«Лаборатория Касперского» опубликовала квартальный аналитический отчет «Спам в первом квартале 2008 г.». Итоги первого квартала 2008 г. в целом неутешительны: доля спама в почте неуклонно растет, спам по-прежнему разнообразен и все больше криминализируется.

Доля спама в почтовом трафике в среднем составила 88%. Наибольшие колебания долевых показателей спама наблюдались в январе (от 73,1% до 97,3%), но уже с середины февраля доля спама не падала ниже 80%.

Список лидирующих тематик спама оказался вполне традиционным для Рунета: «Медикаменты; товары/услуги для здоровья» (32,5%), «Образование» (13,3%), «Отдых и путешествия» (7,2%), «Компьютеры и интернет» (4,5%). Отличием пятерки лидеров стало появление в ней тематики Спам «для взрослых» (4,3%), которая более двух лет занимала последние места в рейтинге спам-тематик.

Две интересные особенности тематического состава спама Рунета: нехарактерное отсутствие предвыборного спама перед выборами президента РФ и резкий рост числа спамовых писем, рекламирующих различные реплики, т.е. копии элитных товаров (доля такой рекламы составила 9,1% всего мартовского спама).

В первом квартале 2008 г. криминализированный спам поражал разнообразием. Его условно можно поделить на три категории:

Мошеннический спам, с помощью которого спамеры пытаются разнообразными способами украсть у пользователя деньги.
Спам, который используется злоумышленниками для распространения вредоносных программ.
Спам с предложениями криминального характера - организация DDoS-атак, продажа спам-софта и баз с конфиденциальными данными, предложения разослать вредоносные программы и т.п.

Особняком стоят случаи черного PR, которые тоже наблюдались в этом квартале. Это были атаки на газету «Коммерсант» и на страховую компанию SB-Garant.

В последнее время в Рунете используются не только ставшие уже классическими для западного сегмента интернета схемы мошенничества, такие, как фальшивые уведомления о выигрыше в лотерею, - злоумышленники вполне успешно разрабатывают новые способы выманивания денег у русскоязычных пользователей. Например, в настоящие время в Рунете очень популярно мошенничество с использованием отправки смс на короткие номера.

Спамовые письма, с помощью которых злоумышленники пытались распространять ссылки на вредоносные программы, в основном имитировали уведомления известных почтовых систем. Много вирусных атак наблюдалось на праздники. Что касается рекламы криминальных товаров и услуг, то здесь встречались самые разнообразные предложения: осуществить DDoS-атаки, заблокировать телефон жертвы с помощью флуда, продать спам-базы адресов, обещания обучить пользователя писать вирусы и др. Помимо криминальной деятельности в виртуальной Сети, спамеры предлагали и услуги по вполне конкретным действия в реальном мире.

Не обошлось в первом квартале 2008 г. и без технических спамерских новинок: спамеры стали добавлять «мусорный» текст с помощью html-тэгов. Для этого используются тэги-комментарии, тэги, определяющие цвет текста и т.п., которые большинство почтовых клиентов считают вспомогательными и не показывают пользователям. Наряду с новыми приемами спамеры активно используют уже отработанные методы. С января 2008 г. растет доля «графического» спама, к концу первого квартала она составила 28% всего спама.

CNews

Фишеры используют обещания финансовых дисконтов, чтобы обманным путем получить данные кредитных карт пользователей.

Фишеры рассылают письма якобы от MasterCard SecureCode. Они пытаются использовать неосведомленность пользователей о новой программе, которая по иронии судьбы призвана обеспечить большую безопасность транзакций кредитных карточек.

Фишинг-письма пытаются привлечь пользователей пройти регистрацию на SecureCode, чтобы получить скидку 16% на покупки, совершенные с помощью платежной карты. Остальные фишеры, как правило, просят пользователей по какой-либо причине подтвердить свои личные данные.

Как сообщает Register, если пользователь кликнет по ссылке в теле письма, то его запрос перенаправится на фишинг-сайт, почти идентичный сайту MasterCard. Посетителям затем будет предложено предоставить конфиденциальную информацию, в том числе срок действия кредитной карты, дату рождения и трехзначный защитный код, расположенный на обратной стороне карты - достаточно информации для киберпреступников.

Фишинг-письма были перехвачены фирмой безопасности Sophos.

CNews

В докладе о безопасности веб-приложений за 2008 г. (2008 Annual Web Application Security Report), недавно опубликованном британской ИБ-фирмой NTA Monitor, рисуется тревожная картина уязвимостей веб-приложений, обнаруженных в 2007 г. По данным компании, результаты исследования основываются на тестах, проводимых в течение всего года «для клиентов, постоянно участвующих в исследовании и для клиентов, которые планируют или только начинают использовать новое приложение».

49% всех исследуемых приложений имеют от одной до десяти уязвимостей. Во всех отраслях, в среднем по 13 уязвимостей всех уровней критичности на одну заявку. 2% уязвимостей классифицированы как имеющие «высокий» уровень риска. 17% всех заявок на тестирование включают по крайней мере один чрезвычайно важный недостаток, по сравнению с 34% в 2006 г.

Однако в некоторых отраслях обстановка значительно хуже, чем в других. Сфера услуг страдает больше всего – 20% приложений имели в среднем по одной уязвимости «высокого» уровня и по четыре «среднего». Издательства имели по семь уязвимостей «среднего» уровня, но ни одной «высокого». Удивительно, но правительственные организации имеют хорошие показатели - без уязвимостей «высокого» уровня, и только всего по три «среднего» уровня в среднем на одну заявку. Банковские и юридические заявки в среднем имели по одной уязвимости «высокого» уровня, сообщает Heise Security.

В компании подтвердили, что в этих тестах участвовали произвольные приложения, без подозрения на уязвимости. Несмотря на то, что размер выборки не разглашается по соображениям конфиденциальности, результаты могут быть достаточно достоверными.

CNews

В последнее время у специалистов появилось много вопросов о международном стандарте ISO 27001. Глядя на ситуацию с ISO 9000 в России, многие делают вывод, что сертификация "не работает" и якобы ISO 27001 не нужен. Хотелось бы внести ясность и разобраться с этим
К сожалению, в настоящее время есть много примеров, когда сертификация по стандартам действительно "не работает". Особенно печальная картина сложилась как раз среди стандартов качества, например, ISO 9000. Основная причина такой ситуации - появление бесчисленного количества мелких учреждений, осуществляющих схемы добровольной сертификации, которые очень сложно отследить. Часто небольшие компании грубо нарушают кодекс аудитора - сами оказывают консалтинговые услуги и сами же проводят сертификацию.

В этой части интересен опыт международных аудиторских компаний по проверке внутреннего контроля, отвечающего требованиям закона Сарбэйнса – Оксли (SOX), цель которого — повысить доверие инвесторов к процедуре финансовой отчетности публично котируемых на американских фондовых биржах компаний, установив меры контроля для обеспечения конфиденциальности и целостности финансовых данных.

Согласно международной практике, даже несмотря на то, что основным финансовым аудитором является определенная компания, она вынуждена согласиться на реализацию требований SOX другим финансовым аудитором, по сути - его конкурентом. Это на практике реализует не только принцип разделения функций аудитор-консультант, но и обеспечивает дополнительный контроль.

Каждое предприятие, намеревающееся сертифицироваться в ближайшее время, должно понимать, что от правильного выбора аудитора зависит доверие к сертификату и сертифицированной компании. Вне зависимости от цели - будь то привлечение дополнительных иностранных инвестиций, IPO, слияние с иностранной компанией, повышение своего рейтингового индекса - необходимо четко представлять, что за рубежом есть определенное доверие только к немногим ведущим фирмам, которые и обеспечивают большинство сертификационных аудитов. При этом эти компании жестко контролируются вышестоящими, аккредитующими органами, например, UKAS (United Kingdom Accreditation Service). Они регулярно проводят выборочный аудит сертифицированных компаний и могут отозвать аккредитацию для аудитора вне зависимости от ее статуса.

ISO27001

Международный стандарт BS ISO/IEC 27001:2005 описывает требования, необходимые для проведения сертификации систем управления информационной безопасностью. Методологические аспекты, связанные с построением и жизненным циклом систем управления информационной безопасностью, содержатся в международных стандартах ISO/IEC 27002 (ранее ISO/EC 17799), ISO/IEC 27003-27034, 13335. Стандарты охватывают руководства по внедрению таких систем, их анализ и контроль, управление рисками и инцидентами, непрерывность бизнеса, реализацию организационных и технических мер контроля, измерение эффективности и метрики. В части аудита данных систем рекомендуется использовать стандарты ISO/IEC 19011 и ISO/IEC Guide 62. В России, по данным реестра форума российских пользователей систем управления информационной безопасностью, на настоящий момент сертифицировано десять компаний, в странах СНГ - пять.

Официальная схема сертификации предусматривает различные механизмы контроля. Существует руководство, помогающее осуществлять контроль компетентности и качества работы консультантов по стандартам (Guidelines for the selection of quality management system consultants and use of their services), международные требования к органам по сертификации и самой сертификации по ISO (Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems). Кроме всего прочего, схемой сертификации предусмотрено наличие аккредитованных учебных центров (например, по ISO17001 в России - это Академия информационных систем), а также персональных сертификатов о прохождении обучения (и в некоторых случаях – сдачи экзамена) на данных курсах.

Почему же не работает?

Разберем конкретную ситуацию. Допустим, некая компания проходит сертификацию. Против ожиданий, после этого она не достигает улучшений качества. Одной из причин может стать отсутствие подтвержденных корректирующих действий по выявленным фактам. Другими словами, руководство компании не восприняло результаты аудита всерьез и не исправило внутренние проблемы с организацией контроля качества. Это может быть связано с тем, что предоставленная аудитором информация, возможно, не нашла практической реализации в улучшении продукта/услуги. Действительно, если имеется четкая связь того, что выявленные факты по анализу удовлетворенности потребителей не соответствуют поставленным на данный момент целям бизнеса компании, то почему на них необходимо тратить деньги? В данном случае эта информация может быть в дальнейшем использована для изменения целей, но не больше.

Есть два фактора, по которым косвенно судят об улучшениях услуг или продукции - мнение независимых рейтингов (различные тесты) и мнение самих потребителей, выраженное в виде спроса (или его отсутствия) на продукцию. Если у компании появляются сомнения в работе созданной и сертифицированной системы управления, она может пожаловаться в орган по сертификации, а в дальнейшем, в случае проблем с сертифицирующей компанией, в орган по аккредитации. Это является одной из причин к более глубокому изучению аудитором сертифицируемой компании. Нужно также помнить про моменты, связанные со зрелостью СУИБ, – чем больше времени компания работает с СУИБ, тем точнее результаты ее работы, выше компетентность ее сотрудников и лучше понимание, как СУИБ влияет на бизнес и потребителей.

Далее возникает вопрос доверия - доверяете ли вы аудиторской компании? Понятно, что всякого рода карманные структуры не могут объективно гарантировать качество сертификации, только независимые компании, которые существуют на рынке десятки лет, и имеют развитые функции самоконтроля и контроля со стороны аккредитующих структур, могут вызывать доверие. Особенно это касается международных компаний, которым есть что терять и с чем сравнивать.

Гарантирует ли безопасность?

В любом случае, какая бы сертификация или независимый аудит не был - по SOX, по VISA PCI или аттестация ФСТЭК, все это не может гарантировать непревзойденной и нерушимой безопасности, но, тем не менее, обеспечивает элементарные функции контроля и выполнения известных требований перед регулирующими структурами.

Задача стандарта ISO 27001 и сертификации по нему - не гарантировать безопасность, а обеспечивать работу над ошибками, готовиться к их наступлению (разрабатывать планы действий при их наступлении), по возможности предвидеть будущие проблемы (анализировать риски).

Основное внимание должно быть уделено именно контролю со стороны внешних аудиторов, поскольку персонал организации может элементарно не выполнять заявленные требования, также как и неопытный консультант может допустить определенные ошибки. В таком случае аудиторы не должны допускать сертификации или отзывать/приостанавливать выданный сертификат.

Безопасность – это "процесс, а не цель": постоянно появляются новые угрозы безопасности, существуют социальные атаки (подкуп, шантаж), растет количество сложно обнаруживаемых злоумышленных действий инсайдеров. "Все течет, все изменяется",- говорили древние философы - это, в частности, применимо к понятию безопасность. Аудит и контроль позволяют обнаруживать мелкие изменения, крупные же, в свою очередь, должны контролироваться на этапе их одобрения руководством.

Кто прошел сертификацию

Согласно реестру сертификатов ISO/IEC 27001:2005 в СНГ, только в России за последние 2 года появилось девять сертифицированных компаний: CMA Small Systems AB, "Крок", Data Fort, РОСНО, "Рутэния", "Лукойл-Информ", Luxsoft, "Межрегиональный ТранзитТелеком" (МТТ), "Ланит" и "ТрансТелеКом".

Это небольшое по сравнению с общемировыми показателями количество. Тот факт, что в списке в основном находятся ведущие игроки в своей отрасли – говорит о том, что процесс сертификации, видимо, отражает действительность зрелых организаций. Стоит также отметить, что все указанные компании были сертифицированы известными международными аудиторами.

Если проанализировать тенденцию, становится очевидным, что на сертификацию выходят в основном компании, в которых годами складывалась корпоративная культура управления информационной безопасностью, что, по сути, отражается в виде признания данных успехов и сертификации. Не стоит забывать, что стандарт отражает так называемые “лучшие практики”, при этом уровень зрелости компании по вопросам информационной безопасности обычно складывается годами путем проб и ошибок. Почему же у российских компаний для этого нет грамотных специалистов и понимания руководством современных требований бизнеса?

Постепенно выгоду от сертификации и потребность в международных стандартах осознали наиболее консервативные, но и наиболее заинтересованные в информационной безопасности предприятия – это банковские и финансовые организации. В настоящий момент крупнейший российский банк - Сбербанк России - получил сертификат по стандарту управления ИТ-сервисами ISO 20000, который включает в себя также процесс управления информационной безопасностью в соответствии с ISO/IEC 27001:2005. Недавно "АзияУниверсалБанк", в совет директоров которого входят Майкл Меред (бывший представитель МВФ в Киргизии), Боб Доул и Беннетт Джонстон (экс-сенаторы США), стал первым банком в СНГ, получившим сертификат именно по информационной безопасности.

Процесс сертификации по международным стандартам систематически проверяется со стороны соответствующих регулирующих организаций. По неофициальным данным, недавно Россия прошла очередную проверку со стороны надзирающего органа по аккредитации - UKAS. И, видимо, учитывая усилия, которые демонстрируют российские компании на пути к международным стандартам, недавно в России проходило заседание подкомитета ISO/IEC JTC1/SC27 ("Безопасность информационных технологий"), где обсуждались, в частности, вопросы развития стандартов ISO по информационной безопасности, и в том числе, стандарта ISO/IEC 27001:2005.

В завершение хотелось бы сказать несколько слов о связи между сертификацией и бизнесом. Начнем с того, что все работы по созданию СУИБ начинаются только после документирования в первую очередь бизнес-целей и уже после того - целей СУИБ. Достижение этих целей является смыслом процесса анализа со стороны руководства. Получение новых контрактов, выход на новые рынки, привлечение инвестиций, повышение привлекательности при слиянии и продаже бизнеса, повышение рейтинга компании международными рейтинговыми агентствами – это только малая часть того, почему руководители компаний задумываются о создании СУИБ по международным стандартам и ее сертификации. Нужно отметить, что те компании на российском рынке, которые уже сертифицировались, не только имеют четкие цели в этой части, но многие их уже достигли в той или иной мере.

Николай Федотов: Безопасность - предмет темный

Своим экспертным мнением с CNews поделился Николай Федотов, главный аналитик InfoWatch.

Не вполне ясно, чем подтверждается мнение, что сертификация "не работает". В отношении ISO-9001 об этом можно судить, например, по увеличению сбыта. А как померить улучшение информационной безопасности? Ее влияние на финансовые показатели компании весьма опосредовано. Тем более что безопасность, как известно, не приносит прибыль, а избавляет от убытков, да и то не всегда.

На наш взгляд, сертификация по 27001 приносит выгоды не столько самой сертифицированной компании, сколько ее менеджменту. В силу упомянутой особенности ИБ, трудно оценить эффективность вложений в нее. Скажем, потратила компания кучу денег на организацию защиты, на соответствующее оборудование и специалистов. Никаких значимых инцидентов не случилось. Защита эффективна? Или просто повезло? У руководства компании всегда таится мысль: не зря ли мы тратим деньги на нашу защиту? Может быть, она не работает? Может быть, мои безопасники просто вешают мне лапшу на уши, выпрашивая деньги на свои высокотехнологичные игрушки, на свои мужские игры? Когда что-то неприятное случится, и обнаружится, что наша защита не сработала, будет уже поздно. А как проверить? Устроить учебную тревогу?

Проведение сертификации по стандарту ГОСТ-27001:2005 - это хороший способ выяснить, работает ли твоя "безопасность", не напрасно ли потрачены деньги. Мне кажется, что приобретение сертификата в качестве конкурентного преимущества - это вторичная задача для наших крупных компаний. Первичная - убедиться, что имеющаяся система защиты построена "по науке" и сработает против распространенных угроз. Не зря в списке прошедших такую сертификацию мы видим только крупные предприятия, с многоуровневой бюрократической системой управления. Они больше других должны опасаться нерационального расходования средств.

CNews

72% компаний с установленными в сети обновленными решениями безопасности заражены вредоносными кодами, говорится в отчете PandaLabs по результатам исследования, проведенного среди 1,5 млн. пользователей в 2007 г. Среди конечных пользователей выявлено 23% зараженных домашних компьютеров. Актуальные данные свидетельствуют о том, что ситуация с тех пор не улучшилась.

Основная причина создавшейся ситуации заключается в том, что на сегодняшний день для защиты компьютеров от постоянно увеличивающегося числа вредоносных кодов уже недостаточно традиционных решений безопасности. Компьютер может быть заражен, а его пользователь - даже не подозревать об этом.

«Многие пользователи и ИТ-менеджеры считают, что все решения безопасности одинаковы, и что наличия установленного традиционного антивируса вполне достаточно для обеспечения необходимой защиты, однако это совсем не так. Из-за эволюции вредоносного ПО обладатель традиционного антивируса по-прежнему уязвим, - объяснил Мэтью Бриньон, CMO в Panda Security. - Он может стать жертвой кражи персональных и конфиденциальных данных, а также утратить информацию о своих кредитных катах, банковских счетах и др.».

Для того чтобы придать ситуации широкую огласку, Panda Security запустила кампанию Infected or Not. Благодаря этой инициативе как пользователи, так и компании смогут воспользоваться возможностью осуществить бесплатную оценку безопасности своих ПК и сетей при помощи крупнейшей в мире базы данных вредоносных кодов, содержащей более 11 млн. экземпляров вредоносных кодов, и, как результат, смогут повысить уровень безопасности своих компьютеров.

Благодаря принципу «Коллективного разума» Panda может обнаруживать вредоносные коды, которые остаются незамеченными другими решениями безопасности.

Поясним, что «Коллективный разум» – это инновационная модель безопасности, основанная на сборе информации о вредоносных кодах с интернет-сообщества и ее автоматизированной обработке в сети новых центров данных. Поскольку знания аккумулируются на серверах Panda, а не на компьютерах пользователей, «Коллективный разум» позволяет повысить эффективность обнаружения решений Panda Security, одновременно снижая потребление пропускной способности сети и ресурсов.

На данный момент сеть «Коллективного разума» Panda Security включает 4 млн. компьютеров. Накопленные в системе знания состоят из более чем 11 млн. образцов вредоносного ПО и более 100 млн. проанализированных программ. В 2007 г. свыше 94% всех новых угроз, присланных в PandaLabs, были обнаружены с помощью системы «Коллективного разума».

CNews

Microsoft предупредила пользователей текстового редактора Word об уязвимости версий 2000, 2003 и 2007, позволяющей злоумышленнику получить доступ к ПК жертвы. По информации Microsoft, уже были проведены первые атаки.
Корпорация Microsoft опубликовала предупреждение для пользователей редактора Word об уязвимости текстового процессора. Используя ее, хакеры могут получить несанкционированный доступ к ПК жертвы и выполнить на нем произвольный код.

Проблема связана с компонентом Jet Database Engine. Он используется в пакете MS Office, в том числе в программах Word и Access. Для осуществления атаки киберпреступник должен создать файл в формате .doc, который при открытии в любой программе, работающей с такими файлами, провоцирует ошибку в msjet40.dll, а она позволяет выполнить произвольный код на ПК.

Специалисты Microsoft отмечают эту особенность атаки через файлы .doc как «смягчающие обстоятельства», поскольку злоумышленнику необходимо разместить зараженный файл в Сети и «заставить» жертву скачать его, а затем открыть.

В сообщении компании говорится, что от уязвимости могут пострадать пользователи программ Microsoft Word 2000 SP3, Microsoft Word 2002 SP3, Microsoft Word 2003 SP2, Microsoft Word 2003 SP3, Microsoft Word 2007 и Microsoft Word 2007 SP1, работающих на базе ОС Microsoft Windows 2000, Windows XP или Windows Server 2003 SP1.

Проблема не касается версий Windows Server 2003 SP2, Windows Vista и Windows Vista SP1.

В данный момент специалисты Microsoft занимаются решением проблемы. О сроках выпуска патча в бюллетене ничего не говорится.

Тем временем, специалисты Microsoft уже сообщили, что знают о первых атаках с помощью данной уязвимости. Однако в корпорации полагают, что риски небольшие, а пользователям до выпуска патча необходимо проявлять осторожность — не скачивать и не открывать файлы в формате .doc с незнакомых или подозрительных веб-ресурсов, а также получаемые по электронной почте от адресатов, не вызывающих доверия.

CNews

Платежная система PayPal, принадлежащая компании eBay, в пятницу, 18 апреля, объявила о том, что планирует бороться с фишингом, блокируя доступ к своему сайту для пользователей старых и небезопасных браузеров.

«Нас тревожит тот факт, что значительное число наших клиентов пользуются старыми браузерами, в которых есть масса уязвимостей», - говорится в заявлении PayPal.

Теперь PayPal поддерживает только браузеры с использованием SSL-сертификатов с расширенной проверкой (EV), сообщает АР. Данную технологию поддерживают последние версии Microsoft Internet Explorer и Firefox 2.

Полиция города Манчестер (Британия) запустила собственное приложение для социальной сети Facebook, которое должно помогать в поимке преступников.

С помощью нового приложения жителям Манчестера будут сообщать о различных происшествиях, совершенных преступлениях, разыскиваемых преступниках и т.п.

Приложение также дает пользователям возможность через социальную сеть ставить полицейских в известность о преступлениях, сообщает ITpro.

«Новое приложение улучшит осведомленность полиции Манчестера об инцидентах, происходящих в городе, и позволит быстрее задерживать преступников», - сказал Роб Тэйлор (Rob Taylor), помощник главного констебля.

Использование мобильных телефонов детьми и подростками небезопасно для их здоровья, заявили эксперты Российского национального комитета по защите от неионизирующих излучений, проведя опыты на животных разных возрастов. Подрастающему поколению рекомендовано максимально исключить общение по мобильнику, так как оно может приводить к тяжелым поражениям нервной системы.

Российский национальный комитет по защите от неионизирующих излучений (РНКЗНИ) сформулировал свою точку зрения относительно возможного влияния электромагнитного поля мобильных телефонов на здоровье детей и подростков. В результате проведенных опытов, консультаций и дискуссий было сформулировано решение «Дети и мобильные телефоны: под угрозой здоровье будущих поколений». В нем изложено мнение ведущих российских ученых в области гигиены и радиобиологии неионизирующих излучений, которое основано на современных научных знаниях и фундаментальных представлениях, накопленных за многие годы исследований вопросов влияния электромагнитного поля на здоровье человека.

Как рассказал CNews заместитель председателя РНКЗНИ, директор Центра электромагнитной безопасности Олег Григорьев, в основу принятого решения, в частности, были положены результаты анализа опытов, которые проводились над животными разных возрастов, главным образом, над крысами и их эмбрионами. Выяснилось, что электромагнитное поле очень сильно влияет на развивающийся организм. Электромагнитное поле — важнейший биотропный фактор, определяющий не только здоровье, но и непосредственно процессы высшей нервной деятельности, включая поведение и мышление людей. При использовании мобильного телефона обязательно происходит воздействие электромагнитного поля на головной мозг пользователя.

Несмотря на то, что в Санитарных правилах и нормах рекомендовано ограничение возможности использования мобильных телефонов лицами, не достигшими 18 лет (СанПиН 2.1.8/2.2.4.1190–03, пункт 6.9), дети и подростки стали целевой маркетинговой группой для рынка сотовой связи, отмечают эксперты РНКЗНИ. Действующие стандарты безопасности для мобильных телефонов разработаны для взрослых и не учитывают особенности детского организма.

Потенциальный риск для здоровья детей очень высок. Следует учитывать, что электромагнитное поле влияет на формирование процессов высшей нервной деятельности, а поглощение электромагнитной энергии в голове ребенка значительно выше, чем у взрослого (мозговая ткань детей обладает большей проводимостью, меньший размер головы, тонкие кости черепа и т.д.). Детский организм обладает большей чувствительностью к электромагнитному полю, чем взрослый; мозг детей имеет большую склонность к накоплению неблагоприятных реакций в условиях повторных облучений электромагнитным полем.

Cпециалисты подчеркивают, что современные дети пользуются мобильными телефонами с раннего возраста и будут продолжать их использовать будучи взрослыми, поэтому стаж контакта детей с электромагнитными излучениями будет существенно больше, чем у современных взрослых. По мнению членов РНКЗНИ, у детей, использующих мобильные телефоны, следует ожидать следующие возможные ближайшие расстройства: ослабление памяти, снижение внимания, снижение умственных и познавательных способностей, раздражительность, нарушение сна, склонность к стрессорным реакциям, повышение эпилептической готовности. Ожидаемыми (возможными) отдаленными последствиями являются опухоль мозга, слухового и вестибулярных нервов (в возрасте 25–30 лет), болезнь Альцгеймера, «приобретенное слабоумие», депрессивный синдром и другие проявления дегенерации нервных структур головного мозга (в возрасте 50–60 лет). По словам Олега Григорьева, все эти прогнозы были выработаны после анализа полученных данных и длительных научных дискуссий.

«Дети, используя мобильный телефон, не в состоянии осознавать, что подвергают свой мозг воздействию электромагнитного поля, а здоровье — риску, — говорится в заявлении комитета. — И этот риск ничуть не меньше, чем риск для здоровья ребенка от табака или алкоголя. Наш долг — не позволить бездействием нанести ущерб здоровью детей — будущего страны».

РНКЗНИ уже направил свое решение главному санитарному врачу России Геннадию Онищенко с просьбой ввести в стране систему предупреждения о вреде электромагнитного излучения на здоровье детей при использовании мобильных телефонов. «Самым простым решением было бы вкладывать в коробку с телефоном брошюру, где бы рассказывалось об этой проблеме, — считает Олег Григорьев. — Такая практика, например, есть в Великобритании. Родители должны быть оповещены о влиянии электромагнитного поля на здоровье детей. Если проявить определенную настойчивость, то ребенку можно объяснить, чем грозит общение по мобильному».

Григорьев сообщил, что до конца мая 2008 г. РНКЗНИ выработает конкретные рекомендации по использованию мобильников детьми и подростками в возрасте до 18 лет. «Но первая рекомендация уже есть — детям необходимо максимально исключить использование мобильных телефонов, стараться говорить по ним только в крайних случаях», — говорит Григорьев. Он напомнил основные рекомендации для взрослых: не общаться по мобильному более 15 минут в день; соотношение между продолжительностью разговора и отдыхом перед следующим разговором должно составлять 1 к 5, то есть, после разговора в одну минуту, вам рекомендуется как минимум пять минут воздержаться от следующего звонка; во время сна держать телефон не ближе 1 м от головы, а лучше вообще выключать; использовать гарнитуры Bluetooth.


CNews

Корпоративные базы данных нередко оказываются незащищенными от действий инсайдеров, поскольку злоумышленникам, работающим в компании, нетрудно замаскировать воровство конфиденциальных данных под обычный рабочий процесс. Как же организовать эффективную защиту? Необходим целый комплекс мер, включающий, помимо ведения журнала аудита, анализ потенциальных каналов утечки и их "сужение", выстраивание формализованных процедур контроля.
Широкое обсуждение разнообразных мер по защите данных от инсайдеров, ведущееся многими специалистами, все же не проясняет до конца сути вопроса. Под эту тему попадает все, включая контент-анализ информационных сообщений, выходящих за пределы организации, контроль подключаемых накопителей, контроль действий сотрудников на их рабочих местах и многое другое. Однако защите от инсайдеров корпоративных баз данных, хранящих стратегические нематериальные активы компаний, несомненно, должно придаваться первостепенное значение.

В рамках данной статьи мы рассмотрим доступ к корпоративным базам данных со стороны собственных сотрудников компании, которые имеют все необходимые права и работают с этими базами, выполняя свои прямые производственные обязанности. За пределами нашего внимания останется защита резервных копий и данных в мобильных устройствах, а также ряд других аспектов защиты баз, отличающихся тем, что в отношении них более или менее понятно, что и от кого защищать, и можно провести определенную аналогию с защитой периметра.

Особенность ситуации с доступом к БД состоит в том, что вредоносная деятельность сотрудника легко может быть замаскирована под обычную служебную активность. Таким образом, задача, которую мы пытаемся разрешить, является еще одним воплощением старой, как мир, проблемы – как выявить скрытых "врагов" в кругу "друзей".

Но давайте снимем эту излишнюю эмоциональную окраску – в компании нет ни друзей, ни врагов - только сотрудники. И некоторые из них могут сознательно действовать в ущерб компании (так называемые "обиженные", либо "лазутчики", засланные кем-то с криминальными намерениями, либо сотрудники, завербованные с этой же целью), другие могут находиться в некотором "пограничном" состоянии, борясь с соблазном "продаться". Есть еще одна категория – люди рассеянные или недисциплинированные, которые могут нанести ущерб ненамеренно.

На чем можно построить противодействие активным вредоносным элементам и как приучить к дисциплине "пассивных" потенциально опасных сотрудников?

Контроль и аудит

Первое, что приходит в голову, - это слово "контроль". Еще не определив это понятие и не наполнив его содержанием, можно согласиться с тем, что контроль - это хорошо: по меньшей мере, его наличие позволит поднять психологическую планку, которую необходимо преодолеть потенциальным "кротам" для начала своей вредоносной деятельности. Находясь в поле действия "контроля", такой субъект уже не просто берет то, что "плохо лежит", а должен спланировать свои действия, сознательно пойти на риск, что осложнит выполнение его намерений и во многих случаях заставит от них отказаться. Угроза наказания поможет приучить к дисциплине рассеянных.

Но каким конкретным содержанием может быть наполнено слово "контроль"?

Руководствуясь здравым смыслом, можно заключить, что это прослеживание событий, связанных с контролируемой сферой активности, с последующим анализом и выделением противоправных, сомнительных и потенциально опасных действий.


Прослеживание событий (или более терминологически точно – аудит, т.е. регистрация тех действий пользователей, которые имеют отношение к безопасности, с автоматической записью информации о них в специальные журналы) – находится в сфере внимания многих современных стандартов безопасности и целого ряда регулирующих актов, -- таких, как стандарт Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации", международный стандарт безопасности информационных систем ISO 17799:2005, его предшественник от 2000 года и соответствующий Российский ГОСТ Р ИСО/МЭК 17799-2005 "Информационная технология - Практические правила управления информационной безопасностью", Payment Card Industry Data Security Standard (PCI DSS), знаменитый закон Sarbanes- Oxley и др.

5 пунктов о журналах аудита

Эксперт Кимбер Спрэдлин (Kimber Spradlin) из Embarcadero Technologies сформулировал 5 пунктов о журналах аудита, которые стоит принять во внимание всем, кто имеет отношение к безопасности БД. Журналы аудита – важная область, связанная с безопасностью баз данных, и в частности, с обеспечением выполнения требований стандартов по ИБ.

Вне зависимости от страны и рода деятельности, компании сталкиваются с требованиями соблюдения законодательных норм по ИБ и конфиденциальности данных. Тем не менее, ни одна из этих норм, возможно, за исключением Payment Card Industry’s Data Security Standard (PCI DSS), не содержит четких указаний, как именно им следует удовлетворять. Другими словами, любой совет, связанный с проектированием и управлением БД, скорее всего, будет достаточно общим.

Но мы попробуем сформулировать определенные правила, выполнение которых поможет сделать базы данных более защищенными, удовлетворяющими законодательным требованиям, сконцентрировав свое внимание на ключевой области, связанной с безопасностью баз данных – на журналах аудита.

1. На чем основаны правила. Большинство законодательных норм в ИТ сформулировано намеренно расплывчато. Поэтому специалистам по аудиту и безопасности в области ИТ приходится искать соответствующие руководства и интерпретации в дополнительных источниках. Наиболее распространенными из них являются ISO 17799 – Code of Practice for Information Security Management, Control Objectives for Information and related Technology (CobiT), IT Infrastructure Library (ITIL) и связанные с ними публикации правительственных организаций. Эти документы дают некоторые представления о том, какие данные нужно записывать в журнал аудита, как его защитить и как использовать содержащуюся в нем информацию.

2. Что записывать в журнал. В первую очередь, необходимо определить, какие данные нужно записывать в журнал. Вне зависимости от требований законодательных норм, в журнале должны быть данные по системному доступу, деятельности привилегированных пользователей, системным изменениям и изменениям схемы.

Данные, которые нужно записывать в журнал

Системный доступ: - Успешные и неудачные логины
Изменения, связанные с пользователями, ролями, доступом и паролями

Деятельность привилегированных пользователей: - Все

Системные изменения: - Подключения/отключения журналов
Подключения/отключения служб
Изменения конфигурации
Перезагрузки
Ошибки

Изменения схемы: - Создания/удаления/изменения объектов БД - таблиц и полей, процедур, пакетов, представлений
Изменения данных*: - Вставки, обновления или удаления записей
Доступ к данным**: - Неудачные и успешные попытки (обычно запросы SELECT)

* для соблюдения законодательных норм, касающихся целостности данных, таких, как Basel II Accord или Sarbanes-Oxley
** для удовлетворения требований по конфиденциальности данных

Источник: Embarcadero Technologies, 2008
Получился довольно объемный список. Рассмотрим далее, что нужно делать с журналами и каким образом это можно реализовать.

3. Как защитить журналы. Для аудиторов и регулирующих органов недостаточно собранной информации - нужно доказать, что полученные данные полны и точны. Это означает, что в систему должна быть встроена защита, либо должны быть построены специальные защищенные процессы. У аудиторов это называется "разделение обязанностей", - должна существовать гарантия того, что один и тот же человек не сможет быть инициатором действий, выдавать на них разрешения и контролировать осуществление. Применительно к журналу аудита это означает, что люди, чьи действия записываются в журнал, не должны иметь доступ к журналу аудита или управлять им.

Требования, указанные в различных законодательных нормах, руководствах и стандартах, включают ограничение доступа на чтение, размещение журналов в местах, отдельных от объектных БД и недоступных их администраторам, запрет на изменения в журналах, выделение необходимого дискового пространства (чтобы не допускать потерь данных и системных ошибок), шифрование любой важной информации, содержащейся в журналах, наличие онлайновых предупреждений об изменениях, проблемах с пространством или ошибках, связанных с журналами.

4. Как использовать журналы. Использование данных, собираемых в журналах аудита, не так очевидно на первый взгляд. В зависимости от типа информации, вида бизнеса, и применимых законодательных актов, с которыми приходится сталкиваться, журнальные файлы следует изучать с разной частотой – некоторые из них подлежат непрерывному контролю, другие – просмотру раз в месяц или даже раз в квартал.

Если в системе есть настроенная компонента, выдающая сообщения по журналам аудита в реальном времени, журнальные файлы не придется просматривать слишком часто, нужно будет лишь отслеживать подозрительные изменения и тренды. Например, если за последний месяц отношение неудачных логинов к успешным резко увеличилось, это стоит проанализировать более детально.

Данные по действиям привилегированных пользователей необходимо просматривать чаще, чем по обычным - как минимум раз в неделю - и более детально. Также повышенного внимания заслуживают изменения привилегий пользователей и, если возможно, отчеты по неавторизованным изменениям конфигурации и схем.

Детализированные и суммарные отчеты по коррекции данных и доступу к ним стоит просматривать где-нибудь раз в месяц. И здесь опять стоит обращать особое внимание на соотношения и тренды. Об опасности может сигнализировать, например, увеличение числа неудачных SELECT’ов.

Кроме всего прочего, необходимо определить, сколько времени нужно хранить данные аудита. Обычно в течение трех месяцев информация находится в онлайн-хранилищах (данное ограничение по времени связано с требованиями к пространству хранения) и до 7 лет - в оффлайн-хранилищах. Юристы компаний рекомендуют хранить сведения ровно столько, сколько требуется, и ни днем больше.

5. Какие отчеты будут необходимы. Возможно, не стоило бы собирать столько данных, если бы это действительно не было необходимым. Несомненно, что людям, которые формулируют требования к регистрируемым данным, понадобятся некоторые отчеты.

Ключевые отчеты:

Отчет Описание Частота

Действия ВСЕХ Необходимо Ежедневно,
привилегированных наблюдать за этими еженедельно
пользователей наблюдателями



Неавторизованные изменения Сравнение реальных изменений Еженедельно
- привилегии, пользователи, с отчетом по авторизованным
схема, конфигурация изменениям из процесса по
управлению изменениями
Сравнение пользовательских
аккаунтов и приложений,
используемых при внесении
изменений, со списком
авторизованных


Тренды по входам/выходам Обзор для выявления основных Ежемесячно
из системы трендов и определения (стоит настроить
нестандартных схем поведения немедленное
Разделение на рабочее информирование
и нерабочее время по наиболее
для более осмысленных подозрительным
отчетов видам активности)

Источник: Embarcadero Technologies, 2008


В первую очередь потребуются, как минимум, три ключевых отчета – действия всех привилегированных пользователей, неавторизованные изменения (привилегии, пользователи, схемы, конфигурации) и тренды по входам/выходам из системы.

Наблюдение, анализ и контроль доступа

Итак, мы уже убедились в том, что следующим шагом за регистрацией данных в журналах аудита, позволяющим построить детальный контроль, является наблюдение (зарегистрированных данных) и анализ. Сами по себе отчеты не выходят за рамки такого наблюдения: это те же самые зарегистрированные данные, но в концентрированном или статистически обобщенном виде. Они могут навести на определенные мысли, но не реализуют собственно анализ. Что же делать со всеми этими данными, и какой анализ при этом требуется?

Итак, зафиксируем этот этап, когда детальные журналы аудита, хранящие след прошедшей активности по доступу к данным, есть, но собственно анализа еще нет, т.е. контроль как общее понятие – не реализован. Попробуем сделать следующий шаг, т.е. сформулировать принципы такого анализа и построить фундамент необходимого контроля.

Ясно, что целью анализа является отделение "правильных" операций от противоправных (или хотя бы от "подозрительных", если сразу не можем точно отделить одни от других).

В некоторых случаях для этих целей можно построить автоматизированные процессы контроля, например, для сравнения списков авторизованных изменений прав пользователей с реально осуществленными операциями (о чем упоминалось выше).

Иногда стоит попробовать "искать под фонарем", т.е. анализировать то, что легче всего поддается изучению. При этом не следует пренебрегать интуитивными способностями, в том числе "пространственным" знанием объекта, концентрирующим предыдущий опыт – т.е. знанием о конкретном содержимом базы, об используемых приложениях, персоналиях, осуществляющих доступ, и проч.

Например, в банке, глядя на отчет о лицах, имевших объемный доступ к таблице с персональными данными, можно на интуитивном уровне и с учетом "пространственного" знания объекта определить, кто действительно мог иметь необходимость работы с ними, а кто вызывает подозрение. Или на производственном предприятии: объемный доступ к информации об экспортных операциях со стороны группы лиц не вызовет подозрений, если известно, что руководство поручило им подготовку аналитического отчета по этой теме.

В каждой конкретной индустрии и на каждом конкретном предприятии такой "интуитивный" анализ может быть весьма эффективным и даже быть оформлен в виде некоторого внутреннего стандарта, однако, как мы увидим ниже, он имеет ряд ограничений.

Приведем еще несколько примеров. Так, если некто с нехорошими намерениями написал процедуру перекачки информации из таблицы с персональными данными во временную таблицу, не вызывающую подозрений, и в результате получил к ним доступ, не привлекая пристального внимания со стороны контролирующих структур – это явная брешь в защите данных.

Еще один пример. В базе данных появились таблицы, содержащие конфиденциальную информацию, но в силу слабого взаимодействия между подразделениями контролирующая служба узнала о них с опозданием. Риск злоупотреблений при бесконтрольном доступе к этим данным – налицо.

Для устранения такого рода "брешей" в защите следует включить в сферу наблюдения более широкий спектр внутренних операций компании, чтобы сделать возможным всесторонний анализ.

Для фокусирования внимания к наиболее важным компонентам информационной системы служит классификация наблюдаемых объектов, ограничение каналов доступа к данным, формализация процедур работы привилегированных пользователей. Все это позволит сделать анализ даже на интуитивном уровне более всеохватывающим, включив в сферу контроля те области, которые ускользали от нашего внимания, а в ряде случаев позволит внедрить формализованные процедуры контроля.
Итак, суммируя вышесказанное, получаем набор действий, требуемых для организации контроля доступа к БД, порядок выполнения которых может меняться, но суммарно должен содержать следующее.

Необходима реализация на деле "всевидящего ока", т.е. регистрация полного следа, включающего абсолютно все активности, связанные с базой данных. Это пригодится не только для анализа, о котором ведется речь, но и при расследованиях обнаружившихся фактов утечек информации (и для установления еще более высокого уровня "психологического" барьера для потенциальных инсайдеров, о котором говорилось в самом начале).

Классификация объектов БД при помощи атрибутов, характеризующих степень конфиденциальности, поможет "сузить" область наиболее пристального внимания. Исключение возможности внедрения в базу любых "левых" объектов: фиксация эталонной схемы БД, реализация стандартного бизнес-процесса внесения изменений, введение периодического контроля соответствия схем "живой" БД и архивного эталона позволит быть уверенными, что в базе не происходит "внутренней" утечки.

Формализация процессов работы привилегированных пользователей и ввод документированных бизнес-процессов изменения прав, внесения изменений в схему обеспечит контроль наиболее “чувствительных” операций. Практически полный запрет работы с консоли на сервере БД исключит возможность мошенничества, связанного с временным отключением функций контроля (возможность доступа к БД с консоли при любой реализации контроля не может исключить определенных уязвимостей). Работа с консоли должна разрешаться строго ограниченному кругу лиц и быть подчинена жестким правилам.

Детальная проработка объема и частоты наблюдения, в том числе задание онлайновых нотификаций о нестандартной активности, выдача периодических оффлайновых отчетов, их рассмотрение с учетом "пространственного" знания объекта позволит сопоставлять реальную активность по работе с данными модельным представлениям, построенным на основе всех возможных источников. Для более многостороннего анализа поможет статистическое профилирование доступа по типам должностных обязанностей пользователей с последующим сравнением повседневной активности каждого из них с модельным профилем – для выявления и анализа фактов нетипичного поведения.

Таким образом, наблюдение становится более всеохватывающим, контроль – более плотным.

Техническая реализация полного аудита по типу "всевидящего ока", практически не оказывающего влияния на объектную систему, хотя и не является широко распространенной, на самом деле особой трудности сегодня не представляет.

С использованием полного аудита, формализацией процедур работы привилегированных пользователей и внедрением контроля схемы БД существенно сужаются возможности получения данных из БД за рамками стандартных операций доступа.

Осталось одно: автоматический контроль каждого акта доступа к данным.

Этот шаг по пути эскалации степени контроля дается с бОльшим трудом, и полностью реализовать его – скорее всего, утопия.

Что он означает? Автоматический контроль всех бизнес-процессов, включающих доступ к важным данным. Например, если оператор call-центра телефонного провайдера получил запрос на выдачу детализированного счета для определенного абонента, должна существовать возможность автоматического сопоставления факта доступа к базе с наличием авторизации соответствующего клиентского запроса относительно этой детализации.

Для некоторых выделенных бизнес-процессов реализовать подобный контроль не так уж сложно, но охватить им все акты доступа к данным…

Возвращаясь к началу этой статьи, отметим, что, несмотря на трудности, содержащиеся в самой постановке задачи по обнаружению вредоносной или подозрительной активности инсайдеров, в ее реализации может быть достигнут серьезный прогресс при выстраивании подхода, объединяющего полноту собираемых данных о фактах доступа, скрупулезную работу по ограничению возможных "каналов" утечки, построение автоматизированного контроля бизнес-процедур, включающих работу с корпоративными данными, и применение конкретных "пространственных" знаний о внутренних процессах в компании для анализа всех существующих активностей.

CNews

Финансовые пирамиды стали печальным символом российского перестроечного времени. Появление рынка ценных бумаг и отсутствие законодательной базы по урегулированию деятельности финансовых структур явились предпосылками для создания нашумевших компаний - «МММ», «Хопер-Инвест», «Русский дом Селенга» и других. Кроме того, переход на рыночную экономику спровоцировал инфляцию и глобальный кризис недоверия к власти. Как следствие, поток сбережений населения потек в финансовые пирамиды.

С течением времени мы начали забывать о подобных структурах, но россияне сейчас снова заинтересовались инвестициями и вновь готовы зарабатывать на своих накоплениях. Чтобы снова не оказаться тем самым лохом, на котором заработают другие, нам всем неплохо снова пришлось вспомнить, что же такое пресловутая финансовая пирамида. На эту тему корреспондент ИА «Клерк.Ру» Андрей Соколов побеседовал с профессором Иваном Андриевским, управляющим партнером НКГ «2К Аудит – Деловые консультации».

Иван, как отличить финансовую структуру, регулируемую законом и государством, от финансовой пирамиды, управляемой мошенниками?

Развитие современных рынков сопровождается созданием новых финансовых структур и инструментов, в частности, появлением ПИФов – контролируемых государством инвестиционных фондов. Высокая ликвидность паев и вероятность высоких доходов дает ПИФам определенное преимущество перед банковскими депозитами. Как показывают последние события, этим фактом активно пользуются создатели новых финансовых пирамид, которые утверждают, что вкладывают средства в высокоприбыльные проекты и в наиболее ликвидные акции.

Собираясь вложить в какой-либо фонд свои сбережения, в первую очередь следует обратить внимание на гарантию получения доходов по ставке выше рыночной. Безусловно, существуют дивиденды порядка 70%, которые можно получить в инвестиционном фонде. Однако управляющие компании по законодательству не имеют права регламентировать доходность, так как они работают с высокорисковыми инструментами финансового рынка. К тому же инвестиционные компании подписывают с клиентом особую декларацию, в которой оговаривается вероятность потери денег инвестора из-за колебаний на рынке ценных бумаг.

Во-вторых, для того, чтобы принимать средства населения в доверительное управление или размещать их на депозитах, компания обязана иметь лицензию Федеральной службы по финансовым рынкам или лицензию Центробанка.

Но законодательство Российской Федерации не запрещает привлекать деньги, например, по договору займа…

Именно поэтому следующий момент, на котором стоит заострить внимание, - это предмет договора. Управляющие компании заключают договор на доверительное управление денежными средствами, тогда как финансовые пирамиды, за неимением соответствующих лицензий, заключают договор займа.

Кроме того, следует обратить внимание на содержание договора, в частности, на права и обязанности сторон. Зачастую мошенники составляют договор так, что фактически вкладчик не может претендовать на возврат своих средств в случае банкротства компании. Также в одном из пунктов может быть прописана обязанность клиента привлекать новых вкладчиков, что является неприемлемым в работе банков и инвестиционных фондов. Поэтому прежде чем подписывать договор, стоит проконсультироваться с независимым юристом.

Каким еще образом можно обезопасить свои инвестиции?

Перед тем, как размещать деньги в любой инвестиционной компании или банке, необходимо в средствах массовой информации и Интернете собрать все доступные сведения об их деятельности. Стоит обратить внимание на то, что солидные управляющие компании раскрывают подробную информацию о движении средств - в каких ценных бумагах и проектах деньги клиента, схемы той или иной инвестиционной программы. Пирамиды, напротив, не используют прозрачную информированность о своей деятельности. Они ограничиваются лишь набором общих фраз, изобилующих специализированными экономическими терминами, которые рассчитаны на финансовую неграмотность потенциальных вкладчиков. Кроме того, если компания просит клиента поторопиться с взносом, есть повод насторожиться. Ни один банк или ПИФ не должен настаивать на оперативном размещении средств.

Стоит также обратить внимание, принято ли в компании проводить многочисленные семинары, выездные корпоративные мероприятия, розыгрыш призов. Как правило, таким образом мошенники создают иллюзию значимости и востребованности у потенциального клиента и собственной успешной деятельности. Это психологический прием, который активно используют строители пирамид.

Что делать инвестору, пострадавшему от недобросовестных основателей пирамид?

К сожалению, в России главы финансовых пирамид признаются мошенниками только по факту прекращения выплат. Добиться возвращения вложенных средств практически невозможно. Как правило, к моменту банкротства компании ее владельцы оказываются далеко за пределами страны. Обращение в государственные контрольные органы тоже не приносят результата, так как они осуществляют надзор только за лицензированными компаниями.

Очень часто финансовые пирамиды зарегистрированы на некую компанию с уставным капиталом в несколько тысяч рублей, и вкладчик фактически не может претендовать на возвращение своих средств. Однако, мошенничество можно доказать в суде, так как вполне очевиден тот факт, что пирамида строится на привлечении новых вкладчиков, за счет которых выплачивались дивиденды.

Чем обусловлено появление финансовых пирамид в последнее время? Вроде все уже научены горьким опытом…

Появление огромного количества финансовых пирамид в последнее время обусловлено, прежде всего, несовершенством законодательства и ограниченным контролем государственных органов. В принципе, в России существует закон, запрещающий финансовые пирамиды. Тем не менее, мошенники находят способы его обойти. Чтобы эффективно вести борьбу с пирамидостроителями, необходим пристальный контроль со стороны государства.

Например, нужно отслеживать рекламу организаций, предлагающих доход по вкладам или инвестициям, существенно превышающий рыночный. Кроме того, необходимо внести поправки в законодательство, ограничивающие прием денег у граждан без соответствующей лицензии. Однако, опыт стран с четким законодательством, где появляется огромное количество пирамид, показывает, что эта мера не всегда действенна, и мошенники находят лазейки для осуществления незаконной деятельности. Существует лишь одно отличие – в таких странах люди четко знают свои права. Поэтому главным оружием в борьбе с пирамидами должна стать правовая и финансовая осведомленность и грамотность населения.

klerk

Впервые в российской правоприменительной деятельности суд вынес решение о выплате гражданину морального и материального вреда за отказ в приеме его на работу по причине того, что он «не подходит по возрастной категории». Компенсация в размере 290 тыс. руб. должна быть взыскана с ООО «Талирс Плюс» в пользу Юрия Ступко до 7 июня. Исполнительный лист, выданный на основании вышеуказанного судебного решения, гр. Ю. Ступка предъявил в УФССП России по Воронежской области 4 апреля. В связи с неисполнением со стороны должника судебного решения судебный пристав приступил к принудительному исполнению судебного акта.

Депутаты Госдумы обсудили вопросы законодательной реализации Рамочной конвенции ВОЗ по борьбе против табака.
Предлагается, в частности, ввести лицензирование не только на производство табака, но и на оптовую торговлю и розничную продажу табачных изделий, и установить наказания в виде лишения лицензии за нарушение правил торговли табаком (продажу табачных изделий несовершеннолетним). Рассматривался вопрос о введении запрета на производство и продажу пищевой и сувенирной продукции в виде табачных изделий (печенье, конфеты, жевательная резинка и т.д. в виде сигарет).
Предлагаются также и методы ценовой политики, направленные на борьбу с потреблением табака: повышение акцизных налогов на табачную продукцию, способствующее удорожанию сигарет.
Думцы надеются, что привести российское законодательство в соответствие с требованиями Рамочной Конвенции удастся до 2010 года.
Кроме того, было отмечено, что принятый в первом чтении проект технического регламента на табачную продукцию содержит нормы, которые противоречат положениям Конвенции, что ставит под сомнение принятие его во втором чтении. В частности, согласно проекту предупредительные надписи должны занимать не менее 30% большей стороны пачки. Предлагается изменить эту норму и установить, что основная предупредительная надпись должна занимать 30 и более % одной большей стороны упаковки, а дополнительная надпись о вреде курения табака – 50 и более % другой большей стороны упаковки.

Предполагается, что в первом чтении депутаты рассмотрят следующие законопроекты: о перераспределении полномочий по выработке государственной политики и нормативно-правовому регулированию в области таможенного дела; очередные поправки в Закон об ОСАГО; изменения в Закон «О Фонде содействия реформированию жилищно-коммунального хозяйства»; а также поправки в Закон «Об экологической экспертизе». Также в первом чтении будет рассмотрен законопроект « О внесении изменений в Водный кодекс Российской Федерации и отдельные законодательные акты Российской Федерации».
Во втором чтении запланировано рассмотрение законопроекта, уточняющего понятие «мелкое хищение».
В рамках «правительственного часа» перед депутатами выступят Министр сельского хозяйства Российской Федерации Алексей Гордеев и Министр промышленности и энергетики Российской Федерации Виктор Христенко. Тема доклада: « О состоянии тракторостроения и сельскохозяйственного машиностроения в Российской Федерации, энерговооруженности сельского хозяйства Российской Федерации и перспективах их развития».

Радость от приобретения нового автомобиля часто бывает омрачена, ведь процедуры снятия и постановки на учет транспортных средств в ГАИ-ГИБДД по-прежнему являются для большинства автомобилистов крайне неприятными - непонятными, сложными и утомительными. Однако совершенно необязательно мучиться самому - можно нанять специалиста, который и в очереди за вас постоит, и "красивый" номер для вашего автомобиля выпросит.
Вокруг ГАИ

Подразделение, где мне предстояло снять с учета автомобиль, отделение N6 МОТОТРЭР ГИБДД УВД ЮАО г. Москвы (межрайонный отдел технического осмотра транспорта и регистрационно-экзаменационных работ), находилось в самом конце Варшавского шоссе и представляло собой несколько малоэтажных зданий барачного типа в аварийном состоянии.

- Это хорошо, что вы пораньше приехали,- сказал мне молодой человек по имени Алексей, с которым я заранее договорился о помощи,- скоро документы уже начнут принимать, а я очередь занял. Тут на самом деле не одно ГАИ, а два. Где мужики стоят, там отечественные машины регистрируют, а нам надо с другой стороны - там иномарки. Сейчас все отдадим, нам распечатают заявление, я пойду квитанции оплачивать, а вы на площадку заезжайте.

Там, куда указывал Алексей, высились какие-то ободранные металлические и бетонные конструкции. На крыше одного из зданий МОТОТРЭР порывы ветра грохали оторванными листами железной кровли.

Как я в дальнейшем узнал от Алексея, во всех отношениях удачно был выбран не только час, но и день, и месяц посещения ГАИ. А еще он рассказал, как холодно стоять тут зимой (документы принимают через окошко, а очередь топчется на улице) и какой глубины бывают здесь лужи. Про пыль и грязь рассказывать не было нужды - этого добра было в изобилии и в тот день, особенно на площадке осмотра автотранспорта. Она напоминала заброшенную стойку, на которую загнали пару сотен автомобилей, создав две параллельные очереди.

- В том вагончике принимают документы после осмотра,- продолжал свои объяснения помощник,- а уже потом в том домике получают ПТС с отметкой о снятии с учета и транзитные номера.

- Если кофе хотите или поесть что-нибудь, можно прямо тут купить,- объяснял Алексей, показывая на женщину в халате с тележкой, продвигающуюся между рядов машин.- А вот где здесь туалет, я не знаю, как-то, помню, искал, но не нашел. Обычно все ходят туда, где эти штуки бетонные, но там надо под ноги внимательно смотреть и вообще быть аккуратнее - арматура торчит, дыры всякие... Зато телевизоры внутри поставили, я даже футбол там как-то смотрел.

Почти за пять часов, проведенных в обществе моего помощника, я узнал много интересного про ГАИ на Варшавке. Это и отсутствие туалетов при наличии телевизоров, и более или менее приличный ремонт внутри при полной разрухе снаружи, а также очень странное отношение милиционеров к рабочим площадям. С одной стороны, места всем явно не хватает: комнаты в зданиях маленькие, коридоры узкие, очереди на сдачу документов и вовсе стоят на улице. А с другой - множество кабинетов на первых этажах отданы фирмам, оформляющим автостраховки и выписывающим справки-счета и договоры купли-продажи.

- Мне кажется, вы убедились, что я не просто так деньги беру,- улыбнулся на прощание Алексей.- В нашем случае хоть и дольше, чем обычно, получилось, но время я для вас все равно сэкономил, и пыль глотать почти не пришлось. Жаль, правда, что вы доверенность оформить на меня не смогли, и поэтому пришлось самому к окнам подходить и показываться. Но так я и беру меньше - 2,5 тыс. руб. Когда я сам все делаю, а вы дома сидите, это стоит 4,5 тыс. руб. Согласитесь, оно того стоит.

На вопрос о том, сколько же таким образом удается заработать и велик ли спрос на подобные услуги, Алексей отвечает уклончиво: "Для меня это скорее приработок. Я работаю в сфере автобизнеса, плюс к тому сам покупаю и перепродаю машины - постоянно нужно себе или клиентам то снять с учета машину, то поставить".

По словам Алексея, он не имеет никаких привилегий у сотрудников ГИБДД: "Я просто знаю - куда, когда и в какой последовательности надо бежать. Клиенты платят мне за то, что я за них стою в очередях на холоде и в грязи, общаюсь с людьми в погонах. Но общаюсь я на общих основаниях и деньгами ни с кем не делюсь".

Профессиональные консультанты

Помимо помощников-любителей вроде Алексея на рынке услуг по регистрации автотранспорта есть и настоящие профессионалы. Они не стоят в очередях и не бегают оплачивать квитанции наравне с обычными гражданами. Эти полезные и компетентные люди - "свои" в регистрационных подразделений ГИБДД: они могут подать документы в обход общей очереди, договориться с инспектором об исправлении какой-либо неточности в бумагах и - опять же минуя очередь - "закатить" автомобиль клиента на площадку осмотра, а еще похлопотать о получении "красивых" номерных знаков. Эти энергичные мужчины здороваются за руку с милицейскими чиновниками, называя их по-дружески Михалычами, Иванычами и Санычами, и запросто входят в закрытые для всех прочих кабинеты.

Что интересно, большинство этих могущественных работников автомобильного регистрационного бизнеса лишь изредка вступают в контакт с теми, кому помогают ставить машины на учет. Дело в том, что основным заказчиком регистрационного сервиса на сегодняшний день является автобизнес, прежде всего многочисленные салоны официальных и неофициальных дилеров. Сами же автовладельцы имеют дело только с автосалоном, откуда забирают уже поставленный на учет автомобиль с новенькими документами, номерными знаками и талоном технического осмотра.

- Когда мы с женой покупали автомобиль в автосалоне, я поинтересовался, можно ли сразу поставить его на учет,- вспоминает москвич Антон Щекин.- Нам сказали: да, такая услуга существует и стоит 10 тыс. руб. С одной стороны, было немного жаль денег, но с другой - как я только представил, что мне придется с раннего утра ехать вместе с женой на окраину города, стоять в очередях и унижаться, тут же согласился. И потом, мы ждали свою машину более полугода, хотелось сразу сесть и поехать без всякой дополнительной нервотрепки. А через салон все вышло быстро: оплатил в кассу и через два дня забрал машину с номерами. Счет, правда, какой-то странный на эти 10 тыс. выписали - "за консультационные услуги".

Что любопытно, профессиональные помощники в регистрации автомобилей, по всей видимости, умудряются не только быстро решать сложные процедурные вопросы, но и пользуются определенными привилегиями, позволяющими каким-то образом обходить "библию" любого инспектора МОТОТРЭР - "Правила регистрации автомототранспортных средств и прицепов к ним в ГИБДД МВД РФ". Так, к примеру, в пункте 35 указанных правил устанавливается, что в числе прочего для совершения регистрационных действий в орган ГИБДД необходимо представлять "документ, удостоверяющий полномочия гражданина представлять интересы собственника при совершении регистрационных действий" (подпункт "в"), а также "транспортное средство, за исключением случаев его утилизации" (подпункт "е"). Однако почти никто из опрошенных владельцев новых автомобилей, поставленных на учет специалистами из автосалона, не смог вспомнить, чтобы кому-либо выписывал доверенность для постановки машины на учет. А именно доверенность потребуют в ГИБДД у каждого, кто явится туда регистрировать чужой автомобиль. Более того, никто из владельцев не вписывал представителя автосалона в страховку ОСАГО, без которой, как известно, нельзя управлять автомобилем. Поэтому большие сомнения вызывает у автовладельцев сам факт того, что их машина действительно перемещалась для осмотра в ГИБДД.

- Судя по пробегу моего автомобиля, никто его никуда не гонял,- рассказывает другой недавний автовладелец Ирина Жирнова.- Когда я выезжала из салона на уже поставленной на учет машине, на одометре было всего 12 км. Если бы они доехали на машине до ГИБДД и обратно, получилось бы минимум в два раза больше. И вообще, представить, чтобы автосалон взял на себя риск по московским улицам гнать дорогую новую иномарку ради постановки ее на учет, как-то трудно. А эвакуатор или автовоз на весь день стоил бы дороже тех 10 тыс. руб., что взяли с меня за услугу по регистрации.

Большой бизнес

Подробности схемы регистрации продаваемых машин в автосалонах, как правило, не раскрывают. Знающие люди ограничиваются общими фразами о том, что в ГИБДД действуют их представители, и заверяют: все, что там происходит, абсолютно законно. И действительно, регистрация происходит обычно в обещанные день-два без всяких проблем. Да и при последующем снятии с учета и продаже автомобиля, поставленного на учет автосалоном, вопросов обычно не возникает.

А вот тем, кто решил сэкономить и зарегистрировать машину самостоятельно, нередко приходится возвращаться из ГАИ к продавцу за недостающей копией таможенной декларации, которую забыли выдать, или с целью внесения изменений в ПТС, справку-счет или договор купли-продажи.

Как рассказывает один из бывших профессиональных регистраторов автотранспорта, простому человеку, даже сведущему в автомобильных делах, далеко не всегда удается разглядеть какую-то проблему в документах своего автомобиля: "Обычно все ограничиваются тем, что сверяют номера агрегатов, марку и цвет автомобиля, а это далеко не все, что надо проверять. Для того чтобы процедура регистрации прошла гладко, имеет значение буквально все: кем и когда был выдан ПТС, где и когда машина стояла на учете, как конкретно обозначены тип кузова, марка и модель автомобиля. Одна неправильная буква в названии модели, несовпадение с базой данных ГИБДД - и все это потребует исправлений по довольно муторной внутренней процедуре, о которой мало кто имеет представление. А когда через тебя проходит масса документов и ты представляешь себе эту технологию, такие вещи сразу видны. И конечно, решить какой-либо вопрос всегда проще, если ты каждый день ходишь в нужный кабинет, а не первый раз явился с улицы".

Существует еще одна причина, заставляющая многих владельцев прибегать к услугам автосалона. Стандартный комплект документов, который получает владелец нового иностранного автомобиля (ПТС и договор купли-продажи), по словам инспекторов ГИБДД, дает право ездить лишь в течение пяти суток с момента покупки. Из-за занятости на работе и по другим причинам за пять дней поставить машину на учет мало кому удается, поэтому многие и соглашаются пусть на дорогую, но удобную услугу автосалона.

Стоимость регистрации машины через автосалон в Москве примерно одинаковая - она составляет в среднем 10 тыс. руб. Правда, известны случаи, когда постановку на учет продавцы осуществляли бесплатно, в качестве подарка ценному клиенту, покупающему дорогой автомобиль.

В целом же цена на услуги регистраторов напрямую зависит от степени участия в этом процессе владельца автомобиля. Если хозяин автомобиля готов приехать в ГИБДД сам, а его помощник лишь занимает очереди и подсказывает ему, куда идти, то такая услуга стоит около 3 тыс. руб. Если помощь подразумевает прохождение процедуры без очередей, когда ждать владельцу практически не приходится, но приезжать все-таки надо,- это стоит уже около 5 тыс. руб. Примерно столько же просят регистраторы, которые по доверенности сами готовы на вашем автомобиле отправиться в ГАИ, чтобы поставить или снять его с учета. А вот за сумму от 10 тыс. руб. в ГАИ поедут только документы. Впрочем, по словам помощников-регистраторов, такой порядок действует далеко не всегда и применим не ко всем автомобилям. Проще всего поставить на учет новую машину, ранее не стоявшую на регистрационном учете.

Помимо автосалонов (практически в каждом из них поддерживают связи с профессиональными регистраторами машин) помощников-регистраторов можно легко найти у любого ГАИ. Как правило, для этого достаточно обратиться в один-два офиса, где оформляют справки-счета, договоры купли-продажи и страховки. Такие конторы обычно располагаются в различных вагончиках или микроавтобусах, расставленных на подъезде к регистрирующим подразделениям ГАИ-ГИБДД. Там вам и найдут помощника. Несложно найти помощника в интернет-конференциях автомобильной тематики или просто по объявлению. В последнем случае, правда, стоит иметь в виду, что человек, в руки которого планируется передать документы на машину и собственный паспорт, должен иметь хорошие рекомендации.

Сколько всего денег ежедневно вручается разного рода помощникам в деле постановки и снятия с учета автомобилей, посчитать трудно. Если принимать во внимание толщину пачек с документами (или, как говорят регистраторы и милиционеры, материала), с которыми по лестницам и кабинетам подразделений ГИБДД снуют люди из автосалонов,- это несколько миллионов рублей в день. Ведь ежедневно сотни клиентов выкладывают по 10 тыс. за то, чтобы не стоять в очередях. К этим деньгам можно смело прибавить миллион-другой, которые зарабатывают помощники простых автовладельцев, а не автосалонов.

По оценкам самих регистраторов, доля тех, кто пользуется их услугами, в общей массе обратившихся в Госавтоинспекцию колеблется от 5 до 20% для различных подразделений ГИБДД. В справедливости таких оценок может убедиться любой человек, который проведет там денек-другой и посмотрит, сколько и каких машин заезжает на площадку осмотра без очереди, а также сколько у окна выдачи документов вдруг возникает людей, которых при подаче заявлений никто не видел.

Сами же по себе услуги ГИБДД стоят в сравнении с гонорарами помощников сущие копейки: снять с учета - 50 руб., поставить - 1110 руб. Это с учетом комиссионных за пользование терминалами оплаты, которыми наконец-то в московских МОТОТРЭР заменили очереди в ближайшую сберкассу.

Как заметил мой помощник Алексей, вручая вместе с новенькими номерами квитки за оплаченные сборы: "Брали бы в ГАИ на тысячу рублей больше с каждого, тут хватило бы и на асфальт, и на ремонт крыши, и на туалеты. И возможно, даже осталось бы".
КоммерсантИлья Зиновьев

ПРИКАЗ ФМС РФ ОТ 29.02.2008 N 40
"ОБ УТВЕРЖДЕНИИ АДМИНИСТРАТИВНОГО РЕГЛАМЕНТА ПО ПРЕДОСТАВЛЕНИЮ ФЕДЕРАЛЬНОЙ МИГРАЦИОННОЙ СЛУЖБОЙ ГОСУДАРСТВЕННОЙ УСЛУГИ ПО ВЫДАЧЕ ИНОСТРАННЫМ ГРАЖДАНАМ И ЛИЦАМ БЕЗ ГРАЖДАНСТВА РАЗРЕШЕНИЯ НА ВРЕМЕННОЕ ПРОЖИВАНИЕ В РОССИЙСКОЙ ФЕДЕРАЦИИ"
Зарегистрировано в Минюсте РФ 14.04.2008 N 11526.


Регламентирован порядок предоставления ФМС РФ государственной услуги по выдаче иностранным гражданам и лицам без гражданства разрешения на временное проживание

Административный регламент регулирует сроки и последовательность действий ФМС РФ, территориальных органов ФМС РФ и их структурных подразделений при выдаче иностранным гражданам и лицам без гражданства разрешения на временное проживание в РФ, определяет порядок информирования и получения консультаций (справок) о предоставлении государственной услуги, устанавливает требования к местам для информирования, местам для ожидания, местам приема заявителей, регламентирует порядок приема и оформления заявлений, правила ведения учетных дел, порядок обжалования действий должностных лиц, а также принимаемых ими решений. В приложениях к Регламенту приводятся, в частности, сведения о местонахождении, адресах органов ФМС РФ, формы заявлений, уведомлений, решений, справок. Кроме того, утверждены образец отметки о разрешении на временное проживание, проставляемой в документе, удостоверяющем личность иностранного гражданина или лица без гражданства, и образец бланка разрешения на временное проживание.

ПРИКАЗ ФМС РФ ОТ 29.02.2008 N 41
"ОБ УТВЕРЖДЕНИИ АДМИНИСТРАТИВНОГО РЕГЛАМЕНТА ПО ПРЕДОСТАВЛЕНИЮ ФЕДЕРАЛЬНОЙ МИГРАЦИОННОЙ СЛУЖБОЙ ГОСУДАРСТВЕННОЙ УСЛУГИ ПО ВЫДАЧЕ ИНОСТРАННЫМ ГРАЖДАНАМ И ЛИЦАМ БЕЗ ГРАЖДАНСТВА ВИДА НА ЖИТЕЛЬСТВО В РОССИЙСКОЙ ФЕДЕРАЦИИ"
Зарегистрировано в Минюсте РФ 14.04.2008 N 11525.


Государственная услуга по выдаче иностранным гражданам и лицам без гражданства вида на жительство в РФ будет предоставляться в соответствии с Административным регламентом

Регламент определяет сроки и последовательность действий (административных процедур) ФМС РФ, территориальных органов ФМС РФ и их структурных подразделений по выдаче иностранным гражданам вида на жительство, устанавливает порядок приема, рассмотрения заявлений о выдаче вида на жительство, о продлении срока его действия, оформления, выдачи и аннулирования, регламентирует порядок обжалования действий (бездействия) должностного лица, а также принимаемого им решения при предоставлении государственной услуги. В приложениях к Регламенту приводятся, в частности, сведения о местонахождении, контактных телефонах, адресах органов ФМС РФ, формы заявлений, справок, решений.

Из России ведется командование крупнейшей в мире зомби-сетью под названием Kraken, уверены эксперты. Количество компьютеров в ее составе непрерывно растет и уже насчитывает 400 тыс. В нашей стране, наряду с Францией и США, базируются серверы, с которых сеть получает сетевые командные пакеты.

Специалисты компании Damballa Solutions, специализирующейся на защите от ботнетов, обнаружили новую зомби-сеть под названием Kraken. Она включает порядка 400 тыс. компьютеров. Размеры бот-сети превосходят всемирно известную Stormbot. В ноябре 2007 г. эта сеть состояла из 230 тыс. машин. В бот-сеть Kraken уже включены компьютеры порядка 50 компаний из списка Fortune 500, уверены эксперты.

Специалисты из Damballa полагают, что ботнет формируется вирусом, который распространяется через скрытые графические файлы. Как пишет Heise Security, он скрывается от антивирусных сканеров (80% антивирусного ПО просто не распознают его) и регулярно обновляет свой код. Пользователь может заразить свою машину с открытием графического файла — в этот момент вирус уже устанавливает себя на ПК.

Пол Роял (Paul Royal), исследователь из Dambala, считает, что авторы вируса прекрасно знают, как работают антивирусные сканеры, и умело обходят их. В апреле 2008 г., по его оценкам, бот-сеть увеличится еще на 50%, то есть до 600 тыс. зараженных машин.

Пока что ботнет эксплуатируется в основном спамерами, предлагающими медикаменты, услуги онлайн-казино и кредитные услуги. Исследователи отмечают, что отдельные боты сети Kraken рассылают до 500 тыс. спам-писем в сутки.

Вирус, посредством которого расширяется ботнет, имеет возможность самообновления, поэтому, как полагают эксперты из Damballa, возможно, бот-сеть будет использоваться не только для рассылки спама.

SANS Internet Storm Center опубликовал подтверждение существования Kraken и отметил, что ему удалось зафиксировать сетевые пакеты, передаваемые командными серверами ботнета, базирующимися в США, Франции и России.

Впервые ботнет был обнаружен в конце 2007 г., однако первые признаки жизни он подавал еще в конце 2006 г.


Светлана Симонова

CNews

ИТ-специалисты компаний как минимум вдвое недооценивают риски использования работниками незащищенных флэшек. Между тем, до 77% сотрудников международных корпораций используют такие USB-накопители для хранения корпоративных данных. По словам российских специалистов, наш бизнес зачастую использует неправильный подход для предотвращения этих утечек.

Сотрудники часто используют личные незащищенные флэш-накопители для хранения ценной корпоративной информации. К такому выводу пришли авторы проведенного в США по заказу компании SanDisk исследования о рисках использования незащищенных USB-накопителей. Опрос рядовых сотрудников и ИТ-специалистов компаний показал, что руководители ИТ-отделов не имеют представления о масштабах распространения незащищенных флэш-накопителей в своих организациях: 77% опрошенных сотрудников корпораций используют личные флэш-накопители для хранения и переноса служебных данных. Однако опрошенные ИТ-специалисты оценивали долю сотрудников, использующих личные флэш-накопители в служебных целях, лишь в 35%.

Результаты опросов также показали, что чаще всего пользователи копируют на личные флэшки данные о заказчиках (25%), информацию финансового характера (17%), бизнес-планы (15%), информацию о сотрудниках компании (13%), маркетинговые планы (13%), объекты интеллектуальной собственности (6%), а также исходные коды программ (6%). Главным достоинством USB-накопителей является мобильность, но она создает значительный риск потери данных.

«Большинство ИТ-директоров понимает, что утечка информации может привести к краже личности, похищению интеллектуальной собственности или раскрытию коммерческих тайн, а также повлечь значительный ущерб как в смысле имиджа, так и с финансовой точки зрения, — говорит Джил Майлдворс (Gil Mildworth), старший директор по маркетингу в подразделении SanDisk по корпоративным решениям. — Результаты нашего опроса говорят о том, что, несмотря на некоторую осведомленность о возможных рисках, связанных с использованием незащищенных USB-накопителей, руководители ИТ-отделов еще не начали разработку эффективных политик, внедрение технологических решений и разъяснительную работу среди сотрудников с целью уменьшения этих рисков. Значительное снижение подобных рисков, как и повышение мобильности и продуктивности сотрудников, возможны только в случае принятия административного решения (на уровне руководства) о развертывании систем интеллектуального управления устройствами, систем мониторинга и применения соответствующих общекорпоративных политик безопасности».

Примерно 23% опрошенных пользователей были либо вовсе не знакомы с корпоративными политиками в отношении флэш-накопителей, либо знали лишь о существовании подобных политик, но не имели полного представления об их сути. В то же время 44% респондентов отметили, что, насколько им известно, их компания не запрещает копирование корпоративных данных на личные USB-флэш-накопители. Еще 16% опрошенных ответили, что они не знают о таком запрете, в то время как лишь 40% пользователей наверняка знают, что в их компании существует запрет на копирование корпоративных данных на личные флэш-накопители.

Ответы ИТ-специалистов соответствовали результатам опросов пользователей. Примерно 21% ИТ-специалистов считает, что сотрудники компании лишь немного знакомы с принятыми корпоративными политиками, 33% опрошенных считают, что сотрудники посредственно знакомы с политиками, 28% полагают, что сотрудники хорошо знакомы с корпоративными правилами, и лишь 19% считают, что сотрудники полностью осведомлены о принятых в компании правилах и политиках.

Отечественные эксперты отмечают, что полученные в США результаты в полной мере нельзя перенести на Россию. В нашей стране специалисты по ИБ и ИТ в организациях очень хорошо осведомлены об опасности неконтролируемого использования сменных носителей и внешних устройств, считают аналитики компании Perimetrix. Согласно исследованию «Инсайдерские угрозы в России 2008», в ходе которого аналитический центр компании опросил более 450 организаций, специалисты по ИБ и ИТ указали, что именно мобильные накопители являются самым опасным каналом утечки. Он получил 74% голосов, обогнав электронную почту (58%), веб (26%) и принтеры (18%). «Высшие исполнительные лица крупных и средних организаций, не относящиеся к ИТ или ИБ, тоже прекрасно понимают, что их сотрудникам не нужно хранить конфиденциальную информацию на флэшках, так как это может привести к случайной или злоумышленной утечке, — говорит директор по развитию бизнеса компании Perimetrix Алексей Доля. Таким образом, российский бизнес и государственные организации прекрасно осведомлены об опасности флэш-накопителей и ни в коем случае не недооценивают этот канал утечки».

Другое мнение высказали в компании InfoWatch. «Проблема утечки корпоративной информации при помощи флэшек недооценивается, — считает главный аналитик InfoWatch Николай Федотов. — Но ровно в той же степени, в какой недооценивается опасность утечек на любых других мобильных носителях. Наш мониторинг показывает, что очень большая доля утечек информации (39% от опубликованных случаев за 2007 г.) связана с потерями и кражами ноутбуков. Флэшку потерять даже легче. И украсть ее тоже могут. Тем не менее, такие накопители широко используются для конфиденциальных данных».

Сказанное выше, по словам Федотова, относится к незлонамеренным утечкам (таковых, по его оценкам, 71% в 2007 г.). «Что касается намеренной кражи данных, то здесь роль флэш-накопителей оценивается по достоинству — как службами ИБ, так и злоумышленниками», — подчеркнул эксперт.

Как считают специалисты, одними запретами и разъяснительной работой с сотрудниками проблему утечки информации решить не удастся. «Частые утечки, связанные с утратой ноутбуков, не привели на Западе к запретам их использования, — говорит Николай Федотов. — Руководство предприятий начало вводить обязательное шифрование данных. А производители ноутбуков начали встраивать стойкое шифрование прямо в контроллер жесткого диска. Производители флэш-накопителей неизбежно должны пойти тем же путем. К сожалению, российская тенденция, которую мы наблюдаем, тянет нас совсем в другом направлении. Вместо защиты данных вводятся тупые запреты. В том числе, запрет на использование флэш-накопителей. Хотя элементарное шифрование — эффективнее».

Андрей Арсентьев

CNews

Конституционный суд признал не противоречащим Основному закону действующий порядок предоставления налогового вычета по подоходному налогу при купле-продаже недвижимости, оформляемой в долевую собственность. Суд установил, что налоговые органы неправильно толкуют Налоговый кодекс, отказывая родителям, покупающим недвижимость в долевую собственность с несовершеннолетними детьми, в праве получить вычет в полном объеме.
В Конституционный суд обратилась группа граждан, считающих, что дробление имущественного вычета нарушает их конституционное право на равенство условий налогообложения с единоличными собственниками жилья. Напомним, сейчас при продаже недвижимости НК позволяет гражданам не платить подоходный налог с вырученной суммы при условии, что жилье находилось в собственности более трех лет. Если срок владения меньше, из полученного дохода вычитается 1 млн руб. или цена, за которую жилье было ранее куплено, и оставшаяся сумма облагается налогом 13%. Обратившаяся в КС семья Козловых из Омска посчитала, что в случае с общей собственностью эта система дает сбой. Продав квартиру, находившуюся в долевой собственности, каждый из трех представителей этой семьи получил по 833 тыс. руб. Налоговики указали им, что вычет в 1 млн руб. предоставляется на всю квартиру - то есть по 333,3 тыс. руб. на каждого владельца. Истцы же считают, что 1 млн следует вычитать из стоимости каждой доли. КС решил, что пункт НК о дележе вычета Конституции не противоречит. Наоборот, нарушением принципа равенства и справедливости было бы предоставление полного вычета каждому совладельцу - поскольку в сумме с той же недвижимости они могли бы экономить на налогах в несколько раз больше, чем единоличные владельцы. То есть конкретной семье Козловых судьи в основаниях для уменьшения налога отказали. Однако КС при этом пояснил, что вычет должен дробиться лишь для единых объектов. Если же граждане продают доли, выделенные в натуре и являющиеся самостоятельным объектом индивидуального права собственности, вычет следует предоставлять каждому продавцу. Поясним, что, согласно жилищному и гражданскому законодательству, такими самостоятельными объектами, продаваемыми отдельно, могут быть доли жилого дома, комнаты, но не доли в комнате или в неделимой квартире.

Тем же постановлением и также с оговоркой КС подтвердил конституционность другого вида имущественного вычета. Речь о вычете уже не при продаже, а при покупке жилья. Согласно НК, в этом случае налоговики возвращают покупателю "живыми деньгами" 13% от максимум 1 млн руб.- то есть не более 130 тыс. руб. ($5,3 тыс.). Истица Наталья Иванова из Карелии приобрела жилье в долевую собственность с несовершеннолетним ребенком. Налоговики отказались предоставлять ей вычет в полном размере, поскольку половина квартиры принадлежит ребенку, не уплачивающему подоходный налог и, соответственно, не имеющему права на его возврат. КС заявил, что хотя сам принцип раздела вычета законен, в конкретном случае налоговики истолковали его неправильно. Родители, фактически оплачивающие долю ребенка и берущие на себя обязанность по уплате за него налогов, "образуют самостоятельную группу налогоплательщиков", поэтому, установил КС, они вправе получить вычет в полном размере.
Вадим Вислогузов"Коммерсант"

Большинство сделок с недвижимостью предполагает обязательную уплату сторонами налогов. Но далеко не все граждане знают, когда нужно платить, сколько и за что. Между тем уклонение от налогов – вольное или невольное – может привести к начислению штрафов и порой ставит сделку под угрозу срыва. Обязательства по уплате налогов у сторон по сделке наступает после государственной регистрации прав собственности на недвижимость, то есть с момента внесения записей о правах в Единый государственный реестр прав.
Когда продавец платит

Собственник, продающий недвижимость, платит налог с дохода (НДФЛ) от ее продажи. Согласно Налоговому кодексу РФ, доходы россиян от продажи недвижимого имущества облагаются налогом по ставке 13%. «Сумма для расчета налога - налоговая база - определяется исходя из доходов за минусом сумм имущественных налоговых вычетов (возвращения НДФЛ при покупке жилья), - говорит специалист отдела по работе с физическими лицами УФНС по Санкт-Петербургу Андрей Иванов. То есть, если доход от продажи квартиры составляет 1 млн руб., а вычет – 200 тыс. руб., то налоговая база будет равна 800 тыс. руб. С нее и придется платить налог.

С покупателя недвижимости налог не взимается. Но после того как он станет полноправным собственником, ему придется платить налог на имущество. Объектами налогообложения являются жилые дома, квартиры, дачи, гаражи и иные строения, помещения и сооружения. Налог исчисляется от стоимости жилого помещения: чем дороже имущество, тем выше налог. Для недвижимости стоимостью выше 500 тыс. руб. (то есть почти всех квартир в Петербурге) ставка составит 0,3-2%. Кстати, при владении недвижимостью в России иностранцы тоже обязаны уплачивать налог на имущество. Ставки данного налога одинаковы для всех, как для резидентов, так и для нерезидентов, имеющих собственность на территории России. Если иностранец продает недвижимость в пределах нашей страны, то со своего дохода он должен заплатить целых 30% подоходного налога.
Искусство вычитать

Налогоплательщик - как продавец, так и покупатель - имеет право на имущественный налоговый вычет, то есть возврат части НДФЛ при строительстве, покупке или продаже недвижимого имущества. Покупатели могут получить вычет и на ту сумму, которую выплачивают в качестве процентов по кредитам, выданным на покупку жилья.

Размер вычета не превышает 1 млн руб. в том случае, если владелец продает имущество, находившееся в его собственности менее трех лет. При продаже недвижимости, которой гражданин владел три года и более, имущественный налоговый вычет предоставляется в полном объеме. Другими словами, в этом случае продавец недвижимости не будет платить никаких налогов на доходы физических лиц. Равно как и продавец, которому отчуждаемая недвижимость принадлежала на праве собственности менее трех лет, но цена сделки (стоимость продаваемой недвижимости) не превышает 1 млн руб.

«Даже если сделка отвечает перечисленным выше условиям в части освобождения от уплаты налогов, это не означает, что налоговый орган должен предоставлять вычеты автоматически», - объясняет советник генерального директора по правовым вопросам «Балтийской ипотечной корпорации», адвокат Санкт-Петербургской городской коллегии адвокатов Наталья Савенко.

«Имущественный налоговый вычет предоставляется налогоплательщику на основании письменного заявления при подаче им налоговой декларации в налоговый орган по месту жительства или регистрации. Декларация подается после окончания налогового периода. Таким образом, если сделка с недвижимостью была совершена в 2007 г., декларация и указанное заявление должны быть представлены в налоговую инспекцию до 30 апреля 2008 г.», - говорит член правления ООО «Городской ипотечный банк» Игорь Жигунов.

Вместо использования своего права на получение имущественного налогового вычета налогоплательщик может уменьшить сумму облагаемых налогом доходов. Например, если гражданин продает квартиру, приобретенную им в собственность по договору долевого участия и принадлежащую ему менее трех лет, то, по словам Натальи Савенко, у него есть выбор. Он может либо воспользоваться имущественным налоговым вычетом в размере 1 млн руб. Либо, если на новое строительство гражданином потрачена сумма более 1 млн руб., - из цены квартиры вычесть налоговую базу для исчисления 13% налога на доходы. «В данном случае необходимо четко понять экономическую выгоду, исходя из имеющихся документов», - добавляет Наталья Савенко.

При продаже имущества, находящегося в общей долевой собственности, величина имущественного налогового вычета распределяется между всеми совладельцами пропорционально их доле. В качестве примера можно привести продажу квартиры, находящейся в общей долевой собственности семьи из пяти человек. Допустим, стоимость квартиры - 2,5 млн руб., доли каждого собственника равны. Квартира была ранее передана в собственность продавцов в результате приватизации.

Период владения объектом составляет 2 года. В данном случае предельный размер налогового вычета, которым может воспользоваться каждый из продавцов, составляет 200 тысяч руб. (1 млн налогового вычета делим на пять). Доход, полученный каждым из продавцов квартиры, составит 500 тыс. руб. Соответственно, налоговая база по доходам, полученным от продажи квартиры, определяется по налоговым декларациям каждого продавца в сумме 300 тыс. руб. (500 тыс. минус 200 тыс. руб.).
За подарок и наследство

При дарении недвижимости налогов платить не нужно лишь в том случае, если даритель и одаряемый являются членами семьи или близкими родственниками. Так, налог не платят супруги, родители или дети дарителя, его братья, сестры, дедушки и бабушки. Если же человек получает недвижимость по договору дарения не от перечисленных выше родственников, он платит налог на доход от приобретения этой недвижимости (по ставке 13%). Налогоплательщик, получивший недвижимость по договору дарения от организации или индивидуального предпринимателя, также уплачивает налог на доход 13% от стоимости полученного в дар имущества.

Надо иметь в виду, что налоговые органы вправе требовать исчисления суммы налога с рыночной, а не с инвентаризационной (нормативной) стоимости полученного в дар имущества. Кроме того, у одаряемого появляется обязанность представить налоговую декларацию за тот налоговый период (год), в котором был получен подарок.

Что касается налогообложения наследуемого имущества, то с 1 января 2006 года эта процедура претерпела изменения. «Наследник обязан заплатить налог с имущества, если свидетельство о праве на наследство выдано до 1 января 2006 года. Если свидетельство выдается начиная с 1 января 2006 года, налог с имущества, переходящего в порядке наследования, не взимается», - предупреждает Наталья Савенко. Нередки случаи, когда граждане по тем или иным причинам меняют свое жилье на меньшее с доплатой. По общему правилу, получивший доплату человек обязан заплатить с нее налог на доходы физических лиц – 13% без применения каких-либо вычетов. Иностранцы, опять же, при получения дохода в результате дарения и мены, платят налог по повышенной ставке - 30%.
Издержки уступительности

Нередко квартиры в новостройках приобретаются путем заключения договора об уступке права требования жилого помещения. Дело в том, что некоторая часть квартир первичного рынка покупаются на стадии котлована и продаются частными инвесторами в период завершения строительства дома. При этом операция продажи уже построенной, но еще не оформленной в собственность новостройки очень проста: заключается договор переуступки третьему лицу (покупателю) права требования по инвестиционному договору. При этом продавец платит налог в размере 13% со своего дохода, то есть разницы между прежней и настоящей ценой квартиры. Впрочем, инвесторы всячески стараются минимизировать налогооблагаемую базу. Например, занижают сумму договора переуступки или вообще не фиксируют разницу между ценой переуступки и той, которая указана в договоре инвестирования.

Покупателю также придется платить налоги - с имущества, полученного по договору о переуступке права требования. При этом гражданин, приобретающий право требования, может получить налоговый вычет, а уступающий его - не имеет такого права.
Бюллетень недвижимости