъемлемый компонент успешного развития фирмы, и нужна культура ИБ. XXI в. оказался переломным во многом. Впервые в мировой истории нематериальная вещь обрела реальную ценность. Информация стала стоить денег, причем немалых. Сейчас вопрос о том, так ли уж необходима защита конфиденциальных данных, в любой компании перешел в разряд риторических. И дело не только в законах, регуляторах или штрафах. Пришло понимание, что сегодня информация может влиять на все сферы – от общественного мнения до котировок акций на бирже. Наглядней всего объяснить необходимость защиты информации можно языком цифр, показав, к каким потерям в денежном эквиваленте может привести утечка «секретов» компании или искажение данных. Существует целый список возможных рисков для подобной ситуации. Некоторые из них легко поддаются финансовой оценке, другие опираются на статистические показатели и отражают лишь приблизительные значения. В целом перечень негативных последствий для компании в результате утечки, искажения или потери данных выглядит следующим образом: прямые финансовые потери из-за недополученной выгоды; ослабление позиций в конкурентной борьбе; увольнение «провинившихся» сотрудников; ухудшение имиджа компании; утрата технологических секретов;

необходимость затрат на устранение последствий; судебные иски, поданные клиентами против компании; санкции контролирующих органов; снижение числа новых и отток существующих клиентов. Все это приводит к реальным финансовым убыткам. К сожалению, многим организациям все чаще приходится сталкиваться с последствиями утечек из вышеуказанного списка. Среди них SONY, Citibank, AT&T и многие другие. Некоторые компании просто были излишне уверены в своей безопасности. Другие стали жертвами хакерской «волны справедливости», а кто-то банально не уделял должного внимания обучению своих сотрудников. Так или

иначе, но плата за ошибки в этом случае велика. Как известно, болезнь легче предупредить, чем лечить. Поэтому рассмотрим основные принципы создания эффективной системы информационной безопасности и способы ее «популяризации» среди сотрудников.

Подготовительный этап На предварительном этапе подготовки как нельзя лучше работает принцип «сначала семь раз подумай – только потом делай». Другими словами, прежде чем доставать кошелек и обращаться к интеграторам, нужно хорошенько поразмыслить над тем, что именно требуется защищать и как это лучше сделать. В первую очередь необходимо организовать разделение прав доступа к Июль 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ФИЛОСОФИЯ ЗАЩИТЫ | ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

31 %

ZIVEN / SHUTTERSTOCK.COM ZIVEN / SHUTTERSTOCK.COM

работников хотя бы раз теряли накопители, мобильные или иные устройства с секретными файлами

информации. Эта задача выполнима собственными силами и не требует серьезных финансовых вливаний. Тем не менее разделение прав доступа жизненно необходимо. Менталитет нашего человека таков, что если на скамейке написано «окрашено», то туда не ткнет пальцем только ленивый. Точно так же и с секретной информацией. Поэтому чем меньше «соблазнов» будет у сотрудника, тем лучше. Второй важной задачей в построении корпоративной «крепости» является организация мониторинга каналов передачи информации. Согласно результатам исследования Ipswitch File Transfer Division, лишь 20 % участников опроса из числа руководителей ITкомпаний осуществляют контроль за перемещением файлов и данных внутри систем и вне стен компаний. При этом 31 % опрошенных указали, что теряли накопители, мобильные или иные устройства с секретными файлами. Однако мониторинг информационных каналов без комплексного подхода будет малоэффективен. Нет смысла ставить в доме бронированную дверь, если у здания только три стены. Это значит, что если вы контролируете корпоративную почтовую переписку, но не уделяете внимания мониторингу сменных носителей, то не стоит спешить радоваться отсутствию инцидентов. Вполне возможно, информация «утекает» на флешках сотрудников. Лучше всего организовать мониторинг всех каналов помогают специализированные программные решения, получившие название DLP-системы (от англ. Data Leak 28

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Июль 2012

Prevention – системы предотвращения утечек информации). В их функционал входит мониторинг почтовой переписки, документов, отправляемых на печать, контроль съемных носителей, интернет-мессенджеров (в том числе и Skype) и многое другое. Некоторые системы, такие как «Контур информационной безопасности SearchInform», имеют модульную структуру. То есть, если компания желает мониторить только некоторые каналы передачи информации, подобное решение поможет сэкономить. К примеру, на закрытых объектах, где доступ к сети Интернет закрыт, не имеет смысла ставить средства контроля браузеров и мессенджеров. В этом случае следует уделить внимание сменным устройствам, документам, отправляемым на печать и ноутбукам. Наконец, третьей проблемой информационной безопасности компаний, доставляющей на сегодняшний день наибольшую головную боль руководителям, считается использование персоналом для работы личных мобильных устройств. Явление это получило название «консьюмеризация». Все чаще люди приобретают новые мобильные устройства с оглядкой на то, что их можно будет как-то задействовать при работе. По данным Forrester Research Inc., большинство сотрудников американских компаний (77 %) выбирают себе смартфон именно с этой целью. Эта концепция BYOD (Bring Your Own Device) имеет свои положительные и отрицательные моменты. С одной стороны, сотрудники, получив доступ к корпоративным данным, могут работать из любой точки

мира, тем самым повышается эффективность труда. Однако в случае утери мобильного устройства, риск утечки информации существенно возрастает. Вот перечень типичных данных, хранящихся в смартфоне среднестатистического менеджера: Пароли доступа к почтовым ящикам и прочим сервисам. Интернет-мессенджеры (логины/пароли, история переписок, списки контактов). Документы и заметки. Адресная книга. Пароли и учетные записи для удаленного доступа к корпоративному рабочему месту. Мобильный и SMS-банкинг.

Что будет, если эти данные станут известны кому-либо еще? На сегодняшний день решение проблемы выглядит дорогим и громоздким. Компании, разрешающие сотрудникам использовать на работе личные мобильные устройства, сталкиваются с необходимостью предусматривать варианты защиты для самых разнообразных моделей смартфонов и планшетов. Это приводит к тому, что самостоятельно организации не могут обеспечить необходимый уровень безопасности данных. В то же время нынешние системы управления мобильными устройствами (Mobile Device Management, MDM) недостаточно надежны и устареют уже через несколько лет. А ведь никто не отменял вирусы, число которых для Android и iOS увеличивается с каждым днем.

WWW.S-DIRECTOR.RU

мобильных устройствах и съемных носителях, а также организация удаленного доступа к корпоративным системам через VPN, должны рассматриваться в любой компании как необходимые условия успешного ведения дел. Но вернемся к главному вопросу.

Как же привить компании культуру «инфобеза»? Конкретно для этой проблемы плохо работают демократические решения. Говоря простыми словами, «пряники кончились, остался только кнут». С большой долей вероятности можно утверждать, что сотрудники не будут добровольно выполнять рекомендуемые политики безопасности, даже если они эффективны. Причин может быть несколько. Во-первых, лень. Во-вторых, незнание. И в-третьих, непонимание.

Лень возникает из симбиоза второй и третьей причин. Когда человек не знает и не понимает, зачем нужно выполнять какие-то действия, он начинает их игнорировать. Поэтому так важно проводить неформальные инструктажи по информационной безопасности, по итогам которых работники под роспись принимают правила. Следует подробно объяснять сотрудникам смысл всех дополнительных действий, требующихся от них, а также на примерах показывать, к чему приводит невыполнение политик безопасности. Кроме того, полезным будет регулярно проводить внутренний аудит на предмет выполнения сотрудниками инструкций по ИБ и в случае выявления нарушений взимать штраф. Эта мера считается наиболее результативной при внедрении и контроле правил и политик ИБ, так же как и в других областях.

Одним из решений, выдвинутых аналитиками авторитетного издания Gartner, являются технологии под названием «полезные вирусы». Их суть заключается в следующем: секретные данные, обнаружив себя не в том месте (например, на устройстве без соответствующего уровня допуска), смогут сами себя удалять. Пока же действующим вариантом остается выдача сотрудникам единой «доверенной» модели мобильного устройства с заранее установленным софтом, приложениями и средствами защиты. Однако, согласно исследованию компании Forrester Research, в американских компаниях только 25 % сотрудников, использующих мобильные устройства для работы, получили их за счет фирмы. Как думаете, какой процент будет у отечественных компаний? Стоит отметить, что такие методы, как шифрование информации на

Июль 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

АНАЛИТИКА

ОБЗОР ЗАРПЛАТ

ВНУТРЕННИЙ АУДИТОР

Журнал «Директор по безопасности» изучил предложения работодателей и ожидания претендентов на позицию «Внутренний аудитор». Исследование проведено в мае 2012 года по вакансиям и резюме, размещенным на порталах hh.ru, superjob.ru, rabota.ru и на региональных интернет-ресурсах, посвященных поиску работы. РЕГИОНЫ ИССЛЕДОВАНИЯ: МОСКВА, САНКТ-ПЕТЕРБУРГ, НИЖНИЙ НОВГОРОД, РОСТОВНА-ДОНУ, САМАРА, ВОРОНЕЖ, НОВОСИБИРСК. ОБЪЕКТ ИССЛЕДОВАНИЯ: ПРЕДЛОЖЕНИЯ РАБОТОДАТЕЛЕЙ И ОЖИДАНИЯ ПРЕТЕНДЕНТОВ НА ПОЗИЦИЮ «ВНУТРЕННИЙ АУДИТОР», «РЕВИЗОР» И Т. П. В исследовании учитывались вакансии на позиции специалистов и руководителей отделов внутреннего контроля в компаниях, не связанных с предоставлением аудиторских услуг. Учитывались вакансии, размещенные как напрямую работодателями, так и через кадровые агентства. В расчет не брались предложения, в которых не указывалась заработная плата. Кроме того, были изучены резюме соискателей на вышеуказанные позиции. Типичные функциональные обязанности аудитора: Организация и проведение внутренних аудитов оценки эффективности бизнес-процессов, деятельности подразделений, системы внутреннего контроля бизнес-процессов предприятия (планирование аудита, подготовка задания, координация работы членов группы, формирование итоговой оценки эффективности бизнес-процессов, разработка рекомендаций, оформление результатов, мониторинг исполнения рекомендаций) Подготовка аналитических справок, записок по результатам проверок и аудитов Участие в разработке методических материалов по проведению аудитов и проверок финансово-хозяйственной деятельности структурных подразделений. 30

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Июль 2012

сновной задачей корпоративных аудиторов является проведение проверок деятельности подразделений компании на предмет оценки соответствия требованиям, выработка рекомендаций по оптимизации процедур и процессов, разработка и совершенствование нормативной документации по учету и отчетности. Руководство отделом аудита подразумевает организацию бизнеспроцессов подразделения, постановку и контроль выполнения задач. Уровень оплаты труда специалиста определяется отраслью, благосостоянием компании, перечнем должностных обязанностей, опытом работы по специальности, уровнем развития профессиональных навыков. Исследование данных о заработных платах в исследуемых регионах позволяет выделить 3 основных зарплатных диапазона в зависимости от опыта и профессиональных навыков специалистов. Средние рыночные зарплатные предложения для внутренних аудиторов в Москве составляют 80 000 руб. В Санкт-Петербурге такие специалисты получают в среднем около 62 000 руб. в месяц. В Нижнем Новгороде за аудиторскую работу в компании работодатели предлагают 36 000 руб. Данные по другим городам, участвовавшим в исследовании, представлены ниже. Работодатели, установившие наименьший уровень оплаты труда, в основном, рассматривают корпоративного аудитора в качестве специалиста по контролю учета и отчетности. Как правило, в сфере ответственности специалиста находится проведение проверок правильности ведения и оформления документов финансового и управленческого отчета, проведение инвентаризаций материальных средств. Претенденты должны иметь высшее экономичес-

кое образование и навыки опытного пользователя ПК. Стартовый доход таких специалистов в столице составляет от 60000 до 70000 руб., в Санкт-Петербурге – от 35000 до 50000 руб., в Нижнем Новгороде – от 19000 до 30000 руб., в Воронеже – от 16000 до 22000 руб. На более высокий доход вправе рассчитывать специалисты со стажем работы в крупных холдинговых компаниях более 3 лет, имеющие отличные знания в области бухгалтерского и налогового учета, основ МФСО. Как правило, эта позиция предусматривает проведения проверок, описание и оптимизацию существующих бизнес-процессов. Такие специалисты в Москве зарабатывают до 100000 руб., в северной столице – до 80000 руб., в Нижнем Новгороде – до 45000 руб., в Воронеже – до 35000 руб. Максимальный доход работодатели готовы предложить руководителям контрольных подразделений, имеющим навыки и опыт такой руководящей деятельности. Специалист такого уровня должен обладать глубокими экспертными знаниями в области бухгалтерского, налогового, управленческого учета, стандартов МФСО. Заработок лучших специалистов корпоративного аудита в Москве достигает 150000 руб., в Санкт-Петербурге – 110000 руб., в в Нижнем Новгороде – 60000 руб. Во всех зарплатных диапазонах работодателями никак не оговаривается пол кандидата, а более половины работодателей не оговаривают возраст претендента. Согласно исследованию, основными претендентами на пост корпоративного юриста являются мужчины (56 %) и женщины (44 %) с высшим экономическим образованием. 62 % кандидатов имеют опыт работы от 5 до 10 лет, 10 % имеют опыт работы до 2 лет.

ТРЕБОВАНИЯ РАБОТОДАТЕЛЯ

ПОРТРЕТ СОИСКАТЕЛЯ

АНАЛИЗ ИНФОРМАЦИИ ПО УРОВНЯМ ОПЛАТЫ ТРУДА ВНУТРЕННЕГО АУДИТОРА:

ВОЗРАСТ

6% 22–25

Регион

Средний

Диапазон I

Диапазон II

Диапазон III

Москва

80 000

60 000 – 70 000

70 000 – 100 000

100 000 - 150 000

Санкт-Петербург

62 000

35 000 – 50 000

50 000 – 80 000

80 000 - 110 000

Нижний Новгород

36 000

19 000 – 30 000

30 000 – 45 000

45 000 - 60 000

Ростов-на-Дону

32 000

15 000 – 25 000

25 000 – 35 000

35 000 - 50 000

Самара

27 000

18 000 – 23 000

23 000 – 30 000

30 000 - 40 000

Воронеж

28 000

16 000 – 22 000

22 000 – 35 000

35 000 - 52 000

Новосибирск

34 000

20 000 – 37 000

27 000 – 40 000

40 000 - 45 000

26–35

21% 36-40

43%

12%

41-45

> 45

ПОЛ

КАЖДЫЙ ЗАРПЛАТНЫЙ ДИАПАЗОН ХАРАКТЕРИЗУЕТСЯ ОПРЕДЕЛЕННЫМ ТИПИЧНЫМ НАБОРОМ ТРЕБОВАНИЙ И ПОЖЕЛАНИЙ К КАНДИДАТУ. КАЖДЫЙ ПОСЛЕДУЮЩИЙ ЗАРПЛАТНЫЙ ДИАПАЗОН ВКЛЮЧАЕТ В СЕБЯ ТРЕБОВАНИЯ, СФОРМУЛИРОВАННЫЕ ДЛЯ ПРЕДЫДУЩИХ.

МУЖЧИНЫ

56 %

ЖЕНЩИНЫ

44 %

ОПЫТ РАБОТЫ

Зарплатный диапазон

Требования к профессиональным навыкам аудитора

– Высшее экономическое образование; – Знание бухгалтерского учета; – Опытный пользователь ПК, пакет офисных программ

– Опыт работы от 3 лет; – Отличные знания в области бухгалтерского и налогового учета; – Знание основ МФСО

III

– Опыт руководящей работы; – Глубокие экспертные знания бухгалтерского, налогового, управленческого учета, стандартов МФСО

БОЛЬШЕ 10 ЛЕТ

ТРЕБУЕМЫЙ ВОЗРАСТ

18%

ТРЕБУЕМЫЙ УРОВЕНЬ ВЛАДЕНИЯ АНГЛИЙСКИМ ЯЗЫКОМ КАНДИДАТ В ВОЗРАСТЕ 39 ЛЕТ УДОВЛЕТВОРИТ ТРЕБОВАНИЯМ 70 % РАБОТОДАТЕЛЕЙ

БЕЗ 2% ОПЫТА

10% ДО 2 ЛЕТ

18% 2 - 5 ЛЕТ

5 - 10 ЛЕТ

62% УРОВЕНЬ ВЛАДЕНИЯ АНГЛИЙСКИМ ЯЗЫКОМ СВОБОДНЫЙ

18%

11%

СВОБОДНЫЙ

70 60

НЕ ТРЕБУЕТСЯ НАЧАЛЬНЫЙ

44%

40 30

13%

20 10 0 23 25 27 29 31 33 35 37 39 41 43 45 47 49

15%

СРЕДНИЙ

БАЗОВЫЙ

41% СРЕДНИЙ

25% Июль 2012

23% БАЗОВЫЙ

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

WWW.S-DIRECTOR.RU

ПРАВОВЫЕ ОСНОВЫ КОНТРОЛЯ ИНФОРМАЦИОННЫХ ПОТОКОВ НА ПРЕДПРИЯТИИ СТР. 33

РАСПОЗНАВАНИЕ РЕЧИ В СИСТЕМАХ КОНТРОЛЯ ПЕРСОНАЛА СТР. 38

ТЕХНИЧЕСКИЙ КОНТРОЛЬ ПЕРСОНАЛА: КОНТУР ЭФФЕКТИВНОСТИ СТР. 42

СОБСТВЕННЫЙ «МИКРОБИЗНЕС» СОТРУДНИКОВ ЗА СЧЕТ КОМПАНИИ СТР. 44

«ПАПИЛОН»: ОПЕРАТИВНАЯ БИОМЕТРИЧЕСКАЯ ИДЕНТИФИКАЦИЯ ЛИЧНОСТИ СТР. 48

КОНТРОЛЬ КОРПОРАТИВНОЙ АУДИОИНФОРМАЦИИ СТР. 52

ТЕМА НОМЕРА ТЕХНИЧЕСКИЙ КОНТРОЛЬ ПЕРСОНАЛА

Правовые основы контроля

WORDS+PICTURES / SHUTTERSTOCK.COM

информационных потоков на предприятии

Контроль информационных потоков в организации является гарантией ее безопасности. В этом уверены большинство собственников компаний и начальников служб безопасности. Однако мало кто из них задумывается о легитимности тех или иных действий, производимых с этой целью, о возможном негативном отношении сотрудников к ним и, конечно же, о правовом регулиовании данного вопроса. Июль 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ТЕМА НОМЕРА | ТЕХНИЧЕСКИЙ КОНТРОЛЬ ПЕРСОНАЛА

ДМИТРИЙ ЛИПАТОВ, партнер юридической компании «Налоговик»

рослушивание телефонных разговоров работников, просмотр их переписки по электронной почте, ICQ, Skype, является способом защиты своего бизнеса для собственника предприятия. Однако не надо забывать, что мы живем в правовом государстве, где законодательного закрепления подобных действий не существует. Встает закономерный вопрос: если негативное отношение общества, включая рядовых сотрудников компаний, к подобной практике налицо, как же тогда защитить предприятие, не нарушив при этом интересов персонала, столь строго охраняемых основным законом страны?

Перлюстрация телефонных переговоров: быть или не быть? Практикующие юристы, отвечая на данный вопрос, расходятся во мнении. Одни считают, что перлюстрация телефонных переговоров является способом защиты интересов собственника, другие уверены, что при этом нарушаются конституционные права работников предприятия. Статья 23 Конституции РФ гласит, что каждый человек имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Одновременно с этим основной закон дает возможность ограничения данного права только на основании решения суда. Вопрос о прослушивании является очень серьезным. В то же время многие руководители активно используют в своей кадровой политике данные меры. Более того, часто в качестве причин увольнения сотрудника они указывают, что оно произошло в результате получения компрометирующих сведений после прослушивания телефонных переговоров этого работника. Прослушивание любых телефонных переговоров невозможно без применения специальных технических средств. Организации, занимающиеся продажей подобных технических средств, обязаны перед правоохранительными органами подтверждать законность своей деятельности. Соответственно, если руководство компании или служба безопасности обращается в такую организацию, то им без проблем установят необходимые технические средства. В некоторых крупных организациях имеются целые технические отделы, подчиняющиеся службе безопасности, именно они устанавливают оборудование для прослушивания и обслуживают его. 34

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Июль 2012

Какие же цели преследует работодатель, устанавливая «прослушку» телефонных переговоров? Во-первых, он стремится предупредить разглашение коммерческой тайны, вовторых, – улучшить дисциплину сотрудников, в-третьих, – снизить расходы на оплату телефонных переговоров, особенно это актуально для компаний, задействованных во внешнеэкономической деятельности, где ведется большое число международных переговоров и где выявить личные разговоры иным способом не представляется возможным. О законности своих действий собственники предприятий и директора по безопасности зачастую не задумываются. А ведь кроме уже упомянутой ст. 23 Конституции РФ имеются статьи 137 и 138 УК РФ, которые предусматривают уголовное наказание за нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений граждан, а также за нарушение неприкосновенности частной жизни. В этом случае возникает еще ряд закономерных вопросов: какая личная или частная жизнь может быть на рабочем месте, разве

Если работодатель в письменной форме уведомит сотрудника о том, что в компании практикуется перлюстрация, то он может надеяться лишь на то, что работник не станет вести личную переписку по служебной почте служба безопасности прослушивает телефонные переговоры сотрудников дома или просматривает их частную электронную почту с личной перепиской? Если этого не происходит, то о каком нарушении неприкосновенности частной жизни может идти речь? На рабочем месте сотрудник обязан трудиться, вести служебные переговоры и служебную переписку, эти его обязанности прописаны в трудовом договоре с

работодателем, и он должен их неукоснительно соблюдать. Если работник игнорирует предупреждения руководства компании относительно ведения частной переписки или личных телефонных переговоров в рабочее время, то таким образом нарушает свои трудовые обязанности, за что его можно подвергнуть различным дисциплинарным взысканиям, вплоть до увольнения. В такой ситуации никак нельзя быть уверенным, что частная переписка или телефонные переговоры нерадивого сотрудника не станут объектом просматривания или прослушивания со стороны службы безопасности компании. Многие считают, что в этом случае все равно нарушается тайна частной жизни. Однако с подобными утверждениями можно поспорить.

Перлюстрация электронной почты, ICQ и иных коммуникативных средств связи Если с телефонными переговорами все более или менее понятно – в век мобильной связи вопрос о звонках со стационарных телефонов по личным вопросам практически не стоит, то с корпоративной электронной почтой все сложнее. Множество сотрудников ведут не только служебную, но личную переписку с рабочей электронной почты. Возникает вопрос о легитимности действий собственника компании и службы безопасности, устанавливающих перлюстрацию на электронные почтовые ящики сотрудников. Как правило, инициатором установления перлюстрации в небольшой компании является ее руководитель, в крупной – директор по безопасности или начальник службы безопасности. Помимо Конституции РФ, тайну переписки защищает ФЗ «О связи» от 07.07.2003 № 126. Статья 63 данного Федерального закона гласит, что на территории Российской Федерации гарантируется тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, передаваемых по сетям электросвязи и сетям почтовой связи. Ограничение права на тайну переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, передаваемых по сетям электросвязи и сетям почтовой связи, допускается только в случаях, предусмотренных федеральными законами. Такие ограничения вводятся целым рядом законодательных актов:

WORDS+PICTURES / SHUTTERSTOCK.COM

WWW.S-DIRECTOR.RU

НА РАБОЧЕМ МЕСТЕ СОТРУДНИК ОБЯЗАН ТРУДИТЬСЯ, ВЕСТИ СЛУЖЕБНЫЕ ПЕРЕГОВОРЫ И СЛУЖЕБНУЮ ПЕРЕПИСКУ

п. 4 ст. 11 Федерального закона от 06.03.2006 № 35-ФЗ «О противодействии терроризму» (контртеррористическая операция); п. 15 ст. 7 Федерального конституционного закона от 30.01.2002 № 1-ФКЗ «О военном положении» (введение военного положения); ст. 13 Уголовно-процессуального кодекса РФ (расследование уголовного дела); ст. 6 Федерального закона от 12.08.1995 № 144-ФЗ «Об оперативно-розыскной деятельности» (оперативно-розыскная деятельность). Защита коммерческой тайны не является случаем ограничения действия ст. 63 ФЗ «О связи». Вариантом ограничения действия этого закона может выступать судебное решение, но в нашей ситуации и оно не применимо. Многие практики считают, что если работник был уведомлен о перлюстрации, то нормы Конституции, УК РФ и федеральных законов не нарушаются. Однако ст. 23 Конституции РФ является императивной нормой, а соответственно, не может быть изменена соглашением сторон. Если работодатель в письменной форме уведомит сотрудника о том, что в компании практикуется перлюстрация, то он может надеяться лишь на то, что работник не станет вести личную переписку по служебной почте. Июль 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Отдельного внимания заслуживает ситуация, когда нарушение тайны переписки возникает в результате того, что руководитель или директор по безопасности отдает распоряжение системному администратору компании о введении перлюстрации. Действия последнего в таком случае могут быть квалифицированы как соучастие в соответствии со ст. 32 УК РФ. Если у руководителя организации или директора службы безопасности и системного администратора имеется общий умысел, который направлен на нарушение тайны переписки, то в результате судебных разбирательств начальство может быть привлечено к ответственности как организатор преступления, а системный администратор – как исполнитель. Для того чтобы избежать подобного развития событий и обезопасить себя, системный администратор должен предпринять ряд действий: убедиться, что перлюстрации подлежит служебный почтовый ящик работника, а не личный; получить доказательства того, что сотрудники дали свое согласие (оно должно быть выражено в письменной форме) на перлюстрацию; после перлюстрации составить отчет, где будут указаны адреса той электронной почты, которая подверглась перлюстрации, а также данные работников, за которыми закреплены эти электронные адреса, в него необходимо включить и информацию о том, что работники извещены о недопустимости использования служебной почты в личных целях.

Право собственности Работодатель является собственником либо закрепленным официально пользователем телефонных линий и электронных сетей. В этом качестве он имеет право ограничить использование принадлежащего ему имущества. Если работник ведет телефонные переговоры по личным вопросам на службе, то обязан оплачивать их из своего кармана. Другой вопрос, каким образом работодатель может отделить личные звонки от служебных, не прослушав переговоры, а соответственно, не нарушив ст. 23 Конституции РФ. Здесь следует учитывать, что работодатель может затребовать у телефонного оператора распечатку всех вызовов и таким образом выявить служебные и неслужебные звонки. Для этого вовсе не обязательно прослушивать телефонные разговоры. С другой стороны, данный метод помогает лишь для защиты от оплаты личных телефонных 36

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Июль 2012

WORDS+PICTURES / SHUTTERSTOCK.COM

ТЕМА НОМЕРА | ТЕХНИЧЕСКИЙ КОНТРОЛЬ ПЕРСОНАЛА

Очень трудно найти ту грань, где заканчивается защита интересов собственника и начинается нарушение конституционных прав сотрудника переговоров сотрудников, но при этом не позволяет выявить утечку информации, составляющей коммерческую тайну. Что касается электронного мониторинга, то его можно узаконить следующим способом. В договоре с работником прописывается, что последнему предоставляется электронный почтовый ящик в доменном имени работодателя, и тот, являясь собственником электронного почтового ящика, имеет право на перлюстрацию всех сообщений из него, так как вся подобная переписка является служебной. При этом работодатель должен поставить запрет на использование иных почтовых сервисов либо с помощью технических средств ограничить доступ работников к ним, предложив последним обращаться лишь к тем страницам в сети, которые необходимы для работы. Также работодатель должен предоставить сотрудникам служебный номер

WWW.S-DIRECTOR.RU

Работодатель является собственником телефонных линий и электронных сетей. В этом качестве он имеет право ограничить использование принадлежащего ему имущества средств обмена мгновенными сообщениями, таких как ICQ, Skype, QVIP и др., при этом запретив использовать личный номер. В договоре необходимо строго оговорить, что за соблюдением условий, изложенных в нем, будет осуществляться строгий контроль со стороны работодателя. Статья 8 Конституции РФ защищает право собственности, свидетельствуя о том, что в Российской Федерации признаются и защищаются равным образом частная, государственная, муниципальная и иные формы собственности. Одновременно с этим ст. 23 гарантирует тайну переписки. Налицо противовес интересов между собственником предприятия и работниками. Очень трудно найти ту грань, где заканчивается защита интересов собственника и начинается нарушение конституционных прав сотрудника. Любой контроль со стороны работодателя должен быть ограничен определенными целями и не должен выходить за определенные пределы.

Основным моментом, на который необходимо обратить внимание, является наличие в трудовом договоре соответствующего условия. Если работник подписывает трудовой договор, содержащий условие о возможном вмешательстве в частную жизнь, значит, он с ним согласен. Статья 138 УК РФ подтверждает тот факт, что нарушение тайны переписки уголовно наказуемо. Ключевым моментом здесь является фраза «нарушение тайны». Если работник соглашается на сбор информации о себе, то он не считает это тайной. При этом работодателю просто необходимо четко зафиксировать все параметры собираемой информации, чтобы сотрудник в будущем не имел возможности утверждать, что такого согласия не давал.

В заключение хотелось бы выделить несколько основных моментов, использование которых в своей деятельности позволит собственнику предприятия защитить свои права, не нарушив при этом прав работников: Служба безопасности должна учитывать, что все формы осуществления контроля за сотрудниками должны реализовываться только с согласия их самих и клиентов компании. Цели проведения подобных мероприятий должны быть исключительно правомерными. Должна быть соблюдена пропорциональность между целью и средствами ее достижения. В локальных нормативных актах необходимо прописать процедуру осуществления перлюстрации и заручиться согласием работников на это, которое должно быть подтверждено их подписями.

Анализ законодательства Согласно ст. 23 Конституции РФ, каждый гражданин имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения. Одновременно с этим ст. 24 Конституции РФ не запрещает сбор информации о частной жизни гражданина при наличии его согласия. На наш взгляд, тут вовсе нет противоречия. Вмешательство в частную жизнь возможно только при согласии на это человека или при наличии судебного акта, дающего на то разрешение. Об этом говорится и в ст. 137 УК РФ. Если работодатель осуществляет сбор сведений о частной жизни лица без его согласия, то такие действия могут быть квалифицированы по ст. 137 УК РФ. Однако при наличии согласия сотрудника, даже если в служебную переписку или переговоры попадет личная информация, квалифицировать действия работодателя по ст. 137 будет затруднительно.

СТАТЬЯ 8 КОНСТИТУЦИИ РФ ЗАЩИЩАЕТ ПРАВО СОБСТВЕННОСТИ

Такие меры помогут руководству компании избежать уголовной ответственности и защитить свою собственность. И все же пока на законодательном уровне не будет введена легитимность осуществления контроля за информацией на предприятии, все подобного рода действия необходимо производить с большой осторожностью. Июль 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ТЕМА НОМЕРА | ТЕХНИЧЕСКИЙ КОНТРОЛЬ ПЕРСОНАЛА

МИХАИЛ ХИТРОВ, генеральный директор ООО «Центр речевых технологий»

Распознавание речи в системах контроля персонала

ELIKS / SHUTTERSTOCK.COM

Сколько стоит утечка информации? Катастрофа, какого бы масштаба она ни была, влечет за собой разрушения. И всегда гораздо сложнее устранять последствия случившегося, нежели заранее позаботиться о мерах безопасности, осуществить действия по профилактике потенциальной угрозы. Именно с катастрофой сравнивают французы выявленный недавно случай промышленного шпионажа в компании Renault. В начале прошлого года высокопоставленные сотрудники концерна были отстранены от работы после утечки информации, связанной с проектами создания электромобилей. Представители Renault заявили, что обнаруженные утечки конфиденциальной информации «наносят серьезный урон стратегическим интересам предприятия». 38

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Июль 2012

Случай с Renault не единственный пример промышленного шпионажа. В «печальном» списке фигурируют названия и других известных корпораций: французского производителя автомобильных шин Michelin, компаний Apple и IBM, американских концернов Motorola и Coca-Cola. Однако не только крупный, но и малый и средний бизнес также подвержены риску, связанному с утечкой данных, касающихся технологических ноу-хау, конкурентных преимуществ, заработной платы сотрудников и многого другого. «Если вы представляете малый или средний бизнес и работаете с объемом информации от 2Тб до 7Тб, то существует 20%-ная вероятность того, что в вашей фирме произошла утечка данных в прошлом году», – утверждают в совместном исследовании эксперты

WWW.S-DIRECTOR.RU

Vanson Bourne и EVault. 20 % – достаточно значимая цифра даже для компаний из таких высокоразвитых стран, как Великобритания, США и Франция, которые принимали участие в опросе. В настоящее время утечки информации наблюдаются в различных организациях всего мира. Согласно отчету InfoWatch, в 2011 г. потери компаний в результате утечек информации составили 14,8 млн долл., еще 500 млн долл. они потратили на ликвидацию последствий этого. Количество зарегистрированных утечек в России тоже немалое, и их число постоянно увеличивается – не менее чем на 50 % ежегодно. В информационном обществе нематериальные активы компаний приобретают особую ценность. Уникальные разработки, прототипы, реализуемые решения – все это становится ми-

Телефонный разговор может передать гораздо больше информации, чем текст, за счет манеры говорящего, включающей тон и темп речи, артикуляцию шенью конкурентной разведки, промышленного шпионажа и просто недобросовестной борьбы между участниками рынка, стремящимися любыми путями, порой неблаговидными, достичь своих целей. Коммерческая информация является важной, значимой и критически ценной. Подходить к ее охране стоит с не меньшей основательностью, нежели это делается для защиты материальных объектов.

Каковы факторы интенсивности утечек? Если вы всерьез решили заняться этой проблемой в вашей компании, то следует обратить внимание на основные факторы, которые влияют на степень подверженности организации утечкам информации.

ТЕХНОЛОГИИ, ПРИМЕНЯЕМЫЕ ДЛЯ АВТОМАТИЗИРОВАННОЙ РЕЧЕВОЙ АНАЛИТИКИ При выборе системы автоматизированного контроля за работой персонала, основанной на технологии распознавания речи, особое внимание необходимо уделить уточнению рамочности предлагаемых решений. В частности, ЦРТ за свою более чем 20-летнюю работу в области распознавания речи под разные задачи реализовал отличные друг от друга алгоритмы, объединенные единым термином «распознавание речи». В целях иллюстрации многогранности технологий распознавания речи обратимся к различным по своему назначению системам. ПОИСК КЛЮЧЕВЫХ СЛОВ В ПОТОКЕ СЛИТНОЙ РЕЧИ При использовании метода распознавания отдельных участков как в спонтанной, так и соответствующей определенным правилам речи информация не полностью преобразуется в текст, выделяются лишь те речевые отрезки, которые содержат заданные слова или словосочетания. Именно так осуществляется работа программного модуля VoiceDigger. Системы распознавания по ключевым словам в потоке слитной речи применяются гораздо шире – не только службами безопасности. Данные системы также эффективно служат для контроля регламента общения работников отделов продаж и сервисной поддержки и являются незаменимым средством аналитики для крупных контакт-центров. Упоминания конкурентов, отраслевых профессионализмов и

отдельных продуктов компании – на выделении таких ключевых моментов основана технология распознавания речи в специализированном продукте для контакт-центров Smart Logger II. Так, например, «Телеком-Экспресс», контакт-центр, обслуживающий ОАО «РЖД», использует поиск слов благодарности в речи клиентов в конце разговора для оценки их лояльности. РАСПОЗНАВАНИЕ ПО ГРАММАТИКЕ Распознавание фраз, соответствующих определенным заданным правилам (грамматике), широко применяется в системах голосового самообслуживания. Например, система VoiceNavigator, развернутая в Центре телефонного обслуживания Многофункционального центра (МФЦ) предоставления государственных услуг г. Санкт-Петербурга, распознает наименование района города и информирует обратившегося по тел.: (812) 573-90-00 об адресах районных МФЦ. РАСПОЗНАВАНИЕ ОТДЕЛЬНЫХ КОМАНД Суть технологии заключается в том, что система реагирует на раздельно произнесенные слова или словосочетания из небольшого, заранее заданного словаря, которые она распознает. В настоящее время наиболее ярким примером использования технологии распознавания отдельных команд в коммерческих приложениях является голосовая навигация по сайтам. Познакомиться с работой технологии на практике можно на сайте Сбербанка по адресу: sberbank.ru, включив «голосовой интерфейс», после чего навигация по сайту становится доступна с помощью голосовых команд.

Июль 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ТЕМА НОМЕРА | ТЕХНИЧЕСКИЙ КОНТРОЛЬ ПЕРСОНАЛА

Лояльность персонала (лояльный персонал, как правило, соблюдает инструкции по безопасной работе с ценными данными). Эффективность действий службы экономической безопасности при рекрутинге (новый сотрудник может быть «вражеским агентом»). Число используемых каналов коммуникаций (чем больше способов передачи данных, тем сложнее их контролировать). Эффективность технических средств по защите доступа к данным (определенность и обоснованность прав доступа к данным позволяет отсечь злоумышленников на уровне рядовых сотрудников или отдельных подразделений).

Как обеспечить информационную безопасность предприятия?

существует

20 %

-ная

вероятность того, что в вашей фирме произошла утечка данных в прошлом году томатическую запись телефонных переговоров своих сотрудников для последующего автоматизированного анализа и мониторинга потенциальных случаев утечки информации. Система регистрации переговоров дополняет DLP-систему, что значительно повышает уровень безопасности. Сервер хранения фонограмм служит источником той информации, которая в дальнейшем может быть подвергнута «ручной» и автоматической обработке, а сами записи могут быть использованы в качестве доказательств. Какой эффект стоит ожидать от применения автоматической записи телефонных переговоров? В качестве профилактической меры предупреждения утечек информации аудиозапись позволяет сформировать у сотрудников более ответственное отношение к телефонным переговорам с клиентами и другими контрагентами. Кроме того, она предоставляет возможность для анализа различных моментов, которые несут в себе потенциальные угрозы для информационной безопасности компании. При этом современные решения предлагают автоматические инструменты мониторинга и анализа аудиозаписей в целях экономии времени и сокращения объемов прослушиваемой аудиоинформации.

Эффективная профилактика утечек информации строится на основе современных технических средств, упреждающих попытки и гарантированно доказывающих факт инсайдерской деятельности. Профилактика – первичная мера для противодействия утечкам информации в компании. Но также важна и последующая работа – анализ и мониторинг потенциально возможных случаев утечки информации с целью пресечения подобных ситуаций в будущем. ООО «Центр речевых технологий», российский разработчик с основным офисом в СанктПетербурге, рекомендует реализовать комплексное решение для противодействия утечкам информации, которое включает два этапа: Легальную запись телефонных переговоров. Автоматическую речевую аналитику.

Автоматическая запись телефонных переговоров Телефонные переговоры являются неотъемлемой частью современных бизнес-коммуникаций. По этой же причине они оказываются и потенциальным каналом не только для утечек ценной информации, но и для лоббирования собственных интересов (определенные категории продуктов, поставщики, посредники и др.). Стоит также отметить, что информационная насыщенность аудиосигнала выше, чем у текста того же содержания. Обычный телефонный разговор может передать гораздо больше информации за счет манеры говорящего, включающей тон и темп речи, артикуляцию. Вследствие особой ценности речевой информации все больше компаний осуществляет ав40

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Июль 2012

ЭФФЕКТИВНАЯ ПРОФИЛАКТИКА УТЕЧЕК ИНФОРМАЦИИ СТРОИТСЯ НА ОСНОВЕ СОВРЕМЕННЫХ ТЕХНИЧЕСКИХ СРЕДСТВ

Автоматическая речевая аналитика Очевидно, что прослушать все фонограммы, сделанные системой записи, физически невозможно и абсолютно нецелесообразно. На этот случай имеются тонкие инструменты, которые способны автоматически выделять на основании использованных слов, фраз и даже интонаций подозрительные разговоры и предлагать

WWW.S-DIRECTOR.RU

для прослушивания только их. Таким функционалом располагает аналитический модуль VoiceDigger системы аудиозаписи переговоров «Незабудка™». Автоматизация процессов речевой аналитики позволяет достигать отличных результатов. Основная задача, которую решают такие системы, – это определение потенциальной утечки до того, как она произошла или нанесла непоправимый ущерб. Для этих целей необходимо произвести достаточно кропотливую работу по составлению словаря ключевых слов, по которым возможно автоматическое определение разговоров, вызывающих подозрение. В частности, общение, в рамках которого прозвучала фраза «это не телефонный разговор», с высокой вероятностью может представлять интерес для сотрудников службы безопасности. Для формирования списка ключевых слов необходима систематическая работа по определению основных угроз и рисков, выявлению мотивов, побуждающих инсайдеров сообщать конфиденциальную информацию ее покупателям. Это позволит использовать автоматические поисковые системы для предупреждения утечек ценных сведений. Весьма полезен для этих целей будет анализ переговоров в режиме реального времени. Процесс построения словаря сводится к множеству итераций, связанных с отбором и фильтрацией слов после каждого прослушивания «ложно подозрительных» фонограмм. Однако для его

СИСТЕМА РЕГИСТРАЦИИ ПЕРЕГОВОРОВ ДОПОЛНЯЕТ DLP-СИСТЕМУ, ЧТО ЗНАЧИТЕЛЬНО ПОВЫШАЕТ УРОВЕНЬ БЕЗОПАСНОСТИ

развития можно использовать уже ставшие традиционными методы профилактики утечек, применяемые в технических средствах DLP-систем. Если в компании существует политика классификации данных по уровню конфиденциальности, то зачастую файлы, содержащие в себе информацию ограниченного пользования, имеют особые имена, разряды имен, специальные иерархические метки. Как следствие, названия важных документов могут служить ключевыми словами и использоваться для противодействия утечкам данных. Эффективность речевой аналитики связана с тем, что она позволяет стандартизировать механизмы профилактики утечек на основании уже существующих данных о мотивах и моделях поведения инсайдеров. То есть, если однажды утечка уже произошла, то речевая аналитика переговоров помогает пресечь подобный способ передачи данных на основании полученной информации. Система противодействия утечкам предприятия развивается и наращивает свою эффективность с течением времени. Таким образом, использование систем записи и автоматического анализа переговоров является серьезной мерой профилактики возможных утечек. Кроме того, запись переговоров и речевая аналитика позволяют повысить риски инсайдера быть обнаруженным в случае попытки передать информацию (неважно сознательно или непредумышленно) либо назначить встречу для этой цели.

ОСНОВНАЯ ЗАДАЧА, КОТОРУЮ РЕШАЮТ ТАКИЕ СИСТЕМЫ, – ЭТО ОПРЕДЕЛЕНИЕ ПОТЕНЦИАЛЬНОЙ УТЕЧКИ ДО ТОГО, КАК ОНА ПРОИЗОШЛА ИЛИ НАНЕСЛА НЕПОПРАВИМЫЙ УЩЕРБ

ELIKS / SHUTTERSTOCK.COM

Июль 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ТЕМА НОМЕРА | ТЕХНИЧЕСКИЙ КОНТРОЛЬ ПЕРСОНАЛА

РОМАН ИДОВ, эксперт компании «SearchInform»

Технический контроль персонала: контур эффективности

Как предотвратить переход ключевых сотрудников к конкурентам? Как определить сотрудников, распечатывающих поддельные накладные? Как выяснить, кто размещает на форумах нелицеприятную информацию о компании? Информация сегодня является одним из критически важных факторов успеха деятельности любой организации. Именно поэтому пренебрежение вопросами обеспечения информационной безопасности может обернуться для бизнеса самыми неприятными последствиями, начиная с испорченной деловой репутации и заканчивая исками от пострадавших клиентов и даже банкротством.

есомненно, одной из главнейших проблем в настоящее время являются информационные угрозы, связанные с персоналом. Ежегодно компании во всех странах теряют астрономические суммы из-за подобных инцидентов. Согласно исследованиям Ponemon Institute, средняя стоимость утечки информации в мире составляет около 2,7 млн долл. Можете ли вы позволить себе потерю данных при таких расценках? Небольшие организации, так же как и транснациональные корпорации, страдают от утечек информации, которые становятся предметом расследований различных государственных органов и достоянием СМИ. Никто не застрахован от подобных проблем. Об этом свидетельствуют новости о такого рода инцидентах даже во всемирно известных компаниях. Проблема защиты информации в России стоит не менее остро, чем во всем мире. 42

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Июль 2012

Согласно исследованию, проведенному кадровым холдингом АНКОР, 22 % россиян пользуются служебной информацией для стороннего приработка. Впрочем, утечки данных – далеко не единственная неприятность, которая может привести к финансовым убыткам и даже угрожать в целом деятельности компании. Не меньше проблем приносят внутриорганизационная кулуарная борьба, которая нередко вынуждает уходить из компании наиболее ценных для нее сотрудников, а также размещение работниками порочащих работодателя сведений в Интернете (вовсе не нужно, чтобы они соответствовали действительности – вполне достаточно их распространить) и подделка документов на рабочем оборудовании. В большинстве компаний даже не задумываются о подобных рисках и в итоге несут значительные убытки. Как показывает исследование Ponemon Institute, расходы организаций, не соблюдающих правила безопасности, более чем в 2,5 раза превышают затраты тех, кто придерживается этих правил. Как же защититься от информационных рисков? Одним из наиболее эффективных решений может быть внедрение специального программного обеспечения, которое будет контролировать сетевую активность работников. Одним из подобных решений является «Контур информационной безопасности SearchInform». «Контур» способен защитить организацию от утечек корпоративной конфиденциальной информации через электронную почту, системы мгновенного обмена сообщениями ICQ и MSN, текстовые и голосовые сообщения Skype, внешние устройства (компакт-диски, USB-носители), а также через распечатываемые

WWW.S-DIRECTOR.RU

документы. Кроме того, данное программное решение позволяет отследить появление конфиденциальных документов на компьютерах сотрудников и предотвратить их дальнейшее распространение. Комплекс разработан с учетом отечественной специфики обеспечения информационной безопасности. Благодаря модульной архитектуре этого решения компании могут использовать только те его возможности, которые актуальны для них, и таким образом сэкономить на покупке тех компонентов, которые им не требуются. Приведем несколько примеров реальной работы этого продукта в компаниях, которые смогли предотвратить или хотя бы минимизировать ущерб от действий своих сотрудников. Пример 1. Сведения относительно планов строительной компании по приобретению земли под элитную застройку начали уходить «на сторону». Владельцы участков перед оговоренной продажей их застройщику уступали свою землю риелторам, которые предлагали за нее совсем другие суммы. Компонент MailSniffer помог выявить инсайдера, пересылавшего по электронной почте информацию о намерениях застройщика риелторам. Пример 2. На компьютере одного из сотрудников случайно были обнаружены резюме нескольких ведущих специалистов компании. Необходимо было выяснить, в какую компанию они собирались переходить на работу, и предотвратить возможную утечку корпоративной информации, к которой они имели доступ. Мониторинг ICQ и отслеживание конфиденциальных документов на рабочих компьютерах, осуществленные с использованием «Контура», позволили выяснить, в какую конкретно конкурирующую компанию намерены перейти эти работники. Также был составлен список корпоративных документов, которые они собирались передать новому работодателю. После того как доступ к конфиденциальным данным для этих сотрудников был перекрыт, конкурирующая компания отказалась принимать их к себе на работу. Пример 3. Аудиторская проверка на одном из крупных предприятий, производящем бакалейную продукцию, выявила значительную недостачу готовой продукции на складах. Удалось установить факт продажи группой злоумышленников продукции по поддельным накладным. Компонент программного решения PrintSniffer позволил достоверно определить работников, осуществлявших печать поддельных накладных на принтерах, которые использовались в этой организации. Пример 4. На одном из популярных форумов обнаружились нелицеприятные высказывания о руководстве компании, которые принадлежали некоему

УТЕЧКИ ДАННЫХ – ДАЛЕКО НЕ ЕДИНСТВЕННАЯ НЕПРИЯТНОСТЬ, КОТОРАЯ МОЖЕТ ПРИВЕСТИ К ФИНАНСОВЫМ УБЫТКАМ И ДАЖЕ УГРОЖАТЬ В ЦЕЛОМ ДЕЯТЕЛЬНОСТИ КОМПАНИИ

анонимному ее сотруднику. Поиск в Google выявил еще несколько ресурсов с подобными сообщениями, которые самым негативным образом сказывались на деловой репутации организации. Мониторинг показал, что высказывания периодически дополняются все новыми подробностями. Компонент HTTPSniffer помог найти работника, который регулярно оставлял на найденных форумах сообщения, вредящие деловой репутации компании. Попутно были выявлены несколько сотрудников, которые практически все свое рабочее время посвящали общению в социальных сетях «Одноклассники» и «В контакте». Пример 5. Сразу несколько наиболее ценных сотрудников организации подали заявление об увольнении по собственному желанию. В ходе приватной беседы руководителя кадрового отдела с ними выяснилось, что поводом для таких действий с их стороны стала полученная ими из неизвестного источника информация о грядущих кадровых переменах в руководстве компании. Благодаря компоненту SkypeSniffer удалось выявить работника, рассылавшего с помощью Skype сообщения о кадровых перестановках в целях устранения из компании ряда ведущих сотрудников, так как сам он предполагал занять одно из образовавшихся с его помощью вакантных мест. Таким образом, организация смогла избежать потери ценных кадров и предпринять меры против кулуарной борьбы. Можно сделать вывод о том, что использование данного решения позволяет компаниям выявлять сотрудников, нарушающих условия контракта, правила внутреннего распорядка либо каким-либо другим образом вредящих организации. Среди других решений, предлагаемых на рынке, «Контур информационной безопасности SearchInform» выделяется простотой и быстротой внедрения, которое, как правило, занимает всего несколько дней и не требует привлечения сторонних специалистов. Также не возникает необходимости изменять существующую в организации сетевую структуру для построения системы защиты от утечек данных. Уникальные запатентованные технологии поиска и распознавания конфиденциальных данных предоставят возможность найти любые, даже специально измененные документы, в перехваченном трафике, а гибкая система разграничения прав доступа позволит исключить из процесса мониторинга руководителей организации. Конечно, не следует думать, что приобретение и внедрение этого программного продукта магическим образом решит все проблемы с защитой данных. Однако в руках руководителей и безопасников любой организации этот комплекс может стать качественным, многофункциональным и эффективным инструментом. Июль 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ТЕМА НОМЕРА | ТЕХНИЧЕСКИЙ КОНТРОЛЬ ПЕРСОНАЛА

КИРИЛЛ ВИКТОРОВ, заместитель директора по развитию бизнеса компании «Инфосистемы Джет»

Собственный «микробизнес» сотрудников за счет компании Проблемы с квалифицированными кадрами существуют во всех сегментах российского бизнеса, но особенно остро это ощущается в компаниях среднего размера. Далеко не все из них готовы «покупать» персонал по рыночным ценам. Круг должностных обязанностей в этих компаниях большой, в то время как зарплаты – не очень. Такие компании часто рассматриваются соискателями как ступенька, «школа жизни» перед переходом в крупное предприятие. Поэтому работа с лояльностью персонала – довольно важная задача, которая стоит перед владельцами компаний среднего бизнеса. Воровство информации и материальных средств, мошенничество, готовность мгновенно перейти в конкурирующую компанию – вот только некоторые угрозы, связанные с персоналом. Еще одна проблема такого же свойства – использование сотрудниками рабочего места и времени для ведения своего «микробизнеса» в ущерб работодателю. В статье описываются подходы к решению задач по минимизации рисков, связанных с нелояльностью сотрудников. 44

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Июль 2012

ANDRIUS REPSYS / SHUTTERSTOCK.COM

Методы выявления и нейтрализации

WWW.S-DIRECTOR.RU

адачи среднего бизнеса в целом схожи с задачами большого. Но больших зарплат средний бизнес обычно платить не готов, поэтому всех дорогостоящих работников, часто оказывающихся лучшими на рынке, забирают крупные компании. Это значит, что в небольшой организации меньше «звезд», чем на аналогичных позициях в крупной. В их числе иногда оказываются сотрудники, отличающиеся невысоким уровнем лояльности. То есть те, кто не дорожит текущими условиями, кто готов в любой момент перейти в другую компанию, – представляют для организации своеобразную группу риска. У компаний среднего бизнеса зачастую нет возможности содержать полностью укомплектованную кадровую службу: один человек совмещает несколько должностей. Он перегружен работой, и у него физически нет возможности охватить своим вниманием весь персонал компании, даже если он работает 12-14 часов в сутки. То же самое касается и службы безопасности. Поэтому возникает обоснованная идея применить техническое решение, позволяющее автоматизировать сбор и анализ информации, необходимой для работы с лояльностью.

Чужой среди своих Вопросы лояльности персонала обострились в 2008 году, во время финансового кризиса. Необходимость сокращать персонал заставила работодателей предпринимать значительные усилия по снижению рисков, связанных с возможностью увольнения. Сотрудники «уносили» с рабочего места все, что «под руку попадется», начиная от степлеров, заканчивая внутренними базами данных и шаблонами корпоративных документов. Увольнение с конфликтом нередко приводило к тому, что сотрудник отправлял себе на домашнюю почту электронную таблицу с контактами клиентов компании. В результате ситуация усугублялась и потерей информации, и различными репутационными рисками. Спасением на техническом уровне оказались DLP1-системы. С их помощью стало возможно построить процессы контроля информации, которой обмениваются сотрудники по распространенным каналам коммуникации, от электронной почты и Интернета, до принтеров и usb-носителей. Такие системы помогают эффективно решать не только задачи, связанных с их прямым назначением – предотвращением утечек информации, но и широкий круг вопросов, связанный с лояльностью персонала. В том числе, DLP-система может оказаться полезной в выявлении и нейтрализации собственных «микробизнесов» сотрудников.

Такой «микробизнес» сотрудник может организовать прямо со своего рабочего места. Например: сотрудник открывает интернет-магазин и торгует с его помощью в рабочее время, используя корпоративные ресурсы компании. Еще один реальный пример. В процессе строительства используется спецтехника, часть которой компании арендуют. Есть организации, которые эту технику продают, сдают в аренду, обслуживают. Предположим, вышел из строя башенный кран. Квалифицированный сотрудник обслуживающей организации, обученный и сертифицированный для ремонта этого крана, приезжает на площадку для его ремонта. Ему предлагают сделать свою работу, а заодно, за отдельную плату, не проходящую через кассу, диагностировать и привести в рабочее состояние еще один, похожий кран. Подобных ви-

У компаний среднего бизнеса зачастую нет возможности содержать полностью укомплектованную кадровую службу: один человек совмещает несколько должностей дов так называемого «микробизнеса» можно привести очень много. Достаточно заменить «башенный кран» на «отбойный молоток» или «систему пожаротушения» и можно получить еще 2 примера. Такая схема выгодна и заказчику, чью технику необходимо привести в рабочее состояние, и сотруднику, который получает дополнительное денежное вознаграждение за потраченное рабочее время. В проигрыше оказывается только компания-работодатель специалиста по ремонту техники. Некоторые переводят подобные ситуации в разряд реального бизнеса, открывают и администрируют сайты, не покидая при этом своего рабочего места. Ведь все необходимое для этого – электронная почта, клиентская база, Интернет, телефон – всегда под рукой. Сотрудник обновляет свой профиль на кадровом портале, общается с рекрутерами через социальные сети, договаривается по «аське» о дополнительном «левом» заработке. Все перечисленные ситуации ведут к прямому убытку для компании. Подобные действия могут быть распознаны с помощью системы DLP. Происходит оповещение HR-службы, непосредственного Июль 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ТЕМА НОМЕРА | ТЕХНИЧЕСКИЙ КОНТРОЛЬ ПЕРСОНАЛА

Особое внимание уделяется тому, чтобы с помощью технических средств получить информацию о том, что именно сотрудники делают во время рабочего дня на своем рабочем месте руководителя и службы безопасности. После этого сотрудника «помещают в серый список», его дальнейшие действия будут более тщательно контролироваться, а в компании в его отношении изменится политика безопасности. Информация, которой он обменивается с «внешним» миром, будет анализироваться с пристальным вниманием. Таким образом, DLP-решение позволяет связать информационную безопасность и кадровую, а службе безопасности более тесно начать взаимодействовать с подразделением HR.

Job Security по-российски DLP-проекты в России имеют свою специфику. Традиционные технологии предотвращения утечек конфиденциальной информации используются и для улучшения производительности подразделений, снижения финансовых издержек, уменьшения простоя бизнеса, оптимизации штата сотрудников. Особое внимание уделяется тому, чтобы с помощью технических средств получить информацию о том, что именно сотрудники делают во время рабочего дня на своем рабочем месте: читают новости, анекдоты, ведут блоги, размещают фото в соцсетях, обсуждают победу на чемпионате мира по хоккею, рассылают резюме, делают покупки. Какую часть рабочего времени занимает такая деятельность? Сегодня контроль подобной «непрофильной» работы мы называем Job Security. Этот термин появился в Европе и уже получил широкое распространение за рубежом. В российскую действительность он вошел не так давно и пока не столь распространен. Говоря о Job Security, в России обычно понимают два момента. Первый – понимание уровня лояльности сотрудников и своевременную оценку его изменения. Второй – отслеживание результа46

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Июль 2012

тивности сотрудников, их ценность для компании с точки зрения бизнеса. Решая задачи Job Security, DLP-системы контролируют использование любых каналов информационного обмена, включая развлекательные: социальные сети, интернет-пейджеры, Skype и др. Даже при условии, что ряд сотрудников обычно использует эти каналы в рабочих целях и простой запрет доступа к ним неэффективен. Для иллюстрации можно привести такой пример: для работы сотрудникам необходимо использование Skype. Ситуацию, когда части сотрудников разрешен доступ к сервису, а кому-то запрещен сложно организовать с технической точки зрения. В этом случае функционал DLP позволяет анализировать сам процесс общения, темы разговоров и адресатов. Это помогает предотвращать даже случайное «выбалтывание» ценной информации, не говоря уже о намеренной передаче информационных активов.

Технологии DLP-системы работают с данными, которые передаются по каналам связи (почта, веб-браузер), выводятся на внешние носители, печать. Суть технологии − понять, что именно передается, и тем или иным способом проверить, можно ли это передавать. После того как правила применены, система информирует руководителя об инциденте и остановливает передачу критичного файла, к примеру, документа с круглой печатью организации и подписью главного бухгалтера. Такие функции может выполнять, например, комплекс «Дозор-Джет». Первое, что можно реализовать, не вмешиваясь в бизнес-процесс компании, – просто фиксировать инциденты и информировать заинтересованных лиц. Во втором режиме, активном, система блокирует передачу информации. Третий актуальный аспект при решении задач DLP – контроль печати, корпоративных ноутбуков, гаджетов и носителей, подключаемых к ПК. Сейчас такие носители могут вместить внушительный объем данных, на них можно унести практически всю основную информацию из небольшой компании. Существует возможность использовать систему DLP непосредственно для выяснения наиболее критичных рисков, связанных с действиями пользователей – например, запрашивать подтверждения, выводить предупреждения пользователю в ответ на те или иные действия. В данных предупреждениях и уведомлениях хорошей практикой является доведение до сотрудников пунктов регламента по ИБ, правил использования корпоративных ресурсов. А также – возможность обратной

WWW.S-DIRECTOR.RU

связи, например, при бизнес-процессах, которые вынуждают обходить требования безопасности. Классификация инцидентов по причинам, таким как «используется в бизнес-процессе», «неизвестное правило распорядка», «приказ вышестоящего начальника», позволяет проанализировать ситуацию, предоставить информацию руководству в наглядном виде и обосновать необходимость изменений в регламентах службы ИБ и в организации работы компании. Как распознается «микробизнес»? Например, мы видим, что на какие-то адреса уходят служебные документы, и по этим адресам пишет только один сотрудник. Включается аналитика. Можно определить, что для данного человека характерен некий профиль общения с конкретным количеством компаний. И если появляются документы иной специфики, уходящие на другие адреса, то это можно отследить. Еще одним индикатором может быть резкое увеличение количества сообщений электронной почты или рост активности на каком-нибудь форуме. В итоге может оказаться, что человек подписан, например, на рассылку от рекрутинговых агентств. Компании среднего бизнеса предполагают большой документооборот. Но технологии DLP позволяют выделить из него наиболее важные для компании документы и создать образцы, с которыми в дальнейшем будут сравниваться все исходящие документы для определения, насколько они похожи на образец. Отслеживание систематичности такой отправки позволяет бороться с утечками и определять лояльность сотрудника. Некоторые производители DLP-систем ведут список адресов рекрутинговых компаний, знают специфические особенности, которые сопровождают резюме либо приглашение на собеседование. Поэтому, выбирая конкретное DLP-решение, необходимо учитывать национальную специфику.

DLP – это дорого? Высококонкурентная среда заставляет задумываться о том, как сделать бизнес более эффективным. Несмотря на очевидные преимущества использования решений класса DLP, многие компании останавливает их высокая стоимость: система DLP с хорошим функционалом стоит несколько сотен тысяч долларов. Средняя компания обычно не может позволить себе таких расходов. Однако и в этом случае есть пути решения. Например, можно разбить работы на четкие этапы: сначала решить вопрос с контролем электронной почты, в дальнейшем – начать контролировать, что отправляют сотрудники со

ТАКОЙ «МИКРОБИЗНЕС» СОТРУДНИК МОЖЕТ ОРГАНИЗОВАТЬ ПРЯМО СО СВОЕГО РАБОЧЕГО МЕСТА

ANDRIUS REPSYS / SHUTTERSTOCK.COM

своего рабочего места через публичные веб-мейлы, социальные сети и форумы и т. д. Если компания не может приобрести систему за счет инвестиций – возможны другие формы – рассрочка, аренда. С точки зрения собственника, вложения в систему такого класса эффективны. Как показывает опыт внедрения систем в компаниях среднего бизнеса, достаточно всего 1-2 инцидентов, для того чтобы полностью окупить инвестиции. DLP-системы помогают решать задачи не только информационной безопасности. В сферу их действия попадает такая специфическая тема, как контроль лояльности сотрудников. Успешность бизнеса определяется командой профессионалов, которые создают конечный результат. Нанять высокооплачиваемого топ-менеджера – иногда не лучшее решение. Лояльность сотрудников – важная составляющая, на которой держится любая компания. DLP может выступить активным помощником бизнесу и HR-службе в создании команды, которая действительно готова работать на компанию, нацелена на ее успех и результативность. В то же время DLP позволяют контролировать появление в штате случайных людей, целенаправленно приходящих в компанию на краткий срок, чтобы понять, как устроен бизнес, и увести пару «вкусных» проектов. Это возможно благодаря совместной работе служб безопасности и HR, использующих инструменты DLP в процессе своей работы. Представленные сегодня на рынке DLP-решения вполне способны решать подобные задачи, что показывает ряд успешных внедрений в отечественных компаниях не только крупного, но и среднего бизнеса. 1 DLP (Data Loss Prevention, англ.) – Предотвращение потери информации Июль 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ТЕМА НОМЕРА | ТЕХНИЧЕСКИЙ КОНТРОЛЬ ПЕРСОНАЛА

ГЕОРГИЙ БОНДАРЕНКО, ЗАО «Папилон»

«ПАПИЛОН»: оперативная биометрическая идентификация личности Руководитель любого ранга всегда стремится обладать наиболее полной информацией обо всем, что происходит внутри и вокруг подведомственной ему структуры. Такая ситуация характерна для организаций разных размеров и форм собственности. Причем недостаточно обладать информацией о самом событии, важно достоверно знать, кто из сотрудников имеет к нему отношение и в какой роли. Помочь установить такую достоверную информацию могут технологии идентификации.

настоящее время растет потребность в системах автоматической идентификации личности для целей как коммерческого, так и различных видов гражданского использования. Причем соответствующие базы данных достигают значительных размеров. Число клиентов горнолыжного центра может превышать 50 тыс. человек, большого развлекательного центра с клубной регистрацией (обеспечиваемой, например, оператором сотовой связи) – 100 тыс., в социальных службах большого города нередко бывают зарегистрированы более 500 тыс. пенсионеров, а количество пользователей услуг определенного банка может вообще измеряться миллионами. Интеграция биометрических модулей в систему комплексной безопасности предприятия приводит к усилению контроля за действиями персонала (доступ, учет рабочего времени и т. д.)

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Июль 2012

и, как следствие, повышает уровень защищенности компании. Организация быстрой идентификации по таким базам данных представляет собой непростую задачу. Proximity-карты являются хорошим инструментом для решения этой проблемы. Если сотрудники предприятия фотографируются при получении пропуска (proximity-карты) и их персональные данные вместе с номером proximity-карты и фото заносятся в БД на центральном сервере, то «обмануть» такую систему контроля доступа на предприятие будет сложно. Конечно, при условии, если охранник станет добросовестно выполнять свои обязанности и сравнивать лица проходящих через КПП людей с их фотографиями из БД. Следовательно, на каждые 500–700 сотрудников предприятия потребуется одно рабочее место

WWW.S-DIRECTOR.RU

Интеграция биометрических модулей в систему комплексной безопасности предприятия приводит к усилению контроля за действиями персонала (доступ, учет рабочего времени и т. д.) контролера, а при круглосуточной работе организации – 6 штатных единиц. Таким образом, на 20 тыс. персонала предприятия необходим будет уже штат из 180–240 работников охраны. А если предположить, что люди не один раз пройдут через проходную, которая находится под наблюдением одного контролера? Тогда система не будет уже функционировать достаточно надежно. Сделать копию proximity-карты возможно, и злоумышленник при условии отсутствия контроля биометрических данных (например, фото с изображением лица сотрудника) легко пересечет КПП предприятия. Возьмем другой пример – с банковскими картами. Счета клиентов защищены номером карты и паролем, который мошенники научились считывать различными способами. Чем принципиально отличаются между собой клиент банка и мошенник, если оба они знают пароль и номер банковской карты? Должна быть какая-то уникальная информация в распоряжении системы идентификации для безошибочной фильтрации жульнических транзакций в потоке операций по распоряжению средствами клиентов. Это могут быть, например, уникальные биометрические данные тех, кто пользуется услугами банка. В некоторых странах уже действуют банкоматы со сканером отпечатка пальца или радужной оболочки глаза.

РИС. 1. ЦЕНТРАЛЬНЫЙ СЕРВЕР, ОБРАБАТЫВАЮЩИЙ ВСЕ ПОСТУПАЮЩИЕ ЗАПРОСЫ

Как устроены такие системы? В подобных случаях мы имеем дело с мощным центральным сервером (рис. 1.), способным обрабатывать поступающие запросы со всех филиалов банка, в которых содержится первичная биометрическая информация или ее математическое описание после обработки изображений на компьютере банкомата или оператора банка. Так как система должна прореагировать в пределах нескольких секунд, то достаточно высокие требования предъявляются к каналам связи и объемам передаваемой на сервер информации. Ключевым вопросом работоспособности такой

РИС. 2. СНИМОК С ЭКРАНА ДАКТИЛОСКОПИЧЕСКОГО СКАНЕРА

Июль 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ТЕМА НОМЕРА | ТЕХНИЧЕСКИЙ КОНТРОЛЬ ПЕРСОНАЛА

РИС. 3. СКАНЕР РАДУЖНОЙ ОБОЛОЧКИ ГЛАЗА

системы является эффективность алгоритмов поиска по биометрическим данным. Следует отметить существенное различие возможных вариантов организации поисков в системе. Одно дело сравнить приложенный к сканеру палец с 10 зарегистрированными отпечатками уже предполагаемого клиента (к тому

же дополнительно вводится номер банковской карты, и система по номеру находит карточку клиента), другое дело искать отпечаток по всей базе данных без каких-либо подсказок. Соответствующие алгоритмы поиска и сравнения имеют принципиально разный уровень. Процесс регистрации клиентов банка необходимо сделать максимально автоматизированным, сканирование отпечатков пальцев или изображений радужной оболочки глаз не должно причинять неудобство людям. Так, получение плоских оттисков отпечатков 10 пальцев может производиться за три приема (четыре пальца левой руки, затем два больших пальца и, наконец, четыре пальца правой руки) по формуле 4 х 2 х 4 с использованием дактилоскопического сканера с соответствующим размером чувствительной области призмы (рис. 2). Желательно, чтобы сканер радужной оболочки глаза (рис. 3) автоматически «захватывал» необходимое изображение и клиенту не приходилось «ловить» расстояние до сканера для успешной регистрации. Систему идентификации клиентов банка (сотрудников предприятия) с использованием отпе-

WHO IS WHO?

ДА НЕ ВОПРОС!

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Июль 2012

WWW.S-DIRECTOR.RU

Процесс регистрации клиентов необходимо сделать автоматизированным, сканирование отпечатков пальцев или изображений радужной оболочки глаз не должно причинять неудобство людям чатка пальца или изображения радужной оболочки глаза «обойти» гораздо сложнее, нежели аналогичную систему без применения биометрии, поэтому спрос на подобное оборудование постоянно растет. Работа с системами контроля и управления доступом «ПАПИЛОН», например ПАПИЛОН «Фильтр» (идентификация по отпечатку пальца) и ПАПИЛОН «Циркон» (идентификация по радужной оболочке глаза), достаточно проста и не требует каких-либо специальных знаний. Для ее организации необходимо решить две основных задачи: создать электронную БД математического кода биометрических признаков (отпечатки пальцев или изображение радужной оболочки

глаза). Баз может быть несколько и разной направленности, например персонала, клиентов, «черный список» и т. д.; в контрольных точках установить считывающие устройства: сканеры дактилоскопические и/или радужной оболочки глаза. Для процесса идентификации будет достаточно приложить палец к контактной поверхности дактилоскопического сканера либо посмотреть в приемное окно сканера РОГ. Снятые изображения будут автоматически закодированы и переданы в БД для проверки, результат которой вернется обратно на контрольную точку и/или в соответствующие службы предприятия.

С И С Т Е М Ы О П Е РАТ И В Н О Й Б И О М Е Т Р И Ч Е С К О Й И Д Е Н Т И Ф И К А Ц И И Л И Ч Н О С Т И Система ПАПИЛОН «ФИЛЬТР» — идентификация по отпечатку пальца. Система ПАПИЛОН «ЦИРКОН» — идентификация по радужной оболочке глаза. Системы оперативной биометрической идентификации, разработанные ЗАО «ПАПИЛОН», обеспечат Вам беспрецедентную надёжность в установлении личности персонала и клиентов по отпечатку пальца или радужной оболочки глаза. В течение одной–двух секунд Вы будете точно знать — человек, который хочет попасть на предприятие или получить услугу, тот ли, за кого себя выдаёт.

Технологии оперативной биометрической идентификации разработки ЗАО «ПАПИЛОН» отработаны многолетней эксплуатацией на многомиллионных базах данных подразделений МВД и других силовых структур России, на предприятиях оборонного комплекса.

Идентификация в данных системах может проводиться как в режиме «один–к–одному» (верификация), так и в режиме «один–ко–многим» (идентификация) по электронным базам данных, содержащих миллионы объектов.

Другое преимущество систем ПАПИЛОН — в получении всех компонентов «из одних рук». Программное обеспечение, контроллеры, биометрические сканеры разработаны и производятся внутри предприятия. В партнёрстве с ЗАО «ПАПИЛОН» Вы получаете полную цепочку внедрения (проект–изготовление–монтаж–обучение–сервисное сопровождение).

ПАПИЛОН «ЦИРКОН»

ЗАО «ПАПИЛОН» skud@papillon.ru | www.papillon.ru Тел. (3513) 53–35–56 | Факс (3513) 54–63–44 пр. Макеева 48, г. Миасс, Челябинская обл., Россия 456320 Реклама

Июль 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Внедрение таких систем в Вашу практическую деятельность позволит: • увеличить конкурентную способность за счёт улучшения сервиса (например, внедрением разнообразных программ «лояльных клиентов», оперативности обработки различных запросов клиентов и т.д.), • повысить уровень экономической безопасности путём исключения использования подложных документов, удостоверяющих личность, повышения контроля над действиями персонала (доступ, учёт рабочего времени) и т.д.

ПАПИЛОН «ФИЛЬТР»

ТЕМА НОМЕРА | ТЕХНИЧЕСКИЙ КОНТРОЛЬ ПЕРСОНАЛА

ИВАН ЧЕГЛАКОВ, руководитель направления аудиорегистрации компании VOCORD

KORIONOV / SHUTTERSTOCK.COM

Каналов распространения речевой информации в любой организации несколько: телефонные линии, сеть, да и просто окружающее пространство

Контроль корпоративной аудиоинформации Речь сотрудников как средство коммуникации занимает важное место в информационном поле любой организации, так как содержит большой объем ценных сведений. Эти сведения представляют ценность не только как составляющая часть и движущая сила бизнес-процессов, но и как материал для оценки, анализа и корректировки субъективных факторов, связанных с лояльностью и подготовленностью персонала. Другими словами, то, о чем говорят сотрудники, весьма значимо для руководителя. Поэтому любой работодатель стремится обладать такой информацией, поскольку понимает, что это может повысить эффективность управления организацией и снизить риски, связанные с персоналом. 52

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Июль 2012

WWW.S-DIRECTOR.RU

Что контролировать? Каналов распространения речевой информации в любой организации несколько: телефонные линии (аналоговая, цифровая телефония, потоки Е1), сеть (IP-телефония, Skype), да и просто окружающее пространство вблизи рабочих мест сотрудников, работающих с клиентами. Все эти каналы можно контролировать, и выбор, какой из них, определяется только ценностью того или иного информационного ресурса согласно мнению руководителя.

Для чего контролировать? Прежде всего, контроль аудиоинформации можно рассматривать как эффективный инструмент обеспечения безопасности организации. Отслеживая разговоры сотрудников, можно добиться снижения целого ряда рисков: утечки информации. Вряд ли можно предположить, что ключевой сотрудник будет по телефону «сливать» конкурентам базу данных клиентов, однако, во-первых, короткая аудиоинформация может быть не менее ценной и важной, чем база данных, а во-вторых, аудиоконтроль способен принести неожиданно эффективный результат в случае осуществления анализа косвенной информации; мошенничества. Выявление случаев мошенничества в организации требует, как и в случае с утечками, довольно сложной работы по анализу поступающей информации. Контроль не должен проводиться «про запас», селектирование и аналитическая обработка имеющихся данных требуют серьезного системного подхода. Однако, если эти условия соблюдены, результат не заставит себя ждать – компания может значительно снизить потери за счет предотвращения фактов мошенничества; нецелевого использования рабочего времени. При решении задач минимизации рисков мошенничества и предотвращения утечек информации не составит труда попутно оптимизировать затраты на персонал, выявляя случаи решения сотрудниками личных вопросов в рабочее время с использованием ресурсов работодателя, таких как телефонная связь или Интернет; нанесения ущерба репутации организации. Пожалуй, к самым непредсказуемым материальным потерям может привести утрата компанией репутации вследствие необдуманных фраз ее работников. Упущенная выгода по этой причине трудно поддается подсчету, но в том, что ущерб может быть колоссальным, нет никакого сомнения.

Контролируя разговоры сотрудников с клиентами, можно выявлять «слабые места» в тактике продаж, скорректировать модель общения с клиентами Помимо этого, контролируя разговоры сотрудников с клиентами, можно выявлять «слабые места» в тактике продаж, скорректировать модель общения с клиентами, тем самым повысив их лояльность.

Проблемы Внедрение любого контролирующего инструмента – и аудиоконтроль тут не исключение – связано с решением трех проблем: соблюдения законности, сохранения лояльности персонала, выбора варианта технической реализации.

VOCORD Phobos – это линейка профессиональных систем контроля и записи телефонных линий и IP-телефонии.

VOCORD Phobos Audio предназначен для традиционных телефонных линий. Система ведет запись и прослушивание в реальном времени аналоговых, цифровых телефонов, потока E1 и совместима с оборудованием большинства производителей. VOCORD Phobos IPtel предназначен для быстро растущего рынка IP-телефонии. Система контролирует переговоры по IP-каналам с использованием протокола TCP/IP. VOCORD Phobos PBX – это новое поколение решений для аудиорегистрации, которое позволяет записывать информацию со всех каналов, подключаясь непосредственно к АТС через отдельный слот. Выделенный поток в реальном режиме мониторит все каналы. Запись и прослушивание гибко настраиваются: можно прослушивать одни каналы, записывать другие. Использование системы VOCORD Phobos PBX сокращает расходы на внедрение системы записи переговоров, так как не требует покупки и установки большого количества плат аудиорегистрации. Июль 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ТЕМА НОМЕРА | ТЕХНИЧЕСКИЙ КОНТРОЛЬ ПЕРСОНАЛА

мнение о важности контрольных процедур, показывать, что снижение рисков способно привести к повышению эффективности компании, а значит, и к улучшению личного благосостояния каждого сотрудника. Техническая реализация. Современный уровень технических решений позволяет свести эту проблему к минимуму. Работа с различными форматами аудиоинформации может быть объединена в едином центре управления, а полноценный контроль, включающий еще и тарификационную составляющую (длительность, маршрутизация звонка и т. п.), возможен без подключения к АТС для аналоговых, цифровых и IP-каналов. Можно привязать, например, информацию с рабочего места менеджера к его телефонной линии, поставить на особый контроль определенные пары абонентов и т. д. – все зависит от фантазии заказчика и грамотности поставщика. С точки зрения потребителя, схема технического решения довольно проста и выглядит следующим образом: «сердцем» системы контроля служит сервер, который подключается к внешним, внутренним линиям и АТС и формирует базу данных записей. Непосредственный же контроль аудиоинформации осуществляется с удаленного рабочего места администратора, подключенного к серверу по сети. Современные решения предполагают многоуровневую систему разграничения прав доступа. Например, такую: руководитель имеет доступ ко всем звонкам, руководители отделов – только к звонкам своих подчиненных, рядовые сотрудники – только к своим. Это заметно расширяет возможности применения системы аудиоконтроля внутри организации.

MARITSHUG / SHUTTERSTOCK.COM

С ТОЧКИ ЗРЕНИЯ ПОТРЕБИТЕЛЯ, СХЕМА ТЕХНИЧЕСКОГО РЕШЕНИЯ ДОВОЛЬНО ПРОСТА

Соблюдение законности. Применение контрольных мер традиционно сопровождается противоборством двух юридических постулатов: права сотрудника на тайну коммуникаций и права собственника на информационные ресурсы. Единого мнения о легитимности аудиоконтроля в организации среди юристов нет, в каждом конкретном случае суд может принять свое решение, однако большинство специалистов придерживается той точки зрения, что осуществление контроля законно, если работник проинформирован об этом и дал на то свое согласие, что зафиксировано документально, т. е. его подписью. Подпись может стоять как на трудовом договоре, включающем в себя положение о собственности работодателя в отношении информационных ресурсов, возможности контроля и запрете использования ресурсов в личных целях, так и на отдельном документе. Сохранение лояльности персонала. Сам факт внедрения в компании контрольных процедур может быть воспринят сотрудниками как вмешательство в их частную жизнь и негативно повлиять на лояльность работников к руководству и микроклимат в коллективе. Чтобы этого не произошло, необходимо проводить разъяснительную работу, формировать у персонала 54

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Июль 2012

Стоимость

ЕДИНОГО МНЕНИЯ О ЛЕГИТИМНОСТИ АУДИОКОНТРОЛЯ В ОРГАНИЗАЦИИ СРЕДИ ЮРИСТОВ НЕТ

Принято считать, что подобные решения по карману только крупным компаниям, не жалеющим денег на безопасность и обладающим внушительным объемом информации, содержащей коммерческую тайну. Конечно, решения, охватывающие крупные распределенные офисы с большим количеством сотрудников, порой стоят сотни тысяч долларов, однако базовые решения может позволить себе любая организация. Так, внедрение системы контроля телефонных линий с использованием оборудования VOCORD не превышает сумму 5700 руб. за канал для аналоговых систем и находится в пределах 5900–17 000 руб. для IP-телефонии.

WWW.S-DIRECTOR.RU

БЛИЦ-ОПРОС

СРЕДИ ЧИТАТЕЛЕЙ ЖУРНАЛА «ДИРЕКТОР ПО БЕЗОПАСНОСТИ»

В ВАШЕЙ КОМПАНИИ ВИДЕОНАБЛЮДЕНИЕ ПРЕИМУЩЕСТВЕННО ИСПОЛЬЗУЕТСЯ ДЛЯ:

УПРАВЛЕНИЕ СИСТЕМОЙ ВИДЕОНАБЛЮДЕНИЯ В ВАШЕЙ КОМПАНИИ ОСУЩЕСТВЛЯЕТ:

14%

10%

ТЕХНИЧЕСКИЙ СПЕЦИАЛИСТ

ПРЕДОТВРАЩЕНИЯ ИНЦИДЕНТОВ

В СЛУЧАЕ ПРОСМОТРА АРХИВА

63%

32% ОПЕРАТОР

РАССЛЕДОВАНИЯ ИНЦИДЕНТОВ

27%

ПРЕДОТВРАЩЕНИЯ И РАССЛЕДОВАНИЯ ИНЦИДЕНТОВ

ВИДЕОНАБЛЮДЕНИЯ

44%

КАК ВЫ ОЦЕНИВАЕТЕ РАБОТУ СИСТЕМЫ ВИДЕОНАБЛЮДЕНИЯ В ВАШЕЙ КОМПАНИИ:

НЕЭФФЕКТИВНО

СОТРУДНИК ФИЗИЧЕСКОЙ ОХРАНЫ

СФЕРЫ ИСПОЛЬЗОВАНИЯ ВИДЕОНАБЛЮДЕНИЯ В ВАШЕЙ КОМПАНИИ:

ВЪЕЗД/ВХОД НА ТЕРРИТОРИЮ/В ОФИС

91% КОНТРОЛЬ ОФИСНЫХ ПОМЕЩЕНИЙ

72% ПЕРЕМЕЩЕНИЯ ТМЦ

64%

43% КОНТРОЛЬ ВНЕШНЕЙ ТЕРРИТОРИИ

27%

В ЦЕЛОМ ЭФФЕКТИВНО

КОНТРОЛЬ КЛИЕНТОВ

21% КОНТРОЛЬ РАБОТЫ ПЕРСОНАЛА

27%

КОНТРОЛЬ РАБОТЫ СБ ЗАВИСИТ ОТ СИТУАЦИИ

5% Июль 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ЕСТЬ РЕШЕНИЕ | КОММЕРЧЕСКАЯ ТАЙНА

ЕСТЬ РЕШЕНИЕ

Устанавливаем режим коммерческой тайны

В любой компании обязательно присутствует информация, которая может быть интересна конкурентам. А такие ценные сведения необходимо тщательно защищать. Вместе с тем как часто мы слышим: «Это наша коммерческая тайна», но на самом деле далеко не все, что ею называется, имеет юридически значимый статус. Недостаточно просто поставить гриф на важные документы, необходимо выполнить комплекс мероприятий по защите. И здесь перед специалистами встает очень важный вопрос: «С чего начать организацию режима коммерческой тайны?» Приступать к этому сложному делу лучше всего с изучения правовых основ.

амо понятие коммерческой тайны (распространенное сокращение – КТ) в российском законодательстве появилось достаточно давно, но популярность стало набирать в последние годы. Для того чтобы в организации были сведения, составляющие коммерческую тайну, должен быть установлен режим КТ. Федеральным законом «О коммерческой тайне» (№ 98-ФЗ от 29.07.2004, далее – Закон РФ «О коммерческой тайне») определены признаки этого режима. К ним относятся: наличие перечня сведений, составляющих коммерческую тайну в организации, обязательное грифование докумен56

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Июль 2012

тов, а также ограничение доступа к коммерческой тайне организационными и техническими мерами. Если все условия соблюдены и сведения, которые мы собираемся защищать, не относятся к списку того, что запрещено считать коммерческой тайной, то в организации установлен режим КТ. Необходимо подробнее остановиться на определениях, которые вводит Закон РФ «О коммерческой тайне». Под понятием коммерческой тайны понимают конфиденциальность информации, позволяющей ее обладателю увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров и услуг, получить

ELAVALO / SHUTTERSTOCK.COM

Для чего нужен режим коммерческой тайны и с чего начать его создание?

любую коммерческую выгоду. Она может быть научно-технической, финансово-экономической или другой, в том числе к ней относятся ноу-хау. Закон РФ «О коммерческой тайне» распространяется на информацию независимо от вида носителя: будь то бумажная информация, информация на других материальных носителях или данные в электронном виде. Три признака коммерческой тайны: информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности третьим лицам; к ней нет доступа на законном основании;

WWW.S-DIRECTOR.RU

КСЕНИЯ ШУДРОВА, специалист по защите информации ОАО «Красноярсккрайгаз»

обладателем коммерческой тайны установлен режим КТ. Режим КТ включает в себя правовые, организационные, технические меры, которые принимает обладатель информации для защиты ее конфиденциальности. Обладателем информации является то лицо, которое на законном основании ограничило доступ к этой информации и установило в отношении нее режим КТ. Разглашение информации, составляющей коммерческую тайну, – это действие или бездействие, в результате которых такая информация в любой форме становится известной третьим лицам без согласия обладателя или вопреки договорным условиям. В том числе это распространяется на информацию в устной или любой другой форме. Обладатель информации имеет право отнести ее к коммерческой тайне, если она не входит в перечень того, что нельзя считать коммерческой тайной. Также режим КТ можно установить, если информация была получена на законных основаниях, например, в случае проведения самостоятельных разработок, исследований или договорных обязательств с обладателем информации. Например, несколько ученых работают над одной и той же проблемой и приходят к одинаковым выводам. Каждый из них может считать такую информацию своей коммерческой тайной. Компания может получить на законном основании коммерческую тайну, если разработки проводились сотрудником организации. Информация получена незаконно, если лицо, которое ее получило, знало о том, что эта информация подлежит охране со стороны обладателя, а также о том, что она была умышленно получена незаконным путем. Если третье лицо случайно услышит коммерческую тайну конкурентов, то это не будет считаться нарушением. Режим КТ не может быть установлен в отношении некоторых сведений, например:

информации, касающейся безопасности: загрязнение окружающей среды, противопожарная безопасность и т. д.; информации о нарушениях законодательства; информации о конкурсах и аукционах; информации о размерах доходов организации. Также, естественно, запрещено объявлять коммерческой тайной государственную тайну. Нельзя использовать режим КТ для сведений, противоречащих основам конституционного строя, нравственности, правам человека. Не стоит объявлять персональные данные сотрудников коммерческой тайной, так как ограничить к ним доступ невозможно в силу того, что компания не является обладателем личной информации субъектов. Информация, составляющая коммерческую тайну, в некоторых случаях раскрывается, например, по запросам государственных органов. Причем это

Хотя информация, составляющая коммерческую тайну, может использоваться для собственных нужд, стоит заметить, что закон поясняет – собственные нужды не должны противоречить законодательству Российской Федерации. Разрешается запрещать доступ к информации, составляющей коммерческую тайну. Коммерческую тайну можно сравнить с персональными данными: субъект может разрешить и запретить доступ к ним оператору. Однако порядок доступа и условия определяет оператор, субъект вправе лишь согласиться или отказаться. С коммерческой тайной все немного иначе, ее обладатель определяет, кто будет обрабатывать коммерческую тайну, как обрабатывать и каким образом будет осуществляться доступ к ней. Также у обладателя есть право вводить в гражданский оборот коммерческую тайну на основании договоров. В договор можно включать условия обработки конфиденциальной

Обладатель информации имеет право отнести ее к коммерческой тайне, если она не входит в перечень того, что нельзя считать коммерческой тайной требование должно содержать правовое основание, цель, сроки предоставления информации и должно быть заверено должностным лицом. Отказать в этом случае нельзя, иначе информация будет затребована по суду. При этом на документах должен быть гриф «Коммерческая тайна» с указанием обладателя. Обладатель информации, составляющей коммерческую тайну, имеет определенные права, в том числе может устанавливать, отменять и изменять режим КТ в письменной форме. Важно запомнить, что закон закрепляет именно письменную установку режима. Если режим установлен как негласное правило, то юридической силы он не имеет.

информации. У многих организаций есть типовой шаблон договора, одним из пунктов которого является защита коммерческой тайны. Компания имеет право требовать от юридических, физических лиц и государственных органов, получивших доступ к коммерческой тайне, соблюдать обязательства по охране ее конфиденциальности. Когда коммерческая тайна передается, принимающая сторона обязана обеспечить надлежащий уровень защиты. Организация может требовать от лиц, получивших доступ к информации в результате случайных или ошибочных действий, сохранять конфиденциальность информации. Иначе Июль 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ЕСТЬ РЕШЕНИЕ | КОММЕРЧЕСКАЯ ТАЙНА

1817 году в Великобритании, а в 1837 году в США впервые на судебных процессах обсуждалась коммерческая тайна, а решения этих судов стали важными прецедентами. Первым в мире законом, охраняющим коммерческую тайну, стал закон, подписанный в 1844 году французским королем Луи-Филиппом. В 1845 г. российский император Николай I ввел наказание за разглашение коммерческой тайны в «Уложении о наказаниях общего определения». К началу XX века во всех европейских странах защищалась коммерческая тайна. Однако в XX веке почти все развитые государства отошли от защиты коммерческой тайны. В одних случаях это было связано с введением антитрестовского законодательства, в других – с борьбой с коррупцией. Во многих государствах были даже введены законы, принуждающие акционерные общества раскрывать определенную информацию. В СССР и странах Восточной Европы, коммерческая тайна была отменена как пережиток капитализма.

говоря, если информация была случайно отправлена по электронной почте не тому адресату, можно требовать от получателя, чтобы он никому коммерческую тайну не разглашал. В случае разглашения и незаконного получения информации третьими лицами компания может защищать в установленном законом порядке свои права. Если правильно организован режим КТ, то можно требовать возмещения материального ущерба по суду. Очень важный пункт описан в ст. 10 Закона РФ «О коммерческой тайне» – 58

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Июль 2012

меры по защите коммерческой тайны. Если эти меры приняты не будут, то режим не считается установленным. Необходимо очень тщательно подойти к их выполнению и выполнить все пункты. Они не требуют больших денежных вложений, и можно на первых порах обойтись организационными мерами. Итак, что нужно сделать обязательно: Определить перечень защищаемой информации. Ограничить доступ к этой информации. Ограничить список лиц, имеющих доступ к коммерческой тайне. Внести изменения в текст трудовых договоров и гражданско-правовых договоров с контрагентами. Нанести на документы гриф. Для юридических лиц он должен содержать полное наименование и местонахождение компании. Эти 5 пунктов – обязательный минимум защиты информации. Требования достаточно общие, поэтому выполнить их можно по-разному исходя из целей и возможностей организации. Режим КТ считается установленным только после принятия всех этим мер. Наряду с организационными мерами обладатель информации, составляющей коммерческую тайну, вправе применять технические меры и другие способы защиты информации. Закон гласит, что меры должны быть разумными и достаточными. Оценить достаточность можно с помощью следующих признаков: исключается доступ к информации любых третьих лиц без согласия обладателя; обеспечивается возможность работы без нарушения режима коммерческой тайны. Иначе говоря, если будет доказано, что организационными мерами ограничен доступ третьих лиц (хакеров) к локальной сети, то можно считать режим установленным. Понятно, что это абсурдная ситуация, и в данном случае необходимо использовать как минимум межсетевой экран. Одни-

ми организационными мерами ограничиться просто невозможно, если не перейти на полностью неавтоматизированную обработку. Но тогда придется всю коммерческую тайну обрабатывать в бумажном виде, что в наше время очень неудобно. Кроме того, есть еще один признак – «разумность», он подразумевает возможность обработки работниками и контрагентами коммерческой тайны без нарушения режима КТ. Если установлены правила, которые невозможно выполнять, так как они слишком строгие, то такой режим также можно оспорить. Это значит, что были созданы такие условия, при которых нельзя обеспечить защиту коммерческой тайны. Нужно соблюсти баланс между тем, чтобы ограничить доступ третьих лиц и все-таки оставить возможность легитимным пользователям обрабатывать информацию должным образом. Первая идея, которая приходит в голову начинающим специалистам, – ограничиться декларативным подходом в работе, т. е. издать приказ о том, что в организации режим КТ установлен. Это не совсем правильный подход. Разумеется, никто не запрещает решить задачу чисто формально, но никакой практической пользы в этом не будет. Ни один суд не посчитает такой режим установленным. Начинать необходимо с проведения анализа информационной системы на предмет того, какие ресурсы подлежат защите. Любую информационную систему можно представить как совокупность подсистем: например, локальная информационная система бухгалтерии, кадров, производственного отдела. Правильно будет рассматривать каждую подсистему по отдельности, потому что любое предприятие обрабатывает огромное количество информации. Здесь может быть два подхода: первый подход – по максимуму объявить коммерческой тайной все, кроме того, что является запрещенным по закону. Это чревато тем, что придется с каждым документом работать в особом режиме: регистри-

ELAVALO / SHUTTERSTOCK.COM

WWW.S-DIRECTOR.RU

Закон гласит, что меры должны быть разумными и достаточными ровать этот документ в специальном журнале, хранить в закрывающемся шкафу и выдавать под роспись, что для многих документов затруднительно. Если разграничить доступ к электронным бухгалтерским документам еще реально, то обеспечить учет работы с электронной базой и отслеживание каждого пользовательского запроса – задача не из легких. Второй подход подразумевает интеллектуальный отбор категорий защищаемой информации. Необходимо четко понимать, зачем вообще разво-

рачивается режим КТ на предприятии. Этому может быть несколько причин. Например, есть желание повысить статус компании – это формальное решение. Или же организация хочет защититься от конкурентов, т. е. принять те меры, которые необходимы и достаточны для защиты, так как есть реальная угроза ознакомления третьих лиц с информацией, которая не должна стать им известной в силу того, что она обладает определенной ценностью. Один из признаков коммерческой тайны – как раз ценность для третьих лиц. Когда возникает желание объявить коммерческой тайной все, даже цвет обоев в приемной директора, то стоит сначала подумать, кому эта информация будет нужна. Скорее всего, никому. Цена такой информации стремится к нулю, а любые меры защиты должны по стоимости быть меньше, чем стоимость информации, в крайнем случае – равны ей, но никак не

превосходить ее. В установке режима КТ очень важно определить цели работы, так как установить режим КТ – это значит поменять полностью технологические процессы обработки информации, изменить мышление людей, а это действительно требует времени, сил, денег, человеко-часов. Если ваш подход исключительно формальный, то, скорее всего, режим КТ себя не оправдает. Установка режима КТ должна быть обоснована. Чтобы организовать режим для галочки, достаточно определить для себя очень узкий перечень информации, которая будет защищаться, и эти сведения благополучно защищать. Цели могут быть разными, формальный подход тоже имеет место быть, и здесь все понятно: организуется «сферический режим КТ в вакууме», и этого достаточно. Однако если установление режима имеет своей целью защищать бизнес, то специалисты должны приготовиться к долгой и кропотливой работе. Начать работу можно с составления опросника. На самом деле это очень эффективно. Когда нет точного понимания того, что представляет собой система, то приступать к работе лучше всего с заполнения опросников и интервью с пользователями. Затем картина начнет проясняться и станет очевидно, на что необходимо обратить пристальное внимание, а чем пренебречь. Важно наладить контакт с людьми, общаться с сотрудниками, так как это бесценный источник информации для безопасника. Как можно определить специалисту по защите информации стоимость данных, которые обрабатываются в экономическом отделе? Практически никак. Профессионально это может сделать только экономист предприятия, значит, нужно с ним разговаривать, чтобы понять специфику работы. Специалисту по защите информации может казаться, что какие-то данные обязательно должны быть коммерческой тайной, однако ему будет объяснено специалистами, что рабоИюль 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ЕСТЬ РЕШЕНИЕ | КОММЕРЧЕСКАЯ ТАЙНА

ELAVALO / SHUTTERSTOCK.COM

САМЫЙ СЛОЖНЫЙ ЭТАП В ОРГАНИЗАЦИИ РЕЖИМА КТ – ЭТО ОПРЕДЕЛИТЬ ПЕРЕЧЕНЬ ИНФОРМАЦИИ ДЛЯ ЗАЩИТЫ

тать с такой информацией приходится часто, много и, если ограничить к ней доступ, возникнут определенные проблемы. Нужно найти баланс между информационной защитой и ее ограничением. Введение режима не должно быть наказанием для пользователей. Режим коммерческой тайны призван привнести порядок, дисциплину, но ни в коем случае не затормозить все рабочие процессы. Один из важных этапов – это определение ответственных лиц. Лучше всего назначить приказом в каждом структурном подразделении ответственного. Это может быть руководитель или заместитель руководителя отдела. Ответственные за режим КТ будут осуществлять конфиденциальное делопроизводство в рамках структурного подразделения, в том числе вести журнал учета для регистрации входящих и исходящих конфиденциальных документов. 60

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Июль 2012

Самый сложный этап в организации режима КТ – это определить перечень информации для защиты. Особенно если организация достаточно крупная и ранее мероприятия по защите коммерческой тайны не проводились, а документов накопилось огромное количество. Перед специалистами по безопасности стоит задача контролировать в организации режим КТ. Однако это отнюдь не значит, что они должны выполнять все мероприятия самостоятельно. На первом этапе необходимо определить перечень того, что будет защищаться, а это может сделать только специалист. Поэтому будет лучшим решением, если вы предложите руководителю организовать комиссию для составления такого списка и включите туда руководителей основных направлений деятельности либо всех руководителей. По каждому структурному подразделению составляется

отдельный список информации, которую необходимо защищать. Важно помнить, что категории информации из перечня должны быть достаточно широкими, чтобы вмещать в себя все необходимые документы, и вместе с тем достаточно узкими, чтобы не допускать двусмысленности. Каждый руководитель структурного подразделения определяет необходимый перечень защищаемой информации, а задача комиссии – собрать все воедино. Может получиться, что какието категории будут перекрывать друг друга. Например, у бухгалтерии будет информация о прогнозах деятельности на следующий год, а в отделе продаж сведения о прогнозах продаж каждого продукта на следующий год. Целесообразно это все объединять в общую категорию – прогнозная информация. Многие категории будут дублироваться, так как отделы часто работают с одной и той же информацией. После того как в общем списке не будет повторяющихся категорий, необходимо провести экспертную оценку на предмет того, что может противоречить законодательству Российской Федерации, убрать все, что конфиденциальным быть не может, ту информацию, которая должна быть открытой. На выходе должен получиться перечень, который нужно утвердить приказом по организации. Дальнейшие этапы работы будут более простыми. В составе этой же комиссии каждый руководитель своего направления, а также эксперты предлагают список людей, которые должны обрабатывать документы, содержащие коммерческую тайну. Начать нужно с создания списка по должностям. Например, бухгалтер и ведущий бухгалтер должны быть в этом списке обязательно. В отношении других сотрудников члены комиссии принимают решение коллегиально. Важно помнить, что те, у кого нет допуска к работе с коммерческой тайной, не смогут работать с грифованными документами. Возможно, сначала список лиц будет небольшим. По ходу ра-

WWW.S-DIRECTOR.RU

боты станет понятно, что еще одному инженеру необходим допуск, так как к нему из других отделов передают в работу конфиденциальные документы. Это не страшно, список лиц всегда можно будет расширить. Также расширяется список защищаемой информации. И это правильно – начинать с небольшого списка, а после того как все процедуры будут отработаны, по-

и подходить очень тщательно к разработке документов. В судебных разбирательствах именно договорные условия могут сыграть решающую роль. На третьем этапе определяется перечень мер, которые необходимы для защиты коммерческой тайны. Перечень мер обычно указывается в «Положении о защите коммерческой тайны в организации». Также выпускаются

Если третье лицо случайно услышит коммерческую тайну конкурентов, то это не будет считаться нарушением. Важно запомнить, что закон закрепляет именно письменную установку режима. Если режим установлен как негласное правило, то юридической силы он не имеет степенно добавлять новые категории. Итак, составлены список лиц, перечень информации. На втором этапе необходимо изменить трудовые договоры, должностные инструкции, гражданскоправовые договоры. В договоры и инструкции необходимо включать пункты о неразглашении коммерческой тайны во время работы и какое-то время после увольнения. Важно следить за тем, чтобы трудовые договоры и расписки сотрудников не содержали пункты, которые противоречат действующему законодательству. Одной фирмой было установлено, что сотрудники не могут работать с клиентами фирмы после увольнения, однако это противоречит Трудовому кодексу и Конституции РФ, поэтому суд посчитал такие запреты незаконными и не усмотрел нарушения режима КТ в действиях бывшего сотрудника (он работал с клиентской базой организации). Необходимо сотрудничать с отделом кадров, с юристами

дополнительно инструкции для лиц, ответственных за обработку документов, содержащих коммерческую тайну, и инструкция по конфиденциальному делопроизводству. В ходе работы могут возникнуть различные трения с персоналом. Сотрудники могут быть настроены негативно к внесению дополнительных обязанностей в трудовые договоры и могут требовать доплату за новые функциональные обязанности. Но по российскому законодательству за работу с документами, содержащими коммерческую тайну, не полагается доплата, а повышение зарплаты может быть лишь инициативой работодателя. Дополнительные обязанности по работе с указанными документами являются обязательными, так как подразумевают выполнение федерального закона. А каждый сотрудник обязан соблюдать действующее законодательство. Можно считать эту

ситуацию аналогичной ситуации с защитой персональных данных. Если к организации применим Закон РФ «О коммерческой тайне», то соответственно сотрудники должны выполнить нормы законодательства в этой области. Однако никто не мешает поощрять сотрудников, доплачивать им бонусы за корректную работу. Решение остается за руководством. Последний этап работы – нанесение грифов на существующие документы. Для этого необходимо купить специальную угловую печать. В печати должны быть указаны гриф «Коммерческая тайна», наименование (полное) организации, адрес организации. Для учета сведений, составляющих коммерческую тайну, удобно, чтобы каждый документ содержал уникальный номер, под которым этот документ зарегистрирован в журнале. Однако закон не обязывает нас обеспечивать учет документов, содержащих коммерческую тайну, эта мера оставлена на усмотрение организации. Проставлять грифы на документы лучше отдельно каждому структурному подразделению. Выполнять это должен не сотрудник по безопасности, а специалисты подразделения. Им будет легче определить, на что гриф ставить, а на что нет. Очень важно сделать электронные шаблоны для новых документов уже с грифами и обеспечить ими сотрудников. В этом случае не потребуется дополнительных операций после распечатки, и при этом невозможно забыть установить гриф. За нарушения в области коммерческой тайны предусмотрена гражданская, административная, дисциплинарная и даже уголовная ответственность для злоумышленника. Однако привлечение к ответственности возможно лишь в случае корректно установленного режима коммерческой тайны. Начало работы – самое трудное, но если на этом этапе тщательно все распланировать и привлечь специалистов из предметных областей, то задача будет обязательно решена! Июль 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ЕСТЬ РЕШЕНИЕ | ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

СЕРГЕЙ МАЖАРОВ

Как в компании победить инсайдерство?

EVERETT COLLECTION / SHUTTERSTOCK.COM

Способы и методы решения проблемы

Информация – жизненно важный ресурс современных компаний. Она хранится и обрабатывается в вычислительных системах организаций, а потоки данных перемещаются по внутренним и внешним коммуникациям в одних случаях контролируемо, в других – совершенно бесконтрольно. И безопасность использования информации, согласно мнению экспертов, порой оставляет желать лучшего. 62

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Июль 2012

WWW.S-DIRECTOR.RU

зучая вопросы информационной безопасности предприятий и эффективность мер ее обеспечения, реализуемых в настоящее время в корпоративных информационных системах, стоит обратить внимание на опрос, который провела в 2011 г. фирма Sailpoint Technologies. Он не был напрямую связан с исследованием проблем несанкционированного доступа к компьютерной информации (НСД) и защиты «секретов» компаний, аналитики оценивали лояльность сотрудников различных организаций к корпоративной этике в части работы со сведениями ограниченного пользования. Исследование, проведенное на территории США, Великобритании и Австралии показало: из 3,5 тыс. опрошенных достаточно большое количество работников (22 % – в США, 29 % – в Австралии и около половины респондентов в Великобритании) способны украсть секретную информацию у своих компаний, т. е., по сути дела, являются инсайдерами. Выяснилось также, что 5 % опрошенных в США, 4 % – в Австралии и 24 % (!!!) – в Великобритании готовы продать информацию своей компании в целях личного обогащения. Эти по меньшей мере впечатляющие результаты коррелируют с данными аналогичного исследования, охватившего более 2 тыс. участников, которое было проведено в апреле 2011 г. корпорацией Symantec совместно с сообществом «Профессионалы.ру» на территории Российской Федерации. Оно позволило нарисовать картину того, как сотрудники отечественных компаний обращаются с внутренней информацией. Согласно этому опросу, около 70 % работников «выносят» за стены своей организации деловую информацию, 68 % используют социальные сети в процессе работы, а 56 % готовы отдать «на сторону» не просто корпоративные сведения, но информацию с атрибутами ограниченного доступа. В процессе исследования аналитики выявили четыре типа сотрудников:

работники, способные подвергнуть компрометации корпоративную вычислительную сеть, но не сознательно (24 %); те, кто игнорирует базовые требования безопасности и осознает при этом степень угрозы (22 %); те, кто преследует собственные корыстные цели (7 %); служащие, достаточно аккуратно обращающиеся с коммерческой тайной (47 %). Таким образом, службы безопасности компании могут сделать вывод: никакие системы аутентификации, никакая защита данных от несанкционированного доступа и программные средства защиты информации не способны удержать в узде распоясавшихся инсайдеров и просто сотрудников с низким уровнем личной ответственности, компетентности, профессиональной подготовки. А выход в такой ситуации видится один: повышение уровня ограничений при организации работы в информационных системах, уменьшение области доступа, отключение всех «лишних» устройств, интерфейсов и шлюзов. Подобные выводы, вероятно, имеют право на жизнь: в настоящее время расследование преступлений, связанных с хищением информации, в России затруднено, не говоря уже об

К ИНСАЙДЕРАМ ОТНОСЯТСЯ СЛЕДУЮЩИЕ ЛИЦА: эмитенты и управляющие компании; хозяйствующие субъекты; организаторы торговли, клиринговые организации, а также депозитарии и кредитные организации, осуществляющие расчеты по результатам сделок, совершенных через организаторов торговли; профессиональные участники рынка ценных бумаг и иные лица, осуществляющие в интересах клиентов операции с финансовыми инструментами, иностранной валютой и (или) товарами, получившие инсайдерскую информацию от клиентов; лица, имеющие доступ к инсайдерской информации лиц, оценщики (юридические лица, с которыми оценщики заключили трудовые договоры), профессиональные участники рынка ценных бумаг, кредитные организации, страховые организации; лица, которые владеют не менее чем 25 процентами голосов в высшем органе управления; члены совета директоров (наблюдательного совета), члены коллегиального исполнительного органа, лицо, осуществляющее функции единоличного исполнительного органа (в том числе управляющая организация, управляющий либо временный единоличный исполнительный орган), члены ревизионной комиссии юридических лиц.

Работникам учреждений физически трудно, практически невозможно удержать в памяти все корпоративные логины и пароли отсутствии судебных прецедентов по фактам инсайдерства. Сослаться на мнение авторитетных экспертов (инсайдеров в том числе) в этом вопросе тоже как-то не получается – обычно организации сдержанно комментируют инциденты в собственных информационных системах, предпочи-

тая их скрывать или выбирая тактику умалчивания подобных фактов. Не отрицая очевидного, специалисты компании «Индид» (indeed-id.ru) вместе с тем считают, что некоторая доля рисков в процессе эксплуатации информационных систем возникает не только вследствие несанкционированИюль 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ЕСТЬ РЕШЕНИЕ | ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Экономия средств, руб./ г.

Экономия времени, полученная за счет применения технологии строгой аутентификации Indeed-Id

Доступ пользователя к рабочему столу Windows

598

1,8 ч в год на каждого пользователя

Доступ пользователя в IT-системы

2992

8,8 ч в год на каждого пользователя

0,05 ч в год на каждого пользователя

0,25 ч в год на каждого пользователя

Блокировка рабочего стола Windows

149

0,44 ч в год на каждого пользователя

Инцидент «Забытый пароль» учетной записи Windows

119

0,34 ч в год на каждого пользователя

Инцидент «Забытый пароль» учетной записи ITсистемы

119

0,34 ч в год на каждого пользователя

Итого на одного пользователя в год

4082

Параметр

Периодическая смена пароля учетной записи Windows Периодическая смена пароля учетных записей ITсистем

70% Итого на всех пользователей (2 тыс.) в год

8 164 000

РАБОТНИКОВ «ВЫНОСЯТ» ЗА СТЕНЫ СВОЕЙ ОРГАНИЗАЦИИ ДЕЛОВУЮ ИНФОРМАЦИЮ

ных действий с финансовой информацией, но и из-за сотрудников, совершающих непреднамеренные ошибки. Они также могут привести к несанкционированному изменению информации и причинить ущерб организации. Пример подобного «исполнения требований» при работе с информационными системами привел представитель «Индид» Алексей Баранов. В одном из учреждений, где компания проводила оценку состояния систем перед развертыванием решения Indeed-Id Enterprise ESSO, обнаружилось, что собственные пароли для оперативного доступа большинство сотрудников хранят на липких листочках бумаги, а клавиатуру используют в качестве «брандмауэра», приклеив к ней снизу записанные аутентификаторы. Понятно, что при таком подходе к уровню защиты от НСД руководству организации остается лишь уповать на лояльность работников, профессионализм службы защиты информации и сравнительно 64

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Июль 2012

невысокую для России стоимость нейтрализации последствий инцидентов. Очевидно, что, помимо внедрения технических и программных средств в компаниях, существует необходимость реализации комплексных мер предупредительного характера, позволяющих информировать служащих о недопустимости тех или иных действий в отношении информации ограниченного использования. И здесь хороши все средства: возможности законодательного характера, которые включают административное (уголовное) преследование, корпоративные – в виде материального поощрения (наказания), а также строгий запрет на совершение сотрудниками специфических операций с применением средств вычислительной техники. Такого рода операции практикуются порой даже не злонамеренно, а из-за доступности информации и возможности ее обработки в домашних или других условиях. В этих случаях вполне мо-

гут помочь различные программные и аппаратные решения. Говоря о тех организациях, где часто применяется сразу несколько информационных систем различного назначения, по мнению Алексея Баранова, стоит отметить еще одну характерную особенность: работникам таких учреждений физически трудно, практически невозможно удержать в памяти аутентификаторы своих аккаунтов, особенно после того, как сотрудники департамента ИТ включают режим периодической смены паролей с проверкой на уникальность и надежность. «Следовательно, сотрудники будут применять упомянутые «подручные средства», чтобы облегчить себе жизнь. Подобный выход из создавшейся ситуации повлечет за собой вероятность использования аккаунтов других сотрудников, злоупотребление доверием со стороны коллег, а при наихудших сценариях – хищение информации под прикрытием чужих рабочих профилей, по сути дела с помощью несанкционированного доступа к данным», – отмечает он. Значительную часть вопросов из сферы информационной безопасности (ИБ) в компаниях могут снять с повестки дня новейшие программные и аппаратные технологии и комплек-

EVERETT COLLECTION / SHUTTERSTOCK.COM

WWW.S-DIRECTOR.RU

сы. Это прежде всего такие решения, как системы контроля и управления доступом (СКУД), биометрический контроль доступа сотрудников к информационным ресурсам компании, усиление систем аутентификации дополнительными элементами – многофакторная аутентификация, система управления учетными записями, централизация доступа пользователей ко всем информационным системам, используемым в банке. Осмысленность внедрения подобных технологий обусловливается также экономическим фактором, подчеркивают специалисты компании-разработчика и указывают на произведенный расчет возврата инвестиций от внедрения программного комплекса Indeed-Id Enterprise ESSO (см. табл.). Параметры в левой колонке таблицы – это периодические мероприятия ИТ-служб и типичные инциденты, недопущение которых, согласно расчетам компании, позволит получить эко-

номию средств. В правой – результаты этой экономии в течение одного года. Как следует из приведенной таблицы, при количестве пользователей информационной системы около 2 тыс. и средней зарплате сотрудников в компании 60 тыс. руб. сумма экономии средств в результате предотвращения инцидентов и отсутствия необходимости проведение периодических мероприятий ИТ-отдела в течение года может достичь и превысить 9 млн руб. Вряд ли найдется руководитель, которых решит проигнорировать источник потерь такого масштаба в долгосрочной перспективе. Тем более в том случае, если эта сумма соотносится с размером годового ИТ-бюджета компании на реализацию мер по защите корпоративной информации. Технический консультант Symantec Олег Головенко отметил, комментируя исследование, проведенное компанией 2011 г., что объемы утечек данных в российских организациях увеличи-

ваются год от года. «Полученные нами результаты наглядно свидетельствуют о том, что из-за действий инсайдеров (не только умышленных) конфиденциальные данные компаний беспрепятственно покидают корпоративные сети и утекают во внешний мир», – говорит он. Технологий, позволяющих предотвратить подобное развитие событий, сегодня на рынке немало, и руководителям компаний стоит сделать выбор: будут ли их сотрудники клеить под панель рабочих столов стикеры с паролями или начнут использовать определенные варианты защиты при работе с информацией. Принятые в этом направлении решения окажут значительное влияние на качество, безопасность и, как следствие, успешность бизнеса. Выражение «деньги предпочитают тишину» имеет непосредственное отношение к происходящему сегодня в круговороте информационных потоков. Июль 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ЕСТЬ РЕШЕНИЕ | ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

АЛЕКСЕЙ КИЩЕНКО, компания Entensys

Закон требует действий

Кого назначить ОзООПДн?

В соответствии со ст. 22.1 Федерального закона № 152-ФЗ (далее ФЗ-152) оператор, являющийся юридическим лицом, должен назначить ответственного за организацию обработки персональных данных (который станет получать указания непосредственно от исполнительного органа организации, являющейся оператором, и будет подотчетен ему), в чей круг обязанностей будет входить выполнение следующих задач: осуществление внутреннего контроля за соблюдением всех требований законодательства РФ к обработке персональных данных в обществе, в том числе касающихся защиты персональных данных; доведение до сведения работников общества положений законодательства РФ о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите таких данных; организация приема и обработки обращений и запросов субъектов персональных данных или их представителей и (или) осуществление контроля за всеми этими процессами.

LUIS LOURO / SHUTTERSTOCK.COM

Взгляд на проблему К сожалению, с юридической точки зрения, указанная выше статья закона не предписывает четких и однозначных действий по ее выполнению. Анализ материалов на форумах, посвященных ФЗ-152 и его требованиям, позволяет сделать вывод, что этот закон можно трактовать по-разному. Впрочем, это далеко не единственный случай в нашем законодательстве. В то же время все, кто обсуждает эту тему, едины в одном: ФЗ-152 предоставляет возможность назначения ОзООПДн руководству/коллективу

В соответствии с требованиями российского законодательства любой оператор персональных данных (а это практически любая организация, ведущая какую-либо деятельность) обязан назначить лицо, ответственное за организацию обработки персональных данных. Кому поручить эту деятельность? Сотруднику СБ, IТ-специалисту, кадровику, администратору? 66

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Июль 2012

WWW.S-DIRECTOR.RU

Достаточно популярное решение назначить ответственным за защиту ПДн сотрудника технического отдела выглядит весьма сомнительным

организации, являющейся оператором, а следовательно, создает поле для дискуссий и споров. Схожая ситуация возникала при появлении отдела К и обязательств у организации использовать исключительно лицензионное программное обеспечение. Компании вынуждены были тогда точно так же назначить ответственного за исполнение данных требований. Чаще всего им становился директор

или руководитель технического отдела/системный администратор. Этот сотрудник по факту зарабатывал «шишки» в случае нарушений. ФЗ-152 ставит перед ОзООПДн в основном задачи организационного и юридического плана. Таким образом, достаточно популярное решение назначить ОзООПДн сотрудника технического отдела (отдела безопасности) выглядит весьма сомнительным.

IT-специалиста разумнее использовать в качестве исполнителя, нежели организатора. Работники компаний боятся лишней ответственности, которая ляжет на их плечи с новым назначением. Именно поэтому, на наш взгляд, с их стороны возникает множество возражений при попытке начальства сделать из них ОзООПДн. Умелый руководитель способен создать команду, решающую задачи по соответствию требованиям ФЗ-152, в которую могут входить работники различных отделов: юристы, технические специалисты и пр. В приказ же о назначении ОзООПДн проще вписать имя директора. Впрочем, в случае эффективной и выстроенной командной работы фамилия, указанная в распоряжении, не будет иметь критичного значения.

ЗАКАЖИТЕ ЗВОНОК Нет времени позвонить, чтобы оформить подписку на журнал «Директор по Безопасности» на 2012 год? Напишите по адресу 112@1podpiska.ru С пометкой «Подписка на ДБ», указав: Ваши ФИО Название компании; Контактный телефон. В течение дня Вам перезвонит персональный менеджер и оформит за Вас необходимые документы. Июль 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ЕСТЬ РЕШЕНИЕ | ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

КСЕНИЯ ШУДРОВА, специалист по защите информации ОАО «Красноярсккрайгаз»

Разграничение доступа и парольная политика: бесплатные и эффективные средства защиты информации

PEDROSEK / SHUTTERSTOCK.COM

Как упорядочить доступ сотрудников к ресурсам корпоративной сети? Почему разграничение доступа и парольная политика важны для любой компании? Как узнать, сколько времени понадобится для взлома пароля? Где и как лучше всего хранить пароли?

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Июль 2012

В век компьютерных технологий защита информации приобретает все большее значение. Первый рубеж, который должен преодолеть злоумышленник, заключается в подборе пароля для доступа к данным. Если пароль слабый или хранится в открытом виде, то попытка взлома информационной системы будет успешной, при этом неважно, какие средства защиты информации установлены в системе, так как авторизация с нужными правами уже произошла. Однако на одном компьютере могут работать несколько легальных пользователей, каждый из них должен иметь доступ только к своим папкам и файлам, поэтому важны разграничение доступа и уникальные учетные записи для каждого сотрудника.

WWW.S-DIRECTOR.RU

О парольной политике Парольная политика – это набор правил работы с паролями в организации. Правила включают в себя следующие важные условия: требования к сложности пароля; требования к длине пароля; требования к частоте смены пароля; критерии, по которым можно судить о недопустимости пароля; способ хранения и замены паролей. Существует несколько способов аутентификации пользователя в информационной системе. Это могут быть аппаратные ключи, биометрические данные и пароли. Каждый из этих методов обладает своими преимуществами и недостатками. Аутентификация по ключевому носителю предполагает дополнительные затраты не только на аппаратный ключ, но и на специализированное программное обеспечение. При этом нужно обязательно решать вопрос о хранении материальных носителей. Если пароль может храниться только в голове пользователя, то для ключа необходим сейф или защищенное хранилище. Аутентификация по биометрии – это очень перспективное направление, основным достоинством которого является сложность подмены данных. Такие системы могут анализировать сетчатку глаза, отпечатки пальцев, контуры лица. На сегодняшний день существует огромное количество параметров, по которым можно проверять подлинность пользователя. Однако, для того чтобы производить аутентификацию по биометрии, необходимо устанавливать очень сложную и дорогую систему. Парольная политика представляет собой средство защиты информации, которое доступно любой организации, так как реализуется бесплатно. Функция запроса пароля встроена не только в операционную систему, но и во многие программы, в том числе в офисные приложения, с которыми сотрудники работают ежедневно. Аппаратная аутентификация и проверка биометрических данных не исключают парольную защиту. Вход в операционную систему

Парольная политика представляет собой средство защиты информации, которое доступно любой организации, так как реализуется бесплатно может выполняться с помощью электронного ключа, а доступ к данным чаще всего осуществляться по паролю. Для того чтобы определиться с мерами защиты паролей, необходимо понять, как может происходить взлом. Угрозы, связанные с паролями, можно условно разделить на следующие основные виды: угроза утери парольной информации; кража материального носителя, на котором записан пароль; подбор пароля злоумышленником. Для предотвращения утери и кражи пароля рекомендуется не хранить их на материальных носителях. С подбором пароля все сложнее, злоумышленники часто используют специальные программы подбора паролей. Такие приложения могут работать со словарями слов, часто используемых в качестве пароля, а также осуществлять полный перебор всех комбинаций символов. Подбирать пароли в состоянии не только процессор, но и видеокарта. Причем использование современных видеокарт дает значительный выигрыш в скорости1. Может показаться, что какой-то набор символов или слово достаточно трудно подобрать, и в словаре его нет. Однако доказано, что человек не может генерировать абсолютно случайные последовательности символов и вероятность того, что другой человек сможет придумать такую же последовательность, существует. Часто люди используют в качестве пароля те слова, которые связаны с какими-то эмоциями, потому что они легко запоминаются и не нужно ничего записывать. Очевидное достоинство такого подхода – пароль не хранится в бумажном виде и не может быть подсмотрен другими сотрудника-

ми или посторонними лицами. Вместе с тем дата рождения – первое, что будет проверяться злоумышленником при попытке подбора пароля. Стандартный набор часто используемых паролей, как правило, включает девичью фамилию матери, кличку собаки, любимое блюдо, то, что связано с личной жизнью пользователя. Плохими вариантами пароля являются слова, которые можно найти в словаре какого-либо из языков, исключительно цифровые последовательности, даты, географические названия, названия брендов, имена героев фильмов, последовательности символов, которые расположены на соседних кнопках клавиатуры: всем известный qwerty или его русский вариант йцукен и множество подобных. То, что кажется легким для запоминания, также легко подбирается злоумышленником. Существуют различные методики создания паролей, простых в запоминании, но сложных для подбора. Среди них широко известна следующая методика: подбирается слово, некоторые из букв в этом слове пишутся прописными буквами, другие остаются строчными. В слово добавляются спецсимволы: «–», «;», «,» и цифры. Для программы такая последовательность выглядит как случайный набор цифр и символов, для пользователя это быстро запоминаемое ключевое слово. Также можно воспользоваться специальными программами в Интернете, которые генерируют случайные последовательности символов. Однако стоит ли доверять таким программам? Никто не может сказать, формируют ли они ключевую последовательность случайно или действуют по заданному злоумышленником алгоритму. Мы не Июль 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ЕСТЬ РЕШЕНИЕ | ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

можем гарантировать, что база паролей из этой программы не будет получена злоумышленником и тогда любой из паролей станет ему известен. Лучше все-таки не брать готовые пароли из примеров. Один из методов создания сложного пароля, который часто приводится в Интернете как надежный, заключается в следующем: пользователь смотрит на русские буквы на клавиатуре, а набирает пароль латиницей. Например, слово «пароль» выглядит как «gfhjkm». Для усложнения берут длинную русскую, часто абсурдную по смыслу фразу и из каждого слова выбирают несколько букв. Для усложнения пароля необходимо стремиться, чтобы попадались слова с символами: б, ю, х, ъ, ж, э – так как для латиницы это спецсимволы. Существуют ресурсы онлайн-проверки сложности пароля, часто у нас популярны англоязычные2. В окошко нужно ввести свой пароль, появится информация о том, через какое время он будет подобран. Для латиницы это работает очень хорошо, причем при вводе таких паролей, как password и qwerty, появляется информация о том, что это пароли из десятки худших паролей. Однако для кириллицы все не так радужно – словарные слова она, естественно, не распознает и оценивает как последовательность символов определенной длины. Проверять имеет смысл только пароли на латинице. В российском законодательстве термин «пароль» встречается редко и обычно в контексте аналога собственноручной подписи: «коды, пароли и иные средства, подтверждающие, что документ исходит от уполномоченного на это лица». Подобное определение с небольшими поправками присутствует в следующих законах: Гражданский кодекс Российской Федерации (часть вторая). Федеральный закон «Об организованных торгах» от 21.11.2011 № 325-ФЗ. Федеральный закон «Об электронной подписи» от 06.04.2011 № 63-ФЗ. Федеральный закон «О противодействии легализации (отмыванию) до70

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Июль 2012

ходов, полученных преступным путем, и финансированию терроризма» от 07.08.2001 № 115-ФЗ. Федеральный закон «О клиринге и клиринговой деятельности» от 07.02.2011 № 7-ФЗ. Пароль служит для подтверждения личности, а значит, его необходимо строго охранять. У каждой организации есть необходимость обезопасить свои информационные ресурсы от неизвестных третьих лиц, которые могут получить доступ к ценным сведениям и воспользоваться ими в своих целях. А эти цели могут быть совершенно противоположны целям предприятия. Скорее всего, нарушители попытаются использовать информацию компании в своих корыстных интересах. Нельзя сказать,

их, пыталась получить доступ к базе, к которой у нее доступа нет. В дальнейшем можно будет отслеживать работу пользователя, особенно в случае определенных подозрений по поводу того, что он увольняется или сотрудничает с конкурентами. В такой ситуации необходимо обратить внимание на то, что же сотрудник делает в рабочее время. Вместе с тем, если Иванова зайдет в систему под чужой учетной записью, администратор увидит, что заходил, например, пользователь Petrov, значит, это Петров из отдела кадров работал с базой, а у него были на это полные права. Соответственно для предотвращения подобной ситуации пароли у сотрудников должны быть сложными и должны храниться в недоступном месте (или вообще не храниться на

Существуют три основных модели разграничения доступа к информации: дискреционная, мандатная и ролевая что если установлены пароли на все, то информационная система полностью защищена и гарантирована от взломов и атак. Такого быть не может, но в какой-то мере парольная политика снижает вероятность вторжения. Если злоумышленник не сможет подобрать пароль для входа в систему, то дальнейшие его действия будут затруднены. Большой процент нарушителей на этом этапе отсеется. Защита информации от несанкционированного доступа третьих лиц – это не единственное достоинство парольной политики. С помощью нее можно персонифицировать ответственность каждого пользователя в сети за то, что он делает. Так, если Иванова заходит в систему под ником Ivanova, то системный администратор знает (благодаря электронному журналу), что она запрашивала определенные документы, корректировала

материальных носителях), для того чтобы другие сотрудники не могли использовать эту информацию и под чужим именем работать в системе. Защищаться необходимо не только от третьих лиц, но и от внутренних угроз. Достоинствами парольной политики являются также повышение дисциплины, правильная организация работы. Недостаточно уведомить сотрудника о правилах работы с паролями, система должна быть настроена так, чтобы использование простого пароля было физически невозможно, а по истечении нескольких месяцев самостоятельно запускалась принудительная смена пароля. Необходимо учесть определенные риски: если все пароли будут храниться только в голове работника, то при его увольнении организация может потерять большое количество информации. Избежать этого можно, если хранить дубликаты

PEDROSEK / SHUTTERSTOCK.COM

WWW.S-DIRECTOR.RU

паролей на материальных носителях в опечатанных конвертах в сейфе. Периодические проверки работы сотрудников с паролями и выполнения ими правил парольной политики приводят к пониманию того, что контроль в организации над действиями сотрудников ведется и руководство интересуется, чем же они занимаются в рабочее время. Когда работник зайдет в систему под своей учетной записью, он обязательно подумает о том, что ему делать, а чего лучше не делать. И совсем другое дело, когда все заходят под одной учетной записью. Возникает ощущение безнаказанности, и каждый считает, что он может делать все, что угодно, потому что нельзя доказать вину конкретного пользователя в случае нарушения. Каждый сотрудник обязан знать – то, что он делает на рабочем компьютере, должно соответствовать утвержденным правилам. Разрешено ли просматривать переписку персонала, даже если она служебная, – это спорный вопрос. Некоторые специалисты считают, что если сотрудник написал соответствующую расписку о том, что не возражает, чтобы в отношении него проводились проверки, то просмотр его почты абсолютно законный. Однако Конституция РФ однозначно трактует право каждо-

го на тайну переписки. Кроме чтения корреспонденции, можно прибегнуть к другому методу контроля – отслеживать, какие запросы к базе данных делает сотрудник, какие сайты посещает. Это дает достаточно полную картину, и на основании таких сведений можно сделать определенные выводы. Таким образом, главное правило парольной политики – нельзя нескольким сотрудникам работать под одной учетной записью. Пароли пользователей знают только сами пользователи; ни администратор, ни руководитель не должны обладать такими сведениями. Специалисты отдела информационных технологий только определяют меры защиты паролей. Жестко должны быть определены частота смены пароля, правила его ввода. Недопустимо подсматривание, т. е. нельзя вводить пароль в присутствии других сотрудников и посетителей. В качестве профилактической меры мониторы располагают таким образом, чтобы, входя в помещение, посетитель не видел того, что изображено на экране. То же относится и к окнам – мониторы должны быть от них отвернуты. Полезно настроить механизм блокировки при введении более трех неверных вариантов пароля. Необходимо устраивать периодические

проверки соблюдения парольной политики. Пользователь сам придумывает пароль и после первого входа в систему меняет стандартный в обязательном порядке. Пароль можно установить на документы, архивы, программы, операционную систему, BIOS, электронные ключи, любые папки и файлы.

О разграничении доступа Так как в организации часто несколько человек работают за одним компьютером, каждый должен входить в систему под своим именем и получать доступ только к своим файлам. Федеральный закон «Об информации, информационных технологиях и о защите информации» (№ 149-ФЗ от 27.07.2006) в ст. 9 говорит об ограничении доступа к информации следующее: «1. Ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. 2. Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами». Июль 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ЕСТЬ РЕШЕНИЕ | ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Существуют три основных модели разграничения доступа к информации: дискреционная, мандатная и ролевая. Дискреционная модель представляет собой матрицу доступа, где каждому субъекту (строки) и объекту (столбцы) ставится в соответствие уровень доступа, обычно это: чтение, запись, исполнение. Мандатная модель основана на уровнях доступа. Объектам присваивается уровень доступа, а субъекты имеют соответствующий допуск. Лицо с допуском к совершенно секретным сведениям, например, не может иметь доступа к информации особой важности, но может иметь доступ к секретной информации. Существует два основных правила: не читать вверх и не писать вниз. Также пользователь не может сам себе повысить полномочия, для того чтобы зайти в систему под именем другого пользователя и прочитать документы, к которым ранее не имел доступа. Ролевая модель появилась позднее других, она включает в себя обе предыдущие в качестве предельных вариантов. Каждый субъект характеризуется ролью, которая определяет разрешенные функции по отношению к объектам доступа.

Системы контроля доступа, основанные на присвоении каждому документу метки конфиденциальности, предназначены для защиты информации с ограниченным доступом. Такие системы работают с уровнями привилегий пользователя. Если у пользователя установлен уровень привилегий конфиденциально, то он может читать документы с таким грифом, в ином случае данное действие запрещено. Это правильный подход, когда четко известно, какие электронные документы являются конфиденциальными, а какие таковыми не являются. В этом случае можно грифовать электронные документы с коммерческой тайной. Стоит также заметить, что системы, основанные на метках конфиденциальности и уровнях доступа, очень часто достаточно требовательны к программному обеспечению на компьютере, а также замедляют в целом работу автоматизированного рабочего места. Их используют исключительно для жесткого контроля. Цели должны оправдывать средства, и эти документы должны быть действительно важными для организации. Во всех других

PEDROSEK / SHUTTERSTOCK.COM

СВЯЗКА «ЛОГИН – ПАРОЛЬ» ПОЗВОЛЯЕТ ОПРЕДЕЛЯТЬ ДЛЯ ПОЛЬЗОВАТЕЛЯ ПРАВИЛА РАБОТЫ В ИНФОРМАЦИОННОЙ СИСТЕМЕ ПРЕДПРИЯТИЯ

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Июль 2012

случаях можно обойтись встроенными средствами операционной системы. Операционная система позволяет назначать права доступа к каждому документу – на чтение, запись, дополнение. Ведется электронный журнал доступа к документам. Единственный минус – не все доверяют встроенным механизмам защиты. Однако существуют операционные системы, сертифицированные ФСТЭК, они представляют собой средства защиты информации (СЗИ). Иначе говоря, встроенным средствам можно в какой-то мере доверять. Они являются бюджетным решением в случае, когда есть желание установить сертифицированные средства, а средств на навесные дорогостоящие СЗИ нет. Закон предъявляет требования к обязательному ограничению доступа при обработке государственной тайны и сведений конфиденциального характера, в том числе коммерческой тайны, персональных данных, банковской тайны и т. д. Ограничение доступа – не право, а обязанность. Если в организации обрабатываются сведения, содержащие коммерческую тайну, персональные данные, то ограничивать доступ к ним необходимо. В случае с коммерческой тайной ограничение доступа является одним из обязательных условий установления режима коммерческой тайны. При отсутствии ограничений режим считается неустановленным. Когда все сотрудники могут работать с коммерческой тайной, а допущены к работе только два человека, т. е. чисто технически ограничений для работы остальных сотрудников нет, режим коммерческой тайны не считается установленным. А если не обеспечены меры защиты, то и нет возможности требовать возмещения ущерба. Необходимо давать каждому пользователю доступ только к определенным ресурсам. Задачи разграничения доступа продиктованы в первую очередь тем, что не каждый сотрудник должен обладать информацией в полном объеме обо всем, что происходит в организации. А если в работе излишняя осведомленность пользы не приносит, соответственно до-

WWW.S-DIRECTOR.RU

ступ к информации, с которой человек не должен работать, продиктован лишь такими мотивами, как любопытство или корыстный интерес, возможно, даже договоренность с конкурентами. Если принять за основу то, что все сотрудники не имеют врожденного любопытства и они кристально честные люди, в этом случае можно было бы выделить на сервере 20 папок, назвать их фамилиями работников, никаких паролей не вводить и попросить каждого работать только в своей папке. Но так как жизнь диктует другие правила и велика вероятность того, что человек, который понимает, что за его действиями контроля и ограничений нет, может работать как в своей папке, так и в чужой и обязательно посмотрит содер-

Чаще всего ограничение доступа основано на том, что у обычного пользователя есть права доступа к локальной папке, к сетевой папке структурного подразделения и нет доступа к системным папкам. Для многих организаций это хороший вариант – нет дополнительной нагрузки из-за проверки каждого документа и установки, специальных меток и ограничения доступа. Вместе с тем минимальный контроль ведется. Есть такие пользователи, которым необходимы права администратора (помимо системного администратора, что естественно), к ним относятся программисты, тестировщики, специалисты по информационной безопасности, т. е. те люди, которые обладают изначальными

Задачи разграничения доступа продиктованы в первую очередь тем, что не каждый сотрудник должен обладать информацией в полном объеме обо всем, что происходит в организации жимое папок соседей, а возможно, даже узнает ту информацию, которая для него не предназначена. В организациях часто большинству сотрудников дают права пользователя, а не администратора. Имея права администратора, пользователи могут начать устанавливать программное обеспечение, принесенное из дома и скачанное из сети. Они попытаются отключить защитные механизмы, службы, которые необходимы для корректной работы, случайно или из любопытства изменят настройки системы. В качестве примера можно привести практиканта, который что-то слышал на лекции о системном реестре, в котором надо пару строчек поправить и операционная система начнет работать быстрее. На самом деле система может перестать работать вообще. В этой ситуации разграничение доступа может быть очень полезным.

знаниями в области информационных технологий и постоянно в своей работе проверяют программное обеспечение, подключают программно-аппаратные модули. Если у них не будет прав администратора, это значительно затруднит их работу и нагрузит дополнительно системного администратора, если он будет постоянно бегать по их поручениям. На время отпуска и болезни необходимо блокировать учетные записи сотрудников. Блокирование происходит на основании служебной записки от руководителя структурного подразделения работника либо от отдела кадров, разблокирование также происходит на основании служебной записки. В случае увольнения учетная запись удаляется. Можно также вести журналы внеплановой смены паролей с указанием причины (например, если пользователь забыл пароль или пароль был скомпрометирован).

О взаимосвязи парольной политики и разграничении доступа Пароли позволяют ограничивать доступ к информационным ресурсам, а управление доступом – определять правила работы с документами. Связка «логин – пароль» позволяет определять для пользователя правила работы в информационной системе предприятия. Парольная политика призвана решать три основные задачи: Защита ценной информации от ознакомления с ней посторонних лиц. Учет доступа к сведениям конфиденциального характера: персональным данным, коммерческой тайне. Обеспечение личной ответственности работников за свои действия. Положительные моменты разграничения доступа к информации перекликаются с положительными моментами парольной политики: Выполнение норм законодательства, в том числе закона о коммерческой тайне, закона о персональных данных. Контроль и ограничение в работе пользователя. Каждый работает исключительно над своими задачами и не интересуется чужими документами. Четкое определение ответственных в случае нарушения режима доступа. Повышение уровня дисциплины – каждый работает только со своими папками и документами. Ответственное лицо за управление доступом и парольную защиту – это чаще всего руководитель отдела информационных технологий. Он должен организовывать процесс создания, изменения и блокирования учетных записей в сети, разрабатывать и внедрять правила парольной политики. Говоря о паролях, не нужно забывать и о разграничении доступа и наоборот; в статье оба эти понятия плотно переплетены. Это две части единого целого. Если проводить аналогии, то пароль – ключ к виртуальному сейфу, а разграничение доступа определяет содержимое ячейки. 1 http://www.thg.ru/graphic/hack_password_gpu/ hack_password_gpu-02.html 2 http://howsecureismypassword.net/ Июль 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ЕСТЬ РЕШЕНИЕ | ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

ВАДИМ СТАНКЕВИЧ

Защита корпоративных данных: точная настройка

GRAEME DAWES / SHUTTERSTOCK.COM

На что обратить внимание при оценке информационных рисков? Как правильно расставить акценты защиты информации в зависимости от вида и интересов компании?

Сегодня любой бизнес подвергается множеству рисков, связанных с принадлежащими ему конфиденциальными данными. Поэтому задача обеспечения информационной безопасности становится важным моментом для любой компании. Каким образом можно защититься от информационных угроз и минимизировать связанные с ними риски? Что такое информационная безопасность? Согласно распространенному определению, информационная безопасность заключается в защите информации от злонамеренных или случайных воздействий, грозящих негативными последствиями для организации. Соответственно в задачи тех, кто обеспечивает сохранность данных учреждения, входит предотвращение подобных воздействий, а также минимизация последствий, которые предотвратить не удалось. 74

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Июль 2012

С какими угрозами приходится сталкиваться ежедневно при обеспечении информационной безопасности? Эти угрозы принято делить на две группы: внутренние и внешние. К внешним угрозам относятся атаки на корпоративные серверы, попытки незаконного проникновения в корпоративную локальную сеть, вредоносное и шпионское программное обеспечение. Нередко в эту группу включают и спам, который является одним из главных источников вредоносных приложений, проникающих во внутрен-

нюю сеть организации. К внутренним угрозам относятся уничтожение или утечки информации из-за преднамеренных действий сотрудников или их халатности. Очевидно, что спектр рисков для корпоративных данных, с которыми приходится иметь дело организациям в наши дни, весьма широк. При этом количество инцидентов, связанных с защитой информации, неуклонно растет. В результате приходится прикладывать все больше усилий для удержания ситуации под контролем. Расходы на

WWW.S-DIRECTOR.RU

информационную безопасность также возрастают, поскольку из-за спама и вредоносных программ увеличивается нагрузка на серверы. По мере роста компании штат сотрудников, занимающихся информационной безопасностью, также растет.

Безопасность для бизнеса, а не бизнес для безопасности Не стоит, однако, чрезмерно увлекаться безопасностью, потому что главное в бизнесе – это именно сам бизнес. Как сделать так, чтобы защита информации не стала проблемой для непрерывности бизнес-процессов? В ряде случаев приоритетом является именно безопасность конфиденциальных данных, которые не должны попасть за пределы компании ни при каком раскладе. Какого рода информация должна охраняться подобным образом, зависит уже от специфики деятельности самой организации. Для компаний, вкладывающих деньги в инновационные решения, имеет смысл защищать еще не прошедшие патентную экспертизу технологии и изобретения, для большинства других организаций – данные по намечающимся крупным сделкам и т. д. Впрочем, доступ к подобной стратегически важной информации, как правило, имеет ограниченный круг лиц, включающий топ-менеджмент компании. Для всех остальных данных могут быть использованы менее строгие защитные меры. В этом случае приоритетом становится уже не недопущение утечек, а непрерывность бизнес-процессов. Таким образом, можно сформулировать главный принцип обеспечения информационной безопасности организации: степень защиты должна соответствовать степени критичности информации для дальнейшего существования и развития компании. Как же можно определить степень важности конкретного вида данных? К сожалению, отработанных сценариев и процедур в настоящее время нет. Для

каждой организации существует своя специфика. Лучшие результаты, пожалуй, может дать достаточно простой эксперимент: попробуйте представить себе, что тот или иной документ оказался в руках злоумышленников или конкурентов вашей компании либо был просто опубликован в Интернете. Насколько серьезными будут последствия – настолько и важен этот документ (и, с большой долей вероятности, все ему подобные). Если никаких долгосрочных негативных последствий вы представить себе не можете, то вряд ли имеет смысл тратить деньги на защиту этих данных.

Защита от утечек данных Сегодня информационная безопасность заключается в первую очередь в ограничении доступа к отдельным

в себе множество передовых поисковых технологий), а способность останавливать ее на пути к адресату. Несмотря на кажущееся противоречие, не все DLP-системы предлагают своим пользователям возможность остановки данных. Тем не менее даже в этом случае эти системы способны эффективно противодействовать утечкам. Принято различать системы с активной и пассивной защитой. Первые могут самостоятельно блокировать информацию, которая распознается ими как конфиденциальная. Вторые не блокируют передачу данных, а только предупреждают сотрудников службы безопасности о случившейся утечке. Первые гораздо лучше борются со случайными утечками данных, но при этом способны допустить непреднамеренную оста-

Вероятно, каждый в своей жизни хоть раз сталкивался с неожиданной потерей нужных для работы документов документам и контроле информационных потоков внутри организации, а также исходящих из нее. Первый способ направлен на недопущение попадания информации к работникам, не представляющим всей важности и всех возможных последствий ее обнародования. Второй используется для обнаружения случаев передачи данных во внешний мир компетентными лицами. Продукты, которые реализуют техническую возможность контроля пользовательского трафика и выявления в нем конфиденциальной информации, в настоящее время принято называть DLP-системами (от английского Data Leak Prevention – предотвращение утечек данных). Если говорить о типологии DLPсистем, то главным критерием здесь является вовсе не способ обнаружения конфиденциальной информации (большинство DLP-систем сочетают

новку бизнес-процессов организации. Вторые безопасны для бизнес-процессов, но подходят только для борьбы с систематическими инцидентами.

Защищаться нужно не только от утечек Поскольку выше речь шла в основном о борьбе с утечками данных, может сложиться впечатление, что никаких других информационных угроз для современных организаций не существует. Однако это, разумеется, не соответствует действительности. Что может повлиять на работу организации и соответственно на ход ее бизнес-процессов больше, чем спонтанная утрата важной информации? Вероятно, каждый из читателей в своей жизни хоть раз сталкивался с неожиданной потерей нужных для работы документов в совершенно неподходящий момент времени. ТаИюль 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

SMILEUS / SHUTTERSTOCK.COM

ЕСТЬ РЕШЕНИЕ | ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

кая тема, как резервное копирование и рационально организованное хранение важных данных в рамках целой организации, безусловно, достойна отдельной статьи. Однако сейчас хотелось бы напомнить, что, к сожалению, данный вопрос зачастую не рассматривается как затрагивающий информационную безопасность организации. В связи с этим финансирование приобретения систем резервного копирования и хранения данных нередко урезается в пользу других решений. Включение пункта о резервном копировании в единую корпоративную политику информационной безопасности позволит привлечь внимание сотрудников и руководителей организации к важности этой проблемы. Безусловно, организации необходимо помнить и о защите от внешних угроз: вирусов и другого вредоносного программного обеспечения, а также атак на корпоративную сеть. Зачастую компании недооценивают эти опасности, полагая, что максимум, на что 76

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Июль 2012

они способны, – это доставить какиелибо незначительные неудобства для работы отдельных сотрудников. К сожалению, реальность часто способна превзойти самые худшие ожидания. Вредоносное ПО способно привести к потере либо порче важной информации, нарушению работы корпоративных серверов, а в случае «эпидемий» – простоям целых отделов. Ситуация осложняется тем, что, в отличие от сбоя DLP-системы, которую можно в крайнем случае отключить, проблему, связанную с вирусами, редко можно решить в течение одного рабочего дня. Стоит иметь в виду, что даже сравнительно безобидные виды вредоносного ПО, не наносящие никакого ущерба данным и операционной системе, несут в себе угрозу для бесперебойной работы организации.

Новая проблема: «облака» и SAAS1 Вопрос обеспечения безопасности данных при использовании SAASрешений также можно считать одним из существенных минусов при работе с сервисами через всемирную сеть. Ведь при использовании «настольных» приложений все данные так или иначе остаются в организации, в то время как при работе через Web поставщик услуги берет на себя ответственность за их сохранность. Проблема защиты информации от утечки при использовании SAAS-решений действительно стоит достаточно остро, и поэтому нужно максимально обезопасить себя от возможных негативных последствий подобного рода инцидентов путем их предотвращения. Как рекомендует аналитик компании SearchInform Роман Идов: «Необходимо тщательно выбирать поставщиков SAAS-решений, поскольку именно от них зависит безопасность ваших данных. Не стоит стесняться спрашивать о том, каким образом происходит защита информации. Если они не смогут рассказать о применяемых средствах шифрования, антивирусах, брандмауэрах, DLP-системах

и прочих средствах, имеет смысл обратиться к другим поставщикам. Важно не забывать и о такой вещи, как резервное копирование. Опять-таки, если сервис-провайдер ничего об этом не слышал, то вряд ли его можно считать хорошим игроком рынка». Необходимо заметить, что в большинстве случаев поставщики SAASрешений прекрасно осознают всю меру своей ответственности перед клиентом и потому предоставляют достаточно высокий уровень безопасности данных. В промышленных дата-центрах, где обычно располагаются серверы, обеспечивающие работу Web-приложений и хранение данных, гораздо проще сохранить информацию от чужих глаз, чем на рабочих станциях сотрудников организации. В настоящее время эксперты говорят уже о новой концепции – Software as a SecureService (SaSS), т. е. о предоставлении доступа к программному обеспечению с гарантией безопасности обрабатываемых пользовательских данных. Нужно, впрочем, помнить и о том, что для обеспечения информационной безопасности на клиентской стороне (т. е. в самой организации) также должны присутствовать защитные средства – те же антивирусы, межсетевые экраны, система предотвращения утечек информации и т. д. Ведь, несмотря на то что данные обрабатываются на удаленном компьютере, с рабочей станции сотрудника злоумышленник или инсайдер также может получить доступ к ним со всеми вытекающими из этого последствиями. Конечно, защита корпоративных данных – непростая задача, однако при правильном подходе она решаема. Необходимо комплексно подходить к обеспечению информационной безопасности и помнить, что самое главное – не закрывать глаза на возможные угрозы, которые кажутся несущественными. Если вы еще не сталкивались с ними, не факт, что это не может произойти в будущем. 1 SaaS (software as a service, англ.) Программное обеспечение как услуга

WWW.S-DIRECTOR.RU

Июль 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

МЕРОПРИЯТИЯ

V Международный салон «Комплексная безопасность – 2012»

В Москве завершился юбилейный V Международный салон «Комплексная безопасность –2012» (ISSE-2012). Мероприятие в очередной раз поразило своим размахом: его посетило 15 333 человека, свои наработки и достижения здесь представили 454 компании-экспонента со всего мира.

а церемонии открытия салона 22 мая присутствовали экс-министр МЧС России, а ныне – губернатор Московской области Сергей Шойгу, новый глава МЧС России Владимир Пучков, заместитель министра внутренних дел России Сергей Герасимов, заместитель председателя Государственной думы ФС РФ, руководитель фракции партии «Единая Россия» в Госдуме Андрей Воробьев, первый вице-президент Ракетно-космической корпорации «Энергия» им. С. П. Королева, генеральный директор завода экспериментального машиностроения Александр Стрекалов. «Юбилейный салон – 2012 в очередной раз демонстрирует научно-технические достижения в области обеспечения комплексной безопасности нашего государства, а значит, и каждого субъекта в отдельности, – сказал губернатор Московской области Сергей Шойгу. – Его 78

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Июль 2012

экспозиция в полной мере отражает социальный аспект организации комплексной безопасности граждан». В этом году на выставке представили свои новинки в сфере обеспечения безопасности 454 компании из 18 стран мира: России, США, Канады, Японии, Швейцарии, Бельгии, Германии, Нидерландов, Польши, Хорватии, Белоруссии, Украины, Турции, Франции, Дании, Финляндии, Тайваня и Китая и др. В соответствии с главной темой ISSE-2012 – «Устойчивость экономической системы государства в случае масштабных чрезвычайных ситуаций» – устроители выставки выделили три основных направления: «технологии предупреждения чрезвычайных ситуаций», «аварийно-спасательные технологии экстренного реагирования» и «информационноуправляющие технологии». Список же тематических разделов выставки сформировался давно и в этом году не

претерпел никаких изменений. Напомним его составляющие: общественная безопасность, пожарная безопасность, безопасность в горном деле, средства спасения, техника охраны, комплексная безопасность на транспорте, вооружение и технические средства сил специального назначения, промышленная безопасность, безопасность границы, ядерная и радиационная безопасность, информационные технологии, экологическая безопасность и медицина катастроф. Площадь салона «Комплексная безопасность» в этом году составила 28 тыс. м2 – экспоненты заняли полностью павильон № 75 Всероссийского выставочного центра (ВВЦ) и прилегающую к нему территорию. Свои разработки в сфере безопасности представили здесь такие крупнейшие компании, как ГК «Транзас», «КАМАЗ», «ГАЗ», «РЖД», «Аргус-Спектр», IVЕСО-Magirus, «СОПОТ», «Титал», «Дыхательные системы» и многие другие.

WWW.S-DIRECTOR.RU

еждународный салон «Комплексная безопасность» – важнейшее событие для профессионалов отрасли, где специалисты разных стран могут увидеть наработки в сфере безопасности, обсудить наиболее значимые тенденции и проблемы отрасли, попробовать совместно отыскать пути их решения. Важной особенностью салона «Комплексная безопасность» является его эффективный формат – органичное сочетание экспозиционной, деловой и демонстрационной программ с практической направленностью. Многие из представленных в ходе ISSE-2012 новинок впоследствии войдут в арсенал ведомств, ответственных за обеспечение безопасности. Следующий – VI Международный салон «Комплексная безопасность» пройдет c 21 по 24 мая 2013 г.

В рамках экспозиционной части салона была показана уникальная техника. Например, компания U-Boat Russia продемонстрировала подводную лодку мини C-EXPLORER 5, привезенную с Мальты. Данное судно может использоваться для спасения людей на море. Оно способно транспортировать груз массой до 500 кг, скорость его передвижения – 2,5 узла в час, глубина погружения – до 1 км. А российская компания Raftlayer представила на своем стенде плавающий бронежилет и реабилитационный костюм для раненых. Бронежилет, не теряя своих основных качеств, в случае попадания человека в воду удерживает его на плаву и не дает утонуть. Министр МЧС России Владимир Пучков, внимательно осмотревший экспозиции салона, отметил, что новые технологии играют важную роль в деле развития обеспечения безопасности людей. «Все, что мы увидели на выставке, – сказал он, – уже завтра может быть внедрено в повседневную практику». В рамках деловой программы ISSE-2012 состоялось более 30 мероприятий, посетителями и докладчиками которых стали специалисты в сфере безопасности со всего мира! В ходе пленарного заседа-

ния «Устойчивость экономической системы Российской Федерации в условиях кризисов и катастроф», открывшего 22 мая обширную деловую программу салона, новый глава МЧС подчеркнул: «Целью выставки является не только представление новейших достижений в области безопасности, но и координация совместной работы всех федеральных структур, субъектов Российской Федерации при практическом внедрении техники, технологий и современных подходов к безопасности людей». Для руководителей федеральных органов исполнительной власти и органов исполнительной власти субъектов Российской Федерации (были представлены все регионы страны) состоялось всероссийское совещание по проблемам гражданской обороны. Кроме того, в рамках деловой программы салона прошли такие мероприятия, как Международный конгресс служб охраны, авиационной и транспортной безопасности, противопожарного и аварийно-спасательного обеспечения на транспорте; III Национальный конгресс «Комплексная безопасность в строительстве»; II Международный конгресс «ТЭК России: приоритетный вектор развития – безопасность»; XVII Конференция национальной ассоциации телохранителей (НАСТ) России «Безопасность личности. Современный подход» и др. Таким образом, деловая программа ISSE оказалась весьма разнообразной, она позволила профессионалам обсудить основные тенденции, выявить актуальные проблемы отрасли и выработать пути их решения. Эффектным зрелищем в рамках V Международного салона «Комплексная безопасность – 2012» стало масштабное демонстрационное учение, которое прошло 25 мая на базе учебно-тренировочного комплекса 179-го спасательного центра МЧС России. До его начала разработчики и производители специальной техники продемонстрировали руководящему составу МЧС, а также гостям и зрителям салона возможности своих изделий и разработок, в числе которых были ряд роботи-

зированных комплексов («Богомол», серии Brokk, комплексы с БЛА), установка для обеспечения тушения пожара в закрытых помещениях с металлическими дверями, специальные автомобили («Волкодав», «Ратибор»), маневренная пожарная машина (МПМ-1500 «Катюша»), гусеничный снегоболотоход (ТТМ 6902 Э-01), различные средства для экстренной медицины и др. Во время комплексного учения в реальных условиях были показаны действия формирований МЧС России и МВД России с использованием современных технических средств, включая авиационные. Но «силовики» не только продемонстрировали свои возможности, но и отработали механизмы взаимодействия подразделений, имеющих разные специализацию и ведомственное подчинение. Владимир Пучков остался доволен увиденным. По его словам, успех спасателей во многом зависит именно от их согласованной работы с другими структурами и ведомствами. Завершилось учение подведением итогов и награждением представителей различных подразделений МЧС России и МВД России за личное мужество, ранее достигнутые показатели и проявленные при подготовке и в ходе проведения учения. В это же время на территории ВВЦ в рамках салона состоялся тестовый аудит телохранителей НАСТ (Национальная ассоциация телохранителей России). Мероприятие собрало лучших из лучших: телохранителей и сотрудников ЧОПов из Москвы и других регионов России. Всего были приглашены три команды, каждая от 3 до 5 человек, они представили посетителям выставки трудовые будни профессионалов частной охраны, а также продемонстрировали инструменты и приемы их деятельности. Победителями первого тестового аудита телохранителей НАСТ стали ребята из московского «Старка» (ООО «ЧОП «Старк – Агентство безопасности»). В планах организаторов − сделать это мероприятие традиционным. Предварительно заявлено, что оно будет проходить в рамках выставки каждый год. Июль 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ПРАВО | СУДЕБНАЯ ПРАКТИКА

Фотографии, аудиои видеозаписи в качестве доказательств

OLGA DROZDOVA / SHUTTERSTOCK.COM

ПРАВО

Довольно часто аудио- и видеозаписи, а также фотографии предъявляются при судебных разбирательствах в качестве доказательств по делу, но не всегда суды признают их таковыми, причем имеют на это достаточно весомые основания. В этом материале мы подробно остановимся на важнейших моментах, связанных с подготовкой такого рода доказательств, и ответим на следующие вопросы: Какие требования предъявляются к фотографиям, аудиои видеозаписям, представляемым в качестве доказательств по делу? В каких случаях суды признают их отвечающими принципам относимости и допустимости, а в каких−нет? Как соотносится право делать фотографии, осуществлять аудиои видеозапись с требованием об охране изображения гражданина, закрепленным в ст. 152.1 ГК РФ?

отографии, аудио- и видеозаписи являются источником сведений о фактах, на основе которых суд устанавливает наличие или отсутствие обстоятельств, обосновывающих требования и возражения сторон, участвующих в судебном разбирательстве, а также иных обстоятельств, имеющих значение для правильного рассмотрения и разрешения дела (п. 1 ст. 55 ГПК РФ). Лицо, представляющее аудио- и (или) видеозаписи на электронном или ином носителе либо ходатайствующее об их истребовании, обязано указать,

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Июль 2012

когда, кем и в каких условиях они осуществлялись (ст. 77 ГПК РФ). Прослушивание аудиозаписей и просмотр видеозаписей происходит непосредственно в судебном заседании (п. 1 ст. 157 ГПК РФ). В соответствии со ст. 185 ГПК РФ воспроизведение аудио- или видеозаписи осуществляется в зале заседания или ином специально оборудованном для этой цели помещении с указанием в протоколе судебного заседания времени, когда это произошло, и признаков воспроизводящих источников доказательств. После этого суд заслушивает объяснения лиц, участву-

WWW.S-DIRECTOR.RU

АЛЕКСАНДР БЫЧКОВ, начальник юридического отдела ЗАО «ТГК «Салют» zaotgksalut@rambler.ru

ющих в деле. При необходимости воспроизведение аудио- или видеозаписи может быть повторено полностью либо в какойлибо части. В целях выяснения содержащихся в аудио- или видеозаписи сведений судом может быть привлечен специалист. В необходимых случаях суд может назначить экспертизу. Сходные правила представления и исследования доказательств, зафиксированных посредством фотографирования, аудио- или видеозаписи, содержатся и в АПК РФ (п. 2 ст. 64, п. 4 ст. 78, п. 2 ст. 89). Одной из областей, в которой использование рассматриваемых средств фиксации получило широкое распространение, является защита интеллектуальной собственности. С помощью фото- и видеосъемки, аудиозаписи участники делового оборота, права и законные интересы которых нарушены использованием принадлежащих им результатов интеллектуальной деятельности, обеспечивают себя необходимыми доказательствами такого нарушения, которые они затем представляют в суд. Исходя из смысла ст.ст. 12, 14 ГК РФ и п. 2 ст. 64 АПК РФ осуществление видеосъемки при фиксации факта распространения контрафактной продукции является соразмерным и допустимым способом самозащиты и отвечает признакам относимости, допустимости и достоверности доказательств, если данная видеосъемка проводилась истцом в целях защиты нарушенного права в рамках гражданско-правовых отношений (Постановление ФАС Волго-Вятского округа от 10.08.2011 по делу № А43-20402/2010). Ссылки ответчика на то, что видеозапись не отвечает требованиям, предъявляемым к доказательствам, поскольку отсутствуют сведения о видеокамере, на которую производилась запись, разрешение на проведение съемки, а также на то, что техническая информация о видеозаписи (время создания записи) не соответствует времени контрольной закупки, сама видеозапись получена в результате проведенных сыскных действий, что запрещено законом для неуполномоченных лиц, суд при рассмотрении одного из дел отклонил как необоснованные (Постановление ФАС Волго-Вятского округа от 11.08.2010 по делу № А79-11511/2009). Если заявления о фальсификации видеозаписи от сторон не поступало, отсутствуют основания для того, чтобы не принимать ее в качестве доказательства (Постановление ФАС Северо-Кавказского округа от 30.11.2010 по делу № А32-12471/2010). Такой специальный порядок оформления фотографий, аудио- и видеозаписей, на который ссылался в приведенном деле ответчик, обязателен только в случаях, предусмотренных в законе. Так, в силу ч. 5 ст. 27.8 КоАП РФ в протоколе об осмотре принадлежащих юридическому лицу помещений, территорий и находящихся там вещей и документов делается запись о применении фото- и киносъемки, видеозаписи, иных установленных способов фиксации вещественных доказательств. Материалы, полученные при осуществлении осмотра с применением фото- и киносъемки, видеозаписи, иных установленных способов фиксации вещественных доказательств, прилагаются к соответствующему протоколу. В одном деле окружной суд указал, что фотографии, представленные административным органом в качестве доказательств совершения обществом администра-

тивного правонарушения, обоснованно признаны нижестоящими судебными инстанциями не отвечающими принципам относимости и допустимости, поскольку не содержат информации о соблюдении порядка их получения, предусмотренного ч. 5 ст. 27.8 КоАП РФ. В протоколе осмотра от 01.06.2010 имеется ссылка на применение фотосъемки и киносъемки без указания технических средств, с помощью которых при проведении проверки произведены фотосъемка и киносъемка. На представленных фотографиях отсутствует информация о времени и месте проведения фотосъемки. Нет также каких-либо сведений о лице, осуществлявшем фотосъемку, ничего не сказано о приложении указанных фотографий к протоколу осмотра. Все это не позволило суду соотнести представленные фотографии с тем правонарушением, по факту которого был составлен протокол, и оценить их в качестве доказательств по делу. Доводы заявителя кассационной жалобы, оспаривающего выводы судов в этой части, судом кассационной инстанции не были приняты во внимание, поскольку они не опровергали факта отсутствия информации, позволяющей соотнести фотографии с событием вменяемого правонарушения (Постановление ФАС ВосточноСибирского округа от 06.05.2011 по делу № А33-9764/2010). Если же специальный порядок фото- и видеосъемки, аудиозаписи в законе не предусмотрен, то соответствующие

Воспроизведение записи может быть повторено полностью либо в какой-либо части материалы являются допустимыми и оснований для принятия их в качестве доказательств по делу нет. В одном деле о привлечении к административной ответственности за нарушение ПДД защитник заявил, что материалы видеофиксации необоснованно использованы судебными инстанциями в качестве доказательства, поскольку в самом деле отсутствуют документы, подтверждающие производство видеофиксации специальным техническим средством, утвержденным в установленном законом порядке в качестве такового. Суд указал, что данный довод не влечет исключения видеозаписи из числа доказательств. Допустимость видеозаписи как доказательства по делу не может быть обусловлена только принадлежностью прибора, с использованием которого она произведена, к специальным техническим средствам. Нормы КоАП РФ не содержат каких-либо требований, устанавливающих порядок применения видеозаписывающих устройств и производства видеофиксации, а потому не исключается производство видеофиксации с использованием Июль 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ПРАВО | СУДЕБНАЯ ПРАКТИКА

Приложенная к акту фотография, зафиксировавшая лист бумаги с объявлением «Магазин работает, вход через проходную», не может являться доказательством аппаратуры, не относящейся к специальным техническим средствам. Видеофиксация нарушения оценена мировым судьей по правилам, установленным ст. 26.11 КоАП РФ, как иной документ, содержащий сведения, которые имеют значение для производства по настоящему делу. Ставить под сомнение оценку, данную мировым судьей указанному доказательству, оснований не имеется (Постановление Московского городского суда от 27.09.2011 по делу № 4а-2046\11). Вместе с тем следует иметь в виду, что фотографии не могут быть признаны надлежащими доказательствами, если из их содержания невозможно установить, где именно они сделаны и какие помещения на них изображены (Постановление ФАС Волго-Вятского округа от 27.07.2006 по делу № А29-12287/2005-2э, Постановление ФАС Уральского округа от 17.06.2010 № Ф09-4645/10-С1 по делу № А7114619/2009-A25), а также если не указаны время и место проведения фотосъемки (Постановление ФАС Московского округа от 27.07.2009 № КГ-А40/6893-09 по делу № А40-81136/08-65729). Если процессуальный оппонент лица, предоставившего фотографии, заявляет о том, что они содержат информацию, не относящуюся к предмету рассматриваемого спора, он обязан представить доказательства этому (Постановление ФАС Северо-Западного округа от 26.10.2011 по делу № А56-41656/2009). Фотографии, аудио- и видеозаписи должны быть соотносимы с рассматриваемым спором, т. е. действительно подтверждать те обстоятельства и сведения, которые имеют к нему отношение. В противном случае они не признаются надлежащими доказательствами по делу. Так, в одном деле суд округа указал, что составленный административным органом акт не подтверждает использование земельного участка под объекты торговли. Приложенная к акту фотография, зафиксировавшая лист бумаги с объявлением «Магазин работает, вход через проходную», также не может являться доказательством использования земельного участка под объекты торговли, поскольку не позволяет достоверно установить субъекта, которому (в случае действительного его наличия) магазин принадлежит, а также иные обстоятельства, которые сделали бы возможным рассмотрение данного приложения к акту как допустимого доказательства (Постановление ФАС Западно-Сибирского округа от 24.03.2010 по делу № А038548/2009). В другом деле суд отметил, что аудиозапись переговоров участников делового оборота не является допустимым 82

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Июль 2012

доказательством при подтверждении факта заключения договора займа. Указанный договор является реальным и считается заключенным с момента передачи денежных средств займодавцем заемщику. Те же обстоятельства, которые должны быть подтверждены определенными доказательствами, могут быть подтверждены только ими. Однако та же самая аудиозапись может считаться допустимой при доказывании факта передачи денег в рамках другого договора, для которого таких требований в законе не предусмотрено (Постановление ФАС Поволжского округа от 01.11.2007 по делу № А12-6230/06-C52). Если же фотографии, аудио- и видеозаписи относимы к рассматриваемому спору, действительно подтверждают те обстоятельства, которые имеют отношение к нему, они принимаются судом в качестве доказательств на общих основаниях. В одном деле ФАС Московского округа установил, что по поручению одного гражданина его адвокатом в адрес депутата Государственной Думы Федерального Собрания РФ было направлено заявление, в котором сообщались сведения, порочащие другого гражданина. Это также следовало из аудиозаписи переговоров лица, подписавшего заявление, и его адвоката: их заявление преследовало своей целью дискредитацию личности пострадавшего гражданина для его удаления с должности руководителя хозяйственного общества, что позволило бы инициатору письма завладеть акциями такого общества. Отклоняя ссылку ответчиков на то, что аудиозапись не может быть признана допустимым доказательством, суд отметил, что заявление о фальсификации данного доказательства ответчиком не представлялось (Постановление от 18.12.2006 по делу № КГ-А40/12166-06-П). Исходя из анализа правоприменительной практики, можно привести следующие примеры, когда суды признают допустимой фиксацию тех или иных фактов посредством их видеозаписи: принятие решения на собрании, которое привело к ограничению конкуренции на рынке товаров (работ или услуг) (Постановление ФАС Дальневосточного округа от 17.12.2008 № Ф03-5519/2008 по делу № А37-534/2008-3); осуществление пассажирских перевозок автобусом, который не признан соответствующим транспортным средством, и без согласованного с администрацией графика (расписания) движения. Это является нарушениями требований и условий, предусмотренных лицензией (Постановление ФАС Дальневосточного округа от 25.04.2007, 18.04.2007 № Ф03-А04/07-2/1250 по делу № А04-7097/06-25/603); выход в эфир телеканала определенного сюжета, который может быть подтвержден регистрационным журналом передач, свидетельскими показаниями и видеозаписью на кассете, сделанной истцом с телевизора (Постановление ФАС ВолгоВятского округа от 12.02.2004 № А43-5887/2003-23-156). Что касается представления в качестве доказательств результатов фотосъемки, то она может производиться для подтверждения, например, следующих фактов: проведения строительно-ремонтных работ с нарушением строительных правил и норм (Постановление ФАС Волго-Вятского округа от 20.07.2009 по делу № А82-3111/2009-28);

причинения повреждения автомобилю в результате столкновения с воротами (Постановление ФАС Восточно-Сибирского округа от 12.10.2010 по делу № А33-10948/2009); взимания с пассажиров в автомобильном общественном транспорте, принадлежащем предпринимателю, платы за проезд в размере, превышающем предельно допустимую цену (Постановление ФАС Дальневосточного округа от 08.07.2009 № Ф03-3026/2009 по делу № А73-2001/2009); оказания исполнителем в качестве независимого контролера на территории склада заказчика услуг по определению качества и измерению объема лесоматериалов. В этом случае данные государственных номеров транспортных единиц, зафиксированные в акте экспертизы о результате измерений количества и качества лесоматериалов, должны совпадать с данными номеров автомашин, имеющихся на фотографиях (Постановление ФАС Восточно-Сибирского округа от 25.08.2009 № А10-858/09). Каждая сторона несет риск совершения или несовершения ею тех или иных процессуальных действий. Поэтому всем участвующим в деле необходимо своевременно заявлять ходатайства о представлении фотографий, аудио- и видеозаписей в качестве доказательств либо, наоборот, высказывать возражения против их приобщения к делу, ссылаясь на то, что они не соотносимы с ним и не могут быть признаны допустимыми доказательствами. Отдельного рассмотрения заслуживает вопрос о том, как соотносится право делать фотографии, осуществлять аудиои видеозапись с требованием об охране изображения гражданина, закрепленным в ст. 152.1 ГК РФ? В соответствии со ст. 152.1 ГК РФ обнародование и дальнейшее использование изображения гражданина (в том числе его фотографии, видеозаписи с ним или произведения искусства, где он изображен) допускаются только с его согласия. После смерти гражданина его изображение может использоваться только с согласия детей и пережившего супруга, а при их отсутствии – с согласия родителей. Однако в целом ряде случаев такого согласия не требуется: прежде всего если изображение используется в государственных, общественных или иных публичных интересах; если оно получено при съемке, которая проводилась в местах, открытых для свободного посещения, или на публичных мероприятиях (собрания, съезды, конференции, концерты, представления, спортивные соревнования и др.), за исключением ситуаций, когда такое изображение является основным объектом использования; гражданин позировал за плату. Изображение гражданина рассматривается федеральным законодателем как нематериальное благо, которому предоставляется правовая защита по правилам гл. 8 ГК РФ. Эти положения российского законодательства соответствуют Конвенции о защите прав человека и основных свобод (ст. 8), а также правовой позиции Европейского суда по правам человека: концепция частной жизни распространяется на аспекты, относящиеся к установлению личности в частности, – это имя

OLGA DROZDOVA / SHUTTERSTOCK.COM

WWW.S-DIRECTOR.RU

лица, его изображения, физиологическая и психологическая неприкосновенность (постановления по делу Бургхартц против Швейцарии от 22.02.1994 по делу Фон Ганновер (принцесса Ганноверская) против Германии от 24.06.2004, по делу Шюссель против Австрии от 21.02.2002). Правила об охране изображения гражданина распространяются и на иностранных граждан, а также лиц без гражданства в силу п. 2 ст. 2 и ст. 4 ФЗ 25.07.2002 № 115-ФЗ «О правовом положении иностранных граждан в Российской Федерации». Запрет на использование изображения гражданина без его согласия носит абсолютный характер. Публикация фотографий людей в газетах и иных изданиях без их согласия нарушает их права, гарантированные Конституцией РФ, и не нарушает права самого издательства на информацию, при этом реализация прав и свобод одних лиц не должна приводить к нарушению прав и свобод других. В одном деле Останкинский районный суд г. Москвы удовлетворил требования истца к организации, опубликовавшей его фотографию без его согласия, причем в искаженном виде (с пороками кожи). Суд отклонил довод ответчика о творческом подходе к видению проблемы, указав, что в данной ситуации имеет место не творческий подход, а искажение действительного изображения (Обзор практики рассмотрения судами Российской Федерации дел о защите чести, достоинства и деловой репутации, а также неприкосновенности частной жизни публичных лиц в области политики, искусства, спорта). В другом деле несанкционированная фото- и видеосъемка в государственном учреждении со стороны его работника, проводимая им неоднократно, несмотря на предупреждения, послужила основанием для его увольнения за неоднократное неисполнение своих трудовых обязанностей (Определение Московского городского суда от 26.04.2011 по делу № 33-12252). Законом не предусмотрены какие-либо исключения в части правовой защиты изображений для отдельных категорий граждан, в связи с чем установленные им правила действуют, в том числе, и в отношении лиц, имеющих публичный статус. Так, по одному делу ФАС Поволжского округа указал, что организация при оказании платных услуг по подготовке обращений и жалоб в государственные и муниципальные органы использовала изображения Президента РФ в коммерческих целях. А Июль 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ПРАВО | СУДЕБНАЯ ПРАКТИКА

Согласие гражданина на обнародование его изображения и последующее его использование может быть выражено различными способами на это требуется согласие Президента РФ (Постановление от 02.06.2011 по делу № А55-19988/2010). При проведении заседаний советов директоров и общих собраний участников или акционеров в хозяйственных обществах может использоваться видеосъемка. Порядок принятия решения о возможности ее применения действующим корпоративным законодательством РФ не регламентирован. Вместе с тем с учетом императивных предписаний ст. 152.1 ГК РФ такое решение должно быть принято всеми участниками соответствующего собрания, поскольку это затрагивает их права – к такому выводу пришел ФАС Волго-Вятского округа (Постановление от 17.12.2009 по делу № А31-3140/2009). Согласие гражданина на обнародование его изображения и последующее его использование может быть выражено различными способами. Так, в одном деле ФАС Северо-Кавказского округа отметил, что на основании п. 2 ст. 421 ГК РФ стороны вправе заключить договор как предусмотренный законом, так и не предусмотренный им. Исходя из принципа свободы договора, гражданин может предоставить право использовать его фотографии на определенных условиях, в том числе за плату (Постановление от 13.03.2008 № Ф08-1048/08 по делу № А5316736/2006-С2-8). Санкт-Петербургский городской суд указал, что изображение может быть использовано как в неизменном виде (формате), так и в другом масштабе или цвете, с нанесением его на товары, включением в композицию товарного знака или знака обслуживания. Само согласие гражданина на использование его изображения является гражданско-правовой сделкой, поэтому может содержать в себе ряд условий, касающихся срока, на который это согласие дается, ограничения или перечисления способов использования изображения (например, исключительно в рекламе или, наоборот, лишь путем нанесения изображения на тот или иной товар и др.). Не исключается установление гражданином и территориальных пределов допустимого использования его изображения тем или иным способом. Кроме того, согласие гражданина на обнародование и использование его изображения может быть выражено при заключении им договора с лицом, которое приобретает право использования этого изображения. Данный договор может быть заключен не только при изготовлении изображения, но и после начала неправомерного использования уже полученного изображения гражданина (Определение от 05.10.2010 № 13679). Вместе с тем не подлежит удовлетворению иск гражданина, считающего, что его изображение было использовано противоправно, если ответчик представит доказательства того, что это 84

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Июль 2012

было сделано в государственных, общественных и иных публично значимых целях в соответствии со ст. 152.1 ГК РФ. Так, на телеканале НТВ была показана передача под названием «ЧП: Расследование. Рынок жулья». Данный репортаж рассказывал об одной сделке по продаже жилого помещения. В одном из его эпизодов появлялся истец, произносящий фразу о том, что он отказывается отвечать на какие-либо вопросы, после чего было показано, как он уходит. Истец работал на момент съемки, а также в период судебного разбирательства в риелторском агентстве в должности начальника юридического отдела. Передача была посвящена проблемам, связанным с мошенническими действиями застройщиков, риелторов, в ней также поднималась тема коррупции в сфере психиатрической помощи, кроме того, там было уделено внимание бытовым и семейным спорам по вопросам недвижимости. Суд отказал истцу в удовлетворении заявленных требований, отметив следующее. Кадры с изображением истца были сняты в коридоре организации, на них присутствуют и другие люди. При этом, просматривая сюжет в целом, невозможно прийти к выводу, что истец причастен к совершению каких-либо противоправных действий. Из текста сюжета усматривалось, что в нем освещаются важные, общественно значимые вопросы безопасности жизни, здоровья и собственности. С этой целью была представлена объективная информация об имевшей место в действительности гражданско-правовой сделке. Телезрители могли оценить ситуацию со слов каждого из ее участников, составив объективное мнение о реальном положении дел на рынке жилья. Интерес аудитории является общественно значимым, в связи с чем изображение гражданина, имевшего непосредственное отношение к сюжету, суд признал правомерным (Определение Московского городского суда от 28.10.2010 по делу № 33-30915). Таким образом, фотографии, аудио- и видеозаписи могут быть представлены в суд в качестве доказательств по делу. Они должны быть соотносимы с рассматриваемым спором, т. е. действительно подтверждать те обстоятельства и сведения, которые имеют значение для его правильного разрешения. Представляя материалы, необходимо указать, кем и в каких условиях осуществлялись записи или фотографирование. В случаях, когда с помощью указанных средств было в качестве доказательства зафиксировано изображение гражданина, такое положение вещей допускается, если при этом преследуется общественный, государственный или иной публичный интерес. К примеру, фиксация гражданина в тот момент, когда он выходил из автомобиля, может быть использована в качестве доказательства о признании сделки по отчуждению имущества мнимой, совершенной лишь для вида и направленной на сокрытие автомобиля от обращения взыскания со стороны кредиторов. Такая фотография может подтверждать, что гражданин и после отчуждения автомобиля продолжает им пользоваться. Поскольку она представляется в суд в качестве доказательства, правильное рассмотрение и разрешение дела можно отнести к категории «публичный интерес», так как в этом случае реализуются задачи правосудия.

WWW.S-DIRECTOR.RU

В СЕТИ Орфография авторов сохранена

ИЗЪЯНЫ ВИДЕОНАБЛЮДЕНИЯ Количество изъянов в системах видеонаблюдения "внушает тревогу". К такому выводу пришла компания CheckMySystems, которая специализируется на оценке работоспособности систем видеонаблюдения. Исследование показало, что 75 % британских систем удалённого мониторинга имеют одну или более проблем, влияющих на результаты её работы. В числе этих проблем – неправильная настройка времени, поломка камер и сбои в работе жёстких дисков. Из всех исследованных систем 16 % содержали одну или более неработающую камеру, а 2 % вообще не работали. У 6 % систем не были активированы тревожные датчики. Почти половина систем – 45 % – не имели архива с рекомендуемой глубиной в 30 дней. Подобные проблемы надо устранять прежде, чем они приведут к каким-либо неприятным последствиям. Об этом говорит Даррен Рьюстон, управляющий директор компании CheckMySystems. Одно из решений этих проблем, которое предлагает Рьюстон, – внедрение специализированного ПО для автоматизированного удалённого контроля состояния системы видеонаблюдения.

http://www.facebook.com/groups/cctvnews/

Andrew Happyman Интересная статистика. У нас в России наверное еще хуже))

Ruslan Rus Угу, безопасный город Москва - явный пример освоения средств.

Andrew Happyman Исследование также показало, что неправильно выставленное время имеет 31 % систем видеонаблюдения.

Владимир Лифшиц Там в конце статьи анонсирована интересная тема - автоматизация контроля состояния систем. В авиации и кое-где в энергетике существуют АСУ технического обслуживания. И не только контроль работоспособности, но и планирование регламентов, запасов запчастей и расходников и т. д.

Ruslan Rus Да Владимир, мало того что слышали, уже более того реализовано. В Milestone XProtect Corporate встроен контроль за состоянием системы, вплоть до конкретной камеры и HDD, неважно где находящемся. Июль 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ИНСТРУМЕНТЫ БЕЗОПАСНОСТИ | УТЕЧКИ ИНФОРМАЦИИ

ИНСТРУМЕНТЫ БЕЗОПАСНОСТИ

Как обезопасить компанию от утечек персональных данных клиентов и партнеров? Данные о клиентах и партнерах – святая святых любой компании, которая мало-мальски дорожит собственной репутацией. В то же время они представляют значительный интерес для конкурентов, журналистов и прочих лиц, которые не должны иметь к ним доступа. Все это создает благоприятную почву для сотрудников, желающих подзаработать на перепродаже закрытой корпоративной информации третьим лицам.

тдельно стоит отметить необходимость защиты персональных данных клиентов. Это не просто законодательное требование, а необходимость, вызванная ролью, которую сегодня играют персональные данные в жизни общества и каждого человека. С помощью этих сведений мошенники имеют возможность получить доступ к электронной почте и другим информационным ресурсам человека, а также его банковским счетам. Особенно опасны утечки данных для финансовых организаций: банков,

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

страховых компаний, коллекторских агентств, поскольку их базы содержат исчерпывающую информацию, необходимую для осуществления мошеннических операций. Пожалуй, ничто так не вредит репутации компании, как подобные инциденты, после чего многие клиенты оказываются безвозвратно потерянными. В их числе могут быть и крупные клиенты, уход которых серьезно подорвет позиции организации на рынке. Впрочем, при утечке данных о корпоративных клиентах исход, как правило, аналогичен: Июль 2012

многие из них предпочитают уйти к конкурентам, лучше справляющимся с защитой информации. Партнеры компании, как правило, также весьма щепетильно относятся к разглашению своих данных, и поэтому утечка информации может стать причиной расторжения многих договоров с ними. Утечка данных о клиентах и партнерах может быть как случайной, так и преднамеренной, т.е. некоторые сотрудники могут специально передавать эту информацию за пределы организации. Однако сегодня у компаний есть возможность

одинаково эффективно противостоять и халатности сотрудников, и их злому умыслу с помощью специальных средств защиты данных. Проводить мониторинг утечек данных о клиентах и партнерах компании целесообразно по названиям соответствующих организаций с использованием простого фразового поиска. Для этого нужно создать «алерт», в котором в качестве запроса указать список основных партнеров и клиентов организации. Имеет смысл проводить подобный мониторинг для всех без исключе-

WWW.S-DIRECTOR.RU

РОМАН ИДОВ, эксперт компании «SearchInform»

ВАЖНЫЕ ФАКТЫ ОБ УТЕЧКАХ ИНФОРМАЦИИ

MILOS STOJANOVIC / SHUTTERSTOCK.COM

Согласно исследованию, проведенному кадровым холдингом АНКОР, 22 % россиян пользуются служебной информацией для стороннего приработка. Американская топливно-газовая корпорация Enron Corporation объявила о банкротстве именно из-за утечки информации, организованной ее сотрудниками. Общая стоимость несоблюдения правил безопасности в два с половиной раза превышает стоимость их соблюдения, показывает исследование Ponemon Institute. Средняя стоимость утечки информации в мире составилет около 2,7 млн долларов. В 6 случаев из 10 для банкротства фирмы достаточно утечки всего лишь 20 % ее коммерческих секретов.

Партнеры компании, как правило, весьма щепетильно относятся к разглашению своих данных, поэтому утечка информации может стать причиной расторжения договора ния каналов передачи информации, хотя такой подход и увеличивает нагрузку на сервер. Интерес представляют не только факты передачи документов, связанных с клиентами или партнерами, за пределы организации, но и обсуждение ключевых клиентов и партнеров со-

трудниками по Skype, ICQ и т. д. Эти письма могут иметь также большое значение для обеспечения информационной безопасности компании. Для отслеживания персональных данных клиентов можно воспользоваться советами по борьбе с утечками

Исследования компании SearchInform в сфере информационной безопасности в российских организациях выявили, что каждый четвертый сотрудник в российских компаниях хоть раз, но использовал конфиденциальную информацию в личных целях. Сотрудники готовы и к продаже информации, принадлежащей работодателю, при условии предложения за нее адекватной цены. Лишь 19,2 % работников готовы ответить твердым отказом на предложение о продаже конфиденциальной информации, в то время как 43,7 % не устоят перед соблазном легкого заработка, а 12 % и вовсе поделятся всеми доступными им корпоративными секретами совершенно бесплатно. Как показывают исследования компании SearchInform, одной из наиболее серьезных угроз информационной безопасности организации являются уволенные работники. Более трети уволенных сотрудников выражают готовность к продаже корпоративных данных по инициативе покупателя, а еще 15,7 % сами готовы предложить их конкурентам последнего работодателя.

персональных данных сотрудников компании. В случае обнаружения случайной, непреднамеренной утечки, как и при большинстве других инцидентов, связанных с нарушениями политик информационной безопасности, лучше всего провести с сотрудником Июль 2012

разъяснительную беседу и инструктаж. А вот в случае преднамеренной передачи закрытых данных за пределы компании необходимо инициировать расследование и поднимать вопрос о гораздо более серьезных санкциях по отношению к виновному. ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ИНСТРУМЕНТЫ БЕЗОПАСНОСТИ | ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

ЖАРГАЛ ДАНЗАНОВ

Правильный Интернет для бизнеса В цифровой век одним из главных условий для успешного ведения бизнеса является наличие Интернета в офисе. Глобальная сеть нужна всем: и IT-фирмам, и цветочным салонам. Сложно перечислить весь спектр бизнес-задач, решаемых с ее помощью. Однако, кроме пользы, мировая паутина таит в себе и множество угроз, ставящих под удар безопасность компании. Уже одно неправильное подключение Интернета может привести к серьезным проблемам и сопутствующим им убыткам. Поэтому каждому руководителю следует позаботиться о грамотной организации корпоративной сети.

Как правило, в компаниях коллективный веб-доступ в сеть осуществляется через прокси-сервер, который одновременно является посредником между компьютерами локальной сети и Интернетом. Все запросы от пользователей по определенным протоколам отсылаются прокси-серверу. Затем прокси направляет запрос внешнему ресурсу. Получив от него ответ, сервер либо блокирует его, либо возвращает пользователю. Это зависит от того, опасен данный ответ или нет. Подобная организация корпоративной сети разумнее, дешевле и безопаснее, чем прямое подключение к Интернету каждого компьютера в офисе. Так что в нужности прокси-серверов сомневаться не приходится. Осталось лишь выбрать конкретный продукт. 88

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Ниже приведен обзор трех прокси-серверов, наиболее популярных на российском рынке: UserGate Proxy & Firewall, Trafﬁc Inspector и Kerio Control.

UserGate Proxy & Firewall Прокси-сервер производства компании Entensys – это комплексное решение для организации доступа в Интернет, состоящее из нескольких модулей. Начнем с самого прокси-сервера. Во-первых, он обладает функцией кэширования. То есть при частом обращении к одним и тем же ресурсам сервер сохраняет их копии и при очередном запросе возвращает ответ пользователю из своей памяти, кэша. Этот процесс протекает значительно быстрее, чем получение ответа извне. Вдобавок, кэширование разгружает канал и уменьшает количество потреИюль 2012

EVELLEAN / SHUTTERSTOCK.COM

Как подключить офис к Интернету?

бляемого трафика. Если вы платите за скачанные мегабайты, это позволит значительно сократить суммы в статье расходов на Интернет. Другим положительным моментом UserGate Proxy & Firewall является возможность использования «прозрачного» режима прокси-сервера, который можно установить с помо-

щью службы NAT (Network Address Translation). В последней версии сервера реализован расширенный драйвер NAT с поддержкой так называемого маскарадинга. Если не вдаваться в технические нюансы, то для бизнесмена главным преимуществом маскарадинга является возможность экономить

WWW.S-DIRECTOR.RU

IP-адреса, а вместе с ним и деньги. С расширенным драйвером NAT можно приобрести всего один зарегистрированный внешний IP и через него подключить к Интернету несколько компьютеров. Выгода налицо. Внутренние IP-адреса среди компьютеров автоматически распределяет встроенный DHCP-сервер. Его использование значительно упрощает администрирование и предотвращает ошибки, допускаемые при ручной настройке сети. UserGate Proxy & Firewall работает со всеми необходимыми сетевыми протоколами, а также с SIP и H323 – эти две аббревиатуры свидетельствуют о том, что прокси-сервер поддерживает IP-телефонию. Удобная функция, выделяющая продукт Entensys. Также UserGate Proxy & Firewall поддерживает протоколы PPTP и L2TP, использующиеся для связи с VPN-серверами. Благодаря VPN осуществимы безопасные подключения к удаленным локальным сетям, встроенный маршрутизатор объединит все эти сети, создав между ними «прозрачную» двухстороннюю связь. Эти возможности придутся весьма кстати для компаний с несколькими филиалами. Теперь поговорим о безопасности сети. Для ее обеспечения в UserGate Proxy & Firewall реализованы различные средства защиты: межсетевой экран для блокировки сомнительного сетевого трафика. Его надежность подтвержде-

на сертификатом ФСТЭК (Федеральной службы по техническому и экспортному контролю). Причем UserGate Proxy & Firewall был первым среди подобных продуктов сертифицирован ФСТЭК; антивирусы от Kaspersky Lab и Panda Security. В рекомендациях они не нуждаются; модуль контроля приложений – гибкая система контроля за работой и загрузкой различного ПО, которая к тому же позволяет предотвращать возможные проблемы, связанные с использованием запрещенных или вредоносных программ; собственная «облачная» фильтрация Entensys URL Filtering, опирающаяся на базу размером более 500 веб-сайтов, разбитых на 82 категории. База постоянно обновляется и включает в себя не только широко известные сайты, но и те, что характеризуются низким уровнем посещаемости. Другой немаловажной функцией UserGate Proxy & Firewall является контроль за использованием трафика. Модули «Статистика UserGate» и «Веб-статистика» ведут доскональный учет работы с Интернетом всех пользователей сети и представляют его результаты в виде простых и наглядных отчетов. А встроенная система биллинга с точностью до копейки подсчитает, сколько средств и на что потратил тот или иной юзер за определенный промежуток времени. Чтобы биллинг исправно функционировал, достаточно указать в нем стоимость услуг провайдера. Кстати

говоря, UserGate Proxy & Firewall поддерживает работу с несколькими провайдерами одновременно. Для каждого из каналов создается отдельный интерфейс. На основании статистических данных и расчетов из биллинга администратор может гибко управлять учетными записями пользователей. Например, тем, кто предпочитает грузить фильмы с торрентов вместо того, чтобы работать, можно вовсе заблокировать доступ в Интернет на какое-то время в воспитательных целях. Также можно создавать специальные тарифы – как индивидуальные, так и групповые. При этом, помимо прочего, можно не только блокировать некоторые сайты (например, социальные сети) или устанавливать расписание работы в Интернете, но и менять ширину доступного канала (этим занимается модуль Trafﬁc Manager). Вообще, сильной стороной UserGate Proxy & Firewall является удивительная гибкость управления пользовательскими учетными записями. Администратору предоставлены все инструменты для корректировки сетевой по-

литики компании. Имеется также возможность удаленного администрирования через веб. Сочетание широкого функционала с удобным администрированием производит хорошее впечатление. UserGate Proxy & Firewall – действительно эффективное и удобное средство для организации корпоративной локальной сети с безопасным выходом в Интернет.

Traffic Inspector Аналогом UserGate Proxy & Firewall является продукт компании «Смарт-Софт» Traffic Inspector. Это тоже комплексное решение, обеспечивающее доступ в Интернет, учет трафика и безопасность соединений. Прокси-сервер Traffic Inspector особых нареканий не вызывает, он тоже функционирует в двух режимах – обычном и «прозрачном» (через NAT). Однако, в отличие от предыдущего продукта, Traffic Inspector не имеет собственного NAT-драйвера – он работает совместно со службой NAT от Windows. И это довольно весомый недостаток. Также слегка удивляет отсутствие в продукте

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ИНСТРУМЕНТЫ БЕЗОПАСНОСТИ | ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

официального сайта Kerio, эта разработка является комплексным решением по обеспечению безопасности и мониторингу сети. То есть, по сути дела, это файервол. Однако не простой, а продвинутый, со встроенным прокси-сервером и рядом дополнительных модулей. Так что Kerio Control вполне может рассматриваться как аналог предыдущих двух продуктов. Прокси-сервер Kerio Control современный и функциональный. В нем DHCP-сервера. Администратору, взаимодействующему с Trafﬁc Inspector, придется распределять все внутренние IP вручную, а значит, весьма вероятны сетевые ошибки. В остальном возможности Traffic Inspector немногим отличаются от аналогичных решений. Стоит выделить встроенную расширенную маршрутизацию Advanced Routing. Она хороша при оптимизации расходов в случае использования нескольких интернет-каналов. Система безопасности Traffic Inspector тоже несильно выделяется среди конкурентов. Его файервол обладает стандартным функционалом и также сертифицирован ФСТЭК. Помимо него, безопасность подключения обеспечивают различные компоненты: модули антифишинга и контекстного анализа, антирекламный модуль Adguard, антиспам и антивирусы (Dr. 90

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Web, Kaspersky Lab и Panda Security). Большинство из них лицензируются отдельно и в базовый комплект не входят. Отдельно стоит упомянуть о биллинге. Это самый сильный компонент Traffic Inspector. Он даже имеет сертификат соответствия связи, что говорит о высокой точности его работы. Повторяться и описывать возможности биллинга Traffic Inspector не имеется смысла. Отметим лишь, что он включает в себя все необходимые инструменты для определения сетевой политики компании. В целом можно сказать, что Traffic Inspector – это хорошее средство учета трафика с выдающейся системой биллинга. А вот встроенный прокси-сервер восторгов не вызывает.

Kerio Control Третий продукт в данном обзоре – Kerio Control. Согласно информации с Июль 2012

реализован целый ряд полезных функций: поддержка VPN и NAT; сервер DHCP; маршрутизатор; возможность работать с несколькими интернетканалами. То есть в том, что касается обеспечения доступа в Интернет, к Kerio Control нет никаких вопросов. Равно как и в том, что касается мониторинга интернет-активности пользователей, ограничения доступа и управления сетевой политикой компании.

При внимательном рассмотрении всех вариантов наиболее выигрышным видится UserGate Proxy & Firewall от компании Entensys ОСНОВНОЙ ЖЕ УПОР В KERIO CONTROL СДЕЛАН НА ОБЕСПЕЧЕНИИ СЕТЕВОЙ БЕЗОПАСНОСТИ. ДЛЯ ЭТОГО В НЕМ РЕАЛИЗОВАН РЯД ИНСТРУМЕНТОВ: файервол с двумя сертификатами: от ICSA Labs и от ФСТЭК. Формально первый ничего не значит, так как ICSA Labs является независимой организацией, ее стандарты не являются общепринятыми. Второй сертификат, от ФСТЭК, получен Kerio Control совсем недавно, весной 2012 г.; антивирусы. В комплекс входит интегрированный сканер от Sophos. Также имеется возможность совместной работы с внешними антивирусами: Avast!, AVG, ClamAV, Dr.Web и NOD32; блокировщик пиринговых сетей (p2p). Учитывая, сколько вредоносного контента содержат эти сети, включение в комплект такого модуля выглядит весьма целесообразным; контентный фильтр Kerio Web Filter с «черным» списком сайтов из 53 категорий.

WWW.S-DIRECTOR.RU

СРАВНИТЕЛЬНАЯ ХАРАКТЕРИСТИКА САМЫХ ПОПУЛЯРНЫХ ПРОКСИ-СЕРВЕРОВ НА РОССИЙСКОМ РЫНКЕ

Показатель

Traffic Inspector

Минусы: нет NAT, DHCP, не Организация доступа в поддерживаются некоторые Интернет протоколы

Безопасность сетевых соединений

Kerio Control

Добротный прокси-сервер, без серьезных изъянов, но и без изысков

Плюсы: сертифицированный файервол, хороший набор заПлюсы: сертифицированный файщитных средств. ервол, контентный фильтр Kerio Минусы: почти все эти средства Web Filter платные и в базовый комплект не входят

Мониторинг сетевой Стандартный набор статистичеактивности, статистика ских и мониторинговых моду- Плюсы: блокировщик p2p-сетей и управление пользолей. Выделить особо нечего вателями

UserGate Proxy & Firewall

Плюсы: собственный NAT-драйвер с функцией маскарадинга, поддержка IP-телефонии

Плюсы: сертифицированный файервол, «облачный» модуль контентной фильтрации Entensys URL Filtering

Плюсы: модуль контроля приложений (в том числе и p2p-клиентов) Стандартная биллинг-система с полным набором функций

Биллинг

Плюсы: сертифицированный биллинг

Комплектация

Стоимость версии с пятью учетными записями, руб.

Отсутствует

Без сертификата ФСТЭК

3800

~10 500 (со встроенным антивирусом Sophos)

4500

С сертификатом ФСТЭК

5830

~13 200 (со встроенным антивирусом Sophos)

6075

Дополнительные платные модули

Антивирус Dr.Web – 2340 Антивирус Kaspersky – 2700 Антивирус Panda – 2100 Антирекламный модуль Adguard – 1800 AntiSpam – 2400

Kerio Web Filter ~1100

Антивирус Kaspersky – 2670 Антивирус Panda – 3036 (антивирус Panda недоступен для сертифицированной версии) Entensys URL Filtering – 1714

Полный комплект без сертификата ФСТЭК

15 140

~11 600

11 920

Полный комплект с сертификатом ФСТЭК

17 170

14 300

13 495

Пока что Kerio Control кажется достойным решением со всеми нужными опциями. Однако при всех своих плюсах этот продукт имеет один жирный минус. В Kerio Control нет системы биллинга. И надо ли говорить о том, как важен для бизнеса биллинг с постоянным доступом и системой управления? Попробуем коротко подытожить сравнительный обзор этих трех продуктов, используя для этой цели таблицу.

Важно сказать, что если на дополнительные модули лицензии нужно покупать каждый год, то на сами продукты они, по сути дела, даются бессрочно. При первоначальном приобретении Traffic Inspector и Kerio Control клиенту предоставляется год бесплатного обновления и техподдержки. По истечении первого года за обновления придется платить. Обновление UserGate Proxy & Firewall в рамках

одной серии (например, от 5.1 до 5.2) проводится бесплатно, а от старых версий до 5.x обойдется в 50 % от стоимости лицензии (2250 руб.). При внимательном рассмотрении всех вариантов наиболее выигрышным видится UserGate Proxy & Firewall от компании Entensys. По функционалу он по многим параметрам превосходит Traffic Inspector, и при этом в нем нет таких явных дыр, как, например, отсутствие Июль 2012

биллинга в Kerio Control. И что немаловажно, полный сертифицированный комплект UserGate Proxy & Firewall стоит меньше своих аналогов. Однако выбор в любом случае за вами. И помните, какой бы продукт вы ни предпочли, внимательно ознакомьтесь с правилами лицензирования. Потому как вариантов приобретения серверных решений, как правило, много, и запутаться в них очень легко. ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ИНСТРУМЕНТЫ БЕЗОПАСНОСТИ | ВИДЕОНАБЛЮДЕНИЕ

Современные тенденции в сфере видеонаблюдения

Конечный потребитель сегодня, как и все последние 10 лет, задается вопросом: какую систему выбрать – цифровую или аналоговую? Вопреки расхожему мнению о преимуществах сетевых технологий перед аналоговыми в сфере охранного видеонаблюдения, IP-решения пока ощутимо не доминируют на рынке. Почему? Кроме существенных преимуществ, у систем IP-видеонаблюдения есть и обратная сторона медали – они имеют высокую стоимость, которая и является главным сдерживающим фактором для доминирования сетевых решений на рынке. Причем относительно высокая цена характерна в первую очередь для IPкамер, в то время как другие необходимые элементы для создания эффективной системы видеонаблюдения могут быть даже дешевле эквивалентов в проектах на 92

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

базе аналоговых решений. Уверен, что если и дальше продолжится тенденция к снижению цен на IP-камеры, а также будет прогрессировать стандартизация отрасли сетевого видеонаблюдения, то мы увидим взрывной рост количества новых проектов на базе IP и заодно будут окончательно опровергнуты последние доводы о выгоде и удобстве аналоговых решений. За счет чего производители IP-решений повышают конкурентоспособность своей продукции? Во-первых, это уже упомянутая отраслевая стандартизация, благодаря которой достигается совместимость видеорегистраторов и камер различных производителей буквально на уровне Plug and Play. Во-вторых, современные IP-камеры оснащаются широким программным функционалом, который может включать в себя мощные средства видеоанализа для первичной Июль 2012

FENG YU / SHUTTERSTOCK.COM

Интервью с Борисом Росницким, директором по системам видеонаблюдения компании «QNAP Россия»

обработки изображения в режиме реального времени, что позволяет более оперативно реагировать на события в зоне наблюдения. Примеры таких функций: адаптация к освещению, обнаружение манипуляций с камерой, контроль перемещений объектов и появления новых, а также их идентификация. Наконец, производители серверных решений тоже значительно повышают возможности интеллектуальной видеоаналитики как с помощью новых разработок в данной области ПО, так и путем усиления аппаратной составляющей, что особенно актуально в случае автономных сетевых устройств записи или потребности в обработке большого количества

высококачественных записей. Так, для эффективной работы с архивом крайне важно оптимизировать поиск, например за счет накопления и индексирования данных, полученных в результате распознавания объектов и событий, а также обеспечить его надежное хранение и удобные методы резервирования на внешние ресурсы. Кроме того, получают развитие способы удаленного доступа к управлению и мониторингу систем – ключевого преимущества, выгодно отличающего IP-решения от сугубо аналоговых. Например, выпускаются специальные приложения для мобильных устройств на популярных платформах: Google Android, Microsoft Windows Mobile и Apple iOS, а для удобства работы через

WWW.S-DIRECTOR.RU

веб-браузер совершенствуются соответствующие сервисные интерфейсы. Насколько распространено применение «облачных» технологий, в частности концепции «видеонаблюдение как услуга», на сегодняшний день? «Облака», как известно, подразделяются на два типа: частные, предполагающие размещение информации и обслуживание сервисов системы видеонаблюдения внутри локальной сетевой инфраструктуры, и публичные, построенные с использованием внешних ресурсов, например центров обработки данных и хранилищ поставщиков услуг. Как раз к числу публичных «облаков» относится концепция «видеонаблюдение как услуга», или VSaaS, когда все задачи по размещению и обработке данных возлагаются на оборудование сервис-провайдера. Такая модель может быть востребована в малом бизнесе, например в коммерческой сети из нескольких распределенных объектов, где в каждом используется не более двух-трех видеокамер. В таких случаях удобнее и проще ограничить инвестиции в безопасность только абонентской платой, возложив всю работу по комплектации, установке и обслуживанию системы видеонаблюдения на поставщика услуги, что является ключевым преимуществом данной концепции. Однако есть и существенные препятствия для массового внедрения VSaaS: во-первых, необходимы качественные

и достаточно недорогие каналы связи, и, во-вторых, многие потенциальные заказчики с опаской относятся к перспективе передачи конфиденциальных данных для хранения на сторонних ресурсах. Из-за этого и ряда других обстоятельств в России пока нет крупных проектов VSaaS, которые были бы с успехом проверены временем и массовым заказчиком. Какие еще технологии востребованы и находят широкое применение в системах IP-видеонаблюдения? В программное обеспечение серверных решений активно внедряются функции многопоточной записи и многокамерного сопровождения, а также дистанционного управления PTZ-камерами (т. е. обладающими поворотными механизмами) с помощью USB-джойстиков. При решении такой задачи для быстрого и надежного размещения резервных копий могут пригодиться сетевые хранилища или «облачные» сервисы, которыми могут быть как ресурсы собственной сети хранения данных, так и публичные площадки. Для ряда проектов городского уровня или индустрии транспорта находят применение технологии беспроводной связи 3G/4G, позволяющие передавать данные с высокой скоростью и охватом большой территории. Вообще, конвергенция технологий – одна из главных движущих тенденций отрасли. Так, система видеонаблюдения может быть интегрирована в состав

комплексного решения по обеспечению физической безопасности, содержащего средства контроля доступа, пожаротушения, открытия/блокировки дверей и многое-многое другое. Нередки ситуации, когда при просмотре видеозаписи невозможно разобрать действия людей, разглядеть их лица или просто какието важные детали в кадре, не говоря уже о том, что сама запись вообще может отсутствовать. Почему так происходит и как этого избежать? Все это следствие таких ошибок, как неверный выбор камер, их количества, места установки и угла обзора, а также недостаточная настройка оборудования и просчеты в его эксплуатации. С созданием системы из двух-четырех камер, в принципе, может справиться и неподготовленный человек, но когда их больше и есть веские причины для организации видеонаблюдения, то разумнее обратиться к услугам профессионалов или по крайней мере иметь собственный технический персонал должной квалификации. Не следует забывать и о правовых вопросах, дабы не нарушать действующие нормы законодательства. Наконец, оператор/сотрудник службы безопасности должен обладать всеми необходимыми навыками для работы с установленной системой видеонаблюдения, начиная от использования возможностей мониторинга Июль 2012

и заканчивая выполнением хотя бы базовых сервисных операций. Получается, целый ряд факторов может потребовать отдельных расходов. Что еще следует учесть при создании системы видеонаблюдения и как минимизировать затраты на нее? Первым делом надо определиться с техническим заданием, в котором максимально подробно сформулировать, что и как должна решать система. Иначе итоговая стоимость проекта может быть не только завышена, но и неоправданно занижена, что приведет к неэффективному выполнению задач, возложенных на видеонаблюдение. Допустим, на объекте есть несколько зон, где требуется визуальный контроль, в этом случае следует учесть площадь каждой и другие особенности пространства, уровень освещенности и его изменения в течение дня, а также непосредственные цели наблюдения. Не имея таких вводных данных, крайне трудно спроектировать систему должным образом, поскольку вероятность ошибки при выборе компонентов очень высока. Еще посоветую сделать ставку на легкость обучения персонала для работы с системой и гибкие возможности для добавления или замены комплектующих – все компоненты должны быть универсальными, что позволит избежать зависимости от определенных устройств, торговых марок и навыков отдельных специалистов. ДИРЕКТОР ПО БЕЗОПАСНОСТИ

WWW.S-DIRECTOR.RU

Номер

Дата выхода из печати

Тема номера

№ 7 июль

28.06.2012

Технический контроль персонала

№ 8 август

27.07.2012

Кадровая безопасность

№ 9 сентябрь

29.08.2012

Безопасность электронных платежей

№ 10 октябрь

25.09.2012

Утечки информации

№ 11 ноябрь

25.10.2012

Управление дебиторской задолженностью

№ 12 декабрь

27.11.2012

Безопасность финансов

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Март 2012

WWW.S-DIRECTOR.RU

КАЛЕНДАРЬ ИЮЛЬ 01.07.12

вс

02.07.12

пн

03.07.12

вт

04.07.12

ср

05.07.12

чт

06.07.12

пт

07.07.12

сб

08.07.12

вс

09.07.12

пн

10.07.12

вт

11.07.12

ср

12.07.12

чт

13.07.12

пт

14.07.12

сб

15.07.12

вс

16.07.12

пн

17.07.12

вт

18.07.12

ср

19.07.12

чт

20.07.12

пт

21.07.12

сб

22.07.12

вс

23.07.12

пн

24.07.12

вт

25.07.12

ср

26.07.12

чт

27.07.12

пт

28.07.12

сб

День РR-cпециалиста

29.07.12

вс

День системного администратора

30.07.12

пн

31.07.12

вт

День государственной автомобильной инспекции

День российской почты

День работника торговли

Июль 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

WWW.S-DIRECTOR.RU

КАЛЕНДАРЬ АВГУСТ 01.08.12

ср

02.08.12

чт

03.08.12

пт

04.08.12

сб

05.08.12

вс

06.08.12

пн

07.08.12

вт

08.08.12

ср

09.08.12

чт

10.08.12

пт

11.08.12

сб

12.08.12

вс

13.08.12

пн

14.08.12

вт

15.08.12

ср

16.08.12

чт

17.08.12

пт

18.08.12

сб

19.08.12

вс

20.08.12

пн

21.08.12

вт

22.08.12

ср

23.08.12

чт

24.08.12

пт

25.08.12

сб

26.08.12

вс

27.08.12

пн

28.08.12

вт

29.08.12

ср

30.08.12

чт

День Воздушно-десантных войск

День Военно-воздушных сил

День строителя

День Государственного флага Российской Федерации

Июль 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

25-я Международная конференция по безопасности 24–30 сентября 2012 г., Милан, Италия

«Как защитить себя и свой бизнес»

В рамках конференции рассматриваются актуальные проблемы комплексной безопасности бизнеса, ведущие эксперты делятся международным опытом в области экономической, информационной, физической безопасности, технических систем, организации процессов безопасности. Наши спикеры:

Некоторые темы конференции: «За» и «против» правил регулирования частных секторов безопасности в Европе Частная безопасность и тайные исследования Безопасность как функция управления; разработка политики управления рисками Понимание прав человека и процедуры безопасности Ситуационные методы и обзоры безопасности Электронные устройства и наблюдения (GSM/GPS) – угрозы фирмам и контрмеры Последние события в индустрии частной безопасности в Европейском союзе: нормативно-правовая база Новое решение для комплексной безопасности бизнеса в России Тенденции совершенствования интегрированных систем безопасности предприятий Безопасность объектов и компаний (важные государственные, промышленные и коммерческие объекты)

В числе наших участников security-менеджеры крупнейших российских компаний: Интеррос, Техснабэкспорт, Ростелеком, Газпром экспорт, Газпром промгаз, Мегафон, ВТБ, РенессансКапитал, Тверьуниверсалбанк, Транснефть Для того чтобы получить подробную информацию или зарезервировать место на конференции, пожалуйста, заполните эту форму и направьте по факсу: + 44 20 8452 4483 или свяжитесь с нами по телефону + 44 20 8452 5986 или E-mail: admin@oecexhibitions.com Просим предварительно зарезервировать . . . . . . . . . . . . . . . . . . . . . делегата/ов конференции Направьте подробную информацию и условия участия Фамилия: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Должность: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Компания: . . . . . . . . . . . . . . . . . . . . . . . . . Телефон: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Факс: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Эл. почта: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Адрес: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

руководитель Международного института безопасности (SyI, UK)

Патрик Соммервил,

директор Международной профессиональной ассоциации безопасности (IPSA, UK)

Барон Джеймс Шортт,

президент Международной ассоциации телохранителей (IBA)