Журнал «Директор по безопасности» by Андрей Сурков

12 ФИЛОСОФИЯ ЗАЩИТЫ

60 ЕСТЬ РЕШЕНИЕ

Почему компании не защищаются от утечек информации?

Обеспечение безопасности кассовых помещений

70 ПРАВО

Защита при осуществлении проверок государственными органами

86 ИНСТРУМЕНТЫ БЕЗОПАСНОСТИ

Осуществление контроля персонала на предприятии

ДИРЕКТОР ПО БЕЗОПАСНОСТИ www.s-director.ru ноябрь 2012

УПРАВЛЕНИЕ ДЕБИТОРСКОЙ ЗАДОЛЖЕННОСТЬЮ

НЕ УПУСТИ СВОЕГО ДОЛЖНИКА!

РЕКЛАМ

WWW.S-DIRECTOR.RU

РЕДАКЦИОННЫЙ СОВЕТ ВЛАДИМИР ИВАНОВИЧ АВДИЙСКИЙ, Заведующий кафедрой «Анализ рисков и экономическая безопасность» Финансового университета при правительстве РФ, доктор юридических наук, профессор СЕРГЕЙ АЛЕКСАНДРОВИЧ МАРТЫНОВ Президент Российского отделения ACFE (Ассоциации специалистов по расследованию хищений/ мошенничества) СЕРГЕЙ НИКОЛАЕВИЧ КАШУРНИКОВ Директор по безопасности аптечной сети «36,6», кандидат политических наук АЛЕКСАНДР АНАТОЛЬЕВИЧ САЙГАНОВ Руководитель Управления безопасности и расследований ЗАО КБ «Ситибанк» СЕРГЕЙ ГЕННАДИЕВИЧ МАТВЕЕВ Советник по безопасности Группы компаний «Связной»

ОТ РЕДАКЦИИ

Преступление без наказания

едавно я услышал от директора по безопасности одного крупного банка печальную историю: руководитель регионального филиала в течение некоторого времени радостно выдавал заведомо невозвратные кредиты своим дальним знакомым, соучастникам, если называть вещи своими именами. Причем, будучи от природы человеком несмелым, делал это крайне осторожно: не частил, не повторялся с суммами и условиями кредита, не делал роскошных покупок. Так что службе безопасности было совсем непросто установить факт нарушения. Каково же было удивление моего собеседника, когда после триумфального доклада о злоумышленнике председателю правления дело, что называется, положили «под сукно». Знакомая картина? Смею предположить, что большинство читателей бывали в подобной ситуации – проделана огромная работа, установлены виновные, определен ущерб, а в ответ – молчаливое бездействие топ-менеджмента. Оно, конечно, у верховного руководителя могут быть свои мотивы, информации у него больше, поскольку видит всю картину «сверху», на то он и верховный. Отбросив инсинуации, можно предположить, что он просто не уверен в виновности фигуранта (поскольку служба безопасности − субъект ОРД, «железные» доказательства привести не всегда может), поэтому и не считает нужным его наказывать. Но, помимо очевидного и резкого сбоя в мотивации службы безопасности, такое решение имеет еще один серьезный недостаток. Ненаказание – это, по сути, поощрение мошенничества. То есть, оставляя без ответа инцидент, руководитель тем самым провоцирует рост таких случаев в будущем. Если реагировать только на доказанные преступления, количество потерь может превысить разумные пределы. Действительно, доказать получение выгоды менеджером сложно, его умысел – вообще почти невозможно. Доступна и неопровержима всегда только информация о самом факте нанесения ущерба. И логика подсказывает, что в интересах компании при наступлении ущерба нужно наказывать ответственного менеджера, неважно, по злому умыслу он причинил этот ущерб или по халатности. Ведь халатность влечет за собой такие же потери, как и действия злоумышленника. Недаром говорят: «Простота – хуже воровства».

НИКОЛАЙ ДВОРЕЦКИЙ, главный редактор

Ноябрь 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

WWW.S-DIRECTOR.RU

СОДЕРЖАНИЕ НОЯБРЬ 2012

Facebook отключает в Европе сервис распознавания лиц

УПРАВЛЕНИЕ ДЕБИТОРСКОЙ ЗАДОЛЖЕННОСТЬЮ

КОРОТКО

ФИЛОСОФИЯ ЗАЩИТЫ Почему компании не хотят защищаться от утечек информации?

96 % российских компаний сталкивались за последний год с утечкой сведений Биометрические технологии в банковских системах безопасности IT-угрозы. Восприятие и знания пользователей

16 18

ТЕМА НОМЕРА: УПРАВЛЕНИЕ ДЕБИТОРСКОЙ ЗАДОЛЖЕННОСТЬЮ Не упусти своего должника. Превентивные меры по возврату задолженности

После завершения процедуры ликвидации компаниидолжника дебиторскую задолженность взыскать уже нельзя Как сделать так, чтобы не вы искали информацию о контрагентах, а она искала вас Бегом от долгов. Что предпринять, чтобы должник не скрылся за границей Ноябрь 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

27 32 3

WWW.S-DIRECTOR.RU ДИРЕКТОР ПО БЕЗОПАСНОСТИ № 11 НОЯБРЬ 2012

Свидетельство ПИ № ФС77-31874 от 23 апреля 2008 г.

Выявление каналов утечки информации

Учредитель Николай Дворецкий Издатель ООО «Деловые Медиа» Руководитель проекта Константин Новиков Главный редактор Николай Дворецкий Заместитель главного редактора Юлия Орехова Макет Оксана Кудрич Ответственный секретарь Елена Розанова Верстка Ирина Гюнтнер Корректор Ольга Абизова Реклама ООО «Рекламное агентство» «Отраслевые ведомости» Прямая линия Тел.: (499) 265-50-35, E-mail: ov@vedomost.ru Руководитель Марина Мячинова E-mail: m@vedomost.ru Директор по привлечению Юлия Нечупас E-mail: nechupas@vedomost.ru Директор по продажам Олег Блохин E-mail: blokhin@vedomost.ru Руководитель проекта Жанна Лубенец E-mail: lubenets@vedomost.ru Подписка В редакции ООО «Агентство подписки и продвижения «Алеф Принт» Тел.: (499) 277-11-12, 8-800-200-11-12 Менеджер Ирина Васильева Е-mail: podpiska@vedomost.ru Екатерина Стуканова E-mail: prodaga@vedomost.ru По каталогу «Роспечать» – индекс 83072 «Пресса России» – индекс 29730 Для СНГ и других стран ЗАО «МК-Периодика», Тел.: (495) 672-70-12 Е-mail: info@periodicals.ru www.periodicals.ru

Комплексная защита информационных активов Выявление каналов утечки информации Как сотрудники наносят ущерб имиджу и репутации компании? ЧОП в магазине. Проблемы и решения

Принято считать, что охрана в магазине находится для поимки воришек. Это глубокое заблуждение Безопасность кассовых помещений Обеспечение безопасности перевозок ценностей и денежных средств Сбор информации под прикрытием Конференция DLP-RUSSIA 2012

36 40 46 48

54 60 64 68

В рамках конъюнктурного анализа желательно запрашивать не только коммерческие предложения, но и технические задания

Редакция не имеет возможности вступать в переписку, редактировать и возвращать не заказанные ею рукописи и иллюстрации. Мнение редакции может не совпадать с мнением авторов опубликованных материалов. Перепечатка материалов и использование их в любой форме, в том числе и в электронных СМИ, допускается только с письменного разрешения редакции.

ПРАВО

Редакция не несет ответственности за содержание рекламных материалов. Рекламируемые товары и услуги подлежат обязательной сертификации

БИЗНЕС-КЕЙСЫ

Иллюстрация на обложке: SVET13 / SHUTTERSTOCK.COM

Финансовая безопасность организации Что необходимо учесть в договоре с ЧОПом Организация системы видеонаблюдения

ЕСТЬ РЕШЕНИЕ

Адрес редакции: 105066, Москва, Токмаков пер., д. 16, стр. 2 Тел./факс: +7 (903) 512-86-69 www.s-director.ru E-mail: info@s-director.ru

В СЛЕДУЮЩЕМ НОМЕРЕ

Защита при осуществлении государственного или муниципального контроля

Защита информации. Ответы на БИЗНЕС-КЕЙСЫ

ИНСТРУМЕНТЫ БЕЗОПАСНОСТИ Контроль персонала на предприятии Новости компаний

86 90 Ноябрь 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

НОВОСТИ

КОРОТКО Соратники Колокольцева разработали новую реформу МВД Расширенная рабочая группа при министре внутренних дел Владимире Колокольцеве разработала проект новой масштабной реформы ведомства. Источник в руководстве МВД передал в распоряжение информационного агентства РБК этот документ. Соавторами проекта стали эксперты, резко критиковавшие изменения, введенные экс-главой МВД Рашидом Нургалиевым. Один из разработчиков реформы, депутат Госдумы Александр Хинштейн, отметил, что проект − это так называемая дорожная карта, где прописаны основные задачи. Упор сделан на повышение доверия у населения и общества, повышение профессионализма и повышение качества работы. Предложения в проект по реформе продолжают вноситься, в том числе и гражданским обществом. В проекте новой реформы говорится, что во время Нургалиева образовалась жесткая вертикаль централизованного управления в системе МВД, и это плюс. «Вместе с тем изменения не привели в полной мере к результатам, ожидаемым гражданским обществом», − отмечается в документе. Аттестация не решила проблему обновления кадров. Авторы проекта предлагают проводить дальнейшее реформирование по пяти

направлениям. Первое из них − борьба с «оборотнями» в погонах и учет всех жалоб на правоохранителей. Будут проводиться выборочные аттестации отдельных подразделений, служб и сотрудников на основе компрометирующих материалов в СМИ и жалоб граждан. Авторы реформы уверены, что необходимо обеспечить немедленное реагирование на каждое происшествие с противоправным поведением полицейских. Предлагается избавиться от клановости и круговой поруки в системе МВД. Будут введены ограничения при переводе сотрудников из региона в регион и назначениях на руководящие должности. Еще одно направление − активное взаимодействие с гражданским обществом. Будут организованы горячие линии и специальные сайты по различным направлениям деятельности: о пропавших детях, о террористических и насильственных экстремистских проявлениях, о нарушениях законности сотрудниками полиции. Третий пункт реформы − работа с полицией в регионах. В крупных городах планируется приблизить наряды полиции к жилому сектору, в сельской

700 000 рублей – штраф за отказ от аудита Минфин России подготовил законопроект о внесении изменений в Кодекс об административных правонарушениях и в закон «О бухгалтерском учете», вводящих штрафы в размере от 400 000 до 700 000 рублей для компаний, уклоняющихся от проведения обязательного аудита.

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Ноябрь 2012

местности − организовать регулярные объезды отдаленных населенных пунктов для встреч с населением. Передвижные полицейские пункты будут использоваться для приема граждан и немедленного реагирования на сигналы о преступлениях. В-четвертых, планируется изменение действующей системы выявления, учета и регистрации преступлений, превращение уголовной статистики в «статистику правды». Один из предлагаемых вариантов − процессуальная модель, согласно которой по поступившему заявлению, сообщению о преступлении следователь, дознаватель, орган дознания начинают производство по уголовному делу. Фактически возникает необходимость отказаться от института возбуждения уголовного дела в российском понимании, трансформировав его в институт начала уголовного судопроизводства. Пятое направление − борьба с современными угрозами: мафией, миграцией и рабством. При МВД России должна появиться межведомственная комиссия по противодействию торговле людьми, которая займется вопросами борьбы с сексуальной и трудовой эксплуатацией, торговлей человеческими органами и тканями. Также ведомство планирует усилить борьбу с нелегальной миграцией и националистами. Авторы концепции предлагают и гражданскому обществу вносить свои предложения по созданию в России действительно современной, работоспособной и авторитетной полиции XXI века. РБК daily

Законопроектом КоАП РФ дополняется ст. 15,37, устанавливающей, что непредставление юридическим лицом аудиторского заключения вместе с бухгалтерской отчетностью наказывается штрафом в размере от 400 000 до 700 000 рублей. Речь идет об уклонении от обязательного аудита − под него попадают организации с выручкой свыше 400 млн рублей и активами более 60 млн рублей, а также вне зависимости от этих показателей все ОАО, банки, профучастники рынка ценных бумаг, страховые организации. legis.ru

WWW.S-DIRECTOR.RU

АМЕРИКАНСКАЯ ЭКОНОМИКА ТЕРЯЕТ $650 МЛРД В ГОД ИЗ-ЗА СОЦСЕТЕЙ Злоупотребление американцами доступом к сети Интернет на рабочем месте наносит существенный ущерб экономике страны.

Преступники под видом полицейских получали личные данные о россиянах Разоблачена банда, собиравшая сведения, составляющие служебную, налоговую, коммерческую тайны, а также личные данные граждан; преступники действовали, представляясь сотрудниками управления экономической безопасности и противодействия коррупции, сообщили в МВД России. «Сотрудниками Главного управления экономической безопасности и противодействия коррупции (ГУЭБиПК) МВД России пресечена деятельность организованной группы, участники которой подозреваются в сборе сведений, составляющих служебную, налоговую, коммерческую тайны, конфиденциальной и инсайдерской информации, а также личных данных граждан», − сообщается на сайте министерства. Подозреваемые действовали под видом должностных лиц ГУЭБиПК МВД России, Федеральной службы государственной статистики России и других органов государственной власти. Полученную информацию продавали службам безопасности крупных компаний и банков, кадровым и коллекторским агентствам, заинтересованным частным лицам. «Оперативная разработка фигурантов началась в январе 2012 года в связи с массовым поступлением в ГУЭБиПК МВД России письменных ответов из ФНС России, ФМС России, МИД России, Минобороны России и других государственных организаций на запросы и поручения, которые в действительности никогда не направлялись. В ходе первичной проверки установлено – ведомственные печати, а также подписи на исходящих документах поддельны. Установлено, что в состав группы входили руководители и сотрудники консалтинговой фирмы ООО «Холмс». Они направляли подложные запросы в органы исполнительной власти с требованием предоставить информацию как на юридических, так и на физических лиц», − отмечается в сообщении.

Как сообщает информагентство ИТАР-ТАСС, ежегодно американская экономика теряет до $650 млрд из-за того, что сотрудники различных компаний тратят рабочее время на общение в соцсетях. Рядовые сотрудники государственного учреждения или коммерческого предприятия каждые 10 минут используют корпоративный Интернет в личных целях. Так, чаще всего они посещают свои учетные записи в соцсетях Facebook и Twitter или отвечают на сообщения электронной почты. Согласно социологическим исследованиям, среднестатистический американский пользователь тратит в месяц до 405 минут на общение в соцсети Facebook и 89 минут – на создание микроблогов в Twitter. securitylab.ru

В подтверждение достоверности запросов фигуранты по телефону представлялись должностными лицами ГУЭБиПК МВД России, главных управлений МВД России по Москве и Московской области и ряда иных территориальных органов внутренних дел и, ссылаясь на срочную необходимость, просили направить ответ по указанному ими факсу. Для конспирации использовали мобильную связь иностранных операторов и Интернет. По оперативной информации, участники группы были хорошо осведомлены не только о штатной структуре и составе руководящего звена центрального аппарата и подразделений МВД России, но и о методах полицейского ведомства. А в разговорах с сотрудниками полиции широко использовали профессиональную терминологию и обозначения. Оперативно-розыскные мероприятия, направленные на выявление всех эпизодов противоправной деятельности группы, а также возможных соучастников и покровителей из числа сотрудников правоохранительных органов, продолжаются. Кроме того, проверяется оперативная информация, что конфиденциальные сведения могли быть переданы фигурантами криминальным структурам. Взгляд.ру

Создается новый государственный почтовый сервис В России может появиться единая электронная почтовая система, состоящая из платных официальных электронных почтовых ящиков.

Разработкой системы и ведением реестра займется «Почта России». Пересылаемые в системе документы будут востребованы бизнесом в ходе судебных споров, сообщает «Коммерсантъ». Дорабатываемый законопроект «О почтовой связи» вводит новое понятие − «единая электронная почтовая система». Как следует из документа, эта система будет представлять собой единую сеть официальных электронных ящиков граждан, предприятий, ведомств и госорганов, а также инфраструктуру данной сети. Еще одно новое понятие − «официальный электронный почтовый ящик». Их смогут выдавать уполномоченные государством операторы универсальной почтовой связи (сейчас под это определение подпадает только ФГУП «Почта России») на основании абонентского договора. Предполагается, что через официальный электронный почтовый ящик абонент сможет пересылать письменную корреспонденцию и почтовые денежные переводы с банковского счета на банковский счет, корреспонденцию также можно будет пересылать от физического лица в банк и обратно и между физическими лицами. Официальный электронный почтовый ящик дает возможность распечатывать юридически значимые документы, удостоверяемые специально разработанным штемпелем. Такие документы могут быть востребованы бизнесом, например, для предъявления в ходе споров, а «Почта России» в этом случае выступит в роли «электронного нотариуса», держателя реестра отправленной и полученной корреспонденции. legis.ru Ноябрь 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

НОВОСТИ

СУДИТЬ НЕВРЕДНО... Высший Арбитражный Суд предлагает выкладывать в Сети поданные иски. Если проект пройдет, гласность в правосудии вырастет в несколько раз. Мы будем теперь знать, "откуда ноги растут" у судебных решений. Такие новости прозвучали на Международном конгрессе процессуального права, который прошел в Москве. Председатель ВАС РФ сообщил, что технологическая база для этого может быть готова уже через несколько месяцев. Осталось только решить принципиальный вопрос: можно это делать или нет. «Лично я никаких препятствий в этом не вижу», − заявил А. Иванов, добавив, что и в целом возражений уже практически не слышно. Хотя раньше некоторые адвокаты резко противились публикации исков, боясь нарушения... авторских прав. Мол, иск − это интеллектуальный труд, а сегодня широкие массы привыкли такой труд копировать из Сети. Самим писать лень. Значит, даже судебные иски будут тайно слизывать друг у друга? Другие правоведы говорят, что каждое дело индивидуально. И место, где подумать своей головой, все равно останется. По словам А. Иванова, он является сторонником идеи выкладывать также аудиопротоколы судебных заседаний. Такая открытость будет дисциплинировать не только судей, но и адвокатов: пусть клиенты послушают, как себя ведет их защитник, стоит ли он тех денег, что получил. Высший Арбитражный Суд обратился в правительство с просьбой выделить средства для найма посторонних фирм, которые взяли бы на себя публикацию судебных актов. По мнению ВАС РФ, ее вполне можно передать сторонним организациям. legis.ru

Американские власти намерены применять к кибератакам законы войны

Facebook отключает в Европе сервис распознавания лиц

По словам представителей госдепартамента, используя кибероружие, страны должны различать потенциально - опасные военные и гражданские объекты. Как сообщает DefenseNews, американское правительство считает, что для эффективного противодействия кибератакам к ним необходимо применять законы войны. Об этом заявил главный юрист госдепартамента Гарольд Кох (Harold Koh) на конференции в Форт-Мид, штат Мэриленд, США. По словам Коха, правительство США разработало новую политику безопасности, согласно которой, в случае самообороны или военного взаимодействия с разрешения Организации Объединенных Наций, кибератака может быть признана законной. Кроме того, Кох представил 10 принципов законности ведения кибервойны. Первым и основополагающим принципом является то, что отношения в киберпространстве должно регулировать международное право. По словам эксперта, некоторые кибер-атаки могут представлять собой «реальную угрозу вооруженного 8

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Ноябрь 2012

нападения» и могут спровоцировать право нации на самооборону. Однако, используя кибер-оружие, страны должны различать потенциальноопасные военные объекты и объекты гражданской инфраструктуры. Как заявил руководитель отдела международного права в Военно-морском колледже Майкл Шмидт (Michael Schmitt), под эгидой НАТО в Таллине, Эстония, работает группа экспертов, готовящая проект руководства по международному регулированию кибервойны. Отметим, что США считаются одним из немногих государств, способных развернуть масштабную кибервойну. По мнению аналитиков, подтверждением этому может послужить создание и запуск вредоносного кода Stuxnet, в котором подозревают администрацию Барака Обамы. securitylab.ru

Ирландский комиссар по защите данных добился того, что социальная сеть Facebook отключает в Европе сервис автоматического распознавания лиц. О решении социальной сети сообщил комиссар по защите данных Ирландии Билл Хоукс (Bill Hawkes). В свою очередь, представители Facebook заявили, что больше не будет собирать информацию о европейских пользователях при помощи этого сервиса. Кроме того, все ранее собранные данные будет удалены. Отметим, что не только ирландские правозащитные организации выступали против сервиса распознавания лиц в соцсети Facebook. О своем беспокойстве также заявляли защитники пользовательских данных из Норвегии и Германии. Немцы отмечали, что указанный сервис социальной сети несет «огромный риск и способствует злоупотреблению» пользовательскими данными. Представители Facebook сообщили, что намерены вернуть технологию распознавания лиц пользователям в Европе, однако сделать это намерены в соответствии с законом. securitylab.ru

WWW.S-DIRECTOR.RU

Российские чиновники намерены запретить анонимность в Интернете Государственная Дума ФС РФ запретит пользователям сети Интер-

Кабинет министров утвердил правила согласования решений по определению угроз безопасности персональных данных Премьер-министр России Дмитрий Медведев утвердил правила согласования действий операторов при обнаружении угроз безопасности персональных данных при обработке в информационных системах. Соответствующее постановление разработано в целях реализации норм ч. 6 и 7 ст. 19 Федерального

нет использовать программное обеспечение, которое скрывает информационные данные и IP-адреса пользователей. Использование так называемых анонимайзеров может повлечь за собой административную ответственность в виде штрафа, либо же блокирование доступа в Интернет провайдером. Об этом сообщают «Известия». Это решение властей связано с тем, что анонимайзеры позволяют пользователям посещать заблокированные правительством интернет-ресурсы. Об этом свидетельствует опыт Китая и Белоруссии. В этих странах пользователи при помощи анонимайзеров успешно посещают порталы, доступ к которым был ограничен властями. В России планируют запретить использование прокси-серверов, браузеров со встроенным анонимайзером, а также web-серверов − автономных сайтов, при помощи которых пользователи могут без установления специальных программ переходить с измененным IP-адресом на блокируемый сайт. Соответствующие поправки будут внесены в Федеральный закон «Об информации, информационных технологиях и информационной безопасности», а также в закон «О защите детей от информации, причиняющей вред их здоровью и развитию». securitylab.ru

закона «О персональных данных» от 27 июля 2006 года. Согласно принятому документу, ассоциации, союзы и иные объединения операторов при обнаружении угроз безопасности персональных данных должны согласовывать предпринимаемые меры с ФСБ и ФСТЭК России. Кроме того, унифицированные правила позволят операторам определять оптимальные меры по защите персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, а также несанкционированного распространения. securitylab.ru

Унифицированные правила позволят операторам определять оптимальные меры по защите персональных данных Дмитрий Рогозин поднял вопрос о создании ЧВК Военно-промышленная комиссия (ВПК) при правительстве рассмотрит вопрос о создании в России частных военных компаний, сообщил вице-премьер Дмитрий Рогозин. В апреле этого года Владимир Путин, будучи тогда премьер-министром, заявил о поддержке идеи создания в России системы частных военных компаний, которые могли бы предоставлять услуги по охране объектов и тренировке иностранных военных за границей без участия российского государства. «Мы сегодня рассматриваем вопрос об образовании при ВПК межведомственной рабочей группы по проблеме создания в России частных военных компаний. Задачей группы будет подготовка (с учетом мониторинга инициатив частного бизнеса в сфере обороны безопасности, а также состояния основных тенденций мирового рынка частных услуг) предложений для целесообразности создания в России частных военных компаний», − сказал Рогозин на выездном заседании ВПК в Туле. По его словам, у России есть большие экономические интересы за границей и крупные государственные и частные компании, которые оперируют в странах с непростой обстановкой. Сейчас в мире существует более сотни крупных частных военных (ЧВК) и охранных компаний (ЧОК), прежде всего в США, Великобритании и Франции. Сфера их деятельности − охрана объектов, тренировка армейских и полицейских подразделений, консалтинговые услуги в области безопасности, снабжение и обеспечение войск. Работают ЧВК и ЧОК по контрактам с правительствами и министерствами обороны, а также крупными транснациональными корпорациями. Несколько десятков таких компаний действует сейчас в Ираке и Афганистане. РИА Новости Ноябрь 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

НОВОСТИ

APPLE ШПИОНИТ ЗА ПОЛЬЗОВАТЕЛЯМ ЧЕРЕЗ IPHONE И IPAD Наталья Касперская, генеральный директор компании Infowatch, заявила в интервью изданию CNews, что компания Apple осуществляет незаконную слежку за пользователями, ссылаясь на известные ей исследования: «В мобильные устройства Apple, а также в смартфоны и планшетники на конкурирующих платформах встроено ПО, собирающее и анализирующее информацию о пользователе, его передвижениях, с возможным подключением фото- и видеокамеры и считыванием изображений, и отсылающее всю собранную информацию компании-производителю… Хочу обратить внимание на следующее обстоятельство: против Apple было подано около 20 судебных исков от жителей США и коллективный иск от 27000 южнокорейцев по обвинению в слежении за пользователями. При этом ни о каких судебных решениях мы не слышали, все дела были замяты. Значит, это кому-то выгодно». Если верить заявлению Наталии Касперской, имеющиеся у Apple возможности позволяют осуществлять слежку и вести фото- и видеонаблюдение за владельцами iPhone и iPad. Несомненно, это очень ценный инструмент в руках спецслужб, и, если обвинения генерального директора Infowatch окажутся правдой, эта информация может существенно сказаться на репутации американской компании и, как результат, на объемах продаж ее продукции. securitylab.ru

Малые и средние компании под угрозой хакерских атак Компания Frost & Sullivan опубликовала исследование, в котором описала современные проблемы защиты web-приложений. По словам экспертов, на сегодняшний день все компании, в наибольшей степени малые и средние, находятся под угрозой потери доходов от успешной хакерской атаки. При подготовке исследования сотрудники Frost & Sullivan использовали материалы, предоставленные MITRE, High-Tech Bridge и Online Trust Alliance. При обеспечении безопасности webплатформ IT работнику необходимо помнить о том, что корпоративные системы могут подвергаться атакам по различным векторам, а у злоумышленников могут быть очень разнообразные цели. Так, при проведении нецелевой атаки серверы компании, которые напрямую подключены к интернету, подвергаются сканированию на наличие популярных уязвимостей. В то же время при подготовке к отражению целевой атаки потенциальный взломщик может воспользоваться очень широким набором инструментов, в том числе методами социальной инженерии в сочетании с распространенными уязвимостями web-приложений. Исследование выявило, что 3 из 4 успешных атак на сетевую инфраструктуру компании 10

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Ноябрь 2012

Владельцы сайтов, редакторы, и все остальные люди с административным доступом к web-приложению, являются потенциальной мишенью осуществлялись с использований брешей в web-приложениях. Еще одним важным фактором в обеспечении безопасности webприложений является человеческий фактор. «Владельцы сайтов, редакторы, и все остальные люди с административным доступом к web-приложению, являются потенциальной мишенью», − говорится в исследовании. По мнению исследователей, безопасность web-приложений должна основываться на трех основных китах: Жизненный цикл. Предполагается интеграция безопасности в цикл разработки приложения. Безопасные webприложения разрабатываются опытными профессионалами, которые сосредоточены не только на продуктивности и скорости, но также и на безопасности. Поддержка. Создание механизмов обновления для web-приложений с учетом уязвимостей, которые обнаруживаются после их написания. При этом webсерверы, на которых размещены приложения, также нуждаются в обновлении. Тестирование. Предполагается регулярное проведение аудитов безопасности и тестов на проникновение. В подобных тестах должны участвовать

независимые компании, сотрудники которых располагают опытом и богатыми познаниями в области безопасности web-приложений. securitylab.ru

МВД напишет статью за обман взяткодателя Ведомство испытывает трудности с привлечением к ответственности вымогателей, не имеющих полномочий выполнить просьбы взяткодателей. Новая статья Уголовного кодекса 290 прим предлагает наказывать должностных лиц, включая иностранных, госслужащих и муниципальных чиновников, за получение не только взятки, как статья 290, но и незаконного вознаграждения. По мнению МВД, ее разработка вызвана необходимостью адекватно наказывать тех должностных лиц, которые не имеют служебных полномочий для выполнения запросов взяткодателей. Поскольку формально они не подпадают под статью 290 о получении взятки, то их приходится привлекать

WWW.S-DIRECTOR.RU

по статье 159 (мошенничество) за то, что эти люди вымогали деньги, не имея формальных возможностей помочь взяткодателю. А поскольку мошенничество в отличие от взятки считается оконченным после того, как мошенник получил возможность пользоваться незаконно полученным имуществом, то при поимке таких «неполноценных» взяточников с поличным их приходится привлекать за неоконченное преступление. Это снижает срок наказания до 3/4 от максимального (10 лет по статье 159). Кроме того, применение статьи о мошенничестве мешает наказывать таких чиновников кратными штрафами, которые недавно введены за взятки. Поэтому в отношении таких получателей вознаграждения планируется ввести то же наказание, что и для взяточников, − до 15 лет лишения свободы и штраф в 70-кратном размере от суммы взятки (самый тяжелый вид наказания по статье 290 за особо крупные взятки с отягчающими обстоятельствами для госслужащих). «Чистых» мошенников − представителей несуществующих спецслужб и органов, предлагающих за деньги решить вопросы или назначить на должность, новая норма не касается. legis.ru

Совет Федерации разработает стратегию кибербезопасности России Член Совета Безопасности Руслан Гаттаров выдвинул предложение о разработке концепции кибербезопасности России представителям комиссии по развитию информационного сообщества. Комиссия создана при совете по взаимодействию верхней палаты парламента с законодательными органами госвласти регионов. Вопрос создания стратегии кибербезопасности России обсуждался при участии представителей Минкомсвязи, Роскомнадзора, Администрации президента и Российской ассоциации электронных коммуникаций (РАЭК) и Координационного центра (КЦ). «Часто коммерческие компании после появления документов жалуются, что с ними не было проведено их обсуждение, – отметил Гаттаров. – Силовые ведомства в любом случае займутся разработкой такой стратегии, не сейчас, так через полгода. Я предлагаю начать работу над концепцией на нашей площадке». Во время обсуждения нового документа никто из участников не высказывал сомнения в необходимости создания стратегии кибербезопасности России. Однако возникли вопросы по поводу областей действия документа. Генеральный директор Infowatch Наталья Касперская заявила, что изначально нужно определить рамки действия стратегии. По ее мнению, некоторые вопросы кибербезопасности не относятся к комиссии в Совете Федерации и должны прорабатываться специальными службами. securitylab.ru

ФИЛОСОФИЯ ЗАЩИТЫ | ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

ФИЛОСОФИЯ ЗАЩИТЫ

Почему компании не хотят защищаться от утечек информации? Летом этого года акции компании KT Corp, одного из самых крупных телефонных и интернет-операторов Южной Кореи, упали до рекордно низкой за последние 7 месяцев отметки после появления сообщения о том, что произошла утечка данных о клиентах корпорации. Сумму нанесенного ущерба затрудняются назвать до сих пор.

асколько же утечки информации критичны для бизнеса? С каждым годом ответ на этот вопрос вызывает все меньше споров. Сегодня защита информации стала одной из аксиом успешного ведения бизнеса. Тем не менее в России многие компании по-прежнему не хотят ничего предпринимать, чтобы уберечься от этого вида угроз. О причинах этого и пойдет речь ниже.

Прежде всего давайте ответим на простой вопрос: необходимо ли вообще организациям защищать свои данные? Согласно результатам исследования компании SearchInform, проведенного в апреле сего года в семи федеральных округах нашей страны среди 1000 специалистов и руководителей департаментов ИБ, только 30 % опрошенных респондентов заявили, что им не известно об инцидентах, связанных с утечкой информации из их фирмы. В то же время «Лаборатория Касперского» по итогам своего изыскания приводит гораздо более мрачную статистику – по их данным, 12

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Ноябрь 2012

MYWAY2STUDIO / SHUTTERSTOCK.COM

А был ли мальчик?

АЛЕКСЕЙ ДРОЗД, аналитик компании SearchInform

с той или иной формой утечки сведений за последний год столкнулись 96 % российских компаний. Если обратиться к материальной стороне вопроса, то становится еще более очевидно, что проблема «слива» информации сегодня крайне актуальна: ущерб от нее в 2011 г. в мировом масштабе составил 20 млрд долл., из них на долю России приходится примерно 1 млрд долл. По мнению экспертов из Ponemon Institute, в современном обществе роль информации стала столь велика, что в шести случаях из десяти для банкротства компании достаточно утечки всего лишь 20 % ее коммерческих секретов. Из вышеизложенного проистекает вполне логичный и простой вывод: сегодня компаниям жизненно необходимо защищать свои данные. В противном случае бизнес сильно рискует в скором времени оказаться «на обочине». Но почему при такой, казалось бы, очевидности проблемы российские компании не хотят ничего предпринимать, чтобы уберечься от утечек информации? Тому существует много причин. Мы же остановимся на четырех самых типичных.

Scio me nihil scire В переводе фраза в подзаголовке звучит как «я знаю только то, что ничего не знаю». Согласно свидетельству Платона, она принадлежит великому мыслителю Древней Греции Сократу. С тех пор прошло почти 2500 лет, а проблема незнания и непонимания так и не потеряла актуальности. Одним из неожиданных итогов исследования сектора информационной безопасности, проведенного британской компанией Perpetuity Research and Consultancy International, стала парадоксальная статистика: свыше двух пятых опрошенных специалистов корпораций признали, что сталкиваются с отношением к безопасности как к «покупке, о которой сожалеют». Более того, многие чувствуют, что статус безопасности у них ниже, чем в других секторах, например снабжения или управления рабочими процессами. Принято считать, что безопасность имеет низкий приоритет. А руководство при рассмотрении вопроса о том, сколько

96%

WWW.S-DIRECTOR.RU

РОССИЙСКИХ КОМПАНИЙ СТОЛКНУЛИСЬ С УТЕЧКОЙ СВЕДЕНИЙ ЗА ПОСЛЕДНИЙ ГОД

средств на нее следует выделить в ближайшей перспективе, обычно занимает позицию «по другую сторону баррикад». В российских реалиях ситуация еще хуже, чем «средняя температура по общемировой больнице». Лишь половина малых и средних предприятий нашей страны считают уровень своих расходов на информационную безопасность достаточным для предотвращения инцидентов. При этом почти в каждой второй компании причину скудных инвестиций в ИБ связывают с непониманием руководством важности качественного обеспечения ИТ-безопасности. Очевидно, что сложившаяся ситуация влияет на ИБ далеко не лучшим образом. Так, около 65 % компаний не используют превентивные меры для того, чтобы предотвратить утечки конфиденциальных данных, в частности, не защищают их от неавторизованного доступа. Следствия подобной халатности неутешительны, согласно результатам исследования компании SearchInform, почти 60 % опрошенных российских компаний сталкивались с попытками уволенных\ уволившихся сотрудников забрать с собой конфиденциальную информацию. И как ни странно, первопричиной перечисленных проблем оказывается незнание или непонимание задач информационной безопасности. К сожалению, это лишь первая причина. Идем далее…

необходимо использовать комплексный подход при построении соответствующих политик информационной безопасности. Глупо ставить дорогую бронированную дверь в хранилище, у которого только три стены, не правда ли? Так и в случае с утечками информации – чтобы их предотвратить, необходимо держать под наблюдением все информационные каналы (например, при помощи DLP-системы), а не один из них. Если вы внедрили решение, которое отлично контролирует различные съемные устройства, и утечек не происходит, не спешите радоваться – весьма вероятно, что «слив» идет через скайп, почту, интернет-мессенджеры и т. д. Кроме того, по-настоящему комплексный подход включает в себя не только технические мероприятия, но и ряд организационных мер, как то: разработку соответствующих нормативных документов, разъяснение действующих политик безопасности сотрудникам, аудит знания и исполнение этих политик и иное. Но, как это часто бывает, чем больше задач необходимо выполнить, тем меньше этим хочется заниматься. Делаем вывод: второй причиной нежелания компаний защищаться от утечек информации является необходимость комплексного подхода к решению данного вопроса. Третья же причина напрямую следует из второй.

Комплексный подход

Цена вопроса

Помните «бородатый» анекдот про трех индейцев, которые спустя неделю заключения сумели сбежать из тюрьмы, куда их посадил шериф, потому что Зоркий Глаз заметил, что одной из стен нет? Как известно, в каждой шутке есть доля шутки. Если провести параллель к нашей теме, то «мораль» будет такова:

Повторим еще раз, для того чтобы добиться хорошего результата при организации контроля информационных каналов данных, необходимо использовать комплексный подход. Если мы с этим соглашаемся, то далее возможны два способа действия: либо самостоятельно выстроить систему, используя для этого Ноябрь 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

MYWAY2STUDIO / SHUTTERSTOCK.COM

ФИЛОСОФИЯ ЗАЩИТЫ | ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

более доступные (читай, дешевые) решения, либо приобрести комплексную систему. Минус первого подхода можно продемонстрировать следующим образом: его сторонники провозглашают: «Сделаем быстро, дешево, качественно», а мы, как в тесте, попросим убрать из этого громкого заявления лишнее слово. Все справились с этим заданием? Вряд ли сегодня можно отыскать дешевое и при этом эффективное комплексное решение мониторинга инфопотоков. Недорогие продукты, как правило, закрывают какую-либо одну задачу, но никак не все. Соответственно, чтобы предусмотреть различные варианты, придется держать целый «зоопарк» решений от нескольких производителей. Причем нет никаких гарантий, что ингредиенты этой «солянки» не будут конфликтовать между собой или с антивирусным ПО. Также никто не скажет, чего можно ожидать от недекларированных возможностей этих решений (вряд ли у них пройдена сертификация ФСТЭК). При выборе комплексных систем, позволяющих контролировать информационные потоки, тоже не обходится без ложки дегтя. И заключается она в цене. Главным образом, именно цена вопроса порой перевешивает чашу весов, несмотря на то что на противопо14

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Ноябрь 2012

ложной стороне находится изрядное количество аргументов «за». Рассмотренные выше три причины, безусловно, лежат на совести компаний. Но есть еще один «виновный», который своими законами побуждает фирмы повременить с защитой от утечек.

Государство Краеугольный камень рассматриваемой проблемы следует искать непосредственно в нашем законодательстве. К примеру, на Западе в случае утечки данных компания обязана уведомить об инциденте не только регулятора, но и клиентов, а иногда и СМИ. Такие действия предписываются действующими законами. В России же подобные мероприятия прописаны лишь как рекомендательные. Если обратиться к конкретным цифрам из исследования SearchInform, то в случае утечки конфиденциальной информации большинство российских компаний (примерно 77 %) предпочитает «не выносить сор из избы» и не сообщает об инциденте никому, некоторые (около 21 %) уведомляют об этом пострадавших, и совсем уж единицы (2 %) способны публично признать факт утечки в СМИ. Изменить ситуацию в какой-то степени может увеличение штрафов за несоблюдение тех или иных предписаний.

Но пока что действующие в этой области «тарифы» по меркам бизнеса «приемлемы», поэтому многие предприниматели делают выбор в пользу меньших трат, отказываясь от внедрения средств для защиты от утечек. Кроме того, даже если «звезды сойдутся» и дело дойдет до суда, нет гарантий, что приговор не обжалуют. Примеры тому, как говорится, сплошь рядом. Сравните сами: за утечку 8000 SMS со своего сайта «Мегафон» был призван к ответу Роскомнадзором. Рассмотрение дела закончилось для него штрафом в целых 30 тыс. руб. При этом решение суда было обжаловано юристами компании. В то же время в Великобритании за вполне «обычную» утечку персональных данных в каком-нибудь медицинском учреждении, надзирающий орган (ICO) выставляет штраф на десятки тысяч фунтов стерлингов. Комментарии, что называется, излишни. Но есть еще одна черта, присущая в основном только «рожденным в СССР» – инстинкт соблюдать требования «на бумаге». Опрос, проведенный одним из российских разработчиков автоматизированной системы защиты персональных данных, показал, что подавляющее большинство компаний защищает ПДн «для галочки». При этом основными критериями, которыми они руководствуются при выборе того или иного поставщика, являются не портфолио и история успешных проектов (они важны лишь для 3 % опрошенных), а стоимость (59 %) и скорость реализации (49 %).

Выводы? Наверное, делать их пока рановато. Сегодня, хотя ситуация с защитой компаний от утечек информации не такая уж и радужная, в ней есть определенные положительные моменты. Из года в год растет не только интерес к теме, но и осведомленность людей в вопросах ИБ. В то же время предлагаемые решения дорабатываются и становятся лучше, а «законники» при разработке поправок начинают прислушиваться к профессионалам отрасли. Что ж, хочется верить, что через несколько лет вопрос, расположившийся в заголовке этой статьи, просто перестанет существовать.

WWW.S-DIRECTOR.RU

Ноябрь 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ФИЛОСОФИЯ ЗАЩИТЫ | БИОМЕТРИЯ

ФИЛ СКАРФО, вице-президент компании Lumidigm

Кто там?

Современные перспективы применения биометрии в технологиях аутентификации

сегодняшней ситуации банки и другие финансовые учреждения, быть может, в гораздо меньшей степени озабочены оптимальным выбором современных технологий обслуживания, чем точностью аутентификации клиентов, совершающих с ними сделки. В отличие от других форм аутентификации, биометрия является однозначным средством подтверждения физической личности пользователя. Системы, опирающиеся на PIN-коды, пароли и прочие не слишком надежные средства аутентификации, отживают свой век. С появлением технологии мультиспектральной визуализации1 биометрия перешла из разряда вспомогательных средств персонализации в безопасную, удобную и надежную технологию. Опираясь на данные биометрической аутентификации, можно надежно «привязать» личность исполнителя к конкретной финансовой сделке и, как следствие, повысить производительность бизнес процессов в финансовых учреждениях. Знание «кто именно» повышает степень определенности и позволяет выйти за рамки простого обеспечения безопасности и контроля доступа. До нынешнего момента в банках использовались лучшие из доступных, но не совершенные средства аутентификации личности. Человек пред16

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Ноябрь 2012

ставлял собой скопление учетных данных − либо он знал нечто вроде пароля, либо имел карту-пропуск, которые служили доказательством «подлинности» его личности. Но все мы знаем, что одни только пропуска просто не в состоянии гарантированно установить личность. Сегодня ИТ-директора понимают, что использование паролей не является ни удобным, ни безопасным: они могут быть общими, их можно найти или украсть. А пользователи, которые имеют несколько паролей и учетных данных, обязательно запишут их, или где-нибудь сохранят, что, по определению, сводит меры безопасности к нулю. Карты и токены представляют собой гарантию только до тех пор, пока находятся в руках хозяина. Обладание картой или токеном само по себе не гарантирует корректной аутентификации: они могут оказаться в руках у кого угодно: доступ и авторизация с применение стандартных средств всегда предоставлялись на основе индивидуального знания пароля или ключа, по сути своей только внешне связанного с уполномоченным лицом. Ни один из этих способов в действительности не может установить, что за личность авторизована в рамках системы − на это способна только биометрия.

BRUCE ROLFF / SHUTTERSTOCK.COM

Сегодня для достоверного определения личности плательщика в банковском секторе стандартных средств, таких как пароли и PIN-коды, уже недостаточно. Современные реалии требуют применения биометрических технологий, которые открывают широкие перспективы в этой области. Идентификация и доступ в банковской сфере

Сегодня мы видим, как все большее число банков по всему миру обращается к биометрическим технологиям, используя их в новом поколении банкоматов. Появилась возможность поставить жирный крест на кражах и уменьшить потери от мошенничества и злоупотреблений. Банковский сектор делает ставку на применение биометрии и интеллектуальное управление идентификацией. Обезопасив себя от кражи личных данных и мошеннических онлайн-транзакций, индустрия, наконец, сможет более плодотворно отвечать на запросы клиентов и инвестировать средства в новые, более эффективные способы обеспечения сделок, поскольку идентичность клиента будет надежно обеспечена. Количество банковских операций, требующих личного присутствия клиента, сокращается, тогда как объем интернет-коммерции продолжает расти. И здесь, как нигде более, важна надежная привязка к пользователю. Системы, построенной на нескольких паролях, ключевых фразах и прочей внешней идентификации, уже недостаточно, чтобы гарантировать права клиента на совершение сделки. Рост числа взломов серверов с базами персональных данных

19%

WWW.S-DIRECTOR.RU

По материалам журнала SECURITY MIDDLE EAST http://www.securitymiddleeastmagazine.com/features/view/41

дополнительно усугубляет эту проблему. В конечном счете биометрия повышает уровень безопасности и удобства пользователей и обеспечивает более надежную гарантию аутентификации. Для оффлайн переводов, которые составляют пока львиную долю банковских операций в мире, можно совместить использование банковских карт с биометрическими инструментами, чтобы надежно подтвердить права законного клиента. В тех странах, где удостоверяющие личность документы выпускаются без электронной составляющей – например, в некоторых странах Латинской Америки – разумное использование биометрических данных является идеальным решением для идентификации личности в банкомате или при покупках в магазине. В Южной Африке озабоченность по поводу мошенничества и утечки персональных данных выросла до такого уровня, при котором информационный центр банковских рисков (SABRIC) потребовал от банков принятия активных мер, дабы сохранить репутацию «безопасных, надежных и безрисковых». В 2003 году несколько крупных банков в Южной Африке начали разработку и внедрение комплекса мер по ликвидации мошенничества, куда входит система, способная использовать биометрические данные. На сегодняшний момент проект переходит от пилотного этапа к режиму полномасштабного функционирования. Мультиспектральная визуализация превращает мечты в реальность даже в Индии, где правительство десятилетиями усердно работало над тем, чтобы найти способы предоставления услуг гражданам по всей стране и где коммерческие структуры все более ориентированы на широкий охват всех групп населения, включая тех, которые были ранее недоступны из-за ограниченных возможностей традиционных технологий биометрии. В долгосрочной перспективе на биометрию сделана ставка как на средство обеспечения законности операций и защиты государственных услуг и граждан, нуждающихся в них. Таким образом, датчики, использующие техноло-

19 % работников признают, что по крайней мере однажды регистрировали карты своих приятелей при входе и выходе с работы

гию мультиспектральной визуализации, пременяются в биометрических банкоматах и в КПК, действующих в роли микро-банкоматов в отдаленных сельских районах, где граждане не имеют доступа к банкам, – при открытии сберегательных счетов, перечислении средств, оформлении депозитов, снятии наличных и получении кредитов. Bank of India, Karnataka Bank, State Bank of Hyderabad и State Bank of Bikaner and Jaipur широко используют эту технологию. Использование сенсоров отпечатков пальцев гарантирует, что проживающие в сельской местности клиенты являются на самом деле теми, в отношении кого должна быть совершена транзакция. Другие мультиспектральные сканеры на основе карманных компьютеров используются в системах социального обеспечения и в образовательных проектах, где с их помощью ведется учет посещений занятий студентами или распределение продовольствия.

Быстрая окупаемость инвестиций Все чаще корпоративные клиенты банков и других подобных учреждений обнаруживают, что применение таких технологий, как ID карты, бесконтактные карты и PIN-коды, на первый взгляд представляющиеся недорогими быстродействующими средствами защиты, в долгосрочной перспективе могут быть использованы посторонними лицами и способствуют мошенническим действиям. Биометрия решает эту проблему путем ликвидации самой возможности обмена, замены, кражи и потери PIN-кодов, паролей и идентификационных карт. Несмотря на то что большое количество организаций имеет системы учета рабочего времени, основанные на стандартных технологиях, вряд ли можно утверждать, что такие системы обладают финансовой эффективностью.

Значительный процент данных, оперируемых этими системами, вызывает сомнения, так как сотрудники нередко регистрируют рабочие карточки своих приятелей на входе и выходе с работы. В среднем, 19 % работников признают, что по крайней мере однажды проделывали подобное в течение года, и 74 % всех компаний сообщают, что они понесли потери от таких действий. Подобная практика стоит предприятию до 7 % расходов на заработную плату. Биометрия гарантирует, что сотрудникам будет оплачен только тот день, когда они действительно находились на рабочем месте. Данное решение является более безопасным и представляется более убедительным с точки зрения окупаемости инвестиций

Использование Если вы представитель банка, который желает предоставить быстрый, легкий и безопасный доступ к своим банкоматам, или вы руководитель компании, которому требуется защита доступа к своим базам данных, спросите себя − какая форма аутентификации предоставляет наиболее убедительные гарантии идентификации личности, удобство и быструю окупаемость? Биометрия является единственной технологией, которая обеспечивает идентичность пользователя с высокой степенью определенности, которая необходима, чтобы обеспечить как безопасность, так и удобство операции. В конце концов, в любой ситуации, которая требует однозначного ответа на вопрос «Кто там?», биометрия является единственным реальным ответом! 1. Технология мультиспектральной визуализации применяет освещение под разными углами падения для сбора серии изображений, используемых для комплексного анализа отпечатка. Таким образом, применение этой технологии позволяет избежать ошибок, связанных с некачественным контактом пальца со сканирующей поверхностью. Ноябрь 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

АНАЛИТИКА

IT-УГРОЗЫ: ВОСПРИЯТИЕ И ЗНАНИЯ ПОЛЬЗОВАТЕЛЕЙ Современную жизнь трудно представить без цифровых устройств, от больших настольных компьютеров до самых маленьких мобильных устройств. Это означает, что самую ценную информацию пользователи хранят в цифровом виде и надеются, что такие данные будут надежно защищены от посторонних глаз. Для разработки защитных решений, которые лучше всего отвечают потребностям пользователей, «Лаборатория Касперского» проводит регулярные исследования мнения потребителей по ключевым проблемам кибербезопасности. ОСНОВНОЙ ЦЕЛЬЮ ИССЛЕДОВАНИЯ, КОТОРОЕ ПРОВОДИЛОСЬ СОВМЕСТНО С КОМПАНИЕЙ O+K RESEARCH, БЫЛО ВЫЯСНИТЬ, КАК ИМЕННО ЛЮДИ ПО ВСЕМУ МИРУ ИСПОЛЬЗУЮТ ЦИФРОВЫЕ УСТРОЙСТВА, ДОВЕРЯЮТ ЛИ СОЦИАЛЬНЫМ СЕТЯМ И ОБЛАЧНЫМ СИСТЕМАМ ХРАНЕНИЯ ДАННЫХ, НАСКОЛЬКО ОНИ ОСВЕДОМЛЕНЫ О СОВРЕМЕННЫХ УГРОЗАХ И КАК ПЫТАЮТСЯ ЗАЩИТИТЬ САМЫЕ ЦЕННЫЕ ДАННЫЕ ОТ КРАЖИ ИЛИ УТЕРИ. ОСОБОЕ ВНИМАНИЕ УДЕЛЯЛОСЬ ИНФОРМАЦИИ, КТОРОРУЮ ПОЛЬЗОВАТЕЛИ СЧИТАЮТ НАИБОЛЕЕ ЦЕННОЙ. В ХОДЕ ИССЛЕДОВАНИЯ БЫЛО ОПРОШЕНО БОЛЕЕ 11 ТЫСЯЧ ПОЛЬЗОВАТЕЛЕЙ В ВОЗРАСТЕ ОТ 16 ЛЕТ, ПРОЖИВАЮЩИХ В СТРАНАХ ЛАТИНСКОЙ И СЕВЕРНОЙ АМЕРИКИ, ЕВРОПЫ, БЛИЖНЕГО ВОСТОКА, АЗИИ И АФРИКИ. В ОПРОСЕ ТАКЖЕ УЧАСТВОВАЛИ ПРЕДСТАВИТЕЛИ ИЗ РОССИИ. ВСЕ ОПРОШЕННЫЕ ИМЕЮТ ДОСТУП К СЕТИ, А БОЛЕЕ 90 % ПОЛЬЗУЮТСЯ ИНТЕРНЕТОМ КАЖДЫЙ ДЕНЬ. В ИССЛЕДОВАНИИ ПРИНЯЛИ УЧАСТИЕ КАК ОПЫТНЫЕ ПОЛЬЗОВАТЕЛИ, ТАК И ТЕ, КТО СЧИТАЕТ СЕБЯ НОВИЧКОМ В КОМПЬЮТЕРНЫХ ТЕХНОЛОГИЯХ. ВОСПРИЯТИЕ БЕЗОПАСНОСТИ Почти три четверти опрошенных российских пользователей считают, что наибольшей опасности подвергаются компьютеры и ноутбуки под управлением операционной системы Windows. Это один из самых высоких показателей среди исследуемых стран, а в среднем по миру в полной необходимости защиты уверены около 50 % респонден18

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Ноябрь 2012

тов. Вопреки распространенному мнению, владельцы продукции Apple не испытывают иллюзий относительно безопасности: лишь 11 % пользователей компьютеров Mac и 19 % владельцев iPad уверены, что их устройства не нуждаются в защите. Однако данный показатель у владельцев устройств Apple заметно выше, чем у тех, кто пользуется обычным ПК или ноутбуком. Стоит отметить, что уже 44 % пользователей планшетных ПК задумываются о необходимости защищать свое мобильное устройство на такой популярной сейчас платформе, как Android, а также других ОС. СОВРЕМЕННЫЕ УГРОЗЫ: СПАМ, ВРЕДОНОСНОЕ ПО, А ТАКЖЕ КРАЖА ЛИЧНЫХ ДАННЫХ Наиболее актуальной проблемой для пользователей остается нежелательный контент в Интернете. От всплывающих окон, сигнализирующих о мнимом заражении устройства, и рекомендаций установить фальшивый антивирус страдают 69 % опрошенных. Также у 53 % респондентов в результатах поисковой выдачи появлялись вредоносные ссылки, а у 28 % российских интернет-пользователей в процессе интернет-шоппинга происходил редирект на сомнительные сайты, где предлагалось оставить данные своей банковской карты. С нежелательной корреспонденцией сталкивались около 70 % респондентов, независимо от используемого устройства. Причем она включает в себя как условно безопасный спам, так и письма или сообщениями с подозрительными ссылками, которые могут стать причиной заражения устройства. От действий вредоносного ПО пострадали 68 % пользователей. При этом среди владельцев ПК это показатель составляет 67 % Около трети опрошенных сталкивались с фишинговыми сообщениями. При этом 11 % потенциальных жертв

киберпреступников пользовались смартфонами, а 14 % – планшетами, что еще раз свидетельствует о том, что владельцы мобильных устройств больше не находятся в безопасности. Интересно, что заметная доля пользователей ПК (11 %), владельцев планшетов (8 %) и смартфонов (4 %), признаются, что вводили персональные данные на веб-сайтах, выглядящих как минимум подозрительно. ИСПОЛЬЗОВАНИЕ АНТИВИРУСНОГО ПО Подавляющее большинство пользователей ПК (93 %) и ноутбуков (93 %) под управлением Windows использует какое-либо антивирусное ПО – от базовых решений до продуктов класса Total Security. Среди владельцев компьютеров Apple доля использующих защиту значительно меньше – 60 %. Серьезное беспокойство вызывают лишь мобильные устройства: 51 % владельцев смартфонов (кроме iPhone и Blackberry) не используют антивирусные приложения и только 32 % пользователей уверены в необходимости защитного ПО для своего девайса. К тому же доля незащищенных «умных» телефонов в России намного выше, чем в среднем по миру (53 % опрошенных в мире уже уверены в необходимости применения антивирусного ПО для смартфонов). В то же время об использовании защитного ПО заявили 40 % пользователей iPhone, хотя особенность данной платформы не предполагает даже возможности создания полноценных систем безопасности. ТОНКАЯ ГРАНЬ МЕЖДУ РАЗВЛЕЧЕНИЕМ И РАБОТОЙ Одной из актуальных проблем безопасности является использование личных устройств для работы и, наоборот, рабочих для решения личных задач. Главную угрозу представляют хищение корпора-

WWW.S-DIRECTOR.RU

ТРЕБОВАНИЯИССЛЕДОВАНИЕ ПОРТРЕТ КОМПАНИИ «ЛАБОРАТОРИЯ КАСПЕРСКОГО» РАБОТОДАТЕЛЯ СОИСКАТЕЛЯ НАСКОЛЬКО БЕЗОПАСНО ПОЛЬЗОВАТЬСЯ ИНТЕРНЕТОМ БЕЗ ПРЕДУСТАНОВЛЕННОГО ЗАЩИТНОГО ПО С ПОМОЩЬЮ СЛЕДУЮЩИХ УСТРОЙСТВ? ПК

НОУТБУК

НЕ ЗНАЮ

АБСОЛЮТНО БЕЗОПАСНО

21%

72%

НЕ ЗНАЮ

13%

АБСОЛЮТНО БЕЗОПАСНО

21%

ВПОЛНЕ БЕЗОПАСНО, НО ЗАЩИТНОЕ ПО НЕ ПОМЕШАЕТ КРАЙНЕ ОПАСНО

ПЛАНШЕТ

36%

ВПОЛНЕ БЕЗОПАСНО, НО ЗАЩИТНОЕ ПО НЕ ПОМЕШАЕТ

71%

КРАЙНЕ ОПАСНО

ВПОЛНЕ БЕЗОПАСНО, НО ЗАЩИТНОЕ ПО НЕ ПОМЕШАЕТ

44%

КРАЙНЕ ОПАСНО

ЧТО ИЗ ПЕРЕЧИСЛЕННОГО ВЫ ОБЫЧНО ДЕЛАЕТЕ В ИНТЕРНЕТЕ (ПК)? Е-MAIL СОЦМЕДИА ВИДЕО ОНЛАЙН БЕСПЛАТНОЕ ПО ПРОСЛУШИВАНИЕ МУЗЫКИ VOIP МГНОВЕННЫЕ СООБЩЕНИЯ СКАЧИВАНИЕ ФАЙЛОВ ОНЛАЙН-ИГРЫ ШОППИНГ ОНЛАЙН РАЗМЕЩЕНИЕ ДАННЫХ ЗАГРУЗКА МУЗЫКИ /ВИДЕО

95 88 83 81 74 70 67 66 57 54 41 39 0

тивных данных (если личное устройство не защищено согласно корпоративным стандартам) и попадание личной информации не в те руки, например, при продаже, утере или краже устройства. В хранении и личных, и рабочих данных на одном устройстве призналась довольно заметная часть пользователей. Самые высокие показатели по использованию личных девайсов для рабочих целей и наоборот оказались у владельцев ноутбуков, Mac-компьютеров и планшетов. ВЫВОД Проведенный опрос показал, что все больше опрошенных осознают пользу, которую приносит антивирусное ПО, в том числе на мобильных устройствах. Однако знания пользователей о современных угрозах оставляют желать лучшего.

100

У ВАС УСТАНОВЛЕННО АНТИВИРУСНОЕ ПО НА ЭЛЕКТРОННОМ УСТРОЙСТВЕ? ПК

MAC ПК

НЕ УСТАНОВЛЕНО

НЕ ЗНАЮ

19%

НЕ ЗНАЮ

93%

УСТАНОВЛЕНО

НЕ УСТАНОВЛЕНО

77% Ноябрь 2012

УСТАНОВЛЕНО

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

WWW.S-DIRECTOR.RU

НЕ УПУСТИ СВОЕГО ДОЛЖНИКА СТР. 21

ПРЕДУПРЕЖДЕН – ЗНАЧИТ, ВООРУЖЕН СТР. 27

БЕГОМ ОТ ДОЛГОВ СТР. 32

ТЕМА НОМЕРА

УПРАВЛЕНИЕ ДЕБИТОРСКОЙ ЗАДОЛЖЕННОСТЬЮ

SVET13 / SHUTTERSTOCK.COM

Не упусти своего должника

Превентивные меры по возврату задолженности Даже принятое положительное судебное решение в пользу кредитора не гарантирует возврата задолженности, особенно, если у должника отсутствует на балансе имущество, реализация которого может пойти в счет уплаты долга. О том, как избежать подобных проблем, рассказано в статье Александра Бычкова Ноябрь 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ТЕМА НОМЕРА | УПРАВЛЕНИЕ ДЕБИТОРСКОЙ ЗАДОЛЖЕННОСТЬЮ

АЛЕКСАНДР БЫЧКОВ, начальник юридического отдела ЗАО «ТГК «Салют»

редпринимательская деятельность в нашей стране сопряжена со значительными рисками, пожалуй, главным из которых является неисполнение или ненадлежащее исполнение участниками делового оборота своих договорных обязательств. Возможность судебной защиты нарушенных прав не является для пострадавших кредиторов в полной мере гарантией того, что им удастся избежать тех неблагоприятных последствий, что возникли по вине их недобросовестных контрагентов. Принятое в пользу кредитора судебное решение при отсутствии у должника собственности, достаточной для удовлетворения имущественных притязаний, не обеспечит должной правовой защиты. Недобросовестным должникам куда проще не исполнять вынесенное по поводу них судебное решение и не нести имущественных потерь. Если у них не оказывается имущества, на которое по закону допускается обращение взыскания, кредиторы несут невосполнимые потери. Для минимизации собственных рисков кредиторам следует предпринимать превентивные меры в целях недопущения со стороны должника каких-либо недобросовестных действий, с помощью которых он может избежать установленной законом ответственности. Нередко недобросовестные участники гражданского оборота, чтобы не допустить обращения взыскания на свое имущество, выводят со своего баланса все имущественные активы, планируя начать ликвидацию (прямую или путем реорганизации в форме слияния или присоединения с последующей ликвидацией правопреемника), и не уведомляют об этом должным образом всех своих кредиторов. При этом они могут иметь серьезную дебиторскую задолженность перед своими контрагентами и не собираться ее погашать. Должники меняют свое фирменное наименование и место нахождения, переводятся в другой регион, где становятся на налоговый учет. Место их новой дислокации, как правило, находится на значительном географическом удалении от прежнего. После этого они незамедлительно начинают процедуру своей ликвидации, о чем их кредиторы не догадываются либо узнают со значительным опозданием. После завершения ликвидации дебиторскую задолженность взыскать уже нельзя. Так есть ли возможность отследить такие недобросовестные действия и их пресечь? 22

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Ноябрь 2012

Из всех сведений, которые позволяют идентифицировать юридическое лицо, несменяемыми являются только ОГРН и ИНН, о чем свидетельствуют следующие правовые акты: п. 8 Правил ведения ЕГРЮЛ, утвержденных постановлением Правительства РФ от 19.06.2002 № 438; пп. 3.1 и 3.2 Порядка и условий присвоения, применения, а также изменения ИНН налогоплательщика при постановке на учет, снятия с учета юридических и физических лиц, утвержденного приказом МНС России от 03.03.2004 № БГ-3-09/178. Они сохраняются при любых преобразованиях, происходящих с юридическим лицом. Необходимо поэтому периодически отслеживать информацию по наиболее крупным

После завершения процедуры ликвидации компании-должника дебиторскую задолженность взыскать уже нельзя дебиторам, обращаясь для этой цели к данными бухгалтерской отчетности на официальном сайте ФНС в сети Интернет – www.nalog. ru – или регулярно получая выписки из ЕГРЮЛ. Если кредиторы располагают информацией о том, что должник начал процедуру своей реорганизации или ликвидации, они способны этому воспрепятствовать. Для этого им следует возбудить судебное разбирательство и заявить ходатайство о применении обеспечительных мер в виде приостановления процедуры реорганизации или ликвидации.

Обеспечительные меры В соответствии со ст.ст. 90, 91 и 99 АПК РФ обеспечительные и предварительные обеспечительные меры могут приниматься судом для того, чтобы не было затруднено либо не сделалось невозможным исполнение судебного акта, а также в целях предотвращения причинения значительного ущерба заявителю. Обеспечительные меры должны соответствовать заявленным требованиям, т. е. быть непо-

WWW.S-DIRECTOR.RU

SVET13 / SHUTTERSTOCK.COM

средственно связанными с предметом спора, соразмерными заявленному требованию, необходимыми и достаточными для обеспечения исполнения судебного акта или предотвращения ущерба. В силу ч. 2 ст. 90 АПК РФ обеспечительные меры допускаются на любой стадии арбитражного процесса, в том числе в период приостановления производства по делу. Заявление о применении обеспечительных мер должно отвечать требованиям, установленным ст. 92 АПК РФ, и содержать следующие сведения: наименование арбитражного суда, в который подается заявление; наименования истца и ответчика, указание их места нахождения или места жительства; предмет спора; размер имущественных требований; обоснование причины обращения с заявлением об обеспечении иска; формулировку обеспечительной меры, которую просит принять истец (приостановление процедуры реорганизации или ликвидации ответчика); перечень прилагаемых документов. В заявлении об обеспечении иска могут также содержаться встречное обеспечение и иные сведения, в том числе номера телефонов, факсов, адреса электронной почты лиц, имеющих отношение к делу. Заявление об обеспечении иска подписывается лицом, участвующим в деле, или его представителем. В том случае, если оно подписывается представителем, прилагается еще доверенность или иная бумага, подтверждающая полномочия данного лица на подписание документа.

Документом, свидетельствующим о факте нахождения должника в процессе реорганизации или ликвидации, будет выписка из ЕГРЮЛ, в которой в разделе, посвященном статусу компании, отражаются соответствующие сведения.

Обосновывая необходимость принятия обеспечительной меры, кредитору в заявлении, адресованном арбитражному суду, следует указать следующее. Без принятия указанной меры существует серьезный риск невозможности исполнения решение суда, что повлечет значительный имущественный ущерб (Постановление ФАС Дальневосточного округа от 21.10.2009 № Ф03-5024/2009). Завершение ликвидации должника и его исключение из ЕГРЮЛ вызовет прекращение всех его прав и обязанностей без перехода их к другим лицам в соответствии с п. 1 ст. 61 ГК РФ. В результате кредиторы не смогут удовлетворить свои имущественные притязания к нему на основании вынесенного судебного решения (Постановление ФАС Поволжского округа от 23.07.2009 по делу № А65-2705/2009). Непринятие меры обеспечения сделает невозможным рассмотрение дела о взыскания задолженности с должника по существу (Постановление Президиума ВАС РФ от 23.11.2004 № 8400/04). Меры по обеспечению иска направлены на предотвращение причинения возможного значительного ущерба кредитору, их принятие является необходимым, носит временный характер и имеет своей целью сохранить существующее положение до разрешения спора по существу, а также не приведет к фактической невозможности осуществления должником своей деятельности или к ее существенному затруднению. Избранная мера обеспечения не нарушает принципа недопустимости произвольного вмешательства кого-либо в частные дела, поскольку служит цели соблюдения разумного баланса интересов кредитора и его должника (Постановление ФАС Восточно-Сибирского округа от 02.03.2004 по делу № А74-3481/03-К1-Ф02-518/04-C2, Постановление ФАС Северо-Западного округа от 17.04.2003 по делу № А56-29644/02). Ноябрь 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ТЕМА НОМЕРА | УПРАВЛЕНИЕ ДЕБИТОРСКОЙ ЗАДОЛЖЕННОСТЬЮ

В случае если кредитор ходатайствует перед арбитражным судом о приостановлении процедуры реорганизации своего должника, ему следует в своем обращении сделать акцент на двух моментах. Первое, регион, куда «переезжает» должник, находится на значительном удалении от прежнего его места нахождения. Второе, сегодня такой способ закрытия компаний, когда они выводятся в регион и в последующем прекращают свою деятельность, стал весьма распространенным и активно используется недобросовестными предпринимателями. Для подтверждения того факта, что и в данном случае действует именно такая схема, следует приложить выписку из ЕГРЮЛ в отношении юридического лица, к которому присоединяется или с которым сливается должник. Суду хорошо известна практика, когда компании, идущие на закрытие, сливают в какуюнибудь одну, которую затем ликвидируют. В выписке из ЕГРЮЛ данная информация отражается. Если арбитражный суд увидит, что, кроме должника, к правопреемнику присоединяются еще с десяток организаций, или они сливаются с ним, то это увеличит вероятность удовлетворения ходатайства о применении обеспечительной меры. Помимо этого, кредитору следует собирать информацию об имеющейся у должника собственности и ходатайствовать о наложении на нее ареста, что позволит ему в последующем взыскать ущерб в счет удовлетворения своих имущественных требований. Если у кредитора имеется какое-либо имущество должника, то его следует удерживать, чтобы после получения судебного решения в свою пользу на стадии исполнительного производства передать его судебному приставу-исполнителю для продажи с публичных торгов.

Субсидиарная ответственность учредителей На практике могут иметь место ситуации, когда обеспечительные меры предпринимать уже поздно. Если должник ликвидирован, то взыскивать задолженность уже не с кого, а поскольку нет субъекта спора, нет и самого спора. Кого же в этом случае можно попытаться привлечь к ответственности? Учредители (акционеры), как известно, не несут ответственности по обязательствам созданного ими хозяйственного общества. Однако из этого правила есть и исключение. 24

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Ноябрь 2012

Если у кредитора имеется какое-либо имущество должника, то его следует удерживать, чтобы после получения судебного решения в свою пользу на стадии исполнительного производства передать его судебному приставуисполнителю для продажи с публичных торгов Согласно ч. 2 п. 3 ст. 56 ГК РФ, если несостоятельность (банкротство) юридического лица вызвана его учредителями (участниками), собственником его имущества либо другими лицами, которые имеют право давать обязательные для исполнения этим юридическим лицом указания либо иным образом способны определять его действия, то на таких лиц в случае недостаточности имущества юридического лица может быть возложена субсидиарная (дополнительная) ответственность по его обязательствам. Приведенная норма более детально конкретизирована в специальных законодательных актах. Так, согласно абз. 2 п. 3 ст. 3 ФЗ от 26.12.1995 № 208-ФЗ «Об акционерных обществах», несостоятельность (банкротство) общества считается вызванной действиями (бездействием) его акционеров или других лиц, которые имеют право давать обязательные для исполнения обществом указания либо иным образом способны определять его действия, только в том случае, если они использовали указанные право и (или) возможность в целях совершения обществом действия, заведомо зная, что вследствие этого наступит его несостоятельность (банкротство). Аналогичное правило содержится и в п. 3 ст. 3 ФЗ от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью». При этом, согласно п. 22 Постановления Пленума Верховного суда РФ № 6, Пленума ВАС РФ № 8 от 01.07.1996 «О некоторых вопросах, связанных с применением части первой Граж-

данского кодекса Российской Федерации», при разрешении споров, касающихся ответственности учредителей (участников) юридического лица, признанного несостоятельным (банкротом), собственника его имущества или других лиц, которые имеют право давать обязательные для исполнения этим юридическим лицом указания либо иным образом способны определять его действия (ч. 2 п. 3 ст. 56), суд должен учитывать, что указанные лица могут быть привлечены к субсидиарной ответственности лишь в тех случаях, когда несостоятельность (банкротство) юридического лица вызвана их указаниями или иными действиями. К числу тех, на кого может быть возложена субсидиарная ответственность по обязательствам признанного несостоятельным (банкротом) юридического лица, относится, в частности, лицо, имеющее в собственности или доверительном управлении контрольный пакет акций акционерного общества, собственник имущества унитарного предприятия, давший обязательные для исполнения указания. Требования к указанным в настоящем пункте лицам, несущим субсидиарную ответственность, могут быть предъявлены конкурсным управляющим. В случае их удовлетворения судом взысканные суммы зачисляются в состав имущества должника, за счет которого удовлетворяются требования кредиторов. Важно учитывать, что к субсидиарной ответственности указанные лица могут быть привлечены только в случае признания должника банкротом. Другими словами, кредитор не вправе требовать их привлечения к субсидиарной ответственности на стадии, когда, например, руководство должника приняло решение о признании его банкротом (Постановление ФАС Восточно-Сибирского округа от 22.09.1997 по делу № Ф04/1177-237/A03-97). Если решение о банкротстве должника не принято, вопрос о преднамеренном банкротстве не обсуждался судом, то нет никаких оснований для привлечения учредителей должника или иных лиц, имеющих право давать ему обязательные для исполнения указания, к субсидиарной ответственности (Постановление ФАС Центрального округа от 20.12.2005 по делу № А35-749/05-C5). Вместе с тем для привлечения виновных лиц к субсидиарной ответственности не требуется окончания процедуры банкротства при наличии доказательств отсутствия у должника имущества для пополнения

SVET13 / SHUTTERSTOCK.COM

WWW.S-DIRECTOR.RU

ДОКАЗАТЕЛЬСТВАМИ ПО ДЕЛУ О ПРИВЛЕЧЕНИИ УПРАВЛЯЮЩИХ К СУБСИДИАРНОЙ ОТВЕТСТВЕННОСТИ МОГУТ БЫТЬ МАТЕРИАЛЫ УГОЛОВНОГО ДЕЛА В ОТНОШЕНИИ НИХ

конкурсной массы, что устанавливается в процессе банкротства (Постановление ФАС Московского округа от 01.02.2010 № КГ-А40/15153-09 по делу № А40-94681/08-88-249). Бремя доказывания фактов, подтверждающих причинно-следственную связь между признанием юридического лица банкротом и действиями управляющих им лиц, в соответствии со ст. 65 АПК РФ возлагается на кредитора или иное лицо, обращающееся в суд с требованием о привлечении к субсидиарной ответственности. Непредставление таких доказательств исключает возможность возложения на виновных лиц субсидиарной ответственности (Постановление ФАС Поволжского округа от 15.06.2004 по делу № А12-20416/03-C35). Так, в одном деле суд, отказывая конкурсному управляющему в иске о привлечении по долгам банкрота к субсидиарной ответственности его учредителей, отметил следующее. Истец не доказал, что на момент отчуждения зернопогрузочного комплекса у должника отсутствовали признаки банкротства и его имущества было вполне достаточно для удовлетворения требований всех кредиторов. Ему не удалось убедить суд в том, что банкротство вызвано именно отчуждением указанного имущества, а не явилось следствием иных обстоятельств, в частности чрезмерно высокой ставки процента за пользование кредитом банка (Постановление ФАС Северо-Кавказского округа от 19.10.2004 по делу № Ф084850/2004). Ноябрь 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ТЕМА НОМЕРА | УПРАВЛЕНИЕ ДЕБИТОРСКОЙ ЗАДОЛЖЕННОСТЬЮ

КРЕДИТОРУ СЛЕДУЕТ СОБИРАТЬ ИНФОРМАЦИЮ ОБ ИМЕЮЩЕЙСЯ У ДОЛЖНИКА СОБСТВЕННОСТИ

должника в повышенном размере и другим топменеджерам, выдача векселей, принятие поручительств и т. д. Недобросовестные участники гражданского оборота нередко сознательно создают искусственные ситуации, связанные с формально вполне легитимными сделками, по которым должник становится обязанным (выдача займов, перевод долга и пр.). Если такие сделки привели к банкротству должника, у кредитора имеются правовые основания для обращения в арбитражный суд с иском о привлечении виновных лиц к субсидиарной ответственности. Безусловно, даже те меры, которые мы рассмотрели в настоящей статье, могут оказаться недостаточными. Однако своевременно предпринятые действия кредитора, его оперативное реагирование на ту или иную ситуацию повышают вероятность получения им возмещения своих убытков. Излишние меры предосторожности еще никогда и никому не повредили, поэтому всегда будьте бдительны.

Надлежащими доказательствами по делу о привлечении к субсидиарной ответственности тех, кто управлял юридическим лицом (должником) и привел его к банкротству, могут быть, в частности, материалы уголовного дела в отношении них (Постановление ФАС Московского округа от 30.06.2005 по делу № КГ-А40/5539-05-П). Также это могут быть решения об отчуждении имущества, принятые ими на тот момент, когда уже имели место признаки банкротства должника, и само отчуждение по заниженной цене (Постановление ФАС Волго-Вятского округа от 14.05.2004 по делу № А79-1095/2003-СК2-1226). Подтверждением вины тех, кто управлял юридическим лицом (должником), будут не только их решения о выводе имущественных активов по заниженной цене, но и дача ими должнику указаний о принятии им на себя долговых обязательств перед третьими лицами (они зачастую аффилированы с теми, кто управляет должником, или подконтрольны им). Это могут быть установление компенсаций руководителю

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Ноябрь 2012

WWW.S-DIRECTOR.RU

BPTU / SHUTTERSTOCK.COM

ИРИНА ЧУМАКОВА

Предупрежден – значит, вооружен Как сделать так, чтобы не вы искали информацию о контрагентах, а она искала вас Интернет и современные технологии открыли доступ к массивам самой разнообразной информации, при этом сделали поиск данных, необходимых «здесь и сейчас», более дорогим и сложным.

сем известно, что в сети можно отыскать подтверждение практически любому человеческому заблуждению, к тому же там трудно отделить новое от безнадежно устаревшего. Часто бывает непонятен и статус информации, размещенной во всемирной паутине. По этим причинам суммарные расходы на поиск нужных сведений (с учетом затрачиваемого на это труда персонала, который оплачивается) составляют в мире, по оценкам экспертов, 900 млрд долл. в год. Но, как выясняется, на этой статье расходов можно значительно сэкономить, если действовать проще – не отыскивать каждый раз нужную информацию, а один раз настроить алгоритмы, которые позволят, например, ни на минуту не выпадать из потока важных новостей. Допустим тех, которые могут повлиять на решение о прекращение работы с тем или иным контрагентом.

Контрагент-банкрот, или когда каждая минута на счету Каждый месяц в России официально публикуется более 5 тыс. сообщений, связанных с процессами банкротства предприятий. Когда-то, чтобы найти нужное объявление, требовалось регулярно просматривать несколько газетных полос убористого текста. И, кстати, совсем не факт, что удавалось обнаружить именно то, что необходимо. Ведь ввод данных в бумажную версию «вручную» допускал возможность ошибок. В результате – и наша практика это подтверждает – несколько десятков процентов компаний вообще не могли корректно быть идентифицированы. С прошлого года вступил в действие принципиально новый оперативный механизм предоставления информации о процедурах банкротства – Минэкономразвития создало для этих целей специальную Ноябрь 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ТЕМА НОМЕРА | УПРАВЛЕНИЕ ДЕБИТОРСКОЙ ЗАДОЛЖЕННОСТЬЮ

ПЕРЕВОД ДАННЫХ О БАНКРОТСТВАХ В РЕЖИМ ОНЛАЙН ВНЕС СВОЮ ЛЕПТУ В БОРЬБУ С РЕЙДЕРСТВОМ

BPTU / SHUTTERSTOCK.COM

федеральную систему (www.fedresurs.ru). С ее помощью можно быстро отыскать нужную информацию и постоянно быть в курсе того, что происходит с интересующей вас компанией при прохождении ею всех этапов процедуры банкротства, с момента подачи заявления в суд и заканчивая распродажей имущества. Гадать, та ли это компания «Ромашка», которая была вашим контрагентом, тоже не придется. Ведь перед тем, как ввести в систему информацию, арбитражный управляющий сначала идентифицирует юридическое лицо в Госреестре, что позволяет избежать ошибок. Теперь легко можно отследить, на какой стадии находится дело о банкротстве конкретной компании, и кредитору уже не надо волноваться по поводу того, что он пропустит срок, отведенный на заявление требований к должнику, или дату судебного заседания.

Можно выяснить, какие арбитражные управляющие раньше были у должника, а также узнать, с какими компаниями до этого работал арбитражный управляющий и насколько эффективной была его деятельность. Большим преимуществом электронной системы является то, что она предоставляет возможность поиска сведений по архиву. При желании, чтобы все время быть начеку, можно настроить мониторинг, тогда информация по интересующим вас компаниям будет сама приходить на почту. Перевод данных о банкротствах в режим онлайн внес свою лепту в борьбу с рейдерством, заказными банкротствами и другими видами мошенничества.

Виртуальный суд Кто хоть раз имел дело с арбитражными судами, знает, что без сноровки отследить связанную с ними нужную информацию не так просто. И даже если вы нашли то, что искали, потребуется еще проверить, а то ли это ООО «Василек». 28

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Ноябрь 2012

Но электронный порядок приходит и сюда. Сейчас сведения об арбитражных процессах доступны онлайн через Картотеку арбитражных дел. Открыв сайт pravo.ru или используя сервис в одной из баз данных, например систему СПАРК агентства «Интерфакс», вы можете выяснить, на каком этапе находится судебный процесс по интересующей вас компании, когда был подан иск, узнать новую дату суда, ознакомиться с решением. Вводится идентификация компаний по ИНН. Процесс это не сиюминутный, завершить его планируется в следующем году. Но после того как это произойдет, потребителю больше не придется гадать, «та или не та» компания, а также дополнительно проверять информацию. В системе также можно настроить мониторинг, чтобы нужные сведения приходили сами. Можно искать отдельно по полям «истец» и «ответчик». Таким образом, информация о поданном иске или дате суда не пройдет мимо вас. С появлением этой системы вероятность того, что вы не узнаете о дате судебного заседания или пропустите сроки подачи апелляции, теперь практически исключена.

О том, какие факты могут оказаться существенными Рейдерские захваты компаний с «маски-шоу» остались в «лихих» 1990-х гг., которые многим еще памятны. Но для осуществления различных мошеннических схем по-прежнему тысячами создаются фирмы-однодневки, к ним тайком присоединяются вполне неплохие компании или же, напротив, должники, которые хотят спрятаться от кредиторов. Однако все эти изменения неизбежно отражаются в государственных реестрах, и для выявления подобных фактов опять же окажется полезным мониторинг. Чтобы быть во всеоружии, через Единый государственный реестр юридических лиц (ЕГРЮЛ) надо отслеживать, не появились ли, например, у интересующей вас компании новые учредители или руководители, а через реестр прав на недвижимое имущество – не совершались ли какие-либо операции с определенной недвижимостью. А через ленту существенных фактов можно выявить случаи реорганизации, присоединения какой-то фирмы, кроме того, если компания выпускала ценные бумаги либо являлась ОАО, то также удастся получить информацию о крупных сделках, решениях советов директоров, изменениях в составе учредителей, аффилированных лицах и т. д. Вся перечисленные сведения являются публичными, доступными через сайты ФНС, Росреестра или

WWW.S-DIRECTOR.RU

КАРТА ИНФОРМАЦИОННЫХ ИСТОЧНИКОВ ДЛЯ МОНИТОРИНГА ДОЛГА

систему раскрытия уполномоченных агентств, например www.e-disclosure.ru. Но, конечно, мониторить эти источники поотдельности сложно, особенно если контрагентов у вас не два-три, а тысячи. Тогда помогут базы данных. Достаточно настроить в том же СПАРКе мониторинг по компании, и вы будете оперативно получать оповещения, если произойдут какие-либо изменения в любом из основных источников. Это и госреестры, и база данных по банкротствам, и суды, и сайт раскрытия существенных фактов e-disclosure.ru. Например, если имели место какие-то изменения в ЕГРЮЛ, у вас сработает триггер и вы получите информацию о том, что нечто происходит с компанией: там появился новый учредитель, поменялся руководитель или адрес, доли участия в капитале и др.

Международные связи под контролем В нынешнюю эпоху глобализации корпоративные риски не исчерпываются внутрироссийскими. Для обладания полной информацией о партнере бывает полезно проследить его связи на международном уровне, установить его аффилированность с другими организациями или группами. Благодаря американской корпорации D&B, крупнейшему в мире поставщику информации о компаниях, можно получить сведения о 210 млн зарубежных фирм, а с помощью российских баз данных удастся проследить родственные связи предприятий в России по всему миру. Чаще всего, как показывает статистика D&B, российские клиенты запрашивают сведения о фирмах, зарегистрированных на Кипре и Британских Виргинских островах, что понятно: здесь находится наибольшее количество юридических лиц, которые являются учредителями российских компаний. В пятерку входят также фирмы из Германии, Великобритании, США. База данных D&B содержит информацию о компаниях из разных стран мира, причем приведенную к единому стандарту. С ее помощью можно установить взаимосвязи между ними, провести экспресс-анализ рыночного окружения, поиск партнеров и клиентов, выверку адресов. И такая осторожность очень часто бывает нелишней. Вот вам пример из жизни. Российская компания собиралась заключить многомиллионный контракт на поставку оборудования с партнером из Великобритании. Он приезжал в Россию в составе делегации от известной международной фирмы и не давал повода усомниться в своей благонадежности.

Образование просроченных долгов, ухудшение финансового положения: мониторинг платежной дисциплины

Поиск должника, досудебное урегулирование: сущ. факты деятельности юрлиц («Вестник государственной регистрации»); черные списки должников; публикации в СМИ

Урегулирование в арбитражном суде, исполнительный лист: картотека арбитражных дел; служба судебных приставов (исполнительный лист); черные списки должников; СМИ

Решение суда. процедура банкротства: картотека арбитражных дел; сообщения арбитражных управляющих и организаторов торгов (fedresurs.ru)

$900 млрд В ГОД СОСТАВЛЯЮТ МИРОВЫЕ РАСХОДЫ НА ПОИСК НУЖНЫХ СВЕДЕНИЙ О КОНТРАГЕНТАХ

В НЫНЕШНЮЮ ЭПОХУ ГЛОБАЛИЗАЦИИ КОРПОРАТИВНЫЕ РИСКИ НЕ ИСЧЕРПЫВАЮТСЯ ВНУТРИРОССИЙСКИМИ

Контракт на поставку, однако, должен был заключаться уже с другим юридическим лицом, зарегистрированным в городе Петворте в Великобритании, где тот же самый партнер являлся директором. Цепочка проверок с помощью базы данных D&B показала, что на этого гражданина зарегистрировано порядка 40 фирм с численностью сотрудников 2–4 человека, причем, как правило, его однофамильцами. Все они были основаны не более года назад, часть из них к моменту проверки уже была ликвидирована, а остальные имели крайне ненадежное финансовое положение. При этом обороты компании, с которой должен был заключаться контракт, свидетельствовали о невозможности исполнения ею крупного заказа. Иногда и среди российских компаний выявляются сомнительные фирмы, у которых нет ни бизнеса, ни даже госрегистрации. Так что проверка часто оказывается не пустой формальностью и помогает многим организациям сберечь деньги, нервы и репутацию. Ноябрь 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ТЕМА НОМЕРА | УПРАВЛЕНИЕ ДЕБИТОРСКОЙ ЗАДОЛЖЕННОСТЬЮ

В России технических компаний достаточно много, поэтому любой бизнесмен имеет высокий шанс наткнуться на такого контрагента и получить серьезные проблемы И вот еще один пример. Одна компания из США получила привлекательное предложение от якобы российской «Булгарнефти». Согласно предоставленной информации, офис «нефтяников» располагался в Москве и они имели сайт www.bulgarneft.ru. Проверка показала, что сайт зарегистрирован на частное лицо, кроме того, его русская версия отличалась многочисленными ошибками, вероятнее всего, текст был переведен с помощью онлайн-переводчика. Таким образом, компания не имела ничего общего с настоящей ОАО «Булгарнефть» – одной из нефтяных компаний Татарстана. Кстати, американцы наряду с англичанами и немцами являются самыми любознательными бизнес-партнерами российских фирм. На эти страны приходится почти половина всех запросов, поступающих в отношении российских предприятий из-за рубежа.

Произвольная программа Укрупненный взгляд на информационные источники показывает, что ситуация с доступностью информации о компаниях в России в целом вполне неплохая. Когда же в вашем распоряжении есть данные в электронном виде из большого числа источников, с точной идентификацией юридических лиц, можно уже подумать о том, как еще больше облегчить жизнь пользователю и дать в его руки дополнительные инструменты для принятия решений. Один из таких инструментов – это, например, рассчитываемый в СПАРКе Индекс должной осмотрительности (ИДО). Он выводится на основе анализа всех публичных данных и оценивает степень вероятности того, что та или иная компания окажется «однодневкой». В России технических компаний достаточно много, поэтому любой бизнесмен имеет высокий шанс наткнуться на такого контрагента и получить серьезные проблемы, например неоплаченные счета и скрывшегося неизвестно куда партнера. Более 30

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Ноябрь 2012

неприятным вариантом будет визит налоговых органов с претензией, что фирма не проявила должной осмотрительности при выборе контрагента. Результат – доначисление НДС и налога на прибыль. ИДО рассчитывается по более чем 3,5 млн действующих в России компаний и относит каждую из них к одному из пяти классов риска: от низкого до крайне высокого. Шкала индекса – это значения от 1 до 100, чем выше показатель, тем больше риска. Значение индекса и группу риска, к которой он отнесен, вы можете увидеть прямо в карточке компании, он отображается в виде светофора: зеленый свет – «путь открыт», красный свет – стоит призадуматься, а нужен ли вам вообще такой партнер. Помимо аналитики, СПАРК собирает дополнительную финансовую информацию, которая также может быть полезна для бизнеса. Так, сервис «мониторинг платежей» помогает бизнесменам понять, насколько надежен их контрагент с точки зрения выполнения своих финансовых обязательств. Участники проекта добровольно предоставляют данные о том, вовремя ли их контрагенты оплачивают текущие счета, которые анонимно поступают в СПАРК, агрегируются и используются для определения индекса платежной дисциплины. Индекс появляется в карточке компании в СПАРКе только в том случае, если имеется информация о по меньшей мере трех ее платежах, вызывающих вопросы. Если все платежи были выплачены в срок, индекс находится в зеленом диапазоне, если часть платежей была задержана – в желтом. Если же компания, как показывают данные ее контрагентов, никогда не рассчитывается вовремя, она будет в красной зоне. Партнер какой-то фирмы, увидев, что та, например, стала чаще задерживать платежи, может сделать вывод об ухудшении ее финансового положения и будет вести себя с нею более осторожно. А тем организациям, которые платят аккуратно, могут, наоборот, дать возможность оплачивать счета с отсрочкой. Проект по мониторингу платежной дисциплины уникален для России: впервые главным источником информации являются данные, которые добровольно предоставляют сами компании. Это также и свидетельство изменения менталитета нашего бизнеса. Добропорядочному предпринимателю открытость не вредит, более того, сотрудничая между собой, надежные партнеры могут реально снизить риски и создать для себя более безопасную и благоприятную среду «экономического обитания».

WWW.S-DIRECTOR.RU

Ноябрь 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ТЕМА НОМЕРА | УПРАВЛЕНИЕ ДЕБИТОРСКОЙ ЗАДОЛЖЕННОСТЬЮ

КОНСТАНТИН НОВИКОВ

Бегом от долгов Как сделать так, чтобы ваш должник не скрылся за границей В ряду методов и средств управления дебиторской задолженностью взаимодействие с институтом судебных приставов и возможности, открывающиеся при этом перед кредитором, занимают далеко не последнее место. Выиграть суд – даже не полдела, это только начало. Основные трудности с возвратом долга возникают на этапе выполнения судебного решения. И здесь помощь приставов, конечно, неоценима. Для того чтобы «вдохновить» должника на возврат задолженности, судебные приставы-исполнители используют различные инструменты, например ограничение права на выезд за границу. Однако, вопреки общепринятому мнению, процедура такого ограничения далеко не простая и происходит вовсе не автоматически. То есть, если велика вероятность того, что ваш должник скроется за границей с вашими деньгами, стоит предпринять некоторые действия для обеспечения своих интересов. Правовая основа С тех пор как в 2008 году судебные приставы-исполнители на законодательном уровне были наделены правом ограничивать выезд за пределы РФ граждан, в отношении которых возбуждены исполнительные производства, споры и шум вокруг этого решения не утихают по сей день. Основная тема дебатов – защита прав и свобод гражданина, ущемляемых в масштабах едва ли не мирового уровня. Однако при этом ловко обходится молчанием тот простой факт, что кроме прав у граждан-должников есть еще и обязанности, в том числе и по уплате долгов, а их неисполнение существенно нарушает права других законопослушных граждан и интересы государства. Нормы Конституции Российской Федерации в части 3 статьи 17 гласят, что «осуществление прав и свобод человека и гражданина не должно нарушать права и свободы других лиц», а в части 3 ст. 55 определено, что права и свободы человека и гражданина могут быть ограничены федеральным законом в той мере, в какой это необходимо в целях защиты прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. 32

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Ноябрь 2012

едеральная служба судебных приставов является федеральным органом исполнительной власти и осуществляет функции по обеспечению установленного порядка деятельности судов, исполнению судебных актов, актов других органов и должностных лиц, а также правоприменительные функции и функции по контролю и надзору в установленной сфере деятельности

Кому грозит запрет? По данным ФССП России, только за первые четыре месяца текущего года судебные приставы запретили выезд за границу почти 120 тысячам должников, львиная доля которых − неплательщики алиментов и граждане, задолжавшие по кредитам и за коммунальные услуги. Однако заметное число среди ограниченных в праве на выезд составляют и должники-предприниматели.

При этом случаи, когда человек узнает о запрете на выезд уже на границе, можно отнести к разряду недоразумений. Дело в том, что для запрета выезда судебный пристав-исполнитель должен располагать доказательствами надлежащего уведомления должника о необходимости совершения им каких-либо действий, либо воздержания от совершения этих действий, ведь сам факт неисполнения обязательств, возложенных судом, не является доказательством уклонения и основанием для ограничения права гражданина на выезд. О том, что неплательщик не может выехать за рубеж, он узнает обычно заранее, благодаря извещению из районной службы судебных приставов. Однако, в большинстве случаев, невзирая на эти уведомления, либо ограничиваясь прочтением первых трех строк и фиксацией суммы долга, как правило незначительной, граждане действуют «на авось» в надежде на обычный «бардак» в бюрократическом аппарате и часто просто забывают о неоплаченных долгах. Отсюда и миф о недоуменных лицах должников, стоящих с чемоданами в аэропортах. Размер долга, к которому могут быть применены санкции, на нынешний момент законодательно не определен. Сейчас этот вопрос оставлен на усмотрение каждого конкретного пристава, хотя, например, налоговая служба не подает исков на взыскание долга менее 1500 рублей, мотивируя соразмерность затрачиваемых усилий сумме задолженности.

Портрет кредитора Следует знать, что карающий меч может находиться в руках только и исключительно судебных приставов. Никакая ГИБДД, таможня, арбитражный суд и прочие инстанции сами по себе запретить выезд не имеют права. Все ограничения накладываются по ходатайству ФССП. Для того чтобы запрет на выезд вступил в силу, необходимо одновременное выполнение нескольких условий: наличие исполнительного документа, его регистрация в подразделении судебных приставов и возбуждение исполнительного производства. Иначе говоря, запрет на выезд может появиться только в том случае, если у должника не просто есть задолженность, а дело дошло до суда, и он вынес решение о взыскании долга. Только после этого судебный пристав, отчаявшись взыскать задолженность другими способами, в том числе добровольно, вправе вынести постановление об ограничении на выезд должника за границу.

ROMAN SIGAEV / SHUTTERSTOCK.COM

WWW.S-DIRECTOR.RU

Сам факт неисполнения обязательств, возложенных судом, не является доказательством уклонения и основанием для ограничения права гражданина на выезд Кстати, роль исполнительного документа не обязательно играет судебный акт. Например, для индивидуального предпринимателя постановление налогового органа о взыскании налога за счет имущества налогоплательщика само по себе является исполнительным документом и может инициировать исполнительное производство. Однако в соответствии со ст. 67 Федерального закона от 02.10.2007 № 229-ФЗ «Об исполнительном производстве» постановление о временном ограничении на выезд должника может быть вынесено только на основании исполнительного документа, выданного по судебному акту или являющемуся судебным актом.

Действия приставов Порядок действия приставов при наложении запрета на пересечение границы следующий: При получении исполнительного документа от взыскателя пристав возбуждает исполнительное производство. Постановление о возбуждении производства направляется должнику заказной почтой с обязательным уведомлением о вручении. Ноябрь 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ТЕМА НОМЕРА | УПРАВЛЕНИЕ ДЕБИТОРСКОЙ ЗАДОЛЖЕННОСТЬЮ

После получения письма должник обязан в пятидневный срок погасить свою задолженность. Если у должника имеются уважительные причины для отсрочки исполнения обязательств, в этот же пятидневный срок необходимо уведомить об этом судебного пристава-исполнителя, ведущего дело. Начиная с 6-го дня считается, что он уклоняется от исполнения решения суда, и к нему могут быть применены ограничения на выезд. Такие ограничения пристав может применить как по собственной инициативе, так и по просьбе взыскателя. Не всегда пристав мотивирован на вынесение такого постановления, поэтому, если вы, как кредитор, опасаетесь, что ваш должник и ваши средства безвозвратно пропадут за пределами России, стоит воспользоваться своим правом и попросить пристава об ограничении права должника на выезд. Постановление об ограничении права на выезд попадает в Пограничную службу ФСБ России посредством почты, что, вкупе с действиями по внесению информации в базу данных, которой пользуются сотрудники на пунктах пропуска через границу, разумеется, занимает некоторое, довольно значительное время. Кроме того, согласно ч. 3 ст. 68 Федерального закона № 229-ФЗ от 02.10.2007 «Об исполнительном производстве», пристав вправе обратить взыскание на имущество и имущественные права должника – иными словами, описать собственность для продажи и покрытия задолженности. Также с него будет взыскан 7% - ный исполнительский сбор от суммы взыскиваемого долга, не менее 500 рублей с должника-гражданина. Федеральным законом не установлен срок, на который можно запретить должнику выезд из страны. Однако для московских должников в подзаконном акте, а именно в приказе Управления ФССП РФ по Москве от 20.01.2009 № 36 указано, что срок действия ограничения не может превышать 6 месяцев.

Подведем итоги Итак, угроза ограничения на выезд для должника не настолько велика, как может показаться сначала, поэтому если риск невозврата задолженности велик, кредитору не стоит успокаиваться при вынесении положительного для него судебного решения. Во-первых, ограничение выезда применяется только к уклоняющимся от исполнения обя34

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Ноябрь 2012

Если вы, как кредитор, опасаетесь, что ваш должник и ваши средства безвозвратно пропадут за пределами России, стоит воспользоваться своим правом и попросить пристава об ограничении права должника на выезд зательств должникам, то есть без уважительных причин не погашающим задолженность. Во-вторых, данная мера не применяется внезапно. До введения ограничения должник всегда уведомляется (как правило, неоднократно) о наличии у него задолженности с предоставлением возможности для добровольного ее погашения. Если гражданин должным образом не уведомлен о возбуждении исполнительного производства, то и считать его уклоняющимся, а соответственно, и применять ограничение права на выезд к нему нельзя. В-третьих, существует определенный временной промежуток между принятием судебным приставом решения об ограничении права на выезд и фактическим внесением данных гражданина в базу данных Пограничной службы. Это объясняется объективно существующим порядком и временем прохождения документов, которое может составлять 1-2 месяца. В-четвертых, получить информацию о том, является ли гражданин должником и не ограничен ли ему выезд, можно в Интернете. С 1 января 2012 года у Федеральной службы судебных приставов начал действовать банк данных о должниках, и через него можно проверить, есть ли гражданин в «долговых» списках.

WWW.S-DIRECTOR.RU

БЛИЦ-ОПРОС

СРЕДИ ЧИТАТЕЛЕЙ ЖУРНАЛА «ДИРЕКТОР ПО БЕЗОПАСНОСТИ»

ПОЛУЧАЮТ ЛИ СОТРУДНИКИ СЛУЖБЫ БЕЗОПАСНОСТИ ВАШЕЙ КОМПАНИИ ДОПОЛНИТЕЛЬНОЕ ОБРАЗОВАНИЕ В ВИДЕ КУРСОВ ПОВЫШЕНИЯ КВАЛИФИКАЦИИ, СЕМИНАРОВ И Т.П.?

КОРПОРАТИВНОЕ ФИНАНСИРОВАНИЕ ДОПОЛНИТЕЛЬНОГО ОБРАЗОВАНИЯ СОТРУДНИКОВ СБ В ВАШЕЙ КОМПАНИИ:

НЕ ПОЛУЧАЮТ, НО ЭТО И НЕ НУЖНО

ЗАТРУДНЯЮСЬ ОТВЕТИТЬ

ПОЛУЧАЮТ В ДОСТАТОЧНОМ ОБЪЕМЕ

23%

14%

37%

26%

ПОЛУЧАЮТ ЭПИЗОДИЧЕСКИ, НО ЭТОГО НЕДОСТАТОЧНО

34%

НЕ ПОЛУЧАЮТ, ХОТЯ ЭТО НЕОБХОДИМО

КТО ОПРЕДЕЛЯЕТ НЕОБХОДИМОСТЬ ПРИМЕНЕНИЯ ТЕХ ИЛИ ИНЫХ ОБРАЗОВАТЕЛЬНЫХ ПРОГРАММ ДЛЯ СБ?

13%

ДОСТАТОЧНОЕ

ТРЕБУЕТСЯ УВЕЛИЧЕНИЕ

47%

ФИНАНСИРОВАНИЕ НЕ ПРОИЗВОДИТСЯ

ОБРАЗОВАТЕЛЬНЫЕ ПРОГРАММЫ ПО КАКИМ ТЕМАМ ВЫ СЧИТАЕТЕ НАИБОЛЕЕ ПОЛЕЗНЫМИ ДЛЯ СОТРУДНИКОВ ПОДРАЗДЕЛЕНИЙ БЕЗОПАСНОСТИ? ЭКОНОМИКА И БУХГАЛТЕРСКИЙ УЧЕТ

ГЕНЕРАЛЬНЫЙ ДИРЕКТОР

72% АНГЛИЙСКИЙ ЯЗЫК

58% ЗАЩИТА КОММЕРЧЕСКОЙ ТАЙНЫ

44% ТАЙМ-МЕНЕДЖМЕНТ

41%

20%

ОТДЕЛ КАДРОВ

44%

САМИ СОТРУДНИКИ

29%

РУКОВОДИТЕЛЬ СЛУЖБЫ БЕЗОПАСНОСТИ

УПРАВЛЕНИЕ БИЗНЕС-ПРОЦЕССАМИ

39% ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

39% IT-БЕЗОПАСНОСТЬ

33% КОМПЛЕКСНАЯ ЭКОНОМИЧЕСКАЯ БЕЗОПАСНОСТЬ

24% ЗАЩИТА ИНФОРМАЦИИ ОТ УТЕЧКИ ПО ТЕХНИЧЕСКИМ КАНАЛАМ

17% Ноябрь 2012 2011

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ЕСТЬ РЕШЕНИЕ | ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Комплексная защита информационных активов

GASTEV ROMAN / SHUTTERSTOCK.COM

ЕСТЬ РЕШЕНИЕ

В настоящее время в большинстве организаций осознают ценность собственных информационных ресурсов. Сегодня мы поговорим о том, как правильно подойти к построению комплексной системы их защиты, которая сможет закрыть сразу все проблемные вопросы в сфере ИБ. Что защищаем? Для начала следует разобраться в том, что же мы, собственно говоря, собираемся защищать. Конечно, у специалистов каждой компании есть собственный «взгляд» на данный вопрос, и они выделяют наиболее критичные именно для своей организации информационные ресурсы, однако, тем не менее, существует перечень наиболее распространенных информационных активов, которыми располагает практически любая фирма. Классический пример корпоративного информационного сервиса – это CRM-система, значительно упрощающая и упорядочивающая работу с клиентами, что могут подтвердить в тех организациях, которые ее внедрили. Стоит заметить, что CRM-системы – 36

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Ноябрь 2012

это как раз тот корпоративный информационный сервис, который у всех на слуху. Фактически, то же самое можно сказать и о многих других информационных системах корпоративного уровня: ERP, электронного документооборота, WMS и др. Поэтому о защите этих информационных ресурсов компании, как правило, помнят и без чужих подсказок. Несколько менее известны такие сервисы, как, например, корпоративный портал. В данном случае мы имеем в виду не электронное представительство какой-либо фирмы во Всемирной паутине, где посетители могут узнать определенные сведения о ней самой, о том, чем она занимается в настоящее время и каковы ее планы на обозримое будущее, а вну-

трикорпоративный сервис. В отличие от Web-порталов (например, тех же Yahoo! или Mail.ru), корпоративные порталы являются интранет-решениями, т. е. предназначены для работы внутри корпоративной сети. Еще один важный ресурс – это внутрикорпоративные чаты и форумы, которые могут быть интегрированы в портал или использоваться совершенно независимо от него. Также одним из информационных ресурсов, существенно упрощающих и делающих более эффективным труд работников, является корпоративное хранилище знаний, организованное по образу и подобию «Википедии», – wiki. В последнее время корпоративная wiki успешно применяется все большим количеством российских компаний. Кроме того, многие фирмы имеют та-

WWW.S-DIRECTOR.RU

20%

РОМАН ИДОВ, эксперт компании «SearchInform»

кие сервисы, как корпоративный календарь и система управления задачами, которые позволяют руководителям оперативно ставить задачи перед подчиненными и следить за ходом их выполнения. Помимо этого, стоит упомянуть о таких «мелочах», как, например, файлсерверы, на которых сложены в большом количестве разнообразные корпоративные документы, и корпоративные базы данных, содержащие информацию как о клиентах, так и о сотрудниках компании. Легко заметить, что утечка данных из любого их перечисленных выше источников может обернуться для организации, которая ее допустила, как минимум достаточно большими неприятностями, поэтому стоит задуматься о том, как от подобных угроз защититься.

В ШЕСТИ СЛУЧАЯХ ИЗ ДЕСЯТИ ДЛЯ БАНКРОТСТВА ФИРМЫ ДОСТАТОЧНО УТЕЧКИ ВСЕГО ЛИШЬ 20 % ЕЕ КОММЕРЧЕСКИХ СЕКРЕТОВ

в шести случаях из десяти для банкротства фирмы достаточно утечки всего лишь 20 % ее коммерческих секретов. Основным средством защиты от внешних угроз, как правило, становятся вполне привычные для любой организации межсетевые экраны (файрволы, брандмауэры) и антивирусы. Эти программные продукты способны оградить ее не только от различного вредоносного программного обеспечения, но и от атак, орга-

К сожалению, большинство компаний экономит на внедрении качественных систем информационной безопасности Немного об угрозах Все угрозы утечек корпоративной информации можно разделить на две большие категории: внешние и внутренние. Первые исходят извне, например, от тех, кто пытается перехватить электронную почтовую корреспонденцию фирмы. Именно предохранение от внешних угроз, как правило, является приоритетом при организации защиты для большинства компаний в мире. Однако есть и другая категория угроз – те, которые проистекают от самих сотрудников. Далеко не все из них преданы родной компании, и многие совсем не против того, чтобы немного подзаработать, передав часть корпоративных секретов конкурентам. Таких людей называют инсайдерами – от английского inside (изнутри). Защитой от них большинство организаций почему-то пренебрегает, хотя такой внутренний враг может принести намного больше вреда, чем, скажем, хакер, взломавший корпоративный сайт. Давно известно, что

низуемых хакерами. Нужно помнить, что, выбирая средства защиты от внешних угроз, имеет смысл ориентироваться не столько на известность того или иного вендора, сколько на реальное соответствие продукта потребностям компании. Например, программный файрвол для небольших фирм может оказаться более удобным решением, чем программно-аппаратный, несмотря на всю мощь и продвинутость последнего. О методах защиты от внутренних угроз стоит поговорить несколько более подробно, поскольку одними только техническими средствами здесь обойтись вряд ли получится.

Защита информационных активов от утечек информации В чем именно состоит защита от инсайдеров? В первую очередь − в жестком контроле за доступом к той информации, которая способна нанести ущерб

вашему предприятию самим фактом своего обнародования. Для этой цели традиционно используют мониторинг действий служащих с помощью специализированных систем наблюдения, контроль за входом на территорию офиса и выходом с нее, вводят ограничения на применение определенных устройств и каналов коммуникаций. Необходимо понимать, что задействование лишь технических или только организационных средств не обеспечит вашей компании достаточного уровня защищенности от действий инсайдеров. Технические средства следует применять для контроля за соблюдением организационных мер, однако при этом основной упор должен делаться именно на проработку организационных решений, поскольку именно они определяют общую структуру системы защиты корпоративной информации. Для противостояния инсайдерам важно разработать целостную политику информационной безопасности и создать соответствующую ей систему, которая способна учитывать все аспекты деятельности вашей фирмы, а также держать под наблюдением те каналы передачи информации, с помощью которых инсайдер способен «поделиться» секретами с внешним миром. К сожалению, большинство организаций предпочитает экономить на внедрении качественных систем информационной безопасности, а потому инсайдеры чувствуют себя там свободно и действуют безнаказанно. Не последнюю роль в деле борьбы с инсайдерами способен сыграть HR-отдел (отдел кадров). Вполне очевидно, что набор новых сотрудников должен вестись таким образом, чтобы отсеять тех, кто склонен к инсайдерской деятельности. Благодаря современным информационным технологиям отследить утечки

Ноябрь 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

GASTEV ROMAN / SHUTTERSTOCK.COM

ЕСТЬ РЕШЕНИЕ | ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

информации с предыдущего места работы того, кто претендует на вакансию в вашей фирме, в большинстве случаев кадровикам вполне под силу, достаточно заглянуть в Интернет (посты или комментарии в блогах, сообщения на форумах и т. д.). Отзывы бывшего работодателя, свидетельствующие об излишнем любопытстве прежнего сотрудника к закрытой для него корпоративной информации, также позволят понять, что перед вами потенциальный инсайдер.

Технические решения Основным техническим решением, которое может помочь в борьбе с утечками данных из корпоративных информационных ресурсов, является, конечно же, DLP-система (Data Leak Prevention – предотвращение утечек данных). Под 38

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Ноябрь 2012

DLP-системой понимают программный комплекс, анализирующий потоки данных, «пересекающие» периметр защищаемой информационной системы, и предотвращающий утечки конфиденциальных данных из нее. Несмотря на то что многие организации вполне удовлетворены имеющимися в их распоряжении DLP-системами, необходимо отметить, что не все из них способны решать поставленные перед ними задачи комплексно. К примеру, зачастую руководители организации считают DLPсистемой установленное в их компании или учреждении программное обеспечение для мониторинга электронной почты сотрудников, в то время как качественная DLP-система должна гарантировать перехват информации при попытках организовать ее передачу через любые каналы.

Поговорим о том, какие требования следует предъявлять к DLP-системе при ее выборе. Во-первых, конечно же, она должна быть способна обеспечивать комплексную безопасность, т. е. охватывать все каналы коммуникации (Skype, ICQ, HTTP, e-mail и пр.) при возможности автоматического контроля всего трафика. Это особенно важно для крупных компаний и государственных структур с большим числом рабочих станций сотрудников, поскольку в небольшой фирме (до 20–30 рабочих станций) «безопаснику» по силам контролировать все и вручную. Стоит обратить внимание и на такой момент, как возможность внедрения системы без предоставления доступа сторонним специалистам к защищаемой конфиденциальной информации и без остановки деятельности организации во время проведения работ. Важно, чтобы DLP-система была способна выявлять не только точные копии конфиденциальных документов, но и их измененные варианты; вести журнал действий каждого из пользователей; держать под наблюдением группы пользователей с различными полномочиями доступа к информации. Специалисты по информационной безопасности рекомендуют делать выбор в пользу DLP-систем российского производства, поскольку у западных аналогов зачастую имеются проблемы с поддержкой русского языка, а это, естественно, отражается на качестве анализа перехватываемых документов.

Подведем итоги Корпоративные информационные активы нуждаются в действенной защите от различных угроз. Для ее обеспечения необходимо применять организационные и технические средства в комплексе, только так удастся добиться нужного результата. Что касается технических средств, то рынок сегодня способен предложить качественные варианты, тем не менее к их выбору необходимо отнестись максимально ответственно, чтобы в дальнейшем не пришлось сожалеть о неэффективных тратах.

WWW.S-DIRECTOR.RU

Ноябрь 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ЕСТЬ РЕШЕНИЕ | ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

КСЕНИЯ ШУДРОВА, аспирант СибГАУ

Выявление каналов утечки информации Распространено мнение, что выявлять утечки информации можно только с помощью специальных технических средств, однако это не так. Любая организация для борьбы с ними может использовать те методы, которые не требуют особых денежных затрат, найма сотрудников и наличия специальных лицензий. Этому и будет посвящена статья.

век развития ИТ-технологий для многих компаний информация становится особо ценным ресурсом, и конкуренты, естественно, стремятся заполучить ее, чтобы использовать в своих целях. Следовательно, организациям необходимо научиться эффективно противостоять такого рода угрозам. Коммерческая тайна – вот что в первую очередь интересует конкурирующую фирму. Но в группу риска могут попадать и персональные данные, например, в виде клиентских баз. Найти источник утечки сведений достаточно сложно, как

и обнаружить саму утечку, если информация украдена, она в силу нематериального характера остается также и у законного хозяина. Некоторые организации используют для промышленного шпионажа спецтехнику, несмотря на то, что такого рода действия без лицензии запрещены законодательством. Наибольшее внимание обычно уделяется утечкам по Интернету, локальной сети и через съемные носители, которые достаточно просто контролировать: существует огромное количество разнообразных средств защиты от несанкцио-

нированного доступа, межсетевых экранов, также довольно легко ограничивать запись на съемные носители. Однако повсеместное распространение мобильных устройств сделало актуальной и другую угрозу. В наше время довольно сложно встретить сотовый телефон, не обладающий функциями записи видео, звука и не имеющий возможности доступа в Интернет. Поэтому даже при наличии средств защиты от копирования на автоматизированном рабочем месте пользователя, он всегда может важные документы сфотографировать и унести домой.

Основные понятия

HELDER ALMEIDA / SHUTTERSTOCK.COM

ДАЖЕ ПРИ НАЛИЧИИ СРЕДСТВ ЗАЩИТЫ ОТ КОПИРОВАНИЯ, ПОЛЬЗОВАТЕЛЬ ВСЕГДА МОЖЕТ ВАЖНЫЕ ДОКУМЕНТЫ СФОТОГРАФИРОВАТЬ И УНЕСТИ ДОМОЙ

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Ноябрь 2012

Утечка информации – это несанкционированное, неправомерное завладение кем-то важными для компании сведениями для использования их в своих целях и в ущерб интересам собственника. Канал утечки информации – физический путь от источника конфиденциальной информации к злоумышленнику. При его рассмотрении обычно обращают внимание на ряд моментов: источник конфиденциальной информации, средства ее обработки, механизмы защиты, среду распространения сигнала, шум, приемник перехвата. Каналы утечки информации классифицируют на агентурные, технические и легальные. Агентурные действуют посредством тайных агентов, которые стремятся получить несанкционированный доступ к определенным информационным ресурсам, и ча-

WWW.S-DIRECTOR.RU

сто комбинируются с техническими. Технические каналы предполагают применение технических средств разведки, имеющих определенные демаскирующие признаки, а легальные – открытых источников и методов обратной социальной инженерии. В соответствии с видами применяемых для организации утечки информации средств каналы подразделяются на оптический, акустический, материально-вещественный, электромагнитный (иногда отдельно выделяют электрический). Действие акустических каналов основывается на распространении звуковых колебаний в звукопроводящем материале, оптических – на электромагнитных излучениях в различных частях спектра. Для работы электрических каналов требуется напряжение и токи в проводниках, а радиочастотных – электромагнитные излучения радиодиапазона. Источником утечек могут быть сети электропитания, телефонной и телеграфной связи, заземление, громкоговорители, оргтехника, электронно-вычислительная техника. Обычно выделяют следующие источники утечек информации: люди, обладающие специальными знаниями (их поведение, разговоры и действия); документы, бумажные и электронные; средства беспроводной и проводной связи, в том числе телефоны, радиостанции, факсы; средства обработки информации, в первую очередь компьютеры, также принтеры, сканеры.

Инструменты нарушителей Для ведения разведки сегодня, как правило, применяются такие технические средства, как радиомикрофоны (радиопередатчики с микрофоном), электронные «уши» (микрофоны), устройства перехвата телефонных сообщений, устройства управления, приема и записи (ретрансляторы), системы видеонаблюдения, системы обнаружения положения объектов, средства взлома компьютеров и сетей.

Признаки утечек информации По определенным признакам в организации могут понять, что у них произошла утечка информации. Насторожить должны в первую очередь такие факты: появление у конкурентов продуктов и услуг, сходных с теми, что собирались запустить на рынок они сами; срыв контрактов с поставщиками или клиентами; размещение в СМИ сведений, порочащих организацию.

Причины утечки При выявлении утечек информации крайне важно проанализировать сложившуюся ситуацию и выяснить, по-

Обнаружение утечки Выявление каналов утечки информации – это очень сложная работа, которая требует постоянного мониторинга состояния защищенности системы. Зачастую утечки сведений приходится обнаруживать по возникающим последствиям, а для их предотвращения необходимо ориентироваться на косвенные признаки. Скорость обнаружения каналов утечки часто зависит от расположения отдела безопасности. Если он находится в удаленном офисе, у сотрудников понижается дисциплина. В первую очередь нужно свести к минимуму вероятность утечек информации, которые могут произойти случайно. Примером такого рода утечки

Выявление каналов утечки информации – это очень сложная работа, которая требует постоянного мониторинга состояния защищенности системы чему они произошли. Как показывает практика, наиболее типичными являются следующие причины: понижение лояльности сотрудников в результате сокращения штата, задержки выплаты заработной платы, перевода на другую работу, расформирования филиалов; уязвимости программного обеспечения; нарушения политики информационной безопасности, в том числе применение простых паролей; недостаточность средств защиты информации; устаревание баз антивирусных систем; необдуманное поведение сотрудников, которые недавно устроились на работу; злонамеренные действия лиц, которые увольняются; форс-мажорные обстоятельства; кража оборудования – компьютеров, ноутбуков.

может являться печать сотрудником договора на черновике. Такой документ может принести большое количество ценной информации конкурентам. Если обнаружен канал утечки информации, например закладное устройство, то можно его либо сразу нейтрализовать, либо пойти другим путем – использовать это средство для передачи дезинформации. Если известно, что в кабинете руководителя установлена закладка, то там можно проводить постановочные совещания, ориентированные на распространение дезинформации, а настоящие планерки переместить в другое помещение. Раскрытие факта обнаружения закладки вынуждает злоумышленника искать альтернативный способ съема информации. Поэтому, выявив инсайдера среди сотрудников, полезнее навязать ему дезинформацию, для того чтобы разрушить его планы. Ноябрь 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

OPTIMARC / SHUTTERSTOCK.COM

ЕСТЬ РЕШЕНИЕ ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Выявив инсайдера среди сотрудников, полезнее навязать ему дезинформацию, для того чтобы разрушить его планы Закладные устройства можно отыскать не только с помощью специальной аппаратуры, но и благодаря демаскирующим признакам. Основным демаскирующим признаком является наличие тонкого провода неизвестного назначения. Когда речь идет об акустических закладках, то внимание должны привлечь устройства маленьких габаритов в форме параллелепипеда, небольшие отверстия, автономные источники питания, полупроводниковые элементы. Очень полезно при выявлении утечек информации использовать сведения, имеющиеся в журналах: электронных и бумажных. В них может содержаться следующая информация: кто последний открывал файл с конфиденциальной информацией, кто его выводил на печать, кому были выданы конфиденциальные документы и куда они были переданы затем. Эти данные могут оказаться очень ценными, поэтому к заполнению бумажного журнала требуется подходить очень ответственно, не стоит забывать и про включение электронного журналирования. Необходимо, чтобы каждый пользователь действовал под своим именем, даже если он работает на нескольких компьютерах. Когда компьютер находится в домене, то сделать это можно достаточно легко. Таким образом, в любой момент времени 42

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Ноябрь 2012

можно будет с точностью сказать, кто именно заходил в систему, какие документы открывал, с чем работал. Для того чтобы получить информацию по оптическому каналу, необязательно запасаться спецтехникой, порой бывает достаточно купить бинокль. Многие офисы часто располагаются в непосредственной близости от жилых домов и других офисных центров. Жалюзи в дневное время у всех обычно открыты, и не каждый монитор отвернут от окна, поэтому достаточно снять помещение в соседнем доме, чтобы ознакомиться со сведениями на компьютере главного бухгалтера. Средство защиты от таких утечек довольно простое – располагать мониторы так, чтобы ни вошедший посетитель, ни кто-то другой из окон напротив не имели возможности их просматривать. Также может иметь место утечка по оптическому каналу, если сотрудник, уходя из помещения, оставляет монитор включенным и не блокирует компьютер, в этом случае другие работники или посетители могут ознакомиться с содержимым конфиденциальных документов. Также важно следить за информацией на традиционном носителе. Об этом часто забывают, так как в офисах огромное количество бумажных документов и обнаружить утечку бывает затруднительно. Отслеживать все, что

печатается на принтерах и сканируется, практически невозможно. Выявить материально-вещественный канал утечки информации все-таки можно. Для этого в первую очередь необходимо производить периодические проверки столов сотрудников. На них не должны лежать документы в то время, когда те с ними не работают либо покидают помещение. Также черновики не могут утилизироваться в мусорную корзину, их следует уничтожать с помощью шредера. Если у компании нет денег на покупку уничтожителя бумаг, персонал должен быть проинструктирован касательно собственноручного уничтожения документов с помощью ножниц. Однако стоимость современных уничтожителей невелика, и, в принципе, любая фирма способна их приобрести. В мусорные контейнеры часто выбрасываются как сами документы, так и их черновики, схемы разработанных моделей и другие полезные для злоумышленников вещи. Имеет смысл производить периодические проверки контейнеров в целях выяснения того, как соблюдается дисциплина работы с конфиденциальной информацией. Необходимо также держать под контролем такой вероятный канал утечки, как мусорные корзины сотрудников, и регулярно совершать рейды для проверки их содержимого. Часто утечки информации связаны с применением мобильных устройств, таких как ноутбуки, планшетные компьютеры, флешки, телефоны. Допустим, на режимном заводе еще можно ограничивать использование мобильных устройств и не пропускать через проходную людей с диктофонами, ноутбуками и другой техникой, хотя даже в таких строгих условиях телефоны обычно разрешены. В частной же фирме, как правило, не бывает вообще никаких ограничений на применение мобильных устройств. Их выносят за контролируемую зону, а там они могут быть украдены либо потеряны. Ноутбук похитить гораздо легче, чем обычный компьютер. Флешки, на которые сохраняются служебные сведения, к

тому же зачастую являются носителями личной информации сотрудников, и к ним не применяются требования политики информационной безопасности. Флеш-накопители также порой теряются, их случайно где-то оставляют, ими завладевают злоумышленники. Утечка информации может произойти случайно вследствие отправки важного документа по ошибке на другой e-mail после разговора с друзьями или родственниками, которые работают в конкурирующей фирме. Важный инструмент защиты – регулярные проверки. Их необходимо осуществлять на предмет того, каким образом уничтожаются важные документы, каково содержимое сетевых сканеров, принтеров, не приклеивают ли сотрудники бумажки с записанными там паролями на монитор и не кладут ли их под клавиатуру. Важно, чтобы персонал привык хранить документы в столах, в закрывающихся ящиках, чтобы сотрудники при выходе из кабинетов запирали их, а при уходе домой сдавали ключи на вахту. Очень помогают выявлению утечек системы видеонаблюдения, установленные в коридорах, помещениях, где работают с важными документами, а также камеры, направленные на территорию для увеличения контролируемой зоны. Видеозаписи хранятся ограниченное количество времени, и об этом нельзя забывать. При возможности следует оснащать видеорегистраторы или компьютеры, на которые ведутся записи, дополнительной памятью, чтобы видео оставалось доступным более длительный срок. Периодически необходимо делать резервные копии жесткого диска, чтобы при каких-либо авариях не утратить архив записей. Очень часто для обнаружения каналов утечки информации используют DLP-системы. С их помощью можно просматривать содержимое почты, переписку сотрудников в программах для передачи коротких сообщений, а также анализировать перемещение конфиденциальных документов на флешки, осуществлять контроль печати. Причем современные системы по-

ANDRESR / SHUTTERSTOCK.COM

WWW.S-DIRECTOR.RU

зволяют выявлять не только файлы с оригинальным названием и содержимым, но и видоизмененные, а также отредактированный текст. Программа использует правила, которые задает администратор системы, ищет не только по ключевым словам, но и задействует «умные» алгоритмы. Стоит помнить о том, что законность применения таких систем спорна и дискуссии по этому поводу идут не первый день. Это связано с правом на переписку, закрепленным Конституцией. А вот система, которая позволяет контролировать вывод документов на печать и копирование их на съемные носители, является не только законной, но и желательной в любой информационной системе. Полезным будет использование систем обнаружения вторжений. Существует особый класс систем, основанных на ловушках, которые имитируют ресурс системы, например файловый сервер. В результате привлеченный доступностью информации злоумышленник совершает вторжение, которое легко обнаруживается, и таким образом предотвращается утечка важных сведений. Используя статистику предотвращенных утечек, можно судить о том, насколько система сегодня является критичной и требуются ли дополнительные затраты на ее защиту.

Защитные меры Выявить потенциального нарушителя можно, используя методы социальной инженерии. Это могут быть как заманчивые предложения сотрудникам якобы от лица конкурента о покупке конфиденциальной информации (в случае раскрытия обмана лояльность персонала упадет, поэтому необходимо быть осторожными с подобными методами), так и дружеские беседы с работниками, мониторинг их деятельности. От утечек, связанных с использованием мобильных устройств, может уберечь видеонаблюдение в помещениях и коридорах. Пока отдел безопасности сосредоточен на предотвращении утечек, от внимания его специалистов могут ускользнуть те угрозы, которые таят в себе легальные каналы. Это информация, публикуемая в СМИ, на официальном сайте, в буклетах. Изучая эти материалы, конкуренты могут сделать выводы о деятельности компании, ее возможной прибыли, контрагентах, следовательно, необходимо тщательно продумать, что может быть размещено в открытом виде, а что должно остаться коммерческой тайной. Для того чтобы не давать подсказок злоумышленнику, в каком направлении ему легче действовать, чтобы достичь своей цели, нужно тщательно следить за теми сведениями, которые появляются в открытом доступе. Ноябрь 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ЕСТЬ РЕШЕНИЕ | ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Оценка утечек Оценить вероятность утечки информации можно, если располагать данными о ценности определенных сведений, возможных каналах их утечки, знать уязвимые места системы. Кроме того, для выяснения этого полезно опираться на специальные методики. Одна из них предполагает сначала построение дерева событий, представляющего собой некий график с вершинами-событиями, которые и способны привести к утечкам, а далее создание матрицы состояний и высчитывание возможных способов утечки информации. 44

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Ноябрь 2012

Когда мы увидим, какие способы организации утечек возможны, то далее уже проще определить вероятность утечки каждым способом, которая будет варьироваться в зависимости от того, какова ценность информации, сколько событий должно произойти, чтобы утечка случилась. Но такие оценки являются субъективными, могут не учитывать конкретные детали, более точный прогноз можно дать лишь в относительном приближении. Одно верно в любом случае: чем больше разнообразных возможностей для злоумышленника украсть

удаленным доступом и не являющийся сотрудником (внешний нарушитель).

Возможные последствия для жертв Утечки информации способны привести к крайне серьезным последствиям для фирмы: финансовым убыткам, если новую услугу или продукт конкуренты запустят раньше; ущербу репутации, в результате чего покупатели товара фирмы или пользователи ее услуг будут более насторо-

YOULIAN / SHUTTERSTOCK.COM

В первую очередь необходимо держать под контролем рекламу и содержимое официального сайта. Организации могут прибегнуть к услугам фирм, занимающихся поиском устройств негласного съема информации, проверить свои помещения для переговоров, установить средства защиты. Однако это довольно дорогостоящие мероприятия, их могут осуществлять только фирмы со специализированными лицензиями. Оказать серьезную помощь по предотвращению утечек информации способны следующие меры: Разработка четких инструкций для персонала по информационной безопасности, строгий контроль за тем, чтобы работники следовали этим правилам на практике. Создание актуальной и комплексной системы защиты информации, включающей в себя программные и аппаратные части, регулярно обновляющиеся базы. Повышение лояльности коллектива посредством проведения совместных мероприятий, тренингов, корпоративных вечеров, конкурсов, реализации коллективных проектов, а также с помощью поощрения тех сотрудников, которые выполняют нормы информационной безопасности. Проведение систематических проверок отделом безопасности. Бдительность его специалистов играет большую роль, они должны обращать внимание на малейшие признаки утечек.

ценную информацию, тем выше будет суммарная вероятность утечки. Для противодействия утечкам строят модели угроз и нарушителей, затем, используя их, выявляют уязвимости, далее путем назначения коэффициентов различным типам угроз определяют, какие из них наиболее актуальны для конкретной системы. При этом учитываются классы нарушителей, они могут быть различными. Например, для организации, которая обслуживается системным администратором по услуге аутсорсинга, актуальным будет нарушитель, имеющий привилегии администратора с

Оценить вероятность утечки информации можно, если располагать данными о ценности определенных сведений

WWW.S-DIRECTOR.RU

женно относиться к ее предложениям, а партнеры не рискнут доверить ей свою коммерческую тайну; внеплановым проверкам регулирующих органов, если утечет информация о нарушениях; как крайний вариант: возможной остановке деятельности фирмы.

Что грозит злоумышленнику за организацию утечки? В основном наказание в этом случае определяется ст. 183 Уголовного кодекса «Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну». За сбор сведений (ч. 1 ст. 183) предусмотрен большой штраф – до 180 тыс. руб. или в размере заработной платы или иного дохода осужденного за период от одного до шести месяцев, либо исправительные работы до одного года, либо принудительные работы на срок до двух лет, либо лишение свободы на тот же срок. Инсайдеры привлекаются к ответственности в соответствии с ч. 2 ст. 183. Им может быть назначен крупный штраф – до 120 тыс. руб. либо в размере заработной платы или иного их дохода за период до одного года с одновременным лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет. Также они могут быть наказаны исправительными работами на срок до двух лет, либо принудительными работами на срок до трех лет, либо лишением свободы на тот же срок. В случае причинения крупного ущерба (или выявления корыстной заинтересованности) виновные наказываются серьезным штрафом – до 200 тыс. руб. или в размере заработной платы либо иного их дохода за период до 18 месяцев с одновременным лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет. Также им могут быть присуждены принудительные работы на

срок до пяти лет либо лишение свободы на тот же срок (ч. 3 ст. 183). При возникновении тяжких последствий предусмотрены принудительные

ва занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового, либо лишением свободы на срок до

Пока отдел безопасности сосредоточен на предотвращении утечек, от внимания его специалистов могут ускользнуть те угрозы, которые таят в себе легальные каналы работы на срок до пяти лет либо лишение свободы на срок до семи лет. Необходимо также помнить о ст. 138 УК «Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений». Виновных по этой статье ожидает штраф до 180 тыс. руб. или в размере их заработной платы или иного дохода за период до шести месяцев, либо обязательные работы на срок до 360 ч, либо исправительные работы на срок до одного года. Если преступление совершается с использованием служебного положения, то оно наказывается крупным штрафом – от 100 до 300 тыс. руб. или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением его права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо обязательными работами на срок до 480 ч, либо принудительными работами на срок до четырех лет, либо арестом на срок до четырех месяцев, либо лишением свободы на срок до четырех лет. При этом само приобретение специальных технических средств для негласного получения информации в соответствии со ст. 138.1 наказывается штрафом до 200 тыс. руб. или в размере заработной платы или иного дохода осужденного за период до 18 месяцев, либо ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет с лишением пра-

четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового. Несмотря на то что сбор сведений, составляющих коммерческую тайну, является уголовным преступлением, некоторые осознанно идут на риск ради получения желанной информации. Утечки данных способны нанести компании существенный ущерб, который может быть как нематериальным, так и связанным с потерей денежных средств, поэтому так важно принимать профилактические меры для собственной защиты и стараться обнаруживать утечки как можно раньше. Литература: 1. Андрианов В. И., Соколов А. В. Устройства для защиты объектов и информатизации: Справочное пособие. – 2-е изд. – М.: ООО «Фирма «Издательство АСТ»; СПб.: ООО «Издательство «Полигон», 2000. – 256 с.: ил. – «Шпионские штучки». 2. Семкин С. Н., Беляков Э. В., Гребенев С. В., Козачок В. И. Основы организационного обеспечения информационной безопасности объектов информатизации: Учебное пособие. – М.: Гелиос АРВ, 2005. – 192 с. 3. Скиба В. Ю., Курбатов В. А. Руководство по защите от внутренних угроз информационной безопасности. – СПб.: Питер, 2008. – 320 с.: ил. 4. http://tehn-s.ru 5. http://www.naim.ru/ 6. http://7784311.ru/utechka-informatsii.html 7. http://www.anti-bug.biz/obnarug.php 8. http://www.consultant.ru 9. http://www.detsys.ru/?tc=111&sc=114 10. http://www.bre.ru/security/12307.html 11. http://it2b.ru/blog/arhiv/627.html 12. http://marketinginform.ru/publications/lemkev-kommercheskoy-razvedke/ 13. http://www.staffcop.ru/articles/Information_ leakage.php 14. http://ci-razvedka.ru/Biznes-RazvedkaZakonnoe-i-Zfpreshchennoe.html Ноябрь 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ЕСТЬ РЕШЕНИЕ | РЕПУТАЦИЯ КОМПАНИИ

АЛЕКСЕЙ ДРОЗД, аналитик компании SearchInform

VINICIUS TUPINAMBA / SHUTTERSTOCK.COM

Как сотрудники наносят ущерб имиджу и репутации компании

Для любой компании одним из главных активов является ее имидж. Если она имеет хорошую репутацию, то ей не страшны ни кризисы, ни другие экономические катаклизмы, потому что у нее всегда будут клиенты. Именно поэтому имидж и репутация – это то, что тщательно выстраивается и оберегается от посягательств. Неслучайно в судах рассматривается огромное количество исков, связанных с защитой деловой репутации, и суммы по ним бывают просто астрономическими. Никого не удивляет, что те компании, которые являются обладателями самих дорогих в мире брендов, отличаются и безупречной деловой репутацией, именно она является залогом их рыночного успеха на протяжении целых десятилетий. 46

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Ноябрь 2012

WWW.S-DIRECTOR.RU

сожалению, угрозы репутации компании исходят порой не только извне, хотя, безусловно, достаточное количество различных конфликтов с конкурентами случается именно в результате репутационных столкновений. Но именно сотрудники организации, распространяющие о ней негативные сведения, к тому же в большинстве случаев не имеющие ничего общего с действительностью, могут навредить куда сильнее, чем даже самые недобросовестные конкуренты. И при этом наказать их за подобное поведение заметно сложнее, чем любую из конкурирующих организаций. Каким же образом работники способны нанести ущерб репутации компании? Прежде всего путем публикации сведений, порочащих ее, на различных сайтах, форумах, в блогах, социальных сетях. Сообщения, оставляемые ими на этих публичных ресурсах, оказываются доступными

сведений, является месть руководству за наложенные дисциплинарные наказания или за то, их мало ценят. Как правило, размещение негативной информации производится людьми в состоянии эмоционального возбуждения, вызванного, например, получением выговора от начальника. Также достаточно часто такие сведения публикуется уволенными или уволившимися работниками, которые, уходя из компании, стараются «хлопнуть дверью» как можно громче, полагая, что бывший работодатель не сможет никоим образом наказать их за это. К счастью, благодаря современным средствам обеспечения информационной безопасности у организаций есть возможность оперативно выявлять сотрудников, которые распространяют негатив прямо с рабочего места, нанося вред имиджу и репутации своего работодателя. Одним из лучших среди подобных средств по

Как правило, размещение негативной информации производится людьми в состоянии эмоционального возбуждения, вызванного, например, получением выговора от начальника большому количеству пользователей, и в результате компания может понести заметные репутационные потери. Впрочем, не нужно думать, что риски для репутации и имиджа организации связаны только с публичными ресурсами, сотрудник способен предоставить подобную информацию своим собеседникам и в частном порядке, например, при переписке с помощью ICQ. Побудительным мотивом для таких действий работников, т. е. распространения порочащих компанию

праву считается «Контур информационной безопасности SearchInform». Осуществлять мониторинг порочащей информации целесообразно по названию компании, а также по списку ключевых негативных слов, таких как «недобросовестный», «красть» и иных, т. е. тех, которые наиболее часто встречаются в критических отзывах об организациях, появляющихся во Всемирной паутине. Составлять перечень таких слов следует с учетом отраслевой принадлежности компании.

онятие «Деловая репутация» обозначает нематериальное благо, которое представляет собой оценку деятельности лица (как физического, так и юридического) с точки зрения его деловых качеств. Деловая репутация представляет собой своего рода «доброе имя» лица и учитывается в составе его нематериальных активов наряду с авторскими правами, ноу-хау и торговыми марками. Деловая репутация может быть как положительной, так и отрицательной. Деловая репутация может оцениваться как качественными, так и количественными показателями. В качестве примера количественного показателя можно назвать стоимостную оценку деловой репутации, используемую в российской экономической практике при бухгалтерском учете нематериальных активов: стоимость деловой репутации определяется как разница между текущей рыночной ценой, предлагаемой продавцу (владельцу) актива при приобретении предприятия как имущественного комплекса (в целом или его части), и стоимостью всех активов и обязательств по бухгалтерскому балансу на дату его покупки (приобретения), т. н. гудвилл − экономический термин, используемый в бухучёте, торговых операциях для отражения рыночной стоимости компании без учета стоимости активов и пассивов.

В случае обнаружения факта распространения сотрудником негативной информации, как и при большинстве других инцидентов, связанных с нарушениями политики информационной безопасности, лучше всего провести с работником разъяснительную беседу и выяснить мотивы его поведения, а затем дать ему «испытательный срок» для исправления. В случае повторения инцидента следует поднимать вопрос о гораздо более серьезных санкциях в отношении виновного, вплоть до увольнения. Ноябрь 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ЕСТЬ РЕШЕНИЕ | РОЗНИЧНАЯ ТОРГОВЛЯ

СЕРГЕЙ ИВАНОВ, директор по службе Охранной группы «Дубровник»

ЧОП в магазине Проблемы и решения Потребность в охране торговых предприятий возникла с открытием первого магазина. По мере развития торгового бизнеса совершенствовалась и порой изменялась принципиально сама охрана. С внедрением в торговле метода открытой выкладки товаров наступил охранный бум. Действительно, магазины самообслуживания практически не могут работать, если в торговых залах отсутствует охрана. Даже в советский период в крупных магазинах самообслуживания всегда присутствовал работник милиции или патрульный наряд милиции «барражировал» неподалеку, контролировал и территорию, и магазин. С открытием рыночного этапа нашей истории все сетевые магазины обзавелись частной охраной в разной форме. К сожалению, одну из основных проблем торговли − кражи в магазинах − присутствие частной охраны в полной мере не решило. Оно и не могло решить, так как одной частной охраны в данном случае мало. О проблемах охраны торговых сетей и способах их решения расскажет директор по службе Охранной группы «Дубровник» Сергей Иванов.

настоящее время различные торговые предприятия (супермаркеты, гипермаркеты, дискаунтеры) по-разному решают задачи охраны товарно-материальных ценностей (ТМЦ) и обеспечения безопасности персонала. Кто-то «заводит» службу внутреннего контроля, выполняющую фактически задачи охраны, другие, особенно, крупные торговые сети, организуют у себя службы безопасности или нанимают частные охранные предприятия и т.п. В ОГ «Дубровник» сформирован узкоспециализированный отдел «Охрана торговых сетей», который занимается обеспечением охраны исключительно магазинов. 48

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Ноябрь 2012

Кратко все действующие на сегодняшний момент стратегии охраны можно свести к пяти вариантам (рис. 1):

Привлечение к охране торгового предприятия частного охранного предприятия. Комбинированный вариант: служба безопасности и привлечение к охране торгового предприятия частного охранного предприятия. Один из способов противодействия магазинным кражам – торговый персонал сам обеспечивает безопасность ТМЦ. Используется, как правило, в небольших магазинах. Не будем в данной статье заниматься анализом достоинств и недостатков различных стратегий организации охраны, так как изначально сформулирована другая задача, но, тем не менее, уточним, что проблемы организации охраны магазинов и способы их минимизации будем рассматривать с позиций частного охранного предприятия. Абсолютно уверен в том, что эффективную охрану любых объектов может обеспечить только частное охранное предприятие, имеющее узкую профильную специализацию, и этот вывод подтверждается повседневной работой крупных охранных структур. Зададимся вопросом: «От кого охраняет магазин охрана?». Если этот вопрос задать нашим потенциальным заказчикам, в лице руководителей торговых предприятий, то в девяти случаев из десяти, получим ответ: «От покупателей! Тянут все что можно, а сколько портят?». К счастью есть статистика, и она рисует совсем другую картину. На диаграмме (рис. 2) показана доля уча-

Принято считать, что охрана в магазине находится для поимки воришек. Это глубокое заблуждение Организация службы режима (службы контроля), выполняющей функции охраны. Организация службы безопасности, имеющей в своем составе подразделение охраны.

стия в потерях ТМЦ покупателей и различных категорий персонала магазина. Можно привести более подробные диаграммы, раскрывающие участие персонала торгового предприятия в хищениях, но всему свое время. Из диа-

WWW.S-DIRECTOR.RU

РИС. 1. ВАРИАНТЫ ОРГАНИЗАЦИИ ОХРАНЫ МАГАЗИНА

Служба режима (контроля)

Служба безопасности (подразделение охраны)

Частное охранное предприятие

Персонал магазина

Охрана магазина

граммы на рис. 2 важно понять то, что виновниками более половины краж как по количеству, так и по сумме ущерба являются различные категории сотрудников торговых предприятий. Это важно знать, приступая к организации охраны магазина. Диком Гилметом (Dick Gilmet) из фирмы Prime Computer разработана теория, согласно которой люди могут вовлекаться в криминальную среду (приобщаться к хищениям) согласно пропорции: «10-10-80». Суть ее состоит в следующем:

10 % людей никогда не воруют, ибо это несовместимо с их моралью; 10 % людей воруют при каждом удобном случае, при любых обстоятельствах; 80 % людей, как правило, честные, за исключением тех случаев, когда появляется соблазн (возможность) украсть. Действует еще одно заблуждение относительно охраны магазина. Почему-то принято считать, что охрана в магазине находится для поимки воришек. Это глубокое заблуждение. На самом деле охрана в магазины выставляется для

того, чтобы в них не было воришек. Если именно так ставить задачу и определять предназначения охраны, то и инцидентов с попытками вынести неоплаченный товар будет меньше. Объясняется это обстоятельство просто. Пытаясь ловить воров, сотрудник охраны будет стараться «узнать» его в лицо, но оно ему не известно. Значит задача, таким образом, не решается. Если же он будет внимательно следить за обстановкой на посту, замечать все несуразности и необычное поведение покупателей и персонала, то Ноябрь 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ЕСТЬ РЕШЕНИЕ | РОЗНИЧНАЯ ТОРГОВЛЯ

РИС. 2. РАСПРЕДЕЛЕНИЕ ОТВЕТСТВЕННОСТИ ЗА ПОТЕРИ В МАГАЗИНЕ

50 70% ТОРГОВЫЙ ПЕРСОНАЛ

10%

30 60%

АДМИНИСТРАТИВНЫЕ РАБОТНИКИ

ПОКУПАТЕЛИ

Виновниками более половины краж как по количеству, так и по сумме ущерба являются различные категории сотрудников торговых предприятий скорее заметит любые попытки чтолибо прикарманить, более того, внимание охранника ко всему, что происходит в зоне его ответственности, обязательно насторожит злоумышленника, и кража не состоится! Такой вывод подтвержден не только нашим опытом. Одного старого магазинного вора спросили: «Что чаще всего мешает Вам совершить кражу в магазине?». Ответ для неподготовленного слушателя прозвучал неожиданно: «Терпеть не могу внимание продавцов и охраны! Очень мешает!». Нередко при общении с заказчиками у последних возникают вопросы типа: «Как выбрать охрану? Какая требуется охрана? Как оценить работу охраны?». Следует насторожиться, если в процессе обсуждении условий выставления охраны на объекте, возникают у новых заказчиков оценки предыдущей охраны типа: «Охрана, которая у нас работает нам (мне) не нравится!». При этом каких-либо объективных оценок не дается, просто не нравится! Опыт показывает, что так возникает всегда, когда условия работы охраны, контроля охраны и текущие оценки выполнения 50

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Ноябрь 2012

условий договора не проводятся, а продвижение того или иного ЧОПа на потенциальный объект охраны лоббируется кем-либо из представителей заказчика. В нашей практике совсем недавно был именно такой случай. Представители Охранной группы «Дубровник» прибыли на объект для проведения аудита с целью подготовки предложений (концепции) организации охраны. Первое, что насторожило, на объекте от администрации не было ответственного за охрану и режим. Тех, что были, ранее уволили, новых не назначили, и фактически охрану от заказчика курировали случайные люди, совершенно не смыслящие в этом вопросе. Получить актуальные данные для аудита безопасности объекта было просто невозможно. Было такое впечатление, что разговаривали на разных языках. Чтобы избежать таких ситуаций при подготовке концепции охраны нового объекта и подготовки проекта договора, сотрудники ОГ «Дубровник» поступают следующим образом. На уровне первых лиц заказчика и ЧОПа, прежде чем приступить к согласованию проекта договора, договариваются о создании

рабочей группы по подготовке рабочего варианта договора. Если на объекте есть СБ, то проблем не возникает, если нет, то сразу предлагаем возглавить рабочую группу нашему представителю, а от заказчика выделить представителя с полномочиями показать все, что необходимо для успешной работы, и познакомить со всеми, с кем придется далее в ходе работы взаимодействовать. В процессе обследования объекта охраны обязательно изучаем организацию торговли, выкладки товаров, хранения, приемки товаров, проведение промоакций, внешних и внутренних инкассаций и т.д. Все это очень важно для разработки и построения системы охраны. Более того, в процессе предварительных переговоров рекомендуется согласовать вопросы информирования руководства охраны обо всех предполагаемых изменениях в организации товародвижения, включая выкладку товаров и проведение промоакций, заблаговременно. Это важно для уточнения задач сотрудникам охраны, заступающим на посты. Кроме того, может потребоваться перенастройка технических систем охраны. Еще очень важный момент предварительной работы – согласование позиций о солидарной ответственности за потери в магазине. Речь в данном случае идет не о сумме компенсации, которую обязуется выплатить ЧОП, а о том: какие потери магазин выставляет в вину охране объекта; как определяется размер потерь; участвуют ли представители ЧОПа в расследовании случаев выявления потерь в магазине. Вопрос этот очень важный и достаточно сложный, так как часто обостряет взаимоотношения администрации магазина и руководства ЧОПа. Чтобы заранее возможные проблемы в данном вопросе сгладить, предлагаю договариваться об условиях солидарной ответственности на этапе согласования договора. И прежде всего − согласовать свои действия по следующим позициям: Контроль охраной ТМЦ при приемке поставляемой продукции и при отправке. Выявление охраной отклонений в

WWW.S-DIRECTOR.RU

РИС. 3. ЗАКРЕПЛЕНИЕ ПОМЕЩЕНИЯ МАГАЗИНА И ПРИЛЕГАЮЩЕЙ ТЕРРИТОРИИ ПО ЗОНАМ

выполнении регламента приемки или проверки при оправке со стороны персонала должно служить основанием к отклонению претензий магазина о солидарном возмещении ущерба. При обнаружении фактов поставки продукции с различными нарушениями привлекать к участию в работе комиссии представителя ЧОПа (обычно начальник охраны объекта). Повторяющиеся нарушения от одного и того же поставщика могут служить основанием к отказу в удовлетворении требований магазина об участии в солидарном возмещении ущерба, так как причиной потерь магазина может быть поставка некачественной продукции. Причем обычно предпосылка такой поставки заложена в договор с поставщиком, где коммерческая дирекция согласовала очень «мягкие» требования к товарному виду поставляемой продукции. Очевидно, кто-то из менеджеров в данном случае заработал бонус от поставщика. Присутствие представителя ЧОПа при проведении инвентаризации в магазине (обычно начальник охраны объекта). В свою очередь охранники на постах по мере возможности контролируют выполнения членами инвентаризационной комиссии выполнения инструкции по пересчету ТМЦ. Участие в расследовании фактов выявленных недостач, ознакомление представителей ЧОП со всеми материалами расследований. Допуск представителей ЧОП по требованию к материалам архива видеозаписей. В том случае, если операторы видеонаблюдения не входят в состав дежурной смены охраны и не подчиняются начальнику охраны объекта. В подтверждение важности перечисленных выше рекомендаций приведу отрывок из выступления одного из руководителей крупнейшего охранного холдинга: «… очень часто процесс приема, учета, хранения и перемещения товаров внутри магазина организован из рук вон плохо, а это всегда ведет к большим потерям. Нередки случаи, когда администрация торгового пред-

ЗОНА 1 ПЕРИМЕТР ТЕРРИТОРИИ, АВТОСТОЯНКА ЗОНА 2 ПЕРИМЕТР ЗДАНИЯ, ДЕБАРКАДЕР ЗОНА 3 ТОРГОВЫЙ ЗАЛ МАГАЗИНА, КАССОВАЯ ЗОНА ЗОНА 4 СЛУЖЕБНЫЕ ПОМЕЩЕНИЯ, КАБИНЕТЫ

ЗОНА 5 МОНИТОРНАЯ, СКЛАД, КАБИНЕТ ДИРЕКТОРА ЗОНА 6 ГЛАВНАЯ КАССА, СЕРВЕРНАЯ, КОМНАТЫ ДЛЯ ХРАНЕНИЯ ДЕНЕГ И ЦЕННЫХ БУМАГ

приятия старается переложить всю вину за потери на охрану и отказывается признать очевидные факты «бардака». Необъективная оценка работы охраны, когда в магазине действительно из рук вон плохо отлажены технологии движения товара, учета и контроля иначе как «переводом стрелок» на ЧОП назвать нельзя. Такие обвинения в адрес охранной организации надо обоснованно отвергать. А еще лучше, если на явные недостатки в организации приема, хранения и учета ТМЦ будет указано при подписании договора. И тогда либо вообще пункт о материальной ответственности охраны из договора надо исключить, либо заложить такие нормативы, чтобы интересы ЧОПа не страдали …». Важное условие организации охраны в магазине – обязательно согласовать с руководством заказчика вопрос о назначении ответственного за охрану. Очень часто в сетевых магазинах имеются руководители или инспекторы по режиму. Бывает, что нет никого или поручают заниматься этой проблемой совершенно неподготовленному чело-

веку. Если все-таки удалось установить, кто от заказчика будет курировать охрану, надо добиться еще, чтобы обязанности такого ответственного были четко сформулированы и утверждены самим заказчиком, а также доведены до руководства ЧОПа. Иногда предлагают функции менеджера по режиму возложить на начальника охраны объекта. Мы не сторонники такого подхода к решению проблемы, так как это неизбежно скажется на качестве и охраны, и безопасности магазина в целом. В практике работы ОГ «Дубровник» приходилось встречаться с менеджерами по режиму, которые занимались исключительно задачей возложения ответственности за потери на охрану и больше ничем. Его не интересовала работа торгового персонала, соблюдение пропускного режима, профилактика или ремонт ТСО, соблюдение регламентов торговли, т.е. ничего. В данном случае рекомендация может быть только одна, как только начальник охраны объекта докладывает вам о невменяемости менеджера по режиму и приводит факты, подтверждаюНоябрь 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ЕСТЬ РЕШЕНИЕ | РОЗНИЧНАЯ ТОРГОВЛЯ

ЗОНЫ ОХРАНЫ ПРЕДПРИЯТИЯ И ИХ ЗАЩИТА Номера зон

Помещения, территория, входящие в зоны

Физическая охрана. Посты (возможные посты), защищающие зоны

Периметр территории, автостоянка

Видеонаблюдение, (система сигнализации)

Внешний пост (КПП, патруль), пост в мониторной

Периметр здания, дебаркадер

Видеонаблюдение, (система доступа), (система сигнализации)

Внешний пост, пост на дебаркадере (вход/ выход со склада), пост в мониторной

Торговый зал, кассовая зона, выход из торгового зала. Производственные помещения(цеха)

Видеонаблюдение, система защиты от краж, (система доступа), (система охранной и тревожной сигнализации)

Внешний пост, пост на выходе, скрытые агенты, пост в мониторной

Служебные помещения, кабинеты менеджеров, специалистов, администрации и пр.

Видеонаблюдение, (система защиты от краж), система доступа, система охраной сигнализации

Пост на вх./вых., пост в мониторной, (пост в офисе или у служебных помещений, при необходимости)

Мониторная, склад, управление системами жизнеобеспечения, кабинет директора и первых замов.

Видеонаблюдение, (система защиты от краж), система доступа, система охраной и тревожной сигнализации, опечатывание комнат и сдача под охрану.

Пост на вх./вых., пост в мониторной, (пост в офисе или у служебных помещений, при необходимости)

Главная касса, серверная, комнаты для хранения денег и ценных бумаг, архив, телефонный узел

Видеонаблюдение, усиленная система доступа, система охранной и тревожной сигнализации, опечатывание комнат и доступ строго ограничен

Пост на вх./вых., пост в мониторной, (пост в офисе или у служебных помещений, при необходимости усиленный контроль за помещением)

вать не буду, она достаточна типичная и известная. Увеличивать смену охраны в супермаркете в ночное время экономически нецелесообразно, невыгодно. Договорились с местным отделением полиции о помощи магазину. Представители ЧОПа познакомились с руководством местного отделения полиции, начальник охраны объекта наладил контакты с начальником подразделения общественной безопасности, с патрульными группами полиции и участковым. В результате была организована следующая схема: как только собиралась тусовка, так к магазину подтягивался патруль. Пресекли несколько попыток правонарушений молодежи, и на этом проблема разрешилась. Больше не было ни рывков, ни самой тусовки, у правонарушителей просто пропал интерес. Несколько слов о составе системы охраны. Учитывая тот факт, что в любом магазине распределение ТМЦ, наличных денег и перемещение людей по объекту представляет собой достаточно сложную, с точки зрения угроз безопасности модель, обычно охрану магазина органи-

зуют по зональному принципу. При этом соблюдается главное условие – усиление охраны от младшей зоны к старшей. Для унификации подходов к организации охраны весь магазин условно можно разбить на ряд зон, которые называют «зоны охраны» (рис. 3): В таблице приведено соответствие помещений магазина зонам и состав рекомендуемых постов и технических средств охраны. Все сказанное выше говорит о том, что достойную и эффективную охрану магазинов любого формата может организовать только охранное предприятие с узкой специализацией, у которого имеются в штатной структуре следующие службы и подразделения: служба управления персоналом; служба, организующая обучение сотрудников; подразделение контроля за охраной объектов; подразделение аудита охраны объектов; подразделение, занимающееся установкой и профилактикой технических систем охраны.

щие его непрофессионализм и бездеятельность, следует ходатайствовать перед руководством торгового предприятия о замене такого работника. Важный вопрос подготовки к выставлению охраны в магазине – организация взаимодействия с местным отделением полиции. Речь идет не только об уведомлении о выставлении охраны, а именно об организации реального рабочего взаимодействия. Особенно это важно для магазинов, расположенных в «спальных» районах, рядом с молодежными общежитиями и общежитиями, в которых проживают приехавшие на работу из других регионов, в зоне шаговой доступности железнодорожных и автовокзалов. Приведу характерный пример из жизни одного супермаркета, расположенного в одном из спальных районов Москвы. Супермаркет работал круглосуточно. В вечернее время, ближе к 22.00 около него разворачивалась молодежная тусовка. Одним из развлечений были «налеты» на магазин, обычно за пивом, которое выносили методом «рывка». Всю схему описы52

Необходимые (возможные) технические средства для защиты

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Ноябрь 2012

WWW.S-DIRECTOR.RU

Ноябрь 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ЕСТЬ РЕШЕНИЕ | ТЕХНИЧЕСКАЯ УКРЕПЛЕННОСТЬ

КСЕНИЯ ШУДРОВА, аспирант СибГАУ

Безопасность кассовых помещений

GREBNEV / SHUTTERSTOCK.COM

С 1 января 2012 г. вступило в силу Положение № 373-П от 12 октября 2011 г. «О порядке ведения кассовых операций с банкнотами и монетой Банка России на территории Российской Федерации», оно пришло на смену «Порядку ведения кассовых операций в Российской Федерации» от 1993 г. В старой версии Приложением № 3 были определены «Единые требования по технической укрепленности и оборудованию сигнализацией помещений касс предприятий», в соответствии с которыми кассовые комнаты относились к категории «А» и должны были быть оборудованы по высшей степени укрепленности. В новом положении этой серьезной проблеме не уделяется должного внимания, в связи с чем возникает вопрос: каким же образом сегодня следует защищать кассу?

беспечение безопасности кассовых помещений является одним из приоритетных направлений деятельности предприятия. Если раньше существовали утвержденные правила, которым необходимо было следовать, то сейчас 54

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Ноябрь 2012

можно действовать, что называется, на свое усмотрение. Выполнять все старые требования было непросто, однако в них содержалось большое количество ценной информации, которая может пригодиться и в новых реалиях. Например, в них было четко

прописано, на что следует в первую очередь обращать внимание: Расположение помещения. Сейф, огнетушитель. Стены, перекрытия и перегородки. Двери. Окна. Вентиляционные шахты, короба и дымоходы. Запирающие устройства. Дверные петли. Охранная и пожарная сигнализации.

Техническая защита В кассовом помещении можно выделить два рубежа охраны: первый – это двери, окна, некапитальные и капитальные стены, перегородки, потолки, пол, вентиляционные короба, дымоходы; второй – сейфы и запирающиеся шкафы с материальными ценностями. Важно предусмотреть электропитание рубежей охраны от независимого источника. Когда касса сдается, осуществляется ее обесточивание для предупреждения использования злоумышленниками дрелей и других электрических устройств. Если есть возможность выбирать, то кассовое помещение лучше сделать изолированным и расположить на промежуточном этаже здания (верхние этажи предпочтительнее нижних в случае с двухэтажными сооружениями). Окна касс на первых этажах рекомендуется дополнительно оборудовать ставнями. Далее следует определиться с сейфами. Они могут быть взломостойкими, огнестойкими, встраиваемыми, мебельными, оружейными, дата-сейфами (для хранения носителей информации), для надежности их можно крепить к стенам и полу стальными ершами. Наиболее подходящий вариант для оборудования касс – огневзломостойкие сейфы, обладающие защитой как от высоких температур, так и от действий злоумышленников. Встраиваемый сейф можно использовать лишь при высокой прочности той поверхности, в которой он будет размещаться, так как у него есть только внешняя дверь, а все его полезное пространство представляет собой нишу в стене или полу.

WWW.S-DIRECTOR.RU shudrova.blogspot.com

По защите от взлома сейфы подразделяют на следующие классы: Н0, I, II, III, IV, V, VI и VII – в зависимости от характеристик, определяющих степень их надежности: толщины стенок; типа замка (кодовый, электронный, «обычный» с ключом); веса; количества замков. В кассовом помещении нельзя обойтись без огнетушителя, который должен быть, конечно же, исправным. Тонкие стенки такой комнаты и перегородки для надежности можно укрепить изнутри (в редких случаях снаружи) металлическими решетками из арматуры. Двери должны быть настолько прочными, чтобы выдерживать любую попытку выбить их, а также открыть с помощью лома, отвертки или других инструментов, рекомендуется делать их полнотелыми и подогнанными под дверную коробку. Для укрепления двери обивают листовой сталью, а также дополнительно оснащают цепочкой и дверным глазком. В целях увеличения прочности дверей можно использовать следующие приспособления: предохранительные накладки; предохранительную уголковую замковую планку; массивные дверные петли; торцевые крюки со стороны петель; усиленное дверное полотно; дополнительные замки. Входные двери, помимо прочего, защищают решетчатыми металлическими дверями или раздвижными металлическими решетками. Согласно ГОСТу, дверные блоки на металлические двери могут быть двух видов: наружные (входные в здания, помещения, а также тамбурные); внутренние (входные в квартиру и другие, предназначенные для эксплуатации внутри здания). Металлические двери причисляются к одному из трех классов прочности (М1, М2, М3) в зависимости от показателя их сопротивления: статической нагрузке в плоскости полотна;

статической нагрузке в зоне свободного угла полотна; статической нагрузке в зоне петель; динамической нагрузке в направлении открывания; ударной нагрузке мягким неупругим телом. Предпочтительна установка не менее двух врезных несамозащелкивающихся замков. Дверные замки можно классифицировать по принципу действия на механические, электромеханические и электромагнитные. Врезные механические замки бывают сувальдными, безсувальдными, плоскими (коробчатыми), цилиндриче-

Важный элемент кассового помещения – кассовое окно, которое состоит из стального каркаса; ударостойкого, взломостойкого и пуленепробиваемого стекла; прилавка; передаточного лотка для денег и документов. Передаточный лоток может быть как подвижным, так и неподвижным. При нехватке средств на специализированное окно может быть установлено простое окно с дверцей небольшого размера для операций с клиентами, которое должны быть остеклено, а его стекла надежно вставлены в пазы, дополнительно на окне должны быть надежные запоры. Все

Если есть возможность выбирать, то кассовое помещение лучше сделать изолированным и расположить на промежуточном этаже здания скими и дисковыми. Замки различаются также по таким признакам: количеству сувальд; виду ключа; количеству оборотов, на которые они запираются; сложности их взлома; возможности их открытия с обеих сторон ключом; способа установки (врезной, накладной, навесной). По ГОСТ 5089-2003 замки разделяют на четыре класса: 1-й – с низкими охранными свойствами (для запирания подсобных помещений и внутренних дверей в квартирах, офисах); 2-й – с нормальными охранными свойствами (для запирания входных дверей в квартиры, офисы и другие помещения); 3-й – с повышенными охранными свойствами (для запирания укрепленных входных дверей, в том числе металлических, в квартиры, офисы и другие помещения, принимаемые на охрану и предполагаемые к страхованию); 4-й – c высокими охранными свойствами.

окна в кассовом помещении оборудуются решетками, ставнями. Дымоходы и вентиляционные короба, выходящие в помещение кассы, также следует оснастить металлическими решетками. Решетки на окнах могут быть коваными или сделанными с помощью сварки, вторые выглядят эстетичнее, но обойдутся гораздо дороже. Решетки бывают раздвижные, распашные, стационарные и съемные. Важно помнить, что если в кассе всего одно окно, то его нельзя оборудовать стационарной решеткой, так как в случае пожара людям будет отрезан аварийный выход через него. Современные системы контроля доступа поддерживают управление не только турникетом, но также охранной и пожарной сигнализациями. Извещатели делятся на несколько типов: одни ставятся на окна (реагируют на разбитие стекла), другие – на двери (срабатывают при их открытии), третьи (объемники) размещаются в помещении (реагируют на присутствие человека Ноябрь 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

там). Чаще всего в помещениях устанавливается несколько типов датчиков, что позволяет наиболее оперативно узнавать об угрозе. Кроме того, кассовую комнату следует оборудовать пожарной сигнализацией. Существует высокая вероятность того, что там может случиться пожар, а воздействие огня способно нанести значительный ущерб. Поэтому, чтобы денежные средства не пострадали, наряду с пожарной сигнализацией необходимо использовать огнезащитный сейф. В основном управление системами охранной и пожарной сигнализации производится с помощью специализированного программного обеспечения. Это связано с тем, что при большом количестве датчиков механическое переключение каналов, взятие помещений на охрану и снятие с нее становится очень трудной задачей. Если какой-то датчик выйдет из строя, перебор всех шлейфов вручную может стать нетривиальной задачей, так как количество датчиков обычно исчисляется сотнями и тысячами в пределах здания. Современные программы позволяют получать информацию о том, что происходит во всех помещениях, одновременно представляют ее в очень удобном графическом виде. Оператор может видеть непосредственно на своем плане, как расположены датчики и в каком они состоянии – функционируют ли сигнализаторы нормально, взяты ли помещения под охрану либо имеются какие-то проблемы. Срабатывание датчика не всегда вызвано проникновением злоумышленника в здание, возможно, дверь в помещение неплотно закрыта, не исключены и ложные тревоги. Бывают случаи, когда простое размешивание чая ложкой в стакане приводит к подаче оконными датчиками сигнала о разбитии стекла. Чем лучше настроены датчики, тем реже происходят ложные срабатывания. В обязательном порядке настраиваются пожарные датчики – они могут реагировать даже на пыль, поэтому для них подбирают нужный 56

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Ноябрь 2012

AARON AMAT / SHUTTERSTOCK.COM

ЕСТЬ РЕШЕНИЕ | ТЕХНИЧЕСКАЯ УКРЕПЛЕННОСТЬ

порог чувствительности, а также регулярно чистят. Периодичность чистки зависит от состава воздуха в помещениях, так, в цехах пыли больше, и, соответственно, там эту операцию приходится производить чаще. Важно для безопасности кассы предусмотреть тревожную кнопку и скрытно расположить ее так, чтобы кассиру было удобно нажать ее, не привлекая лишнего внимания. По сигналу, который поступает от тревожной кнопки в охранное предприятие, будет осуществлен выезд бригады охранников, которые оперативно примут необходимые меры. Необходимо также обеспечить автономный источник питания для тревожной кнопки, так как злоумышленник может попытаться обесточить помещение для того, чтобы сигнализация не сработала. Не всегда кассовые помещения являются отдельными комнатами в зданиях, иногда это может быть так называемая кассовая будка, которая стоит на улице. Такие будки часто встречаются в парках отдыха. Безопасность в этом случае гарантируется тем, что окошко закрывается прочным стеклом, часто тонированным. Специалисты утверждают, что использование тонированного стекла позволяет повысить безопасность по двум причинам: во-первых, если окна прозрачные, то толкнуть на совершение преступления злоумышленника

может один вид пересчитываемых денег, во-вторых, преступнику будет легче применить методы социальной инженерии, имея визуальный контакт с кассиром. Например, если в кассе работает молодая девушка, то он может попытаться отвлечь ее разговорами, что не даст ей возможность внимательно пересчитать деньги, кроме того, она может не заметить фальшивые купюры. В кассовых будках отдельно выделена форточка для приема документов, для того чтобы ни при каких обстоятельствах не было потребности полностью открывать окно. Сейф может быть приварен к каркасу будки для надежности. Кассовые будки, как и кассовые помещения, часто оборудуют переговорным устройством. Очень полезная деталь – передаточный лоток для денег. Также для удаленного контроля можно установить видеорегистратор. Одной из мер безопасности является использование обзорных зеркал в кассе. При правильной их настройке кассир может наблюдать за тем, что происходит в зале и оперативно отмечать подозрительную активность клиентов. Вместо зеркала для лучшего владения ситуацией можно установить средства видеонаблюдения. Если кассовое помещение находится в удаленном месте, то для безопасности кассира следует повесить камеры над входными дверями в здание.

WWW.S-DIRECTOR.RU

Организационная защита В целях осуществления внутриобъектового режима на территории предприятия приказом руководителя утверждается перечень помещений с повышенным уровнем контроля доступа, одно из них – это касса. В этих помещениях устанавливается специальный режим, за его соблюдение несут повышенную ответственность сотрудники определенных структурных подразделений. По окончании рабочего дня помещение кассы и другие объекты с повышенным уровнем контроля доступа закрываются и опечатываются ответственными лицами этих структурных подразделений. Ключ от них в нерабочее время хранится в опечатанном сейфе. Порядок сдачи и приема таких помещений определяется исходя из особенностей работы компании. Охрана может осуществляться лицензированными охранниками по договору, но чаще всего организации ограничиваются наймом сторожа или вахтера. Список лиц, имеющих право вскрывать (закрывать) указанные помещения, с номерами их контактных телефонов составляется и подписывается начальником соответствующего структурного подразделения и руководителем организации, а затем передается на контрольно-пропускной пункт. Опечатанные двери служебного помещения разрешается вскрывать лишь в присутствии представителя того структурного подразделения, которое несет за него ответственность, а при чрезвычайных ситуациях это может сделать только комиссия. Ее состав утверждается приказом по предприятию, в комиссию могут входить главный бухгалтер, директор по безопасности, руководитель финансовой службы и т. д. При вскрытии помещений комиссия составляет акт, где фиксирует дату, причину вскрытия и другие важные обстоятельства. Получение ключей, вскрытие помещений с повышенным уровнем контроля доступа осуществляют лица, имеющие на это право. О нарушении целостности оттисков печати, повреж-

дении запоров или других признаках, указывающих на возможные проникновения в эти помещения посторонних лиц, немедленно сообщается начальнику отдела безопасности, комиссией по этому поводу составляется акт. Принимаются меры, описанные в соответствующих инструкциях. Запрещается оставлять помещения с повышенным уровнем контроля доступа в рабочее время открытыми, без людей. В случае возникновения чрезвычайных ситуаций (пожар, авария и т. п.) в нерабочее время сам сторож (или охранник) принимает решение о вскры-

тии помещения. О причинах произведенного вскрытия немедленно ставится в известность лицо, ответственное за указанное помещение, и начальник отдела безопасности. При необходимости производится эвакуация имущества, документации в безопасное место и обеспечивается их сохранность, После ликвидации чрезвычайной ситуации работником отдела безопасности и лицом, ответственным за указанное помещение, составляется акт о произведенном вскрытии. Что можно сделать, если кассовую комнату создать необходимо, а денеж-

Чтобы проникнуть в здание в результате сговора, злоумышленнику придется взять в союзники кассира, охранника и руководителя отдела безопасности, что сделает его предприятие весьма затруднительным

MIKUMISTOCK / SHUTTERSTOCK.COM

Ноябрь 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ЕСТЬ РЕШЕНИЕ | ТЕХНИЧЕСКАЯ УКРЕПЛЕННОСТЬ

ных средств на эти цели выделено немного? Во-первых, чтобы не тратиться на защиту окон решетками и ставнями, можно использовать уже имеющееся помещение без окон либо отгородить часть комнаты, где отсутствуют оконные проемы. Обязательно нужно приобрести сейф или металлический закрывающийся шкаф. Если в помещении уже есть ниша, то ее можно переоборудовать под встроенный сейф. Если нет возможности установить сигнализацию – пожарную и охранную, можно расположить кассу таким образом, чтобы ее было видно с пункта охраны или вахты. И обязательно рядом должен быть огнетушитель. Технические средства охранной и пожарной сигнализации нужны именно на тот случай, если нет возможности осуществлять оперативный контроль за тем, что происходит в помещении кассы. В качестве альтернативы можно порекомендовать видеонаблюдение. Но все эти меры, как организационные, так и технические, не окажут никакого эффекта, если кассиры не станут строго соблюдать инструкции и правила, а охрана будет халатно относиться к своим обязанностям. Часто случается так, что злоумышленник находится в сговоре с кассиром. Тогда все навесные замки и решетки на окнах не помогут. В этом случае преимуществом будет охрана, предоставляемая специализированной организацией с лицензией, так как, вопервых, это профессионалы своего дела, а во-вторых, они не являются сотрудниками организации и злоумышленнику договориться с ними сложнее, чем со сторожем или вахтером. Дополнительной мерой защиты от таких сговоров могут оказаться записи, осуществляемые системой видеонаблюдения на жесткий диск, который находится в недоступном для пункта охраны помещении. И ответственным лицом за эти данные необходимо назначить руководителя или специалиста отдела безопасности. Таким образом, чтобы проникнуть в здание в 58

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Ноябрь 2012

результате сговора, злоумышленнику придется взять в союзники кассира, охранника и руководителя отдела безопасности, что сделает его предприятие весьма затруднительным. Также очень важен подбор персонала, который отвечает за сохранность денежных средств. Для работы в кассе следует подыскать сотрудников с опытом работы и определенными личностными качествами, они должны быть стрессоустойчивыми и психически здоровыми. На все это необходимо обращать повышенное внимание на собеседовании.

Судебные решения Рассмотрим судебное решение, касающееся уголовного дела о проникновении в кассу в целях хищения денежных средств. Суд выяснил, что

нежных средств. Также можно добавить, что деньги должны храниться в закрывающемся шкафу либо сейфе и не привлекать внимание посторонних лиц своей доступностью. Интересным является и другое судебное решение. Иск частному охранному предприятию предъявил банк за то, что оно ненадлежащим образом выполнило взятые на себя обязательства. Ночью в кассу банка пробрались неизвестные, которые взломали неукрепленную дверь клиентского отдела, а затем бронированное кассовое окно. Видеорегистратор зафиксировал время происшествия. После пересчета денежных средств была выявлена недостача в размере 1,619 703 млн руб. Охрана должна была среагировать на происшествие днем за 14 мин, ночью за 8 мин. Однако фактически она это

Бронированное стекло не спасает от взлома, поэтому нужно обязательно предусмотреть техническое укрепление двери, ведущей в помещение кассы события развивались следующим образом: N подошел к женщине-кассиру в больнице и попросил ее дать денег, та отказалась это сделать. После того как кассир закрыла помещение и вышла, N толкнул окошко кассы, оно открылось, и он рукой дотянулся до деревянного лотка для хранения денежных средств, вытащил оттуда две купюры и скрылся. Было установлено, что окно кассы закрывается дверкой из фанеры, оборудованной задвижкой. При надавливании запертая дверка открывается, и запорное устройство повреждается. Суд обязал виновного выплатить штраф в размере 10 тыс. руб. Из данного судебного решения можно сделать вывод о том, насколько важно техническое укрепление кассы. Легко поддающееся взлому окно поспособствовало хищению де-

сделала на 8 мин позже. Представители охранного предприятия не согласились с иском и потребовали пересмотра дела на том основании, что клиентский отдел не был оборудован сигнализацией. Однако в результате выяснения всех обстоятельств суд пришел к выводу, что в операционной кассе имелась сигнализация, а следовательно, ответчик не выполнил свои обязательства должным образом. Суд постановил взыскать убытки с охранного предприятия в пользу банка. Из данного судебного решения можно сделать следующие выводы: К заключению договора с охранным предприятием нужно подходить ответственно и предусмотреть возможность взыскания с него убытков при недостаточно оперативном реагировании его сотрудников на происшествие.

RAGMA IMAGES / SHUTTERSTOCK.COM

WWW.S-DIRECTOR.RU

Особое внимание следует уделить фиксации времени совершения возможного преступления. Для этой целей необходимо установить видеокамеру, направленную на помещение кассы, и поддерживать на ней актуальное время, а также позаботиться об автономном источнике питания на тот случай, если злоумышленники попытаются обесточить видеокамеры. Как показала практика, бронированное стекло не спасает от взлома, поэтому нужно обязательно предусмотреть техническое укрепление двери, ведущей в помещение кассы. Также дверь имеет смысл оборудовать охранной сигнализацией, тогда сигнал о проникновении поступит гораздо раньше. Еще одно дело из судебной практики позволит заострить внимание на типичных ошибках в том случае, когда требуется обеспечить охрану большой территории предприятия. В рассматриваемом деле эту непростую задачу решал один сторож. Трое злоумышленников напали на него, избили, связали и оставили в сторожке. Затем они проследовали в помещение кассы, ногой выбили входную дверь, рукой – окно, затем выломали решетку в окне кассы. После чего проникли в помещение и

забрали сейф с денежными средствами. Далее преступники проследовали в подвал, где взломали сейф, после чего скрылись с денежными средствами. В ходе расследования было выяснено, что один из них ранее работал на предприятии, что значительно упростило этой группе подготовку преступления, так как они имели представление о состоянии защиты кассы. На основании описанной ситуации можно сделать следующие заключения: Слабая дверь, решетка и стекло в кассе позволили злоумышленникам проникнуть в помещение за небольшой промежуток времени. Сторож, после того как увидел троих неизвестных, ничего не предпринял, а пошел выносить мусор, не захватив с собой тревожную кнопку. Конечно же, следовало четко проинструктировать сторожа о необходимости иметь при себе тревожную кнопку, а также разъяснить ему важность оперативного сообщения о подозрительных людях на территории, особенно в ночное время. Сейф не был закреплен в помещении кассы, что дало возможность злоумышленникам забрать его с собой в подвал для дальнейшего взлома.

Объяснять причины, зачем необходимо охранять кассовое помещение, никому не нужно. Все понимают, что касса является объектом притяжения для многих злоумышленников, которые стремятся завладеть хранящимися там деньгами. Безопасность кассы нужно обеспечивать, конечно же, ради того, чтобы уберечь финансы, но еще крайне важно свести до минимума риск для жизни и здоровья сотрудников, которые там работают. Кроме того, кассовое помещение, не вызывающее доверия, способно навести клиентов на мысли о несерьезности и самой фирмы, которой оно принадлежит. Источники: http://www.prosafe.ru/inf/013.html http://www.salesafe.ru/Particles/art_4/ http://www.webww.net.ru/polz.php?aid=29611 http://www.nora-m.ru/articles/zamki.html http://www.dveripit.ru/dvernye_zamki/polezno_ znat_o_zamkah/ustrojstvo_dvernogo_zamka/ http://www.dvery.eu/st379.html http://www.prosafe.ru/inf/013.html http://f-company.ru/kassovaya_budka http://www.antivor.ru/goodslist.aspx?ID=44 http://www.seclife.ru/article/kassovye-oknaneobkhodimost-sovremennogo-mira http://actoscope.com/yfo/kurganskobl/ celinny-krg/ug/1/kraja-s-proniknoveniem-vpomeschen24122010-17700/ http://www.lawmix.ru/moscow-sydu/89416/ http://actoscope.com/szfo/kalinigradskobl/ leningradsky-kln/ug/1/st162-ch3-uk-rf-razboi-sprimopasn19082010-404289/ Ноябрь 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ЕСТЬ РЕШЕНИЕ | ПЕРЕВОЗКА ЦЕННОСТЕЙ

MIKE DEGTEARIOV / SHUTTERSTOCK.COM

ЕКАТЕРИНА БЕРДНИКОВА, референт компании ООО «Бринкс»

Сейф на колесах

Современное обеспечение безопасности перевозок ценностей и денежных средств Редкая организация на сегодняшний день обходится без необходимости время от времени переслать куда-либо важные конфиденциальные документы, денежные средства или даже некоторый объем ценных грузов. И если с первым довольно успешно справляются курьерские службы, то остальное требует от перевозчика наличия специальной подготовки и технических средств.

руппа Компаний «БРИНКС Россия» предоставляет полный спектр услуг в области перевозки ценностей, безопасной логистики и кассовых операций с 2008 года и на сегодняшний день состоит из управляющей компании, небанковской кредитной организации, частного охранного предприятия и транспортной компании, осуществляющей перевозки по всей России, странам СНГ и зарубежным странам, знанимающим ключевые позиции в торговле ювелирными изделиями, камнями и другими ценностями.

Инкассация и перевозка При слове «инкассация» воображение подсовывает стандартную картинку: мужчины крепкого телосложения с квадратными челюстями, автоматы, броневик и холщовые мешки с печатями, набитые пачками денег. Образ в 60

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Ноябрь 2012

целом правильный, но требует некоторой коррекции. Инкассацией в истинном понимании этого слова считается перемещение наличных средств между организацией и банком, либо между банкоматом и банком. Причем это не просто перемещение из одного места в другое, а еще и целый комплекс процедур, связанных с пересчетом, оформлением, отбраковкой и изъятием фальшивых и ветхих купюр и в конечном итоге – движением по счету. То есть у денег, которые попадают в инкассаторский броневик, всего три пути: в кассу, в банк или в банкомат. Иное дело – перевозка. Перевозить можно все что угодно и что умещается в рамки законности. В качестве груза можно отправлять наличность, ценные бумаги, драгоценные металлы, конфиденциальные документы, пластиковые карты, антиквариат и прочие, дорогие

сердцу отправителя сокровища – инкассацией это считаться не будет. Перевозки, в отличие от инкассации, находятся в ведении транспортных организаций, и «БРИНКС Россия» представлена на этом рынке компанией ООО «БРИНКС». Сфера интересов ее деятельности включает в себя 68 регионов страны и неуклонно расширяется, а ассортимент перевозимых ценностей – от алмазов до дорожных чеков. Небанковская кредитная организация «БРИНКС», в свою очередь, специализируется на инкассаторских услугах, включающих в себя инкассацию и кассовое обслуживание. Так же в рамках компании сформированы подразделения по обслуживанию банкоматов (в том числе с функцией приема наличных – cash-in), банковских киосков самообслуживания и других электронных устройств. Кассовый центр НКО

WWW.S-DIRECTOR.RU

«БРИНКС» (ООО) оснащен современным кассовым оборудованием в соответствии с требованиями Банка России, а также системами видеонаблюдения, установленными во всех ключевых местах обработки наличных средств, что позволяет полностью контролировать процесс и обеспечивать безукоризненную надежность оказываемых услуг.

Сертификация и лицензирование услуг В соответствии со статьей 5 Федерального закона «О банках и банковской деятельности» инкассация денежных средств, векселей, платежных и расчетных документов и кассовое обслуживание юридических лиц относятся к банковским операциям и требуют получения лицензии Банка России. «БРИНКС Россия» имеет право на осуществление указанных банковских операций с 2008 года. В отличие от инкассации, перевозка ценностей российским законодательством никак не лицензируется и не сертифицируется, и теоретически заниматься перевозками ценных грузов возможно без получения специальных разрешений и лицензий. Материальное, техническое и страховое обеспечение этих перевозок полностью возлагается на подрядчика. Такое положение вещей позволяет некоторым компаниям позиционировать себя инкассаторскими, хотя вся «инкассация» сводится к предоставлению транспорта и охраны для перемещения кассира. Нельзя сказать, что это незаконный вид деятельности, но и инкассацией это назвать тоже сложно – если только для рекламного объявления и придания компании значимости. С другой стороны, у этой услуги есть немалый круг своих пользователи, которых устраивает соотношение риска и цены, особенно если перевозки носят эпизодический, не регулярный характер. Нет никакого смысла заключать договор об инкассации с банком и оплачивать ежемесячное обслуживание, если услуга требуется, к примеру, раз в два-три месяца. Тем более что сами банки в большинстве своем не имеют собственной службы инкассации, а также

отдают предпочтение специализированным аутсорсинговым компаниям, что не может не сказаться на цене услуг. Группа компаний «БРИНКС Россия» предоставляет своим клиентам возможность выбора между инкассацией и собственно перевозками, удовлетворяя требованиям даже самых взыскательных заказчиков и применяя к каждому случаю индивидуальный подход. Комплексная система мер безопасности является результатом многолетнего опыта и применения передовых технических достижений. Перевозки ценных грузов могут осуществляться в сопровождении вооруженной охраны, при помощи собственного автопарка либо авиационным или железнодорожным транспортом.

Страхование рисков Основная особенность при обеспечении охраны грузоперевозок, в отличие

что у крупной компании больше возможностей позволить себе не только закупку более надежного и современного и, как следствие, более дорогостоящего снаряжения, но и его содержание и обслуживание. Что касается предварительной подготовки перевозок, то основной риск здесь – утечка данных. Большинство нападений происходит благодаря наличию инсайдерской информации, так как, к сожалению, культура безопасности в России не слишком развита на сегодняшний день. Соблюдение полной конфиденциальности перевозки – отличительная черта компании «БРИНКС». С момента получения груза у отправителя и до момента доставки получателю «БРИНКС» контролирует весь процесс перевозки груза. Работа на условиях «от двери до двери» гарантирует своевременное информирование получателя

Новая для российского рынка услуга «Cash Taxi» является, по сути, разновидностью сопровождаемой перевозки от охраны стационарных объектов, заключается в незащищенности груза и водителя с помощью технических средств, отсутствии возможности получить помощь извне и быстро изменяющейся обстановке. Именно эти причины делают сопровождение грузов одним из наиболее сложных видов охраны и требуют тщательной подготовки – как в техническом плане, так и с точки зрения конфиденциальности. Поскольку деятельность перевозчиков, как уже упоминалось выше, ничем не регламентируется, то и техническая сторона вопроса остается на усмотрение собственно компаний. Исходя из материальных возможностей, размеров компании и добросовестности перевозчика, подбирается парк машин, оборудование для связи, средства индивидуальной защиты для группы сопровождения. Понятно,

о готовящихся в его адрес отправках, а также дает возможность контроля сопроводительной документации. Кроме того, снижение риска при перевозках в значительной мере зависит от подготовленности персонала, и в этом отношении у крупных перевозчиков также больше возможностей для тренинга и обучения сопровождающих грузы сотрудников, чем у мелких охранных предприятий. Страхование профессиональной ответственности пока еще не слишком широко распространено среди российских перевозчиков. Компания «БРИНКС» является единственной на российском рынке, которая предоставляет услуги по транспортировке ценностей клиентов с полной ответственностью за доверенные ценности и при наступлении страхового случая напрямую возмещает ущерб клиенту и берет на себя полную ответственность Ноябрь 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ЕСТЬ РЕШЕНИЕ | ПЕРЕВОЗКА ЦЕННОСТЕЙ

средствами, препятствующими несанкционированному доступу к ценностям. Вполне возможно, что «БРИНКС» в этом отношении станет первой компанией, продвигающейся к созданию цивилизованного рынка инкассации.

Нестандартные услуги

за каждый принятый к перевозке ценный груз независимо от того, отправлен ли груз по России, в СНГ или в любую точку мира. Риск выплаты страховой суммы застрахован через международного страхового брокера Willis. Лимит ответственности перед клиентами НКО «БРИНКС» (ООО), являющимися выгодоприобретателями по заключенному со страховой компанией договору, составляет 100 000 000 (сто миллионов) долларов США в рублевом эквиваленте при разовой перевозке, независимо от стоимости перевозимого. Таких сумм страхового покрытия раньше в России не было.

Подбор персонала Любая, даже самая налаженная система может дать сбой в результате действия «человеческого фактора». И чем серьезней стоящие перед компанией задачи, тем строже должен быть профессиональный отбор. Род деятельности Группы компаний «БРИНКС» таков, что от персонала зависит непосредственная сохранность значительных ценностей, стоимость которых соразмерна иной раз бюджету небольших городов. Профессиональный отбор кандидатов предполагает хорошую физическую подготовку, лицензию охранника, опыт работы в аналогичных должностях, психологическую устойчивость и дисциплину и прочие, необходимые для успешного исполнения обязанностей навыки. Кандидаты проходят проверку 62

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Ноябрь 2012

по специализированным базам данных и местам предыдущей работы. Группа компаний «БРИНКС» имеет собственный учебный центр, программа которого предусматривает повышение профессионального уровня работников непосредственно связанных с операциями по перевозке ценных грузов. Учебный процесс организован в соответствии с программой служебной подготовки, занятия проводятся опытными инструкторами. Для контроля безопасности компания широко использует видеонаблюдение, в том числе и в кабинах броневиков. Последние достижения видеосистем позволяют фиксировать действия, выходящие за рамки повседневных событий – резкие маневры автомобиля, изменение маршрута или графика движения и пр. Используются такие записи как для анализа ситуаций с целью внесения изменений в действующие инструкции и правила, так и с целью мониторинга действий экипажа. Данные в дальнейшем ложатся в оценку деятельности эффективности действий сотрудников. То есть, как можно видеть, система постоянно совершенствуется и дополняется. На сегодняшний день наблюдается всемирная практика перехода на новые, автоматизированные процессы инкассации. Количество людей в экипаже броневика будет стремиться к уменьшению, а сама машина – к оснащению различными техническими

Не останавливаясь на достигнутом уровне, компания «БРИНКС» применяет в работе передовые технологии и оказывает клиентам нестандартные услуги, которые разрабатываются специалистами компании с учетом индивидуальных пожеланий заказчика. Примером может служить использование одноразовых сейф-пакетов – современного и надежного средства защиты с широким спектром использования, от инкассации наличных средств до перевозки ценных бумаг и защиты от подделки важных документов с функцией ограничения доступа к ним. В случае с инкассацией использование таких пакетов позволяет отказаться от мешков, пломб и шпагатов. Это сразу влечет за собой снижение стоимости услуг для клиента, которому не нужно будет озадачиваться приобретением расходных материалов. Каждый пакет снабжен уникальным девятизначным номером, штрих-кодом и несколькими степенями защиты от несанкционированного вскрытия: сложная сетка в местах нанесения информации и номера, микрошрифт по всему периметру сейф-пакета, термоиндикатор и перфорация на ленте безопасности, расслаивающаяся при попытке механического воздействия. Кроме того, нанесение повторяющегося текста по всей площади защитной ленты и проявление надписи «OPEN» при несанкционированном открывании приводит к деформации пакета и невозможности его повторного восстановления. Еще одним средством, медленно и осторожно входящим на рынок инкассаторских услуг, являются спецкейсы. Два года назад Сбербанк первым в стране начал использование этих контейнеров, которые при несанкционированном вскрытии окрашивают

WWW.S-DIRECTOR.RU

$100млн ЛИМИТ СТРАХОВОЙ ОТВЕТСТВЕННОСТИ ПЕРЕД КЛИЕНТАМИ НКО «БРИНКС", СОСТАВЛЯЕТ 100 000 000 (СТО МИЛЛИОНОВ) ДОЛЛАРОВ США В РУБЛЕВОМ ЭКВИВАЛЕНТЕ

Для контроля безопасности компания широко использует видеонаблюдение, в том числе и в кабинах броневиков находящиеся внутри купюры специальной краской, что делает невозможным их дальнейшее использование. Однако новинка мало где прижилась, и сами эксперты «БРИНКС» относятся к ней скептически. «Сама технология может быть дороже, чем наем вооруженной охраны: стоит это кейс недешево − от 3 тыс. долларов за штуку, − считает зампред правления НКО «БРИНКС» Александр Тегай. − При этом у него небольшая вместимость». Помимо тактических решений, компания решает и стратегические задачи. НКО «БРИНКС» в своем омском филиале внедряет радикально новую экспериментальную систему компьюсейфов. Это электронный кассир по приему денежных средств от юридических лиц и индивидуальных предпринимателей, рассчитанный на работу с организациями и поэтому оборудованный приемником на очень большое количество купюр. Сфера применения таких автоматов – от крупных торговых центров с множеством клиентов до отдаленных местностей, в которых затраты на частую инкассацию нерентабельны. Все компьюсейфы оборудованы сигнализацией и системой слежения в ГЛОНАСС – как и все грузы, которые перевозит «БРИНКС». Как только клиент сдает деньги электронному кассиру, они в режиме онлайн зачисляются на его расчетный счет. Налицо несомненное удобство для обеих сторон – сдача выручки и инкасса-

ция не зависят друг от друга и осуществляются в удобное для каждой из организаций время. За счет этого снижается себестоимость операции, а значит – расценки для клиентов. К сожалению, проект задерживается из-за невозможности отождествить компьюсейф ни с одним из типов устройств, прописанных в российском банковском законодательстве. Поэтому потребовался немалый срок на согласования разного рода. В результате первые такие аппараты будут установлены лишь в сентябре-октябре нынешнего года в удаленных сельских районах, подведомственных Омскому филиалу НКО «БРИНКС»: Кемеровской, Новосибирской областей и Алтайского края. Еще один пилотный проект − электронные замки для банкоматов как дополнительная степень защиты. Прибывшие для обслуживания банкомата инкассаторы идентифицируются через GPS, после чего старшему бригады инкассаторов выдается разовый код доступа для вскрытия сейфа банкомата. Второй раз этот код не сработает. Чтобы инкассатор смог получить код повторно, нужна новая заявка банка. Идентификация проводится в круглосуточном режиме.

«Cash Taxi» Пожалуй, ни одна компания не может обойтись в повседневной деятельности без наличных средств как инструмента бизнеса. В том или ином виде «живые» деньги, как самый ликвидный из акти-

вов, присутствуют повсеместно. Соответственно, иногда возникает необходимость эти деньги куда-либо переместить, и тогда встает вопрос: как с наименьшими рисками и наибольшей эффективностью сделать это в кратчайшие сроки. Достаточно новая для российского рынка услуга «Cash Taxi» является, по сути, разновидностью сопровождаемой перевозки. Быстрая и удобная процедура не связана с официальным банковским процессом инкассации, и предназначена для небольших фирм и частных предпринимателей. Фактически, «БРИНКС» просто принимает на свою профессиональную ответственность весь комплекс рисков, связанных с передвижениями денежного курьера. Специально оборудованный автомобиль и обученный водитель многократно повышают безопасность перевозки в отличие от самодеятельных передвижений на персональных машинах.

Оперативность «Время – деньги» − сегодня этот девиз актуален как никогда. Энергичные темпы жизни навязывают бизнесу свои правила, и в гонке побеждает тот, кто ни на минуту не упускает контроль за ситуацией. Все подразделения «БРИНКС», включая «Горячую линию», функционируют круглосуточно, без перерывов и выходных. В любой момент клиент может обратиться в компанию и незамедлительно получить требуемую услугу. Фирменный стиль «БРИНКС» – исполнение заявок «день-в-день». Эффективность такого режима доказана многократно. Например, в кассовом центре НКО «БРИНКС» результатом такого функционирования является минимизация времени зачисления проинкассированных наличных денег – средства оказываются на счете уже на следующий рабочий день после дня инкассации. Так же в круглосуточном режиме производится мониторинг перевозок грузов с информированием клиента о статусе груза на любом этапе его пути. Местоположение любого из инкассационных автомобилей, благодаря системе ГЛОНАСС, так же отслеживается не только региональными, но и центральным офисом. Ноябрь 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ЕСТЬ РЕШЕНИЕ | КОНКУРЕНТНАЯ РАЗВЕДКА

Сбор информации под прикрытием

COMPLOT / SHUTTERSTOCK.COM

ИГОРЬ НЕЖДАНОВ

Когда возникает необходимость в срочном получении информации изнутри организации, а источника там нет, можно для этой цели прибегнуть к прямому контакту с ее сотрудниками, используя для этого самые разные предлоги (легенды). Эта простая на первый взгляд операция на самом деле отличается рядом сложных моментов и имеет свои особенности.

тут нельзя полагаться на случай, ведь самым лучшим оказывается только хорошо подготовленный экспромт. Поэтому надо тщательно продумать весь ход операции, ведь провал может дорого стоить. Наиболее простой путь – это посещение офиса той организации, которая вызывает интерес. Прийти туда можно, например, под видом следующих лиц: потенциального клиента; журналиста; кандидата на вакансию; проверяющего; поставщика товаров или услуг. Если вы посетите офис юридического лица под видом потенциального клиента и пообщаетесь с сотрудниками, то сможете собрать самую разнообразную информацию. Помимо этого, получите контакты, которые, возможно, окажутся для вас полезными в будущем. К подобному посещению нужно готовиться. Как минимум требуется «быть в теме». Иначе есть опасность совершения ошибки с самого начала и провала мероприятия. Хотя можно попробовать и выкрутиться, сказав, что вы новичок и ничего не знаете. Кстати, последний вариант имеет свои плюсы. Он позволяет представителю объекта вашего интереса уверовать, что он может на вас подзаработать, а 64

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Ноябрь 2012

это у менеджеров по продажам главный стимул для действий. Но тут важно не перестараться и не забывать, что у человека, во второй раз пришедшего под такой легендой, уже вряд ли получится расположить к себе менеджера (если только он не произвел закупки). А после того как один и тот же человек под видом потенциального клиента побывает в большинстве фирм на определенном рынке, вряд ли он сможет эффективно работать в этом секторе. По крайней мере, на выставках и шоу-румах компаний ему будет весьма непросто. Не менее информативным может оказаться и приход под видом кандидата на вакансию. Безусловно, для такого появления требуется найти повод, лучше всего, если это будет объявление о поиске сотрудников. Ориентируясь на такое объявление, можно понять, кого ищут, с какими качествами, и соответствующим образом вести себя. Попав в офис, можно собрать такого рода сведения: сколько людей работает (или сколько рабочих мест); насколько активно они трудятся; как относятся к выполнению своих обязанностей; каков основной состав сотрудников, как они выглядят;

в каком состоянии офис, мебель, оргтехника; как часто раздаются телефонные звонки; много ли клиентов; другое. В процессе общения с интервьюирующим специалистом можно выяснить и уровень зарплаты в организации, и случаются ли ее задержки, и политику руководства по отношению к персоналу, а также оценить общее состояние предприятия. Возможен и такой вариант развития событий, что вы подойдете на данную должность, тогда операция перерастет из оперативного опроса во внедрение. Если фирма достаточно известна, а ее руководство стремится к популярности, то можно выступить и в другой роли – журналиста. В этом случае надо прийти туда и сказать примерно следующее: «Такое-то издание планирует ряд публикаций о таком-то рынке, где ваша компания играет не последнюю роль. Поэтому мы решили обратиться именно к вам, поскольку слышали много хороших слов в адрес вашей организации и ее руководства и т. д.». Можно упомянуть и о фактической рекламе объекта посредством планируемой публикации. Главное, не забыть качественно подготовиться:

WWW.S-DIRECTOR.RU

иметь удостоверение журналиста соответствующего издания; позаботиться о том, чтобы в издании подтвердили (хотя бы по телефону) тот факт, что вы у них работаете и в настоящий момент готовите статьи о рынке, на котором действует данная фирма; располагать определенной (первичной) информацией об этом рынке; заранее продумать непрямые вопросы по интересующим вас темам; создать соответствующий антураж. А дальше действовать по правилам скрытого оперативного опроса.

Оперативный опрос Получить информацию об интересующей фирме можно посредством общения с ее сотрудниками или партнерами. Разговор должен выглядеть для опрашиваемых совершенно естественным и случайным. Оперативный опрос, возможно, лучший метод для сбора неопубликованной информации из внешних источников. Он быстр, гибок и относительно недорог, особенно телефонный. При терпении и настойчивости вы, используя его, обеспечите контакт с большим числом людей за короткий промежуток времени. Полученные ответы позволят быстро сориентироваться, сколько еще дополнительной информации вам требуется. Вы также сможете выяснить, с кем еще нужно поговорить. Когда в процессе разговора всплывает новый источник, то вам следует попробовать немедленно вступить с ним в контакт, сославшись на предыдущего собеседника. Это может выглядеть, например, так: «Господин Петров, я только что разговаривал с господином Ивановым, и он предложил мне обратиться к вам...» Для фиксации получаемых данных в процессе опроса используйте диктофон. Это техническое устройство необходимо применять по нескольким причинам: в процессе живой беседы вам будет некогда записывать; если вы будете общаться воочию, собеседника может насторожить тот факт, что вы за ним записываете;

вам удастся зафиксировать не только интересующую вас информацию, но и информационный и эмоциональный фон, что может оказаться полезным при анализе. Обязательно составляйте план мероприятия (беседы). Это структурирует ваши мысли, сконцентрирует вас на конкретной задаче и позволит заранее проработать наиболее вероятные направления разговора. В простом случае план обычно содержит следующие пункты: цель (что хотим получить); объект; где и когда планируется мероприятие (в том числе обстановка); используемая легенда; вопросы, которые можно задать напрямую; косвенные вопросы.

базе. Отчет должен содержать такие разделы: дата, время и место проведения мероприятия; участники; использованная легенда; общий ход беседы и поведение опрашиваемого; полученная информация. Идеально дополнить отчет расшифровкой записи общения.

Методы оперативного опроса Основная задача при проведении оперативного опроса – это снятие психологической защиты собеседника. Для этой цели применяется техника, использующая социальные и психологические приемы, которая дает

Когда в процессе разговора всплывает новый источник, то следует попробовать немедленно вступить с ним в контакт, сославшись на предыдущего собеседника Более развернутый план включает несколько вероятных последовательностей беседы и действий интервьюера в случае ее развития не по сценарию. По окончании мероприятия обязательно составьте отчет, чтобы не упустить какие-то важные моменты. Эти два документа (план и отчет), помимо прочего, дадут возможность оценить эффективность собственной работы и выявить ее недостатки, а значит, позволят поработать над допущенными ошибками, чтобы не повторить их в будущем. Кроме того, если вы проводите подобные мероприятия достаточно часто, то отчеты помогут вам избежать использования одной и той же легенды дважды при работе на одном объекте. Оба этих документа в обязательном порядке необходимо сохранить в вашей информационной

возможность избавиться от той настороженности опрашиваемого, что не позволяет ему выдать деликатную информацию. В такой ситуации хорошо работают такие приемы: чтобы получить определенные сведения, надо дать взамен другую информацию. Искусство здесь заключается в том, чтобы обменять менее ценную на более ценную; если заставить человека аргументировать свою позицию, ставя под сомнение правильность его точки зрения, то рано или поздно тот станет приводить примеры из жизни, подтверждающие его правоту. В 99 % случаев он начнет со слов: «Вот у нас в компании...» Первый шаг в выведывании нужных сведений – это нахождение правильного подхода. В целом лучше, Ноябрь 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ЕСТЬ РЕШЕНИЕ | КОНКУРЕНТНАЯ РАЗВЕДКА

чтобы он не был прямым. Если вы сначала скажете что-то остроумное, а потом приступите непосредственно к важному для вас вопросу, то вряд ли добьетесь нужного результата. Не стоит форсировать развитие разговора. Нельзя начинать с того, что может вызвать негативную реакцию. Когда первый контакт установлен, следует очень осторожно подбираться к намеченной вами теме, предварительно обсудить самый широкий круг общих вопросов и лишь затем приблизиться к нужному направлению беседы. Когда ответы на интересовавшие вас вопросы получены, ни в коем случае нельзя резко обрывать разговор и уходить. Надо, не меняя темпа беседы и не теряя интереса в глазах, спокойно продолжать еще некоторое время обсуждение тех тем, которые интересны вашему собеседнику. Один из самых лучших финалов разговора выглядит примерно так: «Я рад, что мы поговорили. Надеюсь, мы смо-

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Ноябрь 2012

жем пообщаться еще». Основная ваша задача заключается в том, чтобы человек не заподозрил, что у него что-то хотели узнать, а еще лучше вообще вскоре забыл, о чем тогда шла речь. Психологи утверждают, что мы лучше всего запоминает то, с чего начинается разговор и чем он заканчивается, а срединную часть беседы зачастую забываем. Многие люди «покупаются» на восторженность. Чем более эмоционален инициатор беседы, тем результативнее он настраивает «на свою волну» собеседника и, следовательно, имеет больше шансов, что тот по своей доброй воле выдаст дополнительные подробности. Также стоит обратить внимание на то, что инициатор общения никогда не должен задавать прямые вопросы: Когда эта продукция была введена на рынок? Каков объем продаж на определенную дату? Прямые утверждения при сборе информации срабатывают намного

лучше, чем вопросы. Вместо высказывания «когда была введена эта продукция?», можно произнести фразу «я не могу поверить, что мы не слышали об этой продукции!» Это прямое утверждение предназначено именно для того, чтобы вызвать ответ. Суггестивная или стимулирующая методика работает очень хорошо, когда вы пробуете собирать информацию, являющуюся новой или отличающейся от имеющейся. Например, требуется выяснить, кто является партнером вашего конкурента по совместному предприятию. Диалог в этом случае может развиваться примерно в таком ключе: − Я слышал, ваша компания создает совместное предприятие с РАО ЕЭС? − Нет, что вы – с «Аэрофлотом». Эта методика хорошо работает, потому что люди, естественно, хотят поправить других. Если то, что вы сказали, неверно, большинство окружающих поспешат

WWW.S-DIRECTOR.RU

сообщить правильную информацию и тем самым показать свою осведомленность. Также важно помнить, что нельзя задавать вопросы в форме «или-или», это ловушка, которую вы невольно устанавливаете для себя изза того, что хотите помочь собеседнику ответить и увеличить свой фактор комфорта. Но проблема заключается в том, что таким образом вы предоставляете другому человеку выбор между только двумя вариантами вашего собственного приготовления, поэтому можете пропустить все другие возможности, которые собеседник готов предложить сам. Стоит заметить: это не то же самое, что выстраивание наводящих вопросов. Можно выделить несколько групп тех, с кем следует проводить оперативный опрос: работники исследуемого объекта; сотрудники организаций, контактирующих с объектом; окружение объекта.

Опрос работников исследуемого объекта удобнее всего осуществлять в местах общего пользования, т. е. там, где они обычно собираются. Это могут быть «курилка», кафе, столовая… Что же касается организаций, контактирующих с объектом внимания, то это поставщики, клиенты, партнеры интересующей вас фирмы, сервисные организаций (поставка канцелярии, питьевой воды, уборка помещений, владельцы офисного здания). И соответственно беседы в этом случае должны вестись с сотрудниками уже этих компаний.

Создание имиджа Когда вы идете на контакт с каким-то субъектом разработки, важно, чтобы у него сформировалось вполне определенное впечатление о вас, которое будет дополнительным стимулом для общения с вами и останется в его памяти. Для этой цели разрабатывается соответствующий имидж, т. е. целенаправленно формируется об-

раз, предназначенный для оказания желаемого эмоционального воздействия на кого-либо. Качественно созданный имидж не должен вызывать подозрения у окружающих. Имидж это не только внешний вид, но еще и особенность поведения, используемая в процессе беседы лексика и манера говорить, соответствующие аксессуары. Поэтому, готовясь к встрече, нужно тщательно продумать свой имидж в соответствии выработанной легендой. В общем виде последовательность действий в этом случае будет следующая: определить цель мероприятия и того, на кого придется оказывать воздействие; создать легенду, которая позволит объяснить собеседнику, кто мы и почему с ним общаемся; на основании легенды разработать имидж, тщательно продумав, какое впечатление мы хотим произвести в процессе общения и посредством чего.

Ноябрь 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

МЕРОПРИЯТИЯ

Конференция DLP-RUSSIA 2012

Первая в России отраслевая конференция по вопросам контроля информационных потоков и защиты конфиденциальной информации от внутренних угроз 21 сентября, в Центре Digital October в Москве прошла международная конференция DLP-Russia − одно из наиболее значимых мероприятий по проблемам защиты корпоративной информации, которая уже в пятый раз проводится по инициативе российской ассоциации DLP-Эксперт. В этом году конференцию посетили 420 представителей более 300 компаний, и еще более 300 человек смотрели трансляцию конференцию online на сайте организаторов.

лавная идея конференции – диалог бизнеса, власти и технологических лидеров: как информационные технологии могут способствовать повышению сохранности и защиты ценной информации – конфиденциальных данных, государственной и коммерческой тайны, интеллектуальной собственности. В этом диалоге принимают участие все стороны: топ-менеджеры, директора по 68

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Ноябрь 2012

информационной безопасности, представители государственных органов власти и бизнес-сообщества, ведущие производители решений и международные эксперты в области защиты конфиденциальных данных от утечек. Пленарная часть конференции была посвящена наиболее заметным тенденциям в сфере ИБ. С докладами выступили Наталья Касперская, руководитель ГК InfoWatch, Андрас Ксер,

ведущий аналитик Forrester Research, Владимир Андриенков, исполнительный директор ООО «Трафика». Заседания секций прошли в три потока: Бизнес, законодательство, практика правоприменения Защита коммерческой тайны, персональных данных, защита интеллектуальной собственности. Оборот информации ограниченного доступа. Внутренний нарушитель. Правомерность контроля и

WWW.S-DIRECTOR.RU

ВЛАДИМИР АНДРИЕНКОВ, исполнительный директор ООО «Трафика»

право на тайну переписки. Что нужно сделать для защиты исключительных прав обладателя информации. Служебный секрет производства. Почему в некоторых случаях нельзя обойтись без мониторинга действий работников, и что по этому поводу написано в законах. Безопасность информации в современном мире Как обеспечить информационную безопасность в современном мире. Как повысить контроль за ИТ-инфраструктурой. Ввод режима коммерческой тайны на предприятии. Защита информации в банковском секторе. Практика, проблемы, решения. Главные современные ИТ и ИБ тренды Новые тенденции и новые технологии в области ИБ. Мобильность, BYOD. Большие объемы информации: категоризация, анализ, эффективное использование. Защита от инсайда − инструменты, законодательство, противодействие неправомерному использованию инсайдерской информации. В ходе секций представители аналитических компаний, разработчики систем защиты и практикующие эксперты рассказали о подходах к обеспечению безопасности информации в эпоху стремительного роста объемов данных внутри компаний, тотальной «мобилизации» современного бизнеса, «безграничности» информационного пространства. Отдельно стоит отметить доклад М. Емельянникова, управляющего партнера консалтингового агентства «Емельянников, Попова и партнеры». Михаил Юрьевич затронул тему защиты интересов технологичного бизнеса в суде. Тема выступления: «История одного судебного процесса: а если бы была DLP-система?». Генеральным спонсором конференции стала компания InfoWatch, которая уже несколько лет подряд поддерживает данное мероприятие и принимает самое активное участие в его организации. Среди спонсоров конференции ведущие отечественные и международные компании – производители программного обеспечения и оборудования для защи-

Очень просто. Правило: вся почта вовне организации отправляется и получается через уполномоченное ею одно лицо. У работников выхода почты вовне нет. Точка. Как бумаги. Где тайна? Плюс ч.4 ГК: служебное произведение и служебный секрет производства. Очень рад, что такая профильная конференция, как DLP-Russia, существует и становится все лучше и лучше. Ведь это не просто площадка, где могут обменяться мнениями специалисты, но и мероприятие, где потенциальные заказчики могут принять окончательное решение по внедрению того или иного решения. Для нас участие в DLP-Russia – это прежде всего обмен информацией о том, как развивается отрасль. Важно отметить, что в этом году, в отличие от прошлых лет, посетители конференции перешли от обсуждения общих вопросов к конкретным вопросам внедрения. МИХАИЛ ХРОМОВ, начальник отдела безопасности ООО «ЛУКОЙЛ-ИНФОРМ» Мне понравился 20-минутный регламент, данный докладчикам для выступления. Это очень удачный размер для того, чтобы структурировать свое выступление и сказать главное. Я слушаю многих докладчиков на различных мероприятиях. Они не могут сформулировать главную мысль в принципе даже за длинный доклад. Попытка ограничить их такими узкими рамками, подвигла спикеров к пересмотру содержательной части в пользу большего структурирования и выделения основных моментов. Еще я заметил, что все конференции, посвященные теме безопасности, постепенно сегментируются. DLP-Russia претендует на то, чтобы занять нишу центрального мероприятия для «пиджаков» в хорошем смысле этого слова. Это не может не радовать, так как в этом сегменте конференций до сих пор наблюдался определенный кризис. МИХАИЛ ЕМЕЛЬЯННИКОВ, управляющий партнер Консалтингового агентства «Емельянников, Попова и партнеры» Мне кажется, конференция набирает обороты, потому что постепенно переходит от обсуждения технических вопросов применения конкретных DLP-систем к общим вопросам предотвращения утечек. Прошлогодняя дискуссия по форензике и дискуссия этого года по защите объектов интеллектуальной собственности демонстрируют рост интереса российского бизнеса к теме защиты информации. Организаторы конференции DLP-Russia очень своевременно отреагировали на эту тенденцию, адаптировав программу конференции под интересы широкого круга специалистов. ВАЛЕРИЙ БОРОНИН, руководитель лаборатории защиты информации от внутренних угроз, «Лаборатория Касперского» Я на конференции уже 4-й раз и вижу, как с каждым годом уровень DLP повышается. Я имею в виду и уровень зрелости компаний, и сами DLPрешения, и конференцию, которая вышла на позицию ведущей конференции по безопасности в нашей стране.

ты конфиденциальной информации: Symantec, Positive Technologies, «Инфосистемы Джет», «Лаборатория Касперского», «Информзащита». О различных ИБ-решениях и практике их применения представители компаний рассказали в ходе продуктовых докла-

дов (вторая часть конференции). В демозоне работала выставка, где разработчики смогли «вживую» представить собственные продукты потенциальным клиентам − отличная возможность для ИБ-специалистов сравнить и выбрать лучшее. Ноябрь 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ПРАВО | ВЗАИМОДЕЙСТВИЕ С ГОСУДАРСТВЕННЫМИ ОРГАНАМИ

ПРАВО

Защита при осуществлении государственного или муниципального контроля

TOMAS URBELIONIS / SHUTTERSTOCK.COM

Проверки

Хозяйствующие субъекты в процессе своей текущей деятельности периодически подвергаются проверкам со стороны различных уполномоченных государственных и муниципальных органов. Порядок проведения таких проверок в настоящее время регулируется Федеральным Законом от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля». Действие данного закона не распространяется на ряд областей, например экспортный контроль, оперативно-розыскную деятельность и иные, где порядок проведения проверок регламентируется специальным законодательством. Хозяйствующие субъекты должны вести журнал учета всех проводимых в отношении них проверок. 70

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Ноябрь 2012

WWW.S-DIRECTOR.RU

АЛЕКСАНДР БЫЧКОВ, начальник юридического отдела ЗАО «ТГК «Салют»

аконом предусмотрен ряд различных правовых гарантий для проверяемых хозяйствующих субъектов, которые призваны обеспечить защиту их прав. Однако самой лучшей защитой проверяемой компании станет та, о которой позаботится она сама. Для надлежащей, своевременной, качественной и эффективной защиты прав и законных интересов компании необходимо принять локальный акт, который будет регламентировать вопросы ее безопасности в такой ситуации. В частности, данный локальный акт позволит урегулировать следующие ключевые моменты: 1. Подготовку к проведению проверки, которая может включать следующие мероприятия: принятие превентивных мер по отслеживанию информации о планируемых проверках; проверку полномочий у проверяющих должностных лиц; осуществление контроля за соблюдением надлежащего уведомления о проводимых проверках; обеспечение своевременного обжалования действий (бездействия) и актов должностных лиц, проводящих проверки. 2. Порядок действий при производстве по делам об административных правонарушениях, в том числе на следующих его этапах: при составлении процессуальных документов; при обжаловании вынесенных решений.

Должностные лица, получив информацию о проведении проверок со стороны органов по курируемой ими области, должны по возможности незамедлительно сообщить об этом в юридический отдел и по согласовании с начальником этого отдела привлечь его сотрудников к правовому сопровождению мероприятия Принятие такого локального акта и его соблюдение позволит руководству минимизировать риски привлечения компании к установленной законом ответственности, обеспечить свою защиту и заранее подготовиться к проводимым проверкам. Это будет способствовать и укреплению безопасности фирмы.

ОБРАЗЕЦ ПРИКАЗА ОБ УТВЕРЖДЕНИИ РЕГЛАМЕНТА ДЕЙСТВИЙ ПРИ ОСУЩЕСТВЛЕНИИ КОНТРОЛЬНЫХ МЕРОПРИЯТИЙ УПОЛНОМОЧЕННЫМИ ОРГАНАМИ Приложение № 1 ООО «Лидер» ПРИКАЗ № 1 от «2» мая 2012 г.

Об утверждении Регламента действий при осуществлении контрольных мероприятий уполномоченными органами 1. В целях надлежащей защиты прав и законных интересов ООО «Лидер», обеспечения его имущественной безопасности, пресечения какой бы то ни было возможности любых противоправных посягательств и злоупотреблений в отношении него, в соответствии с действующим законодательством РФ приказываю утвердить прилагаемый регламент действий при проведении контрольных мероприятий уполномоченными органами. 2. Настоящий приказ имеет обратную силу, и его действие распространяется на отношения, возникшие до его принятия, в связи с чем при проведении проверок в отношении ООО «Лидер» уполномоченными органами изложенные в нем меры и действия должны быть осуществлены незамедлительно. 3. Контроль за надлежащим выполнением настоящего приказа оставляю за собой. Генеральный директор Иванов И. И.

Ноябрь 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ПРАВО | ВЗАИМОДЕЙСТВИЕ С ГОСУДАРСТВЕННЫМИ ОРГАНАМИ

ООО «Лидер» Регламент действий при проведении контрольных мероприятий уполномоченными органами Для целей настоящего регламента используются следующие основные понятия: «Органы» – федеральные, региональные и муниципальные органы исполнительной ветви государственной власти Российской Федерации, любые их управления, территориальные отделы, отделения и инспекции, филиалы и представительства, иные структурные подразделения независимо от места нахождения и ведомственной принадлежности, уполномоченные в сфере осуществления государственного контроля (надзора) за соблюдением действующего законодательства России, как то: прокуратура, Роспотребнадзор, Роструднадзор, Роснедвижимость, ОАТИ г. Москвы и др. «Информация, составляющая коммерческую тайну» – сведения любого характера (производственные, технические, экономические, организационные и др.), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у тех нет свободного доступа на законном основании и в отношении которых ООО «Лидер» введен режим коммерческой тайны, т. е. режим конфиденциальности, позволяющий обществу при существующих или возможных обстоятельствах увеличивать доходы, избегать неоправданных расходов, сохранять положение на рынке товаров, работ, услуг или получать иную коммерческую выгоду. Для целей настоящего положения понятие «информация, составляющая коммерческую тайну» включает в себя также персональные данные, т. е. те, которые относятся к определенному лицу, в том числе его фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и др. «Работники» – все сотрудники ООО «Лидер», как уже работающие, так и те, которые будут приняты на работу после вступления в силу настоящего положения, а также те из них, которые фактически не работают, но за которыми сохраняется рабочее место в соответствии с требованиями действующего трудового законодательства РФ, за исключением лиц, осуществляющих в ООО «Лидер» трудовую деятельность на условиях гражданско-правового договора. «Должностные лица» – работники руководящего состава в должности начальника или заместителя начальника отдела, службы или любого иного структурного подразделения ООО «Лидер». 1. Общие положения 1.1. Действие настоящего регламента распространяется на все филиалы и структурные подразделения ООО «Лидер», которые созданы и осуществляют свою деятельность на дату его издания, а также будет распространяться в отношении всех без исключения филиалов, представительств, обособленных и структурных подразделений ООО «Лидер» в случае их создания в установленном порядке после его издания. Настоящий регламент является обязательным к исполнению для всех без исключения Работников. 1.2. Действие настоящего регламента распространяется на все виды государственного контроля (надзора) со стороны Органов. 1.3. Настоящий регламент определяет цели, функции и задачи, а также порядок действий должностных лиц ООО «Лидер» в случае осуществления в отношении последнего государственного контроля (надзора) со стороны Органов. 1.4. Основной целью должностных лиц ООО «Лидер» при осуществлении контроля (надзора) со стороны Органов является надлежащая и своевременная защита прав общества и охраняемых законом его интересов, имущественной безопасности, включая пресечение возможности возложения на ООО «Лидер» каких-либо обременительных обязанностей в виде совершения им тех или иных действий или установления требований воздержаться от их совершения, а также по уплате штрафов и других, пресечение любых возможных противоправных посягательств и злоупотреблений со стороны Органов. 1.5. С учетом того, что при осуществлении контроля (надзора) со стороны Органов важнейшую роль имеет соблюдение ими законности и правопорядка, а также того, что ООО «Лидер», согласно законодательству РФ, к установленной ответственности может быть привлечено только лишь по основаниям, предусмотренным законом, за юридическим отделом при проведении проверок закрепляется руководящая роль. В связи с этим выполнение рекомендаций, предлагаемых юридическим отделом в части проведения проверок, для всех без исключения Работников является обязательными. Должностные лица ООО «Лидер», получив информацию о проведении проверок со стороны Органов 72

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Ноябрь 2012

WWW.S-DIRECTOR.RU

по курируемой ими области, должны по возможности незамедлительно сообщить об этом в юридический отдел и по согласованию с начальником этого отдела привлечь его сотрудников к правовому сопровождению этого контрольного мероприятия, представлять им все необходимые документы и давать пояснения. Юридический отдел обязан незамедлительно принять участие в этом мероприятии и предлагать свои рекомендации по существу проводимой проверки. 2. Порядок подготовки к проведению проверок 2.1. Сведения о проводимых проверках размещаются в сети Интернет, на сайте прокуратуры субъекта Российской Федерации и соответствующего Органа власти. В этой связи всем руководителям структурных подразделений ООО «Лидер» предписывается с периодичностью один раз в две недели изучать в сети Интернет сообщения на сайтах Органов власти, которые полномочны проверять ООО «Лидер», по той области, которую они курируют, ориентируясь на информацию, размещенную в нижеприведенной таблице. Отдел ООО «Лидер»

Контролирующий орган

Официальный сайт

1. Роспотребнадзор по г. Москве. 2. Роспотребнадзор по ЗАО г. Москвы. 3. Федеральное агентство по туризму. Служба бронирования и размещения 4. ФМС России. 5. УФМС по ЗАО г. Москвы. 6. УФНС по г. Москве

www.rospotrebnadzor.ru 77.rospotrebnadzor.ru www.russiatourism.ru www.fms.gov.ru www.fmsmoscow.ru www.r77.nalog.ru

Отдел по работе с персоналом

1. Государственная инспекция труда г. Москвы. 2. Федеральная служба по труду и занятости населения

www.moscow-git.rostrud.ru www.dmpmos.ru www.rostrud.ru

Медицинский центр

1. Роспотребнадзор по г. Москве. 2. Роспотребнадзор по ЗАО г. Москвы. 3. Росздравнадзор. 4. ФГУЗ «Федеральный центр гигиены и эпидемиологии». 5. Филиал ФГУЗ «Центр гигиены и эпидемиологии в г. Москве»

www.rospotrebnadzor.ru 77.rospotrebnadzor.ru www.roszdravnadzor.ru www.fcgsen.ru www.mossanepid.ru

Противопожарная служба

1. МЧС России. www.mchs.gov.ru 2. Федеральная служба по труду и заwww.rostrud.ru нятости населения. www.trop-nikul.ru 3. Управа района Тропарево-Никулино

Ресторанный комплекс

1. Роспотребнадзор по г. Москве. 2. Роспотребнадзор по ЗАО г. Москвы 3. ФГУЗ «Федеральный центр гигиены и эпидемиологии». 4. Филиал ФГУЗ «Центр гигиены и эпидемиологии в г. Москве»

www.rospotrebnadzor.ru 77.rospotrebnadzor.ru www.fcgsen.ru www.mossanepid.ru

Юридический отдел

1. Генеральная прокуратура РФ. 2. Прокуратура г. Москвы. 3. Федеральная служба государственной регистрации, кадастра и картографии. 4. МВД России

www.genproc.gov.ru www.mosproc.ru www.rosreestr.ru www.mvd.ru

Бухгалтерия

1. УФНС по г. Москве

www.r77.nalog.ru

Ноябрь 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ПРАВО | ВЗАИМОДЕЙСТВИЕ С ГОСУДАРСТВЕННЫМИ ОРГАНАМИ

2.2. Основанием для проведения проверки является приказ (распоряжение) руководителя или заместителя руководителя Органа власти, в связи с чем при отсутствии данных документов или в случае их непредставления Органом власти документы и информация, необходимые для проведения проверки, не предоставляются. Аналогичным образом надлежит поступать в ситуации, если лицом, которое намерено проводить проверку, не предъявляется служебное удостоверение. 2.3. Должностным лицам надлежит иметь в виду, что о проведении плановой проверки ООО «Лидер» должно быть уведомлено в срок не позднее чем за 3 рабочих дня до ее начала посредством направления копии приказа или распоряжения о ее проведении по почте или иным доступным способом. Следовательно, в случае ненаправления таких документов информация и сведения Органам власти не предоставляются. Если же предполагается осуществить внеплановую проверку, то ООО «Лидер» уведомляется об этом за 24 часа любым доступным способом. В связи с этим Должностным лицам следует иметь в виду, что в этом случае в приказе или распоряжении руководителя или заместителя руководителя Органа власти должны содержаться указание на то, что проверка является внеплановой, а также приводиться основания для ее проведения. При отсутствии таких документов информация и документы Органам власти не предоставляются. 2.4. Действующим законодательством РФ допускается ситуация, когда предварительное уведомление ООО «Лидер» о проводимой в отношении него проверке не требуется: если его деятельностью причиняется сейчас либо же был причинен ранее вред окружающей среде, жизни, здоровью людей и др. Однако и в этом случае приказ (или распоряжение) о проведении проверки все равно должен быть представлен, а при его отсутствии надлежит руководствоваться положениями п. 2.2 настоящего регламента. 2.5. Приказ (распоряжение) о проводимой проверке в обязательном порядке должен содержать следующую информацию: – наименование Органа власти; – ФИО и должность лица, уполномоченного на проведение проверки; – указание на то, что проверка проводится в отношении ООО «Лидер» или его соответствующего обособленного подразделения; – цели, задачи и предмет проводимой проверки; – правовые основания для проведения проверки, в том числе ссылки на нормативные акты, устанавливающие требования, соблюдение которых подлежит проверке; – дату начала и окончания проверки; – сроки проведения проверки и перечень мероприятий, в нее входящих; – список требующихся от ООО «Лидер» документов. 2.6. Отсутствие в приказе (распоряжении) о проводимой проверке указанных в предыдущем пункте сведений влечет последствия, предусмотренные п. 2.2 настоящего регламента. 2.7. Должностным лицам надлежит также проверять служебное удостоверение лица, которое проводит проверку в отношении ООО «Лидер», и иметь в виду, что мероприятия по контролю могут осуществлять только те сотрудники Органа власти, которые указаны в соответствующем приказе (распоряжении) о проведении проверки. 2.8. Должностные лица и Работники при проведении любых проверок обязаны не препятствовать им, но и не должны содействовать сотрудникам Органов власти, упрощая им выполнение возложенных на них задач. Им вменяется в обязанность не допускать свободное передвижение сотрудников Органов власти по территории ООО «Лидер», организовать их сопровождение в целях исключения возможных контактов с посетителями, контрагентами, любыми иными третьими лицами. 2.9. Должностные лица обязаны снимать копии со всех документов без исключения, которые составляются в отношении ООО «Лидер». 2.10. Должностные лица обязаны лично присутствовать при проведении проверок, давать необходимые пояснения без искажения действительности, но руководствуясь интересами ООО «Лидер», предоставлять информацию, предварительно согласовав ее с генеральным директором ООО «Лидер». 2.11. При совершении проверяющими лицами каких-либо нарушений или противоправных действий Должностным лицам незамедлительно следует сообщить об этом в юридический отдел и составить по этому поводу акт, в котором необходимо указать дату его написания, время и место, а также сведения о проверке, об Органе власти, который ее проводит, и предмете проверки. Данный документ должны подписать не менее чем четыре Должностных лица. 2.12. По завершении проверки, перед передачей составленных документов на подпись генеральному директору ООО «Лидер», Должностные лица обязаны внимательно изучить содержащуюся в них информацию и в случае несогласия с ней, например, из-за искажения сотрудниками Органов власти тех или иных сведений вписать туда от руки правильные данные. 2.13. Должностные лица ведут журнал учета всех проверок в отношении ООО «Лидер» в порядке, предусмотренном приказом генерального директора ООО «Лидер» № 2 от 2 мая 2012 г. «Об утверждении журнала учета проверок в отношении ООО «Лидер» и требований к порядку его ведения». 74

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Ноябрь 2012

WWW.S-DIRECTOR.RU

3. Порядок действий при производстве по делам об административных правонарушениях 3.1. В том случае, если при проведении проверки возникает вероятность привлечения ООО «Лидер» или его Должностных лиц к административной ответственности за совершение административных правонарушений в той или иной сфере, Должностным лицам надлежит руководствоваться правилами, изложенными в настоящем разделе. 3.2. При составлении протокола об административном правонарушении в отношении ООО «Лидер» или его Должностных лиц данный документ со стороны правонарушителя надлежит подписывать неполномочным лицом. Иными словами, если производство по делу ведется в отношении ООО «Лидер», его генерального директора, протокол подписывать должен любой работник, у которого нет доверенности на осуществление подобных действий. Передача протокола на подпись вышеназванным лицам, за исключением случая, когда сотрудники Органов власти прямо настаивают на этом, не допускается. Указанное правило касается также предписаний, постановлений о привлечении к административной ответственности, актов о назначении административного расследования. 3.3. При вынесении в отношении ООО «Лидер», его генерального директора постановления о привлечении к административной ответственности в его получении также должно расписываться неполномочное лицо, а само постановление должно быть оперативно передано в юридический отдел ООО «Лидер», специалистам которого предписывается незамедлительно заняться разрешением вопроса о необходимости и перспективах оспаривания данного постановления. 4. Заключительные положения 4.1. Все остальные локальные нормативные акты ООО «Лидер» и его обособленных подразделений по вопросам, составляющим предмет регулирования настоящего регламента, при их наличии должны ему соответствовать. 4.2. В том случае, если после вступления в силу настоящего регламента, будет изменено законодательство Российской Федерации таким образом, что отдельные его положения станут ему противоречить, они автоматически без внесения изменений в настоящий регламент признаются недействующими и не подлежат применению.

ОБРАЗЕЦ ПРИКАЗА ОБ УТВЕРЖДЕНИИ ЖУРНАЛА УЧЕТА ПРОВЕРОК СО СТОРОНЫ УПОЛНОМОЧЕННЫХ ОРГАНОВ И ТРЕБОВАНИЙ К ПОРЯДКУ ЕГО ВЕДЕНИЯ Приложение № 2 ООО «Лидер» ПРИКАЗ № 2 от 2 мая 2012 г.

Об утверждении журнала учета проверок в отношении ООО «Лидер» со стороны государственных органов и требований к порядку его ведения 1. В целях надлежащего и своевременного учета проводимых проверок в отношении ООО «Лидер» со стороны уполномоченных государственных органов по вопросам соблюдения действующего законодательства РФ, во исполнение требований ФЗ от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» утверждаю журнал учета проверок в отношении ООО «Лидер» и требования к порядку его ведения. 1. Журнал учета проверок ведется в электронной форме и на бумажном носителе, формируется отдельная папка, в которой находится данный приказ, а также листы с таблицами, содержащими сведения о каждой проведенной проверке в отношении ООО «Лидер». Лист с таблицей, включающей сведения о проведенной проверке, по каждой такой проверке заполняется отдельно и подшивается в папку. 2. Действие настоящего приказа будет распространяться в отношении любых филиалов, представительств и обособленных подразделений ООО «Лидер» в случае их создания после введения в действие настоящего приказа без внесения дополнений в него. 3. Контроль за надлежащим выполнением настоящего приказа оставляю за собой. Генеральный директор Иванов И. И.

Ноябрь 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ПРАВО | ВЗАИМОДЕЙСТВИЕ С ГОСУДАРСТВЕННЫМИ ОРГАНАМИ

ООО «Лидер»

Утвержден приказом генерального директора ООО «Лидер» Иванова И. И. № 2 от «2» мая 2012 г. Журнал учета проверок со стороны органов государственного контроля (надзора), органов муниципального контроля «2» мая 2012 г. (дата начала ведения журнала)

Общество с ограниченной ответственностью «Лидер» (ООО «Лидер») ОГРН _______, ИНН _____, КПП ________ Место нахождения _____________________________

Ответственное лицо: Начальник юридического отдела Петров П. П. ___, e-mail: ___.

СВЕДЕНИЯ О ПРОВЕДЕННЫХ ПРОВЕРКАХ В ОТНОШЕНИИ ООО «ЛИДЕР» 1. Дата начала и окончания проверки 2. Общее время проведения проверки (для субъектов малого и среднего предпринимательства, часов) 3. Наименование органа государственного контроля (надзора), наименование органа муниципального контроля 4. Дата и номер распоряжения или приказа о проведении проверки 5. Цель, задачи и предмет проверки 6. Вид проверки (плановая или внеплановая): – для плановой проверки – ссылка на ежегодный план проведения проверок; – для внеплановой проверки в отношении субъектов малого или среднего предпринимательства – дата и номер решения прокурора о согласовании проведения проверки 7. Дата и номер акта, составленного по результатам проверки, дата его вручения представителю юридического лица, индивидуальному предпринимателю 8. Выявленные нарушения обязательных требований (указывается содержание выявленного нарушения со ссылкой на положение нормативного правового акта, которым установлено нарушенное требование, допустившее его лицо) 9. Дата, номер и содержание выданного предписания об устранении выявленных нарушений 10. Фамилия, имя, отчество (в случае, если имеется), должность лица (лиц), проводящего (-их) проверку 11. Фамилия, имя, отчество (в случае, если имеется), должности экспертов, представителей экспертных организаций, привлеченных к проведению проверки 12. Подпись должностного лица (лиц), проводившего проверку. 76

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Ноябрь 2012

.s-director.ru

БИЗНЕС-КЕЙСЫ

БИЗНЕС-КЕЙСЫ Сегодня мы публикуем решения двух бизнес-кейсов, подготовленных специалистами ГК «МАСКОМ» и опубликованных в прошлом номере – двух разных заданий по одной теме: «Обеспечение комплексной защиты информации от утечки по техническим каналам на объектах информатизации». В первом случае речь шла о государственной организации, обязанной в силу требований нормативных документов защищать информацию, а во втором – о крупном коммерческом предприятии, потребность в информационной безопасности которого вызвана угрозами рынка.

Решение кейса № 1 Когда мы формулировали этот кейс, ставили перед собой несколько целей. С одной стороны, мы хотели привести пример достаточно часто встречающейся на рынке ситуации, c другой – поднять проблему ценообразования в условиях, когда компания получает заказ на необходимый и достаточный объем работ. Возможно, по прочтении задачи у ряда читателей, которые регулярно знакомятся с публикациями в СМИ об искусственно завышенных ценах в различных отраслях промышленности, может сложиться мнение, что предприятия, участвовавшие в конъюнктурном анализе, 78

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

либо не оптимальны с точки зрения расходов, либо нацелены на извлечение сверхприбыли. Действительно, такое возможно. Но одновременно все это и маловероятно. Поэтому, анализируя цену, предложенную компанией – победительницей конкурса, мы все-таки предлагаем рассмотреть иную версию: демпинг в ущерб качеству. Наше решение кейса строится именно с учетом этой версии. Стоит упомянуть, что заказчик сознательно подготовил техническое задание укрупнено, с тем чтобы иметь возможность публиковать его в несекретном виде на открытых торгах. Данное обстоятельство сыграло с победителем аукциона злую шутку. Как, впрочем, и с заказчиком. Ноябрь 2012

Будущий исполнитель не только не дал себе труда съездить на объект, но и не уточнил у организатора конкурса ряд существенных моментов. После подписания государственного контракта выяснилось, что всем основным и вспомогательным техническим средствам и системам (ОТСС и ВТСС) необходимо делать специальную проверку, что площадь каждого выделенного помещения более 40 м² и не с окнами, а с витражами во всю стену. Исходя из условий эксплуатации помещений, окна подлежат защите по оптико-электронному каналу. И таких упущений набралось еще несколько. С учетом вновь открывшихся обстоятельств, а также чтобы не понести пря-

мые убытки, исполнитель применил ряд приемов, позволяющих существенным образом сократить расходы при выполнении работ. Прием 1-й. В рамках специальной проверки технических средств можно провести только их разборку, оклейку голограммами, опись их номеров, а при оформлении итоговых рабочих материалов использовать данные проверок аналогичной техники из ранее выполненных заказов. Возможен и такой вариант: не разбирая техники, оклеить ее защитными голограммами. Таким образом можно сократить затраты по данному виду работ минимум в три раза. Прием 2-й. При осуществлении инструментальных

WWW.S-DIRECTOR.RU

РЕШЕНИЯ КЕЙСОВ ПОДГОТОВЛЕНЫ СПЕЦИАЛИСТАМИ ГК «МАСКОМ»

исследований можно использовать любую имеющуюся под рукой технику, причем вовсе не обязательно, чтобы она имела сертификат и проходила поверку. А иногда «хорошую экономию» дает выпуск протоколов и предписаний без выезда на объект для измерений. В протокол тогда включается список измерительной техники, полученный по договору аренды, и вносятся соответствующие данные из аналогичных документов по предыдущим заказам. Это позволяет подрядной организации сэкономить еще 60–80 % от

ганизационно-технических мер, что на деле означает простое выключение всех вспомогательных технических средств из розеток. В части защиты по системе звукоусиления дешевле вообще «забыть» про каналы утечки речевой акустической информации за счет ПЭМИН, ВЧН в цепях электропитания, заземления, а также ПВЧГ. Это позволит уменьшить счет еще на 30–50 %. Прием 4-й касается защиты автоматизированных систем. Сетевые средства предотвращения угроз (например, межсетевые экраны) настраиваются

В рамках ТО можно сделать полный осмотр, осуществить частичный цикл работ, а можно талон просто купить реальной стоимости работ. Прием 3-й. Минимизация расходов в части оснащения средствами защиты. Например, в том случае, если требуется оснастить помещение средствами защиты по акустическому и виброакустическому каналам, можно поставить минимальный перечень генераторов и датчиков, смонтировать систему и включить ее по максимуму, не проводя настройки и проверки эффективности защиты, т. е. действовать по принципу «поставил-включил». А если необходимо устранить канал утечки информации за счет акустоэлектрических преобразований, то значительно проще прописать в отчетных документах, что он закрыт благодаря применению ор-

без учета требований бизнес-процессов заказчика и информационных потоков. Это сокращает время работ, но чревато возникновением сбоев при получении доступа к информации, что неизбежно приведет к необходимости дополнительной настройки оборудования, которую заказчик вынужден будет осуществлять сам. Таким образом, если компания, принимающая участие в конкурсе, делает ставку (к сожалению, как правило, так и происходит) на использование перечисленных подходов в совокупности, то она потребует за выполнение работ существенно более низкую цену, чем более добросовестные исполнители. Понятно, что ее предложение покажется весьма привлека-

тельным заказчику и почти всегда будет им выбрано. С чем же остается заказчик по окончании выполненных таким образом работ? Здесь весьма уместно провести параллель с получением технического талона на автомобиль. Сходство вполне очевидное: в рамках ТО можно сделать полный осмотр, осуществить частичный цикл работ, а можно талон просто купить. К чему последний вариант способен привести применительно к автомобилю, мы знаем. Что же в итоге получает наш заказчик: невыполненный необходимый и достаточный комплекс работ, что как минимум является предпосылкой к утечке конфиденциальной информации, а как максимум может привести к потере сведений, составляющих государственную тайну; поставленные и смонтированные системы защиты информации, которые неэффективны с точки зрения совместимости с функционалом объектов информатизации (конфликт средств защиты от несанкционированного доступа с функционалом защищенной локально-вычислительной сети (ЗЛВС), паразитный акустический шум в помещениях); определенный подрядчиком в итоговых документах комплекс организационнорежимных мер, который неисполним, так как не позволяет объекту защиты полноценно функционировать (физическое отключение из розеток большинства ВТСС и пр.). Ноябрь 2012

Предприятия, которые участвовали в конъюнктурном анализе, предварительно сделали техническую оценку потребностей заказчика касательно объектов защиты и условий их эксплуатации. Данная работа позволила избежать вышеизложенного отрицательного результата и подготовить оптимальное технико-экономическое предложение, реализующее следующие задачи: выполнение необходимого и достаточного объема работ исходя из условий эксплуатации объектов (выборка, оптимальный состав работ по акустоэлектрическому каналу с учетом построения проводных сетей и пр.); оснащение ЗЛВС средствами защиты от несанкционированного доступа с адаптацией решений к основному функционалу ОИ, что даст возможность заказчику в ходе «боевой» эксплуатации ЗЛВС не тратить время на выявление и устранение конфликтов систем, а эффективно выполнять поставленные задачи; настройку средств защиты информации по акустическому и виброакустическому каналам с обеспечением баланса между защищенностью и комфортностью эксплуатации. Это позволит минимизировать паразитные акустические шумы, а следовательно, эффективно проводить закрытые мероприятия, в том числе с использованием системы звукоусиления; подготовку всех необходимых проектов документов заявителя по исходным данным заказчика, которому останется только подписать и зарегистрировать эти документы. ДИРЕКТОР ПО БЕЗОПАСНОСТИ

БИЗНЕС-КЕЙСЫ Миниатюры А. Бильжо нарисованы для ГК "МАСКОМ" в 2011 г.

Как заказчику оптимально и качественно организовать выполнение работ по защите информации? Вот несколько рекомендаций: в рамках конъюнктурного анализа желательно запрашивать не только коммерческие предложения, но и технические задания. Полученные данные позволят подготовить развернутое ТЗ с необходимым и достаточным составом работ с четко определенными спецификациями ОТСС и ВТСС, условиями их эксплуатации, детальным описанием реализуемых в помещениях архитектурных и инженерных решений, проведением ежегодного инструментального контроля и пр. Выполненное заказчиком на основании материалов от предприятий техническое задание с большой долей вероятности будет носить конфиденциальный характер. Это станет поводом для проведения закрытых торгов с определением перечня наиболее компетентных потенциальных исполнителей; полезно присутствовать при производстве работ, с тем чтобы не допустить применения исполнителем приемов, изложенных выше; важно осуществлять экспертный контроль качества работ: проводить анализ протоколов, заключений и предписаний на предмет полноты списка ОТСС, ВТСС, проверку соответствия выполненного комплекса работ ТЗ и пр. 80

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Это решение кейса публикуется не только и не столько для того, чтобы продемонстрировать экспертный статус ГК «МАСКОМ», главная его цель – внесение определенной лепты в сохранение высокого профессионального уровня отрасли в целом, предотвращение снижения качества выполнения проектов в области защиты государственной тайны. Мы надеемся, что с нами согласятся многие специалисты. А значит, предложенное решение кейса является правильным.

Решение кейса № 2 В основу данного кейса легла реальная история. Президент одного известного холдинга, осматривая вместе с руководителями департаментов и служб площадку для будущего строительства, неожиданно спросил: если компания собирается возводить здание для себя, почему бы еще на этапе его проектирования не заняться решением проблемы обеспечения информационной безопасности (ИБ)? От ряда своих партнеров он слышал, что в этом случае удается добиться оптимального соотношения цены и качества. Следующий его вопрос был адресован уже руководителю службы безопасности и касался коммерческой тайны и организации ее защиты. Тот сообщил, что, разумеется, в холдинге имеются такого рода документы и составлен их перечень, есть и положение о закрытой Ноябрь 2012

информации, но, к сожалению, все они подготовлены и утверждены формально, дабы иметь возможность подписывать с рядом стратегических контрагентов договоры и соглашения о конфиденциальности. Руководствоваться ими для решения вопросов информационной безопасности никак нельзя, поскольку реалий они не отражают. Начальник СБ также упомянул, что данная проблема неоднократно поднималась на советах директоров. Отправной точкой для дальнейшей работы, по его словам, должен быть оптимальный перечень защищаемых ресурсов. Такое предложение он готовил, но обратной реакции на него

со стороны директоров соответствующих департаментов не получил. Было понятно, что затронутая тема являлась для руководителя службы безопасности больной. И когда президент поручил в рамках капитального строительства реализовать необходимый и достаточный комплекс мер по обеспечению информационной безопасности, спокойная жизнь для СБ кончилась, и начались суровые будни упорного движения к поставленной цели. В решении, которое предлагается вашему вниманию, остановимся только на основных и наиболее сложных этапах данной кропотливой работы. Для

WWW.S-DIRECTOR.RU

описания их полного цикла не хватит всего объема журнала, да и за излишними подробностями может потеряться главное. Итак, этапы, предлагаемые к рассмотрению. Их четыре: Формирование потребностей, постановка задачи. Выбор исполнителя работ. Организация взаимодействия с разделением зон ответственности между управлением капитального строительства холдинга (далее УКС), службой безопасности, генподрядчиком по проектированию и строительству, подрядной организацией по созданию систем информационной безопасности. Мобилизация службы безопасности для сопровождения работ и дальнейшей эксплуатации систем. Регламентные и внерегламентные работы. На каждом из перечисленных этапов есть ряд важных моментов, на которые целесообразно обратить внимание. Формирование потребностей, постановка задачи Это первое и всем понятное действие часто «схлопывается» в простую постановку задачи без анализа исходных данных. А ведь для того, чтобы ее сформулировать, необходимо точно знать, что именно подлежит защите. Будут ли среди защищаемых следующие ресурсы: автоматизированные системы, в том числе распределенные, обрабатывающие коммерческую тайну (технологического, финансового характера и пр.); речевая информация, передаваемая посредством

IP-телефонии в процессе обмена с региональными подразделениями, видеоконференцсвязь; сведения на бумажных носителях и речевая информация в помещениях. По каждому виду защищаемой информации устанавливается, где она циркулирует (в каких системах и помещениях), ее стоимость, срок ее ценности, возможные совокупные затраты потенциального внутреннего и внешнего злоумышленника на ее получение, а также то, в какую сумму обойдутся организационно-режимные и организационно-технические мероприятия по предотвращению ее утечки. Такой детальный анализ позволяет определить баланс между вложениями и возможными потерями и действовать в соответствии с правилом «не вкладывай больше, чем можешь потерять». Если все это учесть, то удастся избежать ситуации, когда системы информационной безопасности окажутся профанацией. С другой стороны, будет исключена избыточность, которая может привести к существенному усложнению функционирования подразделений. Третьим шагом на данном этапе станет определение зон ответственности СБ и смежных подразделений холдинга. Например, необходимо будет установить, за кем закрепляется построение защищенных автоматизированных систем – за СБ или за департаментом информационных технологий холдинга. Итогом данной работы явится экономически обо-

Обеспечение баланса между защищенностью и комфортностью позволит минимизировать паразитные акустические шумы снованный комплекс необходимых и достаточных мероприятий организационного и технического характера. Как правило, организационные меры СБ берет на себя, а вот реализация технических решений поручается обычно внешним исполнителям. Выбор исполнителя работ На практике (и это не является секретом) СБ уже располагает тем или иным опытом работы с исполнителями, а также опирается в своей деятельности на рекомендации партнеров и экспертов. Тем не менее из-за быстро меняющейся рыночной ситуации положение дел у исполнителей не Ноябрь 2012

отличается стабильностью, поэтому конъюнктурный анализ при их выборе целесообразен в любом случае. Тем более что техническое задание уже готово благодаря работе, выполненной в рамках первого этапа. Отдав на рассмотрение потенциальных исполнителей единое ТЗ, через некоторое время СБ получает от них оценку своего предложения по цене и качеству, основанную на единых критериях, а далее уже определяет наиболее достойного среди претендентов. Заметим, что качество оценивается по пояснительным запискам, которые представляют организации, приглашенные на конъюнктурный анализ. ДИРЕКТОР ПО БЕЗОПАСНОСТИ

БИЗНЕС-КЕЙСЫ

Достаточно часто СБ останавливает свой выбор на одном исполнителе, которому поручает работы по всем системам безопасности, включая инженернотехнические средства охраны (ИТСО) и ИБ, позволяя ему самому привлекать для решения специализированных задач третьих лиц. Таким способом СБ упрощает себе задачу управления всеми участками, находящимися в ее ведении. Исполнитель в этом случае 82

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

несет ответственность за технологическое сопровождение всех направлений информационной безопасности, что требует наличия достаточных сил и средств. Ведь ему, головному по системам безопасности, необходимо не только реализовывать свою часть работы, но и обеспечивать координацию деятельности специализированной подрядной организации по ИБ. И здесь стоит обратить внимание на такой момент: в Ноябрь 2012

силу различий, существующих между ИТСО и ИБ, подрядная организация обязательно должна располагать специалистом по системам информационной безопасности, иначе проекту может быть нанесен ущерб, по своим размерам сравнимый с затратами на сопровождение двух подрядных организаций. Итак, этап выбора исполнителя успешно завершен, все возможные нюансы учтены. Теперь службе безопасности предстоит заниматься налаживанием взаимодействия между всеми действующими лицами и исполнителями. Организация взаимодействия с разделением зон ответственности между всеми участвующими сторонами Прежде всего, необходимо возвратиться к перечню защищаемых ресурсов и освежить в памяти, к каким из них, согласно решению по информационной безопасности, имеют доступ генподрядчик по проектированию, строительству, представители УКСа. Если такового доступа нет, то потребуется провести согласование по вопросам прокладки закладных устройств, привязки расположения оборудования, подключения его к электропитанию, поскольку системы ИБ не являются изолированными. Наступает время, когда исполнитель работ по договоренности со СБ должен подготовить три группы документов, а именно: Задание на проектирование. Строительные задания на подключение систем

ИБ к электропитанию и заземлению, на обеспечение соответствующих климатических условий для аппаратных систем ИБ, а также на защиту информации в помещениях методами строительной акустики. Задания следует согласовать с генподрядчиком и УКСом. Это позволит проводить дальнейшую работу по согласованию проектной документации по указанным разделам, разработанным смежными организациями. Проектно-сметную документацию (ПСД) и сопутствующий материал в минимальном объеме, с определенными элементами легендирования, не раскрывающими комплекс работ и принцип построения систем. При организации взаимодействия, на наш взгляд, целесообразно следовать ряду правил. Первое. Чем большей информацией обо всех изменениях в графиках производства работ по инициативе генподрядных организаций будет обладать СБ, тем лучше это будет для достижения результата, ибо поможет избежать нарушения сроков реализации работ подрядными организациями. Второе. В связи с отсутствием инженеров технадзора по направлениям ИБ в УКСе, а также с учетом легендирования приемку как проектных, так и с троительно-монтажных и пусконаладочных работ целесообразно поручить представителям службы безопасности. Она долж-

WWW.S-DIRECTOR.RU

на включать проведение технологической экспертизы ПСД, подписание актов скрытых работ с исполнительными схемами, передачу исполнительной и эксплуатационной доку-

ментации со всеми необходимыми сертификатами на оборудование и материалы. Согласно условиям кейса, весь комплекс работ по обеспечению информационной безопасности должен

Следуя изложенным рекомендациям, компания в целом и ее СБ в частности смогут получить эффективную, оптимальную и понятную с точки зрения эксплуатации систему информационной безопасности

быть осуществлен в рамках капитального строительства, при этом существенная их часть может быть выполнена только после переезда заказчика, а он может состояться лишь после подписания акта о вводе объекта капитального строительства в эксплуатацию. Из этого замкнутого круга предлагаются два выхода, каждый из которых имеет свои «плюсы» и «минусы». Первый вариант – разделить работы на те, которые производятся в рамках капитального строительства, и те, что осуществляются в эксплуатируемом здании. Главный недостаток данного варианта – это стоимость работ в эксплуатируемом здании, которая, мягко скажем, весьма существенна. Добиться их финансирования отдельно от капитального строительства получается далеко не всегда. Поэтому СБ рискует остаться с незавершенными системами. Второй вариант – принять работы в полном объеме «с замечаниями» под гарантийное письмо от исполнителя. Риски в этом случае очевидны. Комплекс задач, который требуется решить СБ в рамках капитального строительства, огромен. Как же с этим справиться? Данной проблеме посвящен следующий и не менее важный этап. Мобилизация службы безопасности для сопровождения работ Для успешного сопровождения работ (начиная с разработки задания на проектирование) в составе СБ Ноябрь 2012

должны находиться сотрудники, являющиеся специалистами в области информационной безопасности, а также обладающие теоретическими знаниями СНИПов и ГОСТов и практическим опытом деятельности на объектах капитального строительства. Такой подход позволит осуществить системное и планомерное сопровождение всех этапов – проектирования и создания систем информационной безопасности, а также их приемки в эксплуатацию. Подключение сотрудников СБ только на этапе пусконаладки существенным образом усложняет дальнейшую корректную эксплуатацию систем, а также сказывается на организации выполнения регламентных и нерегламентных работ. Следуя изложенным рекомендациям, компания в целом и ее СБ в частности смогут получить эффективную, оптимальную и понятную с точки зрения эксплуатации систему информационной безопасности. Мы познакомили читателей журнала с нашим решением и теперь предлагаем его на рассмотрение специалистам, готовы ответить на любые их вопросы. Несмотря на то что существует ряд наработанных годами типовых подходов к реализации проектов, все-таки всякий объект оказывается уникальным. Именно это и позволяет расширять спектр методов, которые, словно паззлы, каждый раз складываются в новый ключ, открывающий путь к решению следующей, еще более неординарной задачи. ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Ноябрь 2012

WWW.S-DIRECTOR.RU

В СЕТИ Орфография авторов сохранена

ОБ УЩЕРБЕ, ХАКЕРАХ И АНТИВИРУСАХ Согласно данным отчета «Norton Cybercrime Report 2012», опубликованного антивирусной компанией Symantec, ущерб, нанесенный России в результате атак хакеров за последние 12 месяцев, составил $2 млрд. При этом жертвами хакеров за отчетный период стали более 31,4 млн жителей страны (во всем мире Symantec насчитала 556 млн человек). Среди прочего аналитики выяснили, что в сравнении с показателями прошлого года наибольший рост зафиксирован среди атак на пользователей социальный сетей и мобильных устройств. В среднем каждая хакерская атака повлекла за собой финансовый ущерб на сумму $197. При этом за отчетный период каждый пятый совершеннолетний пользователь социальных сервисов становился жертвой злоумышленников. «Потребители не осознают, что киберпреступность модифицировалась, − уверены в Symantec. – Большинство совершеннолетних пользователей не интересуются тенденциями IT-безопасности и не знают, как обеспечить надлежащую защиту».

http://www.securitylab.ru/news/430152.php

Трололо Самый безнадежный антивирус для нашей страны. Нашел в инете архив, в нем 100 файликов, в каждом вирус, так каспер/др.веб поймали все 100, а Симантек тока 72... получается 30 % вирусов могут жить у меня и размножаться.

terryfan 15-09-2012 00:11:18 У меня стоит NIS 2012. Прочие NISы стояли в свои года соответственно.Ничего страшного не было.До него лет 5 назад стоял каспер...пока систему вирус не убил.С ним вместе.

Predator 34 Согласен с Трололо по поводу Norton!))))))))))

FSA Лучше бы сказали сколько потеряли организации, которые установили их антивирусные продукты. Компьютеры еле шевелятся после установки, работники тратят больше времени на свою работу - прямые потери бизнеса. Заменять компьютеры? Тоже потери.

Ноябрь 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ИНСТРУМЕНТЫ БЕЗОПАСНОСТИ | КОНТРОЛЬ ПЕРСОНАЛА

ДМИТРИЙ МОРОЗОВ, ООО «ЭРВИ групп»

Контроль персонала на предприятии ПЕРСОНАЛ – это один из важнейших ресурсов любого предприятия. Грамотно управляя штатом сотрудников, опытный руководитель способен повысить эффективность работы компании, что, естественно, скажется на увеличении прибыли. Какие же инструменты он может использовать для этой цели? Те, кто обращается к этой теме, обычно в первую

очередь называют психологические приемы и корректные должностные инструкции.

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

SYCHUGINA / SHUTTERSTOCK.COM

оследние направляют сотрудников в нужное русло, определяют их круг обязанностей и в какой-то мере задают им ориентир в корпоративной среде. С помощью методов психологического воздействия можно мотивировать сотрудников, раскрывать их творческий потенциал, в результате чего работники будут решать поставленные перед ними задачи быстрее и эффективнее. Также можно добиваться повышения лояльности персонала к компании, чтобы никто не мог себе позволить совершать действия, которые были бы во вред работодателю, или же использовать свое рабочее время не по назначению. Решение задач по управлению персоналом зачастую берут на себя руководители предприятия или отдел персонала, иногда приглашают для этого специалистов со стороны. Помимо перечисленных инструментов, стоит обратить внимание еще на

один – видеонаблюдение, грамотное его применение также помогает держать под наблюдением действия сотрудников. Хотя многие привыкли воспринимать системы видеонаблюдения лишь как элемент структуры безопасности предприятия. Ноябрь 2012

Если такие системы, установленные в магазине, сокращают количество краж только за счет психологического воздействия на потенциальных нарушителей (увидев камеры, люди обычно отказываются от своих преступных планов), то и

на предприятии они лишь фактом своего существования будут способствовать повышению дисциплины у сотрудников. Однако одним контролем персонала за счет психологического фактора с помощью установки камер видеонаблюдения не стоит ограни-

WWW.S-DIRECTOR.RU

Проходная

1 чиваться, при правильном выборе оборудования, грамотном его проектировании можно решить еще целый ряд важных задач.

Опоздания Опоздания, наверное, самый распространенный вид нарушений трудовой дисциплины. Основным «борцом» с ними, бесспорно, является система контроля и управления доступом (СКУД). Любая современная СКУД способна формировать отчеты по опозданиям (прогулы, ранний уход с работы и т. д.) за заданный промежуток времени. Но она не дает гарантии, что карточкой или брелоком отметится на входе-выходе именно владелец идентификатора. Ведь вполне типична ситуация, когда сотрудник А, уходя с работы пораньше, оставляет свою карточку коллеге Б, чтобы тот отметился за него вовремя. Многие тут вспомнят про биометрические системы контроля доступа, но они достаточно дороги и не всегда удобны для использования на предприятиях с большим количеством работников, где просто непозволительно тратить на каждого проходящего через проходную лишних 1–2 с, которые требуются для считывания отпечатка пальца. В этом случае может помочь только система видеонаблюдения. Появились основания проверить сотрудника на предмет опозданий? Пожалуйста, видеоархив с камеры на проходной к вашим услугам. Хотите

Помещение охраны или руководителя

Рис. 1. Система IP-видеонаблюдения, интегрированная со СКУД1

Если СКУД уже имеется на предприятии, то следует подобрать программное обеспечение, которое позволит интегрировать систему видеонаблюдения с ней и установить две камеры, одну – направленную на вход, вторую – на выход сократить время на поиск в архиве – установите систему видеонаблюдения, интегрировав ее со СКУД, тогда всегда можно будет вызвать соответствующий фрагмент видеоархива из базы данных всех входов-выходов. Для создания такой системы требуется не слишком много усилий и затрат. Если СКУД уже имеется на предприятии, то следует подобрать программное обеспечение, которое позволит интегрировать систему видеонаблюдения с ней и установить две камеры (одну – направленную на вход, вторую – на выход), желательно высокого разрешения (для более точной идентификации сотрудников). Приме-

ром такой камеры может служить RVi-IPC32M. Это миниатюрная купольная IP-камера с разрешением FullHD (1920 х 1080 пикселей). Схематично данная система представлена на рис. 1.

Общение в коллективе и с клиентами То, каким образом персонал компании общается с клиентами, формирует их отношение к данной организации. Профессионализм и вежливость сотрудников при продаже товаров и оказании услуг позволяют поддерживать деловую репутацию фирмы. И видеонаблюдение здесь опять же может очень пригодится. Если Ноябрь 2012

речь идет об общении по телефону, то тут полезно использовать либо АТС с функцией записи, либо же специальные записывающие устройства. Но не стоит забывать и про офисные помещения, где происходят деловые встречи, переговоры, да и сами сотрудники обсуждают между собой различные рабочие моменты. Для фиксации всего этого рекомендуется применять систему IPвидеонаблюдения, так как при ее построении удастся обойтись относительно небольшим количеством кабелей. В случае выбора аналоговых камер и видеорегистратора придется для передачи видео от каждой камеры протянуть ДИРЕКТОР ПО БЕЗОПАСНОСТИ

ИНСТРУМЕНТЫ БЕЗОПАСНОСТИ | КОНТРОЛЬ ПЕРСОНАЛА

СИСТЕМА IP-ВИДЕОНАБЛЮДЕНИЯ С ЗАПИСЬЮ ЗВУКА

ТРАДИЦИОННАЯ (АНАЛОГОВАЯ) СИСТЕМА ВИДЕОНАБЛЮДЕНИЯ С ЗАПИСЬЮ ЗВУКА Рис. 2. Отличия в построении IP-системы видеонаблюдения и традиционной системы с записью звука

Контроль работы персонала

Преимущество IP-камер также заключается в том, что их можно использовать со встроенным микрофоном, кроме того, возможен и вариант подключения внешнего микрофона к микрофонному входу IP-камеры кабель к регистратору, а для записи звука еще и разместить в помещениях микрофоны и от них также протянуть кабели до видеорегистратора. Преимущество IP-камер также заключается в том, что 88

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

их можно использовать со встроенным микрофоном (RVi-IPC31DNL, RVi-IPC21DNL), кроме того, возможен и вариант подключения внешнего микрофона к микрофонному входу IP-камеры (таНоябрь 2012

кабелю видео передается синхронно со звуком. Построить такую систему видеонаблюдения значительно проще, чем аналоговую. При этом она способна взять на себя не только охранные функции. Запись аудио позволит разрешать различные спорные моменты с клиентами, а также предоставит возможность периодически проверять, насколько профессионально, вежливо и корректно ведут себя сотрудники при общении с потребителями товаров или услуг фирмы. Кроме того, такая запись способна иногда оказаться весомым аргументом при выявлении правых и виноватых в различных внутренних конфликтах, с ее помощью можно вычислить нелояльных сотрудников, если те, например, говорят «в курилке» о своей готовности сменить место работы или негативно высказываются о руководстве.

кие входы предусмотрены во многих IP-камерах, в том числе и в тех, что отличаются высоким разрешением, например RViIPC22DN и RVi-IPC23DN) (рис. 2). От такой камеры по единому сетевому

Организациям, занятым в сфере торговли, например автосалонам, очень важно контролировать местоположение своих сотрудников. В автосалонах разработаны специальные правила, определяющие, как должны вести себя и где находится менеджеры во время рабочего процесса. Так, допустим, им не рекомендуется всем вместе собираться в одном зале, при этом на входе всегда кто-то из них должен встречать клиентов.

WWW.S-DIRECTOR.RU

Также один из работников должен постоянно быть за стойкой администратора. В принципе, контроль за местоположением сотрудников в залах автосалона обычно поручается старшему менеджеру (или же руководителю отдела продаж). Однако он может заболеть, уйти в отпуск или же по причине приятельских отношений с подчиненными закрывать глаза на несоблюдение некоторых правил. В такой ситуации владельцу или директору автосалона также может помочь систе-

ма IP-видеонаблюдения, использующая интеллектуальные технологии. Специальные видеодетекторы пометят в архиве события, нарушающие те или иные правила: зафиксируют отсутствие менеджера в зале или собравшуюся в одном месте группу из 5–6 человек, если сотрудники решили «поболтать», вместо того чтобы консультировать клиентов. В целом современные камеры IPвидеонаблюдения позволяют построить систему практически любой слож-

ности с самым немыслимым функционалом. Главное, правильно ставить задачи при выборе оборудования, на этапе его проектирования и в процессе монтажа. Очень важно приобрести качественные IP-камеры высокого разрешения, так как при отчетливой картинке будет ниже вероятность ложного срабатывания того или иного детектора. Также следует помнить, что функционал системы IPвидеонаблюдения определяется программным обеспечением, способным

Ноябрь 2012

выполнять поставленные задачи. При этом упомянутые в данной статье IP-камеры RVi могут работать в составе системы IP-видеонаблюдения под управлением практически любого современного программного обеспечения, гарантируя нужный результат – повышение эффективности труда персонала. 1

1 – IP-камера RVi-IPC32M; 2 – турникет со встроенным сетевым контроллером СКУД; 3 – сетевой коммутатор; 4 – компьютер с программным обеспечением, объединяющим СКУД и систему видеонаблюдения

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

НОВОСТИ КОМПАНИЙ

НОВОСТИ КОМПАНИЙ Х международная научно-практическая конференция «PKIФорум Рос-сия 2012»

18 – 20 сентября 2012 года в Санкт-Петербурге прошла юбилейная Х ежегодная Международная научнопрактическая конференция «PKI-Форум Россия 2012», посвященная проблематике инфраструктуры открытых ключей и электронной подписи, механизмам безопасности электронного правительства и информационного общества (e-government, G2B, В2В, В2С, систем межведомственного и межгосударственного электронного взаимодействия). В конференции приняли участие более 280 делегатов из Белоруссии, Венгрии, Казахстана, Польши, России, Украины и Эстонии, а также члены Евразийской экономической комиссии. Россию представляли посланцы 23 федеральных органов власти, 33 региональных органов власти, руководители и специалисты 64 удостоверяющих центров, 116 предприятий различных форм собственности, 5 учебных заведений, 13 общественных организаций и некоммерческих партнерств, представители 5 средств массовой информации. Организатором конференции выступило Минкомсвязь России при участии ФСБ России, ФСТЭК России, Роскомнадзора, Федерального Казначейства России, Правительства Санкт-Петербурга, ЦБ РФ, ОАО «Газпром», ОАО «РЖД». 90

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Ноябрь 2012

На пленарном и 4 секционных заседаниях «PKI-Форум Россия 2012» были сделаны 49 докладов, прошел круглый стол и заседание в формате «Час эксперта». Основными темами обсуждений были единое пространство доверия сертификатов ключей проверки подписей (ЕПД), а также межведомственная, межрегиональная, трансграничная и межгосударственная интероперабельность PKI. Актуальность тематики форума связана с расширением деятельности удостоверяющих центров, аккредитуемых Минкомсвязи и ФСБ России согласно Федеральному закону от 6 апреля 2012 года № 63-ФЗ «Об электронной подписи», и развертыванием информационных систем, использующих различные виды

электронной подписи, а также с проводимой модернизацией общегражданского законодательства и нормативного регулирования в смежных областях. Были подведены итоги применения PKI в информационных системах предприятий и организаций, выявлены проблемные вопросы, намечены конкретные цели развития и расширения практики применения PKI на 2013 год. Важным итогом PKI-Форума стало подписание соглашения о сотрудничестве оргкомитетами конференций по проблематике электронной подписи и инфраструктуры открытых ключей России, Украины и Польши («PKI-FORUM РОССИЯ», Европейского Форума по электронной подписи «ЕРРЕ» и «PKI-FORUM УКРАИНА»).

Платформа для хранения данных на базе процессоров INTEL® ATOM™

Платформа для хранения данных на базе процессоров INTEL® ATOM™ следующего поколения позволяет создавать персональные облачные среды для частных пользователей и компаний малого бизнеса. Решения для хранения данных на базе процессоров Intel® Atom™ следующего поколения позволяют частным пользователям и небольшим компаниям надежно защищать критически важные данные. Это решение, поддерживающее процессоры Intel® Atom™ D2550 и Intel® Atom™ D2500, предоставляет различные возможности для защиты, резервного копирования данных и хранения и воспроизведения мультимедиа, а также помогает пользователям более эффективно управлять постоянно увеличивающимся объемом данных. Доступ к хранящейся информации можно предоставить различным устройствам, включая смартфоны, планшетные ПК, ноутбуки и устройства Ultrabook™. Кроме того, пользователи могут использовать данные в любом месте, чтобы создать персональную облачную среду. Эта система, создаваемая на базе процессоров Intel® Atom™ D2550 или Intel® Atom™ D2500, объединяет в себе расширенные мультимедийные функциональные возможности, исключительную энергоэффективность и высочайшую производительность для того, чтобы частные пользователи и небольшие компании смогли воспользоваться преимуществами персональных облачных сред. Современные компании, включая магазины розничной торговли, медицинские учреждения и юридические фирмы, нуждаются в локальных решениях для хранения и использования данных и хотят иметь возможность дистанционного доступа к ним. С помощью этого решения они могут создать для своих сотрудников персональное облачное хранилище данных для того, чтобы они могли получить оперативный и защищенный доступ к рабочим документам на работе, дома или в дороге. Это решение также поддерживает различные протоколы передачи файлов, поэтому компании смогут использовать корпоративную информацию вне зависимости от используемой операционной системы.

WWW.S-DIRECTOR.RU

На 95 % смартфонов и планшетов отсутствует защита

Как следует из доклада специалистов компании Juniper Research, лишь на 5 % смартфонов и планшетов, продаваемых и используемых по всему миру, установлено программное обеспечение системы безопасности. Согласно прогнозам, в течение последующих пяти лет потребность в программном обеспечении системы безопасности будет расти, причем как в частном, так и в корпоративном секторе рынка, и к концу прогнозируемого периода стороннее программное обеспечение системы безопасности будет установлено уже на каждом пятом мобильном устройстве. Также отмечается, что к 2015 году количество личных мобильных устройств, защищенных сторонним программным обеспечением системы безопасности, превысит количество защищенных устройств корпоративного сектора. Данная тенденция, в частности, обусловлена тем, что компании все чаще позволяют и даже поощряют использование сотрудниками личных устройств для решения профессиональных задач. По имеющимся данным, до 2014 года количество личных мобильных устройств, используемых сотрудниками для решения профессиональных задач, достигнет 350 миллионов единиц. По мнению специалистов Juniper Research, учитывая постоянно возрастающее количество киберугроз, которые становятся все более сложными и агрессивными, до 2017 года большинство мобильных операторов и изготовителей мобильных устройств будут оснащать устройства базовыми средствами защиты. Такими, как, например, функция отслеживания устройства или же функция блокировки устройства и удаления имеющихся на нем данных. Подобные функции позволят сохранить конфиденциальность информации, имеющейся на устройстве, например, в случае кражи или потери, а также позволят найти украденное или утерянное устройство. Эксперты отмечают, что подобная практика позволит производителям и поставщикам услуг не только повысить уровень доходов, но и повысить качество обслуживания клиентов.

HID Global использует смартфоны с технологией NFC для физического доступа на предприятиях Компания HID Global объявила о завершении двух пилотных программ по проверке эффективности контроля физического доступа с помощью мобильных устройств с технологией NFC, которая позволяет с удобством открывать двери, не подвергая риску физическую безопасность предприятия. Пробные проекты проводились в головных офисах компаний Netflix и Good Technology™ с использованием платформы iCLASS® SE от HID Global с цифровыми ключами iCLASS Seos™ для смартфонов с технологией NFC. В числе прочих преимуществ участники программ отметили высокий уровень безопасности использования смарт-

iPhone научился охранять дом

Один из самых популярных гаджетов iPhone расширяет свои возможности. Теперь с его помощью можно не только общаться, обучаться, развлекаться, но и позаботиться о безопасности своего жилья. Компания «ГОЛЬФСТРИМ охранные системы» предложила владельцам iPhone новую уникальную для российского рынка услугу iКонтроль, которая позволяет удаленно управлять охраной своего дома или квартиры.

Пользователи охранной системы «ГОЛЬФСТРИМ» смогут бесплатно на своем iPhone подключить iКонтроль, скачав в App Store приложение EG Touch. iКонтроль полностью совместим с охранной системой «ГОЛЬФСТРИМ» и предоставляет целый ряд новых возможностей. С его помощью из любой точки мира можно дистанционно управлять охраной жилья проверять статус охранной системы, ставить на охрану или снимать с охраны, что очень актуально в различных ситуациях. Помимо возможности управления охраной, системой можно запрашивать на e-mail фото с датчиков движения. Это очень удобно, если необходимо знать, что происходит дома во время отсутствия. Подробность фотоотчета будет зависеть от того, сколько датчиков с фотоподтверждением установлено и какую в совокупности площадь они охватывают.

фонов для получения физического доступа. «Мне нравится идея использования беджей-считывателей с взаимной аутентификацией – это снижает риск мошеннического копирования данных и их использования для получения несанкционированного доступа», – говорит Билл Бернз (Bill Burns), директор компании Netflix IT Networking & Security. Дэвид Тсай (David Tsai), компьютерный аналитик, добавляет: «С технической точки зрения, обеспечение безопасности на физическом уровне является более надежным, потому что подразумевается, что пользователь понимает – телефон используется в качестве ключа, знает его пароль и как активировать этот ключ». Аналогичного мнения придерживается и Линн Чикасу (Lynn Chikasuye), сотрудница отдела технической поддержки компании Netflix: «Люди редко одалживают свои телефоны, что исключает их неавторизованное использование Ноябрь 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

НОВОСТИ КОМПАНИЙ

США закупит российское ПО для идентификации по голосу F3115

F3110

Новые компактные 1Мп 720р камеры ZAVIO F3110 и F3115

Компания InPrice Distribution, официальный дистрибьютор ZAVIO Inc. в России, объявляет о начале поставок двух новых моделей компактных 1Мп 720р камер ZAVIO: проводной РоЕ камеры F3110 и беспроводной F3115. Новые камеры являются одним из самых привлекательных предложений на рынке, так как, несмотря на компактность и умеренную цену, обладают целым набором важнейших преимуществ, таких как встроенный датчик собственного ИК-излучения объекта (PIR), ИК-подсветка, а также слот для установки карт памяти MicroSD. Из дополнительных полезных решений, интегрированных в обе камеры, можно отметить полнодуплексный (двунаправленный) аудиоканал на основе встроенного микрофона и динамика, что является редкостью для бюджетных камер компакткласса. Камеры ZAVIO F3110 и F3115 оснащены сенсорной матрицей с хорошей чувствительностью 0,2 Лк, что наряду со встроенной ИК-подсветкой дает возможность исполь92

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

зовать их в самых трудных условиях освещенности. ZAVIO F3110 поддерживает такую важную функцию, как питание через сетевой интерфейс (РоЕ), что весьма удобно при монтаже, так как исключает необходимость подводки к камере еще и питающих проводов. Для тех проектов, где вопрос доступности источников питания полностью решен, можно рекомендовать новую камеру ZAVIO F3115 с современным высокоскоростным беспроводным интерфейсом Wi-Fi (IEEE 802.11n). Обе камеры поддерживают кодек h.264, что позволяет записывать видео с максимальным сжатием, формируя оптимальный по размеру архив видео без потери качества. Ввиду хорошей чувствительности, высокого разрешения WXGA 720p, отличной аппаратной оснащенности и ценовой доступности камеры ZAVIO F3110 и F3115, безусловно, могут стать оптимальным выбором для решения самого широкого круга задач и использования в проектах от дома, до магазина и офиса.

Вирусная рассылка в Skype

Компания «Доктор Веб» – российский разработчик средств информационной безопасности – предупреждает пользоватеНоябрь 2012

Американские власти собираются закупить российскую технологию идентификации по голосу, чтобы использовать ее в проекте Voice Grid Nation − национальной системе для хранения голосовых отпечатков и быстрой идентификации граждан, сообщает Russia Today. Поставщиком системы выбран петербургский Центр речевых технологий (ЦРТ), у которого имеются уникальные разработки в данной области. Как сообщается, в рамках проекта Voice Grid Nation может быть создана единая система федерального значения, которую будут использовать правоохранительные органы. Очевидно, что такие технологии лучше всего работают в связке с системой сквозной прослушки телефонных переговоров (возможно, с подключением видеокамер наружного наблюдения с системы TrapWire). Программы ЦРТ позволяют осуществить мгновенное реагирование на появление в эфире голоса конкретного человека, по какому телефону он бы ни звонил. Кроме того, система может отслеживать указанные ключевые слова и показывать в реальном времени, кто и по какому номеру телефона произнес только что эти слова. Согласно заявленным характеристикам, система способна осуществлять анализ до 10 тыс. голосов за пять секунд. Для анализа голоса требуется 3 секунды. База данных на 2 миллиона записей обрабатывает до 100 одновременных поисковых запросов с точностью 90 %. Президент компании SpeechPro (такое название ЦРТ использует в иностранных представительствах) Алексей Хитров сообщил, что их разработка уже используется в нескольких странах, и они могут похвастаться рядом значительных достижений. Например, в Мексике система идентификации по голосу помогла раскрыть случай киднеппинга и спасти жизнь жертве преступления. Вероятно, в США программа будет использоваться не только спецслужбами вроде ФБР и АНБ, но и в службой 911 для быстрого реагирования на чрезвычайные ситуации.

лей о массовой рассылке вредоносной программы с использованием Skype. Многие пользователи популярной программы Skype получили от абонентов, добавленных в список контактов, сообщение, содержащее текст «это новый аватар вашего профиля?))» и короткую ссылку, созданную с помощью сервиса goo.gl. При открытии ссылки начинается загрузка zip-архива, содержащего опасную троянскую программу BackDoor.IRC.NgrBot.146. Рассылку сообщений в Skype осуществляет вредоносная программа, добавленная

в базы Dr.Web под имнем Trojan.Spamlink.1. Данные угрозы уже известны специалистам «Доктор Веб», так что пользователям рекомендуется незамедлительно выполнить обновление вирусных баз. Компания «Доктор Веб» призывает проявлять осторожность и не открывать архивы, загруженные по полученным в Skype гиперссылкам, даже если они присланы пользователями из списка контактов. В случае если вы стали жертвой данной вредоносной программы, выполните проверку вашей системы с использованием лечащей утилиты Dr.Web CureIt!.

WWW.S-DIRECTOR.RU

Новые устройства видеозаписи стандарта HD-SDI

Компания «Смартек Секьюрити» представила устройства видеозаписи HD-SDI стандарта STR-HD0412 и STR-HD0812 марки Smartec, которые обеспечивают запись несжатого мегапиксельного видео от четырех до восьми HD-SDI камер в формате H.264 Advanced profile с разрешением 1920х1080 и 1280х720 пикс. и скоростью обновления кадров 30/120 и 60/240 к/с. Новые видеорегистраторы оснащены HDMI и VGA видеовыходами для монитора, тревожными входами/выходами, интерфейсами RS-485/232 для управления PTZ-камерами и подключения POS/ ATM-терминалов. Более того, каждый видеорегистратор Smartec этой серии комплектуется ПО SMS для удаленного видеомониторинга и управления системой наблюдения. STR-HD0412 и STR-HD0812 используют стандарт передачи данных HD-SDI и обеспечивают запись, хранение, поиск и воспроизведение видео от камер этого же стандарта с разрешением Full HD, причем без задержек при онлайн просмотре и потерь на компрессию. Производительность таких систем выше, по сравнению с

В эту модель можно установить до 9 HDD общей емкостью до 18 Тб мегапиксельными IP-видеосистемами. Это объясняется тем, что HD-SDI камеры формируют и передают на видеорегистраторы Smartec по коаксиальному кабелю непакетизированное и несжатое изображение высокого разрешения. Более того, при организации системы HDcctv на базе оборудования марки Smartec можно использовать действующую аналоговую инфраструктуру с коаксиальной проводкой и заменить аналоговые камеры и обычные DVR на устройства HD-SDI стандарта.

Видеорегистратор STR-HD0812 может обслуживать до 8 HD-SDI камер, производя запись изображений в формате Н.264 Advanced Profile на встраиваемые в устройство жесткие диски. Эта модель Smartec позволяет установить в корпусе до 9 SATA II HDD общей емкостью до 18 Тб, которая может быть увеличена путем подключения внешних хранилищ через порт eSATA. При этом для каждого канала доступно разрешение записи Full HD (1280x1080 пикс.) с общей скоростью 120 кадров в секунду, а при выборе разрешения HD 720p (1280х720 пикс.) скорость вырастает до 240 к/с. Благодаря таким параметрам, данная 8-канальная

модель Smartec будет эффективна на объектах с повышенными требованиями к разрешению и качеству изображения и обеспечит длительное хранение видеоматериалов. 4-канальный видеорегистратор Smartec STR-HD0412 способен принимать видео от 4 HD-SDI камер и позволяет встраивать внутрь корпуса до 4 жестких дисков общей емкостью до 8 Тб. При максимальном разрешении видео 1920х1080 пикс. (Full HD) его скорость записи составляет 30 к/с, а при разрешении 1280х720 пикс. увеличивается до 60 к/с. Для рационального использования дискового пространства оба видеорегистратора поддерживают различные режимы записи, включая постоянную, событийную, по расписанию и экстренную. Кроме того, эти новинки Smartec могут работать в режиме зеркальной записи, осуществляя дублирование видеоинформации на выделенные диски одновременно с текущей записью.

«АБРОН Инжиниринг» оснастила крупнейший дилерский центр Mercedes-Benz в России биометрическими считывателями

Компания «АБРОН Инжиниринг», входящая в состав ГК «АБРОН Холдинг», модернизировала систему контроля доступа «APACS 3000», установленную в дилерском центре «Панавто».

Самый распространенный способ контролировать режим работы ваших сотрудников – установить СКУД с картами доступа, зарекомендовавшие себя на рынке безопасности в категории контроля прихода-ухода сотрудников. Но даже такая, казалось бы, продуманная до мелочей система не дает гарантий, что именно этому сотруднику, отметившемуся в 9.00 и не опоздавшему на работу, принадлежит карта. Современные технологии зашли намного дальше и предлагают потребителям биометрические считыватели, что исключает возможность обмануть систему. Подделать отпечатки пальцев еще не удавалось никому. Это особенно актуально, когда в компании существуют штрафы за несоблюдение сотрудниками режима работы или наоборот − доплата за сверхурочные. Технические специалисты «АБРОН Инжиниринг» предложили службе безопасности Панавто биометрические считыватели V-Flex 4G Lite, которые были интегрированы в уже имеющуюся СКУД дилерского центра «Панавто». Считыватели V-Flex 4G Lite − оптимальное решение по своим техническим характеристикам: прочный корпус с высокой степенью защиты IP 65, что позволяет использовать прибор в широком диапазоне температур от -25 до +65оС. Небольшие габаритные размеры, высоконадежный и точный оптический сенсор высокой разрешающей способности 500 dpi и объем памяти − до 5000 отпечатков в режиме идентификации и до 25000 отпечатков в режиме верификацииљ − все это отвечает современным требованиям безопасности, эстетичности и высокой работоспособности. Ноябрь 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

WWW.S-DIRECTOR.RU

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

Март 2012

WWW.S-DIRECTOR.RU

КАЛЕНДАРЬ НОЯБРЬ 01.11.12

чт

02.11.12

пт

03.11.12

сб

04.11.12

вс

05.11.12

пн

06.11.12

вт

07.11.12

ср

08.11.12

чт

09.11.12

пт

10.11.12

сб

11.11.12

вс

12.11.12

пн

13.11.12

вт

14.11.12

ср

15.11.12

чт

16.11.12

пт

17.11.12

сб

18.11.12

вс

19.11.12

пн

20.11.12

вт

21.11.12

ср

22.11.12

чт

23.11.12

пт

24.11.12

сб

25.11.12

вс

26.11.12

пн

27.11.12

вт

28.11.12

ср

29.11.12

чт

30.11.12

пт

День народного единства

День судебного пристава

День сотрудника органов внутренних дел

День специалиста по безопасности

День ракетных войск и артиллерии

21-22 ноября 5-й Международный форум All-over-IP

Ноябрь 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

WWW.S-DIRECTOR.RU

КАЛЕНДАРЬ ДЕКАБРЬ 01.12.12

сб

02.12.12

вс

День банковского работника

03.12.12

пн

День юриста

04.12.12

вт

День информатики

05.12.12

ср

06.12.12

чт

07.12.12

пт

08.12.12

сб

09.12.12

вс

10.12.12

пн

11.12.12

вт

12.12.12

ср

13.12.12

чт

14.12.12

пт

15.12.12

сб

16.12.12

вс

17.12.12

пн

18.12.12

вт

19.12.12

ср

20.12.12

чт

21.12.12

пт

22.12.12

сб

23.12.12

вс

24.12.12

пн

25.12.12

вт

26.12.12

ср

27.12.12

чт

28.12.12

пт

29.12.12

сб

30.12.12

вс

31.12.12

пн

День Конституции Российской Федерации

День ракетных войск стратегического назначения

День работника органов государственной безопасности РФ

Ноябрь 2012

ДИРЕКТОР ПО БЕЗОПАСНОСТИ

26-я Международная конференция по безопасности 10–16 декабря 2012 г., Амстердам

«Как защитить себя и свой бизнес»

В рамках конференции рассматриваются актуальные проблемы комплексной безопасности бизнеса, ведущие эксперты делятся международным опытом в области экономической, информационной, физической безопасности, технических систем, организации процессов безопасности. Наши спикеры:

Некоторые темы конференции: «За» и «против» правил регулирования частных секторов безопасности в Европе Частная безопасность и тайные исследования Безопасность как функция управления; разработка политики управления рисками Понимание прав человека и процедуры безопасности Ситуационные методы и обзоры безопасности Электронные устройства и наблюдения (GSM/GPS) – угрозы фирмам и контрмеры Последние события в индустрии частной безопасности в Европейском союзе: нормативно-правовая база Новое решение для комплексной безопасности бизнеса в России Тенденции совершенствования интегрированных систем безопасности предприятий Безопасность объектов и компаний (важные государственные, промышленные и коммерческие объекты)

В числе наших участников security-менеджеры крупнейших российских компаний: Интеррос, Техснабэкспорт, Ростелеком, Газпром экспорт, Газпром промгаз, Мегафон, ВТБ, РенессансКапитал, Тверьуниверсалбанк, Транснефть Для того чтобы получить подробную информацию или зарезервировать место на конференции, пожалуйста, заполните эту форму и направьте по факсу: + 44 20 8452 4483 или свяжитесь с нами по телефону + 44 20 8452 5986 или E-mail: admin@oecexhibitions.com Просим предварительно зарезервировать . . . . . . . . . . . . . . . . . . . . . делегата/ов конференции Направьте подробную информацию и условия участия Фамилия: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Должность: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Компания: . . . . . . . . . . . . . . . . . . . . . . . . . Телефон: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Факс: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Эл. почта: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Адрес: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

руководитель Международного института безопасности (SyI, UK)

Патрик Соммервил, директор Международной профессиональной ассоциации безопасности (IPSA, UK)

Барон Джеймс Шортт, президент Международной ассоциации телохранителей (IBA)