72% компаний с установленными в сети обновленными решениями безопасности заражены вредоносными кодами, говорится в отчете PandaLabs по результатам исследования, проведенного среди 1,5 млн. пользователей в 2007 г. Среди конечных пользователей выявлено 23% зараженных домашних компьютеров. Актуальные данные свидетельствуют о том, что ситуация с тех пор не улучшилась.

Основная причина создавшейся ситуации заключается в том, что на сегодняшний день для защиты компьютеров от постоянно увеличивающегося числа вредоносных кодов уже недостаточно традиционных решений безопасности. Компьютер может быть заражен, а его пользователь - даже не подозревать об этом.

«Многие пользователи и ИТ-менеджеры считают, что все решения безопасности одинаковы, и что наличия установленного традиционного антивируса вполне достаточно для обеспечения необходимой защиты, однако это совсем не так. Из-за эволюции вредоносного ПО обладатель традиционного антивируса по-прежнему уязвим, - объяснил Мэтью Бриньон, CMO в Panda Security. - Он может стать жертвой кражи персональных и конфиденциальных данных, а также утратить информацию о своих кредитных катах, банковских счетах и др.».

Для того чтобы придать ситуации широкую огласку, Panda Security запустила кампанию Infected or Not. Благодаря этой инициативе как пользователи, так и компании смогут воспользоваться возможностью осуществить бесплатную оценку безопасности своих ПК и сетей при помощи крупнейшей в мире базы данных вредоносных кодов, содержащей более 11 млн. экземпляров вредоносных кодов, и, как результат, смогут повысить уровень безопасности своих компьютеров.

Благодаря принципу «Коллективного разума» Panda может обнаруживать вредоносные коды, которые остаются незамеченными другими решениями безопасности.

Поясним, что «Коллективный разум» – это инновационная модель безопасности, основанная на сборе информации о вредоносных кодах с интернет-сообщества и ее автоматизированной обработке в сети новых центров данных. Поскольку знания аккумулируются на серверах Panda, а не на компьютерах пользователей, «Коллективный разум» позволяет повысить эффективность обнаружения решений Panda Security, одновременно снижая потребление пропускной способности сети и ресурсов.

На данный момент сеть «Коллективного разума» Panda Security включает 4 млн. компьютеров. Накопленные в системе знания состоят из более чем 11 млн. образцов вредоносного ПО и более 100 млн. проанализированных программ. В 2007 г. свыше 94% всех новых угроз, присланных в PandaLabs, были обнаружены с помощью системы «Коллективного разума».

CNews

Microsoft предупредила пользователей текстового редактора Word об уязвимости версий 2000, 2003 и 2007, позволяющей злоумышленнику получить доступ к ПК жертвы. По информации Microsoft, уже были проведены первые атаки.
Корпорация Microsoft опубликовала предупреждение для пользователей редактора Word об уязвимости текстового процессора. Используя ее, хакеры могут получить несанкционированный доступ к ПК жертвы и выполнить на нем произвольный код.

Проблема связана с компонентом Jet Database Engine. Он используется в пакете MS Office, в том числе в программах Word и Access. Для осуществления атаки киберпреступник должен создать файл в формате .doc, который при открытии в любой программе, работающей с такими файлами, провоцирует ошибку в msjet40.dll, а она позволяет выполнить произвольный код на ПК.

Специалисты Microsoft отмечают эту особенность атаки через файлы .doc как «смягчающие обстоятельства», поскольку злоумышленнику необходимо разместить зараженный файл в Сети и «заставить» жертву скачать его, а затем открыть.

В сообщении компании говорится, что от уязвимости могут пострадать пользователи программ Microsoft Word 2000 SP3, Microsoft Word 2002 SP3, Microsoft Word 2003 SP2, Microsoft Word 2003 SP3, Microsoft Word 2007 и Microsoft Word 2007 SP1, работающих на базе ОС Microsoft Windows 2000, Windows XP или Windows Server 2003 SP1.

Проблема не касается версий Windows Server 2003 SP2, Windows Vista и Windows Vista SP1.

В данный момент специалисты Microsoft занимаются решением проблемы. О сроках выпуска патча в бюллетене ничего не говорится.

Тем временем, специалисты Microsoft уже сообщили, что знают о первых атаках с помощью данной уязвимости. Однако в корпорации полагают, что риски небольшие, а пользователям до выпуска патча необходимо проявлять осторожность — не скачивать и не открывать файлы в формате .doc с незнакомых или подозрительных веб-ресурсов, а также получаемые по электронной почте от адресатов, не вызывающих доверия.

CNews

Платежная система PayPal, принадлежащая компании eBay, в пятницу, 18 апреля, объявила о том, что планирует бороться с фишингом, блокируя доступ к своему сайту для пользователей старых и небезопасных браузеров.

«Нас тревожит тот факт, что значительное число наших клиентов пользуются старыми браузерами, в которых есть масса уязвимостей», - говорится в заявлении PayPal.

Теперь PayPal поддерживает только браузеры с использованием SSL-сертификатов с расширенной проверкой (EV), сообщает АР. Данную технологию поддерживают последние версии Microsoft Internet Explorer и Firefox 2.

Полиция города Манчестер (Британия) запустила собственное приложение для социальной сети Facebook, которое должно помогать в поимке преступников.

С помощью нового приложения жителям Манчестера будут сообщать о различных происшествиях, совершенных преступлениях, разыскиваемых преступниках и т.п.

Приложение также дает пользователям возможность через социальную сеть ставить полицейских в известность о преступлениях, сообщает ITpro.

«Новое приложение улучшит осведомленность полиции Манчестера об инцидентах, происходящих в городе, и позволит быстрее задерживать преступников», - сказал Роб Тэйлор (Rob Taylor), помощник главного констебля.

Использование мобильных телефонов детьми и подростками небезопасно для их здоровья, заявили эксперты Российского национального комитета по защите от неионизирующих излучений, проведя опыты на животных разных возрастов. Подрастающему поколению рекомендовано максимально исключить общение по мобильнику, так как оно может приводить к тяжелым поражениям нервной системы.

Российский национальный комитет по защите от неионизирующих излучений (РНКЗНИ) сформулировал свою точку зрения относительно возможного влияния электромагнитного поля мобильных телефонов на здоровье детей и подростков. В результате проведенных опытов, консультаций и дискуссий было сформулировано решение «Дети и мобильные телефоны: под угрозой здоровье будущих поколений». В нем изложено мнение ведущих российских ученых в области гигиены и радиобиологии неионизирующих излучений, которое основано на современных научных знаниях и фундаментальных представлениях, накопленных за многие годы исследований вопросов влияния электромагнитного поля на здоровье человека.

Как рассказал CNews заместитель председателя РНКЗНИ, директор Центра электромагнитной безопасности Олег Григорьев, в основу принятого решения, в частности, были положены результаты анализа опытов, которые проводились над животными разных возрастов, главным образом, над крысами и их эмбрионами. Выяснилось, что электромагнитное поле очень сильно влияет на развивающийся организм. Электромагнитное поле — важнейший биотропный фактор, определяющий не только здоровье, но и непосредственно процессы высшей нервной деятельности, включая поведение и мышление людей. При использовании мобильного телефона обязательно происходит воздействие электромагнитного поля на головной мозг пользователя.

Несмотря на то, что в Санитарных правилах и нормах рекомендовано ограничение возможности использования мобильных телефонов лицами, не достигшими 18 лет (СанПиН 2.1.8/2.2.4.1190–03, пункт 6.9), дети и подростки стали целевой маркетинговой группой для рынка сотовой связи, отмечают эксперты РНКЗНИ. Действующие стандарты безопасности для мобильных телефонов разработаны для взрослых и не учитывают особенности детского организма.

Потенциальный риск для здоровья детей очень высок. Следует учитывать, что электромагнитное поле влияет на формирование процессов высшей нервной деятельности, а поглощение электромагнитной энергии в голове ребенка значительно выше, чем у взрослого (мозговая ткань детей обладает большей проводимостью, меньший размер головы, тонкие кости черепа и т.д.). Детский организм обладает большей чувствительностью к электромагнитному полю, чем взрослый; мозг детей имеет большую склонность к накоплению неблагоприятных реакций в условиях повторных облучений электромагнитным полем.

Cпециалисты подчеркивают, что современные дети пользуются мобильными телефонами с раннего возраста и будут продолжать их использовать будучи взрослыми, поэтому стаж контакта детей с электромагнитными излучениями будет существенно больше, чем у современных взрослых. По мнению членов РНКЗНИ, у детей, использующих мобильные телефоны, следует ожидать следующие возможные ближайшие расстройства: ослабление памяти, снижение внимания, снижение умственных и познавательных способностей, раздражительность, нарушение сна, склонность к стрессорным реакциям, повышение эпилептической готовности. Ожидаемыми (возможными) отдаленными последствиями являются опухоль мозга, слухового и вестибулярных нервов (в возрасте 25–30 лет), болезнь Альцгеймера, «приобретенное слабоумие», депрессивный синдром и другие проявления дегенерации нервных структур головного мозга (в возрасте 50–60 лет). По словам Олега Григорьева, все эти прогнозы были выработаны после анализа полученных данных и длительных научных дискуссий.

«Дети, используя мобильный телефон, не в состоянии осознавать, что подвергают свой мозг воздействию электромагнитного поля, а здоровье — риску, — говорится в заявлении комитета. — И этот риск ничуть не меньше, чем риск для здоровья ребенка от табака или алкоголя. Наш долг — не позволить бездействием нанести ущерб здоровью детей — будущего страны».

РНКЗНИ уже направил свое решение главному санитарному врачу России Геннадию Онищенко с просьбой ввести в стране систему предупреждения о вреде электромагнитного излучения на здоровье детей при использовании мобильных телефонов. «Самым простым решением было бы вкладывать в коробку с телефоном брошюру, где бы рассказывалось об этой проблеме, — считает Олег Григорьев. — Такая практика, например, есть в Великобритании. Родители должны быть оповещены о влиянии электромагнитного поля на здоровье детей. Если проявить определенную настойчивость, то ребенку можно объяснить, чем грозит общение по мобильному».

Григорьев сообщил, что до конца мая 2008 г. РНКЗНИ выработает конкретные рекомендации по использованию мобильников детьми и подростками в возрасте до 18 лет. «Но первая рекомендация уже есть — детям необходимо максимально исключить использование мобильных телефонов, стараться говорить по ним только в крайних случаях», — говорит Григорьев. Он напомнил основные рекомендации для взрослых: не общаться по мобильному более 15 минут в день; соотношение между продолжительностью разговора и отдыхом перед следующим разговором должно составлять 1 к 5, то есть, после разговора в одну минуту, вам рекомендуется как минимум пять минут воздержаться от следующего звонка; во время сна держать телефон не ближе 1 м от головы, а лучше вообще выключать; использовать гарнитуры Bluetooth.


CNews

Корпоративные базы данных нередко оказываются незащищенными от действий инсайдеров, поскольку злоумышленникам, работающим в компании, нетрудно замаскировать воровство конфиденциальных данных под обычный рабочий процесс. Как же организовать эффективную защиту? Необходим целый комплекс мер, включающий, помимо ведения журнала аудита, анализ потенциальных каналов утечки и их "сужение", выстраивание формализованных процедур контроля.
Широкое обсуждение разнообразных мер по защите данных от инсайдеров, ведущееся многими специалистами, все же не проясняет до конца сути вопроса. Под эту тему попадает все, включая контент-анализ информационных сообщений, выходящих за пределы организации, контроль подключаемых накопителей, контроль действий сотрудников на их рабочих местах и многое другое. Однако защите от инсайдеров корпоративных баз данных, хранящих стратегические нематериальные активы компаний, несомненно, должно придаваться первостепенное значение.

В рамках данной статьи мы рассмотрим доступ к корпоративным базам данных со стороны собственных сотрудников компании, которые имеют все необходимые права и работают с этими базами, выполняя свои прямые производственные обязанности. За пределами нашего внимания останется защита резервных копий и данных в мобильных устройствах, а также ряд других аспектов защиты баз, отличающихся тем, что в отношении них более или менее понятно, что и от кого защищать, и можно провести определенную аналогию с защитой периметра.

Особенность ситуации с доступом к БД состоит в том, что вредоносная деятельность сотрудника легко может быть замаскирована под обычную служебную активность. Таким образом, задача, которую мы пытаемся разрешить, является еще одним воплощением старой, как мир, проблемы – как выявить скрытых "врагов" в кругу "друзей".

Но давайте снимем эту излишнюю эмоциональную окраску – в компании нет ни друзей, ни врагов - только сотрудники. И некоторые из них могут сознательно действовать в ущерб компании (так называемые "обиженные", либо "лазутчики", засланные кем-то с криминальными намерениями, либо сотрудники, завербованные с этой же целью), другие могут находиться в некотором "пограничном" состоянии, борясь с соблазном "продаться". Есть еще одна категория – люди рассеянные или недисциплинированные, которые могут нанести ущерб ненамеренно.

На чем можно построить противодействие активным вредоносным элементам и как приучить к дисциплине "пассивных" потенциально опасных сотрудников?

Контроль и аудит

Первое, что приходит в голову, - это слово "контроль". Еще не определив это понятие и не наполнив его содержанием, можно согласиться с тем, что контроль - это хорошо: по меньшей мере, его наличие позволит поднять психологическую планку, которую необходимо преодолеть потенциальным "кротам" для начала своей вредоносной деятельности. Находясь в поле действия "контроля", такой субъект уже не просто берет то, что "плохо лежит", а должен спланировать свои действия, сознательно пойти на риск, что осложнит выполнение его намерений и во многих случаях заставит от них отказаться. Угроза наказания поможет приучить к дисциплине рассеянных.

Но каким конкретным содержанием может быть наполнено слово "контроль"?

Руководствуясь здравым смыслом, можно заключить, что это прослеживание событий, связанных с контролируемой сферой активности, с последующим анализом и выделением противоправных, сомнительных и потенциально опасных действий.


Прослеживание событий (или более терминологически точно – аудит, т.е. регистрация тех действий пользователей, которые имеют отношение к безопасности, с автоматической записью информации о них в специальные журналы) – находится в сфере внимания многих современных стандартов безопасности и целого ряда регулирующих актов, -- таких, как стандарт Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации", международный стандарт безопасности информационных систем ISO 17799:2005, его предшественник от 2000 года и соответствующий Российский ГОСТ Р ИСО/МЭК 17799-2005 "Информационная технология - Практические правила управления информационной безопасностью", Payment Card Industry Data Security Standard (PCI DSS), знаменитый закон Sarbanes- Oxley и др.

5 пунктов о журналах аудита

Эксперт Кимбер Спрэдлин (Kimber Spradlin) из Embarcadero Technologies сформулировал 5 пунктов о журналах аудита, которые стоит принять во внимание всем, кто имеет отношение к безопасности БД. Журналы аудита – важная область, связанная с безопасностью баз данных, и в частности, с обеспечением выполнения требований стандартов по ИБ.

Вне зависимости от страны и рода деятельности, компании сталкиваются с требованиями соблюдения законодательных норм по ИБ и конфиденциальности данных. Тем не менее, ни одна из этих норм, возможно, за исключением Payment Card Industry’s Data Security Standard (PCI DSS), не содержит четких указаний, как именно им следует удовлетворять. Другими словами, любой совет, связанный с проектированием и управлением БД, скорее всего, будет достаточно общим.

Но мы попробуем сформулировать определенные правила, выполнение которых поможет сделать базы данных более защищенными, удовлетворяющими законодательным требованиям, сконцентрировав свое внимание на ключевой области, связанной с безопасностью баз данных – на журналах аудита.

1. На чем основаны правила. Большинство законодательных норм в ИТ сформулировано намеренно расплывчато. Поэтому специалистам по аудиту и безопасности в области ИТ приходится искать соответствующие руководства и интерпретации в дополнительных источниках. Наиболее распространенными из них являются ISO 17799 – Code of Practice for Information Security Management, Control Objectives for Information and related Technology (CobiT), IT Infrastructure Library (ITIL) и связанные с ними публикации правительственных организаций. Эти документы дают некоторые представления о том, какие данные нужно записывать в журнал аудита, как его защитить и как использовать содержащуюся в нем информацию.

2. Что записывать в журнал. В первую очередь, необходимо определить, какие данные нужно записывать в журнал. Вне зависимости от требований законодательных норм, в журнале должны быть данные по системному доступу, деятельности привилегированных пользователей, системным изменениям и изменениям схемы.

Данные, которые нужно записывать в журнал

Системный доступ: - Успешные и неудачные логины
Изменения, связанные с пользователями, ролями, доступом и паролями

Деятельность привилегированных пользователей: - Все

Системные изменения: - Подключения/отключения журналов
Подключения/отключения служб
Изменения конфигурации
Перезагрузки
Ошибки

Изменения схемы: - Создания/удаления/изменения объектов БД - таблиц и полей, процедур, пакетов, представлений
Изменения данных*: - Вставки, обновления или удаления записей
Доступ к данным**: - Неудачные и успешные попытки (обычно запросы SELECT)

* для соблюдения законодательных норм, касающихся целостности данных, таких, как Basel II Accord или Sarbanes-Oxley
** для удовлетворения требований по конфиденциальности данных

Источник: Embarcadero Technologies, 2008
Получился довольно объемный список. Рассмотрим далее, что нужно делать с журналами и каким образом это можно реализовать.

3. Как защитить журналы. Для аудиторов и регулирующих органов недостаточно собранной информации - нужно доказать, что полученные данные полны и точны. Это означает, что в систему должна быть встроена защита, либо должны быть построены специальные защищенные процессы. У аудиторов это называется "разделение обязанностей", - должна существовать гарантия того, что один и тот же человек не сможет быть инициатором действий, выдавать на них разрешения и контролировать осуществление. Применительно к журналу аудита это означает, что люди, чьи действия записываются в журнал, не должны иметь доступ к журналу аудита или управлять им.

Требования, указанные в различных законодательных нормах, руководствах и стандартах, включают ограничение доступа на чтение, размещение журналов в местах, отдельных от объектных БД и недоступных их администраторам, запрет на изменения в журналах, выделение необходимого дискового пространства (чтобы не допускать потерь данных и системных ошибок), шифрование любой важной информации, содержащейся в журналах, наличие онлайновых предупреждений об изменениях, проблемах с пространством или ошибках, связанных с журналами.

4. Как использовать журналы. Использование данных, собираемых в журналах аудита, не так очевидно на первый взгляд. В зависимости от типа информации, вида бизнеса, и применимых законодательных актов, с которыми приходится сталкиваться, журнальные файлы следует изучать с разной частотой – некоторые из них подлежат непрерывному контролю, другие – просмотру раз в месяц или даже раз в квартал.

Если в системе есть настроенная компонента, выдающая сообщения по журналам аудита в реальном времени, журнальные файлы не придется просматривать слишком часто, нужно будет лишь отслеживать подозрительные изменения и тренды. Например, если за последний месяц отношение неудачных логинов к успешным резко увеличилось, это стоит проанализировать более детально.

Данные по действиям привилегированных пользователей необходимо просматривать чаще, чем по обычным - как минимум раз в неделю - и более детально. Также повышенного внимания заслуживают изменения привилегий пользователей и, если возможно, отчеты по неавторизованным изменениям конфигурации и схем.

Детализированные и суммарные отчеты по коррекции данных и доступу к ним стоит просматривать где-нибудь раз в месяц. И здесь опять стоит обращать особое внимание на соотношения и тренды. Об опасности может сигнализировать, например, увеличение числа неудачных SELECT’ов.

Кроме всего прочего, необходимо определить, сколько времени нужно хранить данные аудита. Обычно в течение трех месяцев информация находится в онлайн-хранилищах (данное ограничение по времени связано с требованиями к пространству хранения) и до 7 лет - в оффлайн-хранилищах. Юристы компаний рекомендуют хранить сведения ровно столько, сколько требуется, и ни днем больше.

5. Какие отчеты будут необходимы. Возможно, не стоило бы собирать столько данных, если бы это действительно не было необходимым. Несомненно, что людям, которые формулируют требования к регистрируемым данным, понадобятся некоторые отчеты.

Ключевые отчеты:

Отчет Описание Частота

Действия ВСЕХ Необходимо Ежедневно,
привилегированных наблюдать за этими еженедельно
пользователей наблюдателями



Неавторизованные изменения Сравнение реальных изменений Еженедельно
- привилегии, пользователи, с отчетом по авторизованным
схема, конфигурация изменениям из процесса по
управлению изменениями
Сравнение пользовательских
аккаунтов и приложений,
используемых при внесении
изменений, со списком
авторизованных


Тренды по входам/выходам Обзор для выявления основных Ежемесячно
из системы трендов и определения (стоит настроить
нестандартных схем поведения немедленное
Разделение на рабочее информирование
и нерабочее время по наиболее
для более осмысленных подозрительным
отчетов видам активности)

Источник: Embarcadero Technologies, 2008


В первую очередь потребуются, как минимум, три ключевых отчета – действия всех привилегированных пользователей, неавторизованные изменения (привилегии, пользователи, схемы, конфигурации) и тренды по входам/выходам из системы.

Наблюдение, анализ и контроль доступа

Итак, мы уже убедились в том, что следующим шагом за регистрацией данных в журналах аудита, позволяющим построить детальный контроль, является наблюдение (зарегистрированных данных) и анализ. Сами по себе отчеты не выходят за рамки такого наблюдения: это те же самые зарегистрированные данные, но в концентрированном или статистически обобщенном виде. Они могут навести на определенные мысли, но не реализуют собственно анализ. Что же делать со всеми этими данными, и какой анализ при этом требуется?

Итак, зафиксируем этот этап, когда детальные журналы аудита, хранящие след прошедшей активности по доступу к данным, есть, но собственно анализа еще нет, т.е. контроль как общее понятие – не реализован. Попробуем сделать следующий шаг, т.е. сформулировать принципы такого анализа и построить фундамент необходимого контроля.

Ясно, что целью анализа является отделение "правильных" операций от противоправных (или хотя бы от "подозрительных", если сразу не можем точно отделить одни от других).

В некоторых случаях для этих целей можно построить автоматизированные процессы контроля, например, для сравнения списков авторизованных изменений прав пользователей с реально осуществленными операциями (о чем упоминалось выше).

Иногда стоит попробовать "искать под фонарем", т.е. анализировать то, что легче всего поддается изучению. При этом не следует пренебрегать интуитивными способностями, в том числе "пространственным" знанием объекта, концентрирующим предыдущий опыт – т.е. знанием о конкретном содержимом базы, об используемых приложениях, персоналиях, осуществляющих доступ, и проч.

Например, в банке, глядя на отчет о лицах, имевших объемный доступ к таблице с персональными данными, можно на интуитивном уровне и с учетом "пространственного" знания объекта определить, кто действительно мог иметь необходимость работы с ними, а кто вызывает подозрение. Или на производственном предприятии: объемный доступ к информации об экспортных операциях со стороны группы лиц не вызовет подозрений, если известно, что руководство поручило им подготовку аналитического отчета по этой теме.

В каждой конкретной индустрии и на каждом конкретном предприятии такой "интуитивный" анализ может быть весьма эффективным и даже быть оформлен в виде некоторого внутреннего стандарта, однако, как мы увидим ниже, он имеет ряд ограничений.

Приведем еще несколько примеров. Так, если некто с нехорошими намерениями написал процедуру перекачки информации из таблицы с персональными данными во временную таблицу, не вызывающую подозрений, и в результате получил к ним доступ, не привлекая пристального внимания со стороны контролирующих структур – это явная брешь в защите данных.

Еще один пример. В базе данных появились таблицы, содержащие конфиденциальную информацию, но в силу слабого взаимодействия между подразделениями контролирующая служба узнала о них с опозданием. Риск злоупотреблений при бесконтрольном доступе к этим данным – налицо.

Для устранения такого рода "брешей" в защите следует включить в сферу наблюдения более широкий спектр внутренних операций компании, чтобы сделать возможным всесторонний анализ.

Для фокусирования внимания к наиболее важным компонентам информационной системы служит классификация наблюдаемых объектов, ограничение каналов доступа к данным, формализация процедур работы привилегированных пользователей. Все это позволит сделать анализ даже на интуитивном уровне более всеохватывающим, включив в сферу контроля те области, которые ускользали от нашего внимания, а в ряде случаев позволит внедрить формализованные процедуры контроля.
Итак, суммируя вышесказанное, получаем набор действий, требуемых для организации контроля доступа к БД, порядок выполнения которых может меняться, но суммарно должен содержать следующее.

Необходима реализация на деле "всевидящего ока", т.е. регистрация полного следа, включающего абсолютно все активности, связанные с базой данных. Это пригодится не только для анализа, о котором ведется речь, но и при расследованиях обнаружившихся фактов утечек информации (и для установления еще более высокого уровня "психологического" барьера для потенциальных инсайдеров, о котором говорилось в самом начале).

Классификация объектов БД при помощи атрибутов, характеризующих степень конфиденциальности, поможет "сузить" область наиболее пристального внимания. Исключение возможности внедрения в базу любых "левых" объектов: фиксация эталонной схемы БД, реализация стандартного бизнес-процесса внесения изменений, введение периодического контроля соответствия схем "живой" БД и архивного эталона позволит быть уверенными, что в базе не происходит "внутренней" утечки.

Формализация процессов работы привилегированных пользователей и ввод документированных бизнес-процессов изменения прав, внесения изменений в схему обеспечит контроль наиболее “чувствительных” операций. Практически полный запрет работы с консоли на сервере БД исключит возможность мошенничества, связанного с временным отключением функций контроля (возможность доступа к БД с консоли при любой реализации контроля не может исключить определенных уязвимостей). Работа с консоли должна разрешаться строго ограниченному кругу лиц и быть подчинена жестким правилам.

Детальная проработка объема и частоты наблюдения, в том числе задание онлайновых нотификаций о нестандартной активности, выдача периодических оффлайновых отчетов, их рассмотрение с учетом "пространственного" знания объекта позволит сопоставлять реальную активность по работе с данными модельным представлениям, построенным на основе всех возможных источников. Для более многостороннего анализа поможет статистическое профилирование доступа по типам должностных обязанностей пользователей с последующим сравнением повседневной активности каждого из них с модельным профилем – для выявления и анализа фактов нетипичного поведения.

Таким образом, наблюдение становится более всеохватывающим, контроль – более плотным.

Техническая реализация полного аудита по типу "всевидящего ока", практически не оказывающего влияния на объектную систему, хотя и не является широко распространенной, на самом деле особой трудности сегодня не представляет.

С использованием полного аудита, формализацией процедур работы привилегированных пользователей и внедрением контроля схемы БД существенно сужаются возможности получения данных из БД за рамками стандартных операций доступа.

Осталось одно: автоматический контроль каждого акта доступа к данным.

Этот шаг по пути эскалации степени контроля дается с бОльшим трудом, и полностью реализовать его – скорее всего, утопия.

Что он означает? Автоматический контроль всех бизнес-процессов, включающих доступ к важным данным. Например, если оператор call-центра телефонного провайдера получил запрос на выдачу детализированного счета для определенного абонента, должна существовать возможность автоматического сопоставления факта доступа к базе с наличием авторизации соответствующего клиентского запроса относительно этой детализации.

Для некоторых выделенных бизнес-процессов реализовать подобный контроль не так уж сложно, но охватить им все акты доступа к данным…

Возвращаясь к началу этой статьи, отметим, что, несмотря на трудности, содержащиеся в самой постановке задачи по обнаружению вредоносной или подозрительной активности инсайдеров, в ее реализации может быть достигнут серьезный прогресс при выстраивании подхода, объединяющего полноту собираемых данных о фактах доступа, скрупулезную работу по ограничению возможных "каналов" утечки, построение автоматизированного контроля бизнес-процедур, включающих работу с корпоративными данными, и применение конкретных "пространственных" знаний о внутренних процессах в компании для анализа всех существующих активностей.

CNews

Финансовые пирамиды стали печальным символом российского перестроечного времени. Появление рынка ценных бумаг и отсутствие законодательной базы по урегулированию деятельности финансовых структур явились предпосылками для создания нашумевших компаний - «МММ», «Хопер-Инвест», «Русский дом Селенга» и других. Кроме того, переход на рыночную экономику спровоцировал инфляцию и глобальный кризис недоверия к власти. Как следствие, поток сбережений населения потек в финансовые пирамиды.

С течением времени мы начали забывать о подобных структурах, но россияне сейчас снова заинтересовались инвестициями и вновь готовы зарабатывать на своих накоплениях. Чтобы снова не оказаться тем самым лохом, на котором заработают другие, нам всем неплохо снова пришлось вспомнить, что же такое пресловутая финансовая пирамида. На эту тему корреспондент ИА «Клерк.Ру» Андрей Соколов побеседовал с профессором Иваном Андриевским, управляющим партнером НКГ «2К Аудит – Деловые консультации».

Иван, как отличить финансовую структуру, регулируемую законом и государством, от финансовой пирамиды, управляемой мошенниками?

Развитие современных рынков сопровождается созданием новых финансовых структур и инструментов, в частности, появлением ПИФов – контролируемых государством инвестиционных фондов. Высокая ликвидность паев и вероятность высоких доходов дает ПИФам определенное преимущество перед банковскими депозитами. Как показывают последние события, этим фактом активно пользуются создатели новых финансовых пирамид, которые утверждают, что вкладывают средства в высокоприбыльные проекты и в наиболее ликвидные акции.

Собираясь вложить в какой-либо фонд свои сбережения, в первую очередь следует обратить внимание на гарантию получения доходов по ставке выше рыночной. Безусловно, существуют дивиденды порядка 70%, которые можно получить в инвестиционном фонде. Однако управляющие компании по законодательству не имеют права регламентировать доходность, так как они работают с высокорисковыми инструментами финансового рынка. К тому же инвестиционные компании подписывают с клиентом особую декларацию, в которой оговаривается вероятность потери денег инвестора из-за колебаний на рынке ценных бумаг.

Во-вторых, для того, чтобы принимать средства населения в доверительное управление или размещать их на депозитах, компания обязана иметь лицензию Федеральной службы по финансовым рынкам или лицензию Центробанка.

Но законодательство Российской Федерации не запрещает привлекать деньги, например, по договору займа…

Именно поэтому следующий момент, на котором стоит заострить внимание, - это предмет договора. Управляющие компании заключают договор на доверительное управление денежными средствами, тогда как финансовые пирамиды, за неимением соответствующих лицензий, заключают договор займа.

Кроме того, следует обратить внимание на содержание договора, в частности, на права и обязанности сторон. Зачастую мошенники составляют договор так, что фактически вкладчик не может претендовать на возврат своих средств в случае банкротства компании. Также в одном из пунктов может быть прописана обязанность клиента привлекать новых вкладчиков, что является неприемлемым в работе банков и инвестиционных фондов. Поэтому прежде чем подписывать договор, стоит проконсультироваться с независимым юристом.

Каким еще образом можно обезопасить свои инвестиции?

Перед тем, как размещать деньги в любой инвестиционной компании или банке, необходимо в средствах массовой информации и Интернете собрать все доступные сведения об их деятельности. Стоит обратить внимание на то, что солидные управляющие компании раскрывают подробную информацию о движении средств - в каких ценных бумагах и проектах деньги клиента, схемы той или иной инвестиционной программы. Пирамиды, напротив, не используют прозрачную информированность о своей деятельности. Они ограничиваются лишь набором общих фраз, изобилующих специализированными экономическими терминами, которые рассчитаны на финансовую неграмотность потенциальных вкладчиков. Кроме того, если компания просит клиента поторопиться с взносом, есть повод насторожиться. Ни один банк или ПИФ не должен настаивать на оперативном размещении средств.

Стоит также обратить внимание, принято ли в компании проводить многочисленные семинары, выездные корпоративные мероприятия, розыгрыш призов. Как правило, таким образом мошенники создают иллюзию значимости и востребованности у потенциального клиента и собственной успешной деятельности. Это психологический прием, который активно используют строители пирамид.

Что делать инвестору, пострадавшему от недобросовестных основателей пирамид?

К сожалению, в России главы финансовых пирамид признаются мошенниками только по факту прекращения выплат. Добиться возвращения вложенных средств практически невозможно. Как правило, к моменту банкротства компании ее владельцы оказываются далеко за пределами страны. Обращение в государственные контрольные органы тоже не приносят результата, так как они осуществляют надзор только за лицензированными компаниями.

Очень часто финансовые пирамиды зарегистрированы на некую компанию с уставным капиталом в несколько тысяч рублей, и вкладчик фактически не может претендовать на возвращение своих средств. Однако, мошенничество можно доказать в суде, так как вполне очевиден тот факт, что пирамида строится на привлечении новых вкладчиков, за счет которых выплачивались дивиденды.

Чем обусловлено появление финансовых пирамид в последнее время? Вроде все уже научены горьким опытом…

Появление огромного количества финансовых пирамид в последнее время обусловлено, прежде всего, несовершенством законодательства и ограниченным контролем государственных органов. В принципе, в России существует закон, запрещающий финансовые пирамиды. Тем не менее, мошенники находят способы его обойти. Чтобы эффективно вести борьбу с пирамидостроителями, необходим пристальный контроль со стороны государства.

Например, нужно отслеживать рекламу организаций, предлагающих доход по вкладам или инвестициям, существенно превышающий рыночный. Кроме того, необходимо внести поправки в законодательство, ограничивающие прием денег у граждан без соответствующей лицензии. Однако, опыт стран с четким законодательством, где появляется огромное количество пирамид, показывает, что эта мера не всегда действенна, и мошенники находят лазейки для осуществления незаконной деятельности. Существует лишь одно отличие – в таких странах люди четко знают свои права. Поэтому главным оружием в борьбе с пирамидами должна стать правовая и финансовая осведомленность и грамотность населения.

klerk

Впервые в российской правоприменительной деятельности суд вынес решение о выплате гражданину морального и материального вреда за отказ в приеме его на работу по причине того, что он «не подходит по возрастной категории». Компенсация в размере 290 тыс. руб. должна быть взыскана с ООО «Талирс Плюс» в пользу Юрия Ступко до 7 июня. Исполнительный лист, выданный на основании вышеуказанного судебного решения, гр. Ю. Ступка предъявил в УФССП России по Воронежской области 4 апреля. В связи с неисполнением со стороны должника судебного решения судебный пристав приступил к принудительному исполнению судебного акта.

Депутаты Госдумы обсудили вопросы законодательной реализации Рамочной конвенции ВОЗ по борьбе против табака.
Предлагается, в частности, ввести лицензирование не только на производство табака, но и на оптовую торговлю и розничную продажу табачных изделий, и установить наказания в виде лишения лицензии за нарушение правил торговли табаком (продажу табачных изделий несовершеннолетним). Рассматривался вопрос о введении запрета на производство и продажу пищевой и сувенирной продукции в виде табачных изделий (печенье, конфеты, жевательная резинка и т.д. в виде сигарет).
Предлагаются также и методы ценовой политики, направленные на борьбу с потреблением табака: повышение акцизных налогов на табачную продукцию, способствующее удорожанию сигарет.
Думцы надеются, что привести российское законодательство в соответствие с требованиями Рамочной Конвенции удастся до 2010 года.
Кроме того, было отмечено, что принятый в первом чтении проект технического регламента на табачную продукцию содержит нормы, которые противоречат положениям Конвенции, что ставит под сомнение принятие его во втором чтении. В частности, согласно проекту предупредительные надписи должны занимать не менее 30% большей стороны пачки. Предлагается изменить эту норму и установить, что основная предупредительная надпись должна занимать 30 и более % одной большей стороны упаковки, а дополнительная надпись о вреде курения табака – 50 и более % другой большей стороны упаковки.

Предполагается, что в первом чтении депутаты рассмотрят следующие законопроекты: о перераспределении полномочий по выработке государственной политики и нормативно-правовому регулированию в области таможенного дела; очередные поправки в Закон об ОСАГО; изменения в Закон «О Фонде содействия реформированию жилищно-коммунального хозяйства»; а также поправки в Закон «Об экологической экспертизе». Также в первом чтении будет рассмотрен законопроект « О внесении изменений в Водный кодекс Российской Федерации и отдельные законодательные акты Российской Федерации».
Во втором чтении запланировано рассмотрение законопроекта, уточняющего понятие «мелкое хищение».
В рамках «правительственного часа» перед депутатами выступят Министр сельского хозяйства Российской Федерации Алексей Гордеев и Министр промышленности и энергетики Российской Федерации Виктор Христенко. Тема доклада: « О состоянии тракторостроения и сельскохозяйственного машиностроения в Российской Федерации, энерговооруженности сельского хозяйства Российской Федерации и перспективах их развития».

Радость от приобретения нового автомобиля часто бывает омрачена, ведь процедуры снятия и постановки на учет транспортных средств в ГАИ-ГИБДД по-прежнему являются для большинства автомобилистов крайне неприятными - непонятными, сложными и утомительными. Однако совершенно необязательно мучиться самому - можно нанять специалиста, который и в очереди за вас постоит, и "красивый" номер для вашего автомобиля выпросит.
Вокруг ГАИ

Подразделение, где мне предстояло снять с учета автомобиль, отделение N6 МОТОТРЭР ГИБДД УВД ЮАО г. Москвы (межрайонный отдел технического осмотра транспорта и регистрационно-экзаменационных работ), находилось в самом конце Варшавского шоссе и представляло собой несколько малоэтажных зданий барачного типа в аварийном состоянии.

- Это хорошо, что вы пораньше приехали,- сказал мне молодой человек по имени Алексей, с которым я заранее договорился о помощи,- скоро документы уже начнут принимать, а я очередь занял. Тут на самом деле не одно ГАИ, а два. Где мужики стоят, там отечественные машины регистрируют, а нам надо с другой стороны - там иномарки. Сейчас все отдадим, нам распечатают заявление, я пойду квитанции оплачивать, а вы на площадку заезжайте.

Там, куда указывал Алексей, высились какие-то ободранные металлические и бетонные конструкции. На крыше одного из зданий МОТОТРЭР порывы ветра грохали оторванными листами железной кровли.

Как я в дальнейшем узнал от Алексея, во всех отношениях удачно был выбран не только час, но и день, и месяц посещения ГАИ. А еще он рассказал, как холодно стоять тут зимой (документы принимают через окошко, а очередь топчется на улице) и какой глубины бывают здесь лужи. Про пыль и грязь рассказывать не было нужды - этого добра было в изобилии и в тот день, особенно на площадке осмотра автотранспорта. Она напоминала заброшенную стойку, на которую загнали пару сотен автомобилей, создав две параллельные очереди.

- В том вагончике принимают документы после осмотра,- продолжал свои объяснения помощник,- а уже потом в том домике получают ПТС с отметкой о снятии с учета и транзитные номера.

- Если кофе хотите или поесть что-нибудь, можно прямо тут купить,- объяснял Алексей, показывая на женщину в халате с тележкой, продвигающуюся между рядов машин.- А вот где здесь туалет, я не знаю, как-то, помню, искал, но не нашел. Обычно все ходят туда, где эти штуки бетонные, но там надо под ноги внимательно смотреть и вообще быть аккуратнее - арматура торчит, дыры всякие... Зато телевизоры внутри поставили, я даже футбол там как-то смотрел.

Почти за пять часов, проведенных в обществе моего помощника, я узнал много интересного про ГАИ на Варшавке. Это и отсутствие туалетов при наличии телевизоров, и более или менее приличный ремонт внутри при полной разрухе снаружи, а также очень странное отношение милиционеров к рабочим площадям. С одной стороны, места всем явно не хватает: комнаты в зданиях маленькие, коридоры узкие, очереди на сдачу документов и вовсе стоят на улице. А с другой - множество кабинетов на первых этажах отданы фирмам, оформляющим автостраховки и выписывающим справки-счета и договоры купли-продажи.

- Мне кажется, вы убедились, что я не просто так деньги беру,- улыбнулся на прощание Алексей.- В нашем случае хоть и дольше, чем обычно, получилось, но время я для вас все равно сэкономил, и пыль глотать почти не пришлось. Жаль, правда, что вы доверенность оформить на меня не смогли, и поэтому пришлось самому к окнам подходить и показываться. Но так я и беру меньше - 2,5 тыс. руб. Когда я сам все делаю, а вы дома сидите, это стоит 4,5 тыс. руб. Согласитесь, оно того стоит.

На вопрос о том, сколько же таким образом удается заработать и велик ли спрос на подобные услуги, Алексей отвечает уклончиво: "Для меня это скорее приработок. Я работаю в сфере автобизнеса, плюс к тому сам покупаю и перепродаю машины - постоянно нужно себе или клиентам то снять с учета машину, то поставить".

По словам Алексея, он не имеет никаких привилегий у сотрудников ГИБДД: "Я просто знаю - куда, когда и в какой последовательности надо бежать. Клиенты платят мне за то, что я за них стою в очередях на холоде и в грязи, общаюсь с людьми в погонах. Но общаюсь я на общих основаниях и деньгами ни с кем не делюсь".

Профессиональные консультанты

Помимо помощников-любителей вроде Алексея на рынке услуг по регистрации автотранспорта есть и настоящие профессионалы. Они не стоят в очередях и не бегают оплачивать квитанции наравне с обычными гражданами. Эти полезные и компетентные люди - "свои" в регистрационных подразделений ГИБДД: они могут подать документы в обход общей очереди, договориться с инспектором об исправлении какой-либо неточности в бумагах и - опять же минуя очередь - "закатить" автомобиль клиента на площадку осмотра, а еще похлопотать о получении "красивых" номерных знаков. Эти энергичные мужчины здороваются за руку с милицейскими чиновниками, называя их по-дружески Михалычами, Иванычами и Санычами, и запросто входят в закрытые для всех прочих кабинеты.

Что интересно, большинство этих могущественных работников автомобильного регистрационного бизнеса лишь изредка вступают в контакт с теми, кому помогают ставить машины на учет. Дело в том, что основным заказчиком регистрационного сервиса на сегодняшний день является автобизнес, прежде всего многочисленные салоны официальных и неофициальных дилеров. Сами же автовладельцы имеют дело только с автосалоном, откуда забирают уже поставленный на учет автомобиль с новенькими документами, номерными знаками и талоном технического осмотра.

- Когда мы с женой покупали автомобиль в автосалоне, я поинтересовался, можно ли сразу поставить его на учет,- вспоминает москвич Антон Щекин.- Нам сказали: да, такая услуга существует и стоит 10 тыс. руб. С одной стороны, было немного жаль денег, но с другой - как я только представил, что мне придется с раннего утра ехать вместе с женой на окраину города, стоять в очередях и унижаться, тут же согласился. И потом, мы ждали свою машину более полугода, хотелось сразу сесть и поехать без всякой дополнительной нервотрепки. А через салон все вышло быстро: оплатил в кассу и через два дня забрал машину с номерами. Счет, правда, какой-то странный на эти 10 тыс. выписали - "за консультационные услуги".

Что любопытно, профессиональные помощники в регистрации автомобилей, по всей видимости, умудряются не только быстро решать сложные процедурные вопросы, но и пользуются определенными привилегиями, позволяющими каким-то образом обходить "библию" любого инспектора МОТОТРЭР - "Правила регистрации автомототранспортных средств и прицепов к ним в ГИБДД МВД РФ". Так, к примеру, в пункте 35 указанных правил устанавливается, что в числе прочего для совершения регистрационных действий в орган ГИБДД необходимо представлять "документ, удостоверяющий полномочия гражданина представлять интересы собственника при совершении регистрационных действий" (подпункт "в"), а также "транспортное средство, за исключением случаев его утилизации" (подпункт "е"). Однако почти никто из опрошенных владельцев новых автомобилей, поставленных на учет специалистами из автосалона, не смог вспомнить, чтобы кому-либо выписывал доверенность для постановки машины на учет. А именно доверенность потребуют в ГИБДД у каждого, кто явится туда регистрировать чужой автомобиль. Более того, никто из владельцев не вписывал представителя автосалона в страховку ОСАГО, без которой, как известно, нельзя управлять автомобилем. Поэтому большие сомнения вызывает у автовладельцев сам факт того, что их машина действительно перемещалась для осмотра в ГИБДД.

- Судя по пробегу моего автомобиля, никто его никуда не гонял,- рассказывает другой недавний автовладелец Ирина Жирнова.- Когда я выезжала из салона на уже поставленной на учет машине, на одометре было всего 12 км. Если бы они доехали на машине до ГИБДД и обратно, получилось бы минимум в два раза больше. И вообще, представить, чтобы автосалон взял на себя риск по московским улицам гнать дорогую новую иномарку ради постановки ее на учет, как-то трудно. А эвакуатор или автовоз на весь день стоил бы дороже тех 10 тыс. руб., что взяли с меня за услугу по регистрации.

Большой бизнес

Подробности схемы регистрации продаваемых машин в автосалонах, как правило, не раскрывают. Знающие люди ограничиваются общими фразами о том, что в ГИБДД действуют их представители, и заверяют: все, что там происходит, абсолютно законно. И действительно, регистрация происходит обычно в обещанные день-два без всяких проблем. Да и при последующем снятии с учета и продаже автомобиля, поставленного на учет автосалоном, вопросов обычно не возникает.

А вот тем, кто решил сэкономить и зарегистрировать машину самостоятельно, нередко приходится возвращаться из ГАИ к продавцу за недостающей копией таможенной декларации, которую забыли выдать, или с целью внесения изменений в ПТС, справку-счет или договор купли-продажи.

Как рассказывает один из бывших профессиональных регистраторов автотранспорта, простому человеку, даже сведущему в автомобильных делах, далеко не всегда удается разглядеть какую-то проблему в документах своего автомобиля: "Обычно все ограничиваются тем, что сверяют номера агрегатов, марку и цвет автомобиля, а это далеко не все, что надо проверять. Для того чтобы процедура регистрации прошла гладко, имеет значение буквально все: кем и когда был выдан ПТС, где и когда машина стояла на учете, как конкретно обозначены тип кузова, марка и модель автомобиля. Одна неправильная буква в названии модели, несовпадение с базой данных ГИБДД - и все это потребует исправлений по довольно муторной внутренней процедуре, о которой мало кто имеет представление. А когда через тебя проходит масса документов и ты представляешь себе эту технологию, такие вещи сразу видны. И конечно, решить какой-либо вопрос всегда проще, если ты каждый день ходишь в нужный кабинет, а не первый раз явился с улицы".

Существует еще одна причина, заставляющая многих владельцев прибегать к услугам автосалона. Стандартный комплект документов, который получает владелец нового иностранного автомобиля (ПТС и договор купли-продажи), по словам инспекторов ГИБДД, дает право ездить лишь в течение пяти суток с момента покупки. Из-за занятости на работе и по другим причинам за пять дней поставить машину на учет мало кому удается, поэтому многие и соглашаются пусть на дорогую, но удобную услугу автосалона.

Стоимость регистрации машины через автосалон в Москве примерно одинаковая - она составляет в среднем 10 тыс. руб. Правда, известны случаи, когда постановку на учет продавцы осуществляли бесплатно, в качестве подарка ценному клиенту, покупающему дорогой автомобиль.

В целом же цена на услуги регистраторов напрямую зависит от степени участия в этом процессе владельца автомобиля. Если хозяин автомобиля готов приехать в ГИБДД сам, а его помощник лишь занимает очереди и подсказывает ему, куда идти, то такая услуга стоит около 3 тыс. руб. Если помощь подразумевает прохождение процедуры без очередей, когда ждать владельцу практически не приходится, но приезжать все-таки надо,- это стоит уже около 5 тыс. руб. Примерно столько же просят регистраторы, которые по доверенности сами готовы на вашем автомобиле отправиться в ГАИ, чтобы поставить или снять его с учета. А вот за сумму от 10 тыс. руб. в ГАИ поедут только документы. Впрочем, по словам помощников-регистраторов, такой порядок действует далеко не всегда и применим не ко всем автомобилям. Проще всего поставить на учет новую машину, ранее не стоявшую на регистрационном учете.

Помимо автосалонов (практически в каждом из них поддерживают связи с профессиональными регистраторами машин) помощников-регистраторов можно легко найти у любого ГАИ. Как правило, для этого достаточно обратиться в один-два офиса, где оформляют справки-счета, договоры купли-продажи и страховки. Такие конторы обычно располагаются в различных вагончиках или микроавтобусах, расставленных на подъезде к регистрирующим подразделениям ГАИ-ГИБДД. Там вам и найдут помощника. Несложно найти помощника в интернет-конференциях автомобильной тематики или просто по объявлению. В последнем случае, правда, стоит иметь в виду, что человек, в руки которого планируется передать документы на машину и собственный паспорт, должен иметь хорошие рекомендации.

Сколько всего денег ежедневно вручается разного рода помощникам в деле постановки и снятия с учета автомобилей, посчитать трудно. Если принимать во внимание толщину пачек с документами (или, как говорят регистраторы и милиционеры, материала), с которыми по лестницам и кабинетам подразделений ГИБДД снуют люди из автосалонов,- это несколько миллионов рублей в день. Ведь ежедневно сотни клиентов выкладывают по 10 тыс. за то, чтобы не стоять в очередях. К этим деньгам можно смело прибавить миллион-другой, которые зарабатывают помощники простых автовладельцев, а не автосалонов.

По оценкам самих регистраторов, доля тех, кто пользуется их услугами, в общей массе обратившихся в Госавтоинспекцию колеблется от 5 до 20% для различных подразделений ГИБДД. В справедливости таких оценок может убедиться любой человек, который проведет там денек-другой и посмотрит, сколько и каких машин заезжает на площадку осмотра без очереди, а также сколько у окна выдачи документов вдруг возникает людей, которых при подаче заявлений никто не видел.

Сами же по себе услуги ГИБДД стоят в сравнении с гонорарами помощников сущие копейки: снять с учета - 50 руб., поставить - 1110 руб. Это с учетом комиссионных за пользование терминалами оплаты, которыми наконец-то в московских МОТОТРЭР заменили очереди в ближайшую сберкассу.

Как заметил мой помощник Алексей, вручая вместе с новенькими номерами квитки за оплаченные сборы: "Брали бы в ГАИ на тысячу рублей больше с каждого, тут хватило бы и на асфальт, и на ремонт крыши, и на туалеты. И возможно, даже осталось бы".
КоммерсантИлья Зиновьев

ПРИКАЗ ФМС РФ ОТ 29.02.2008 N 40
"ОБ УТВЕРЖДЕНИИ АДМИНИСТРАТИВНОГО РЕГЛАМЕНТА ПО ПРЕДОСТАВЛЕНИЮ ФЕДЕРАЛЬНОЙ МИГРАЦИОННОЙ СЛУЖБОЙ ГОСУДАРСТВЕННОЙ УСЛУГИ ПО ВЫДАЧЕ ИНОСТРАННЫМ ГРАЖДАНАМ И ЛИЦАМ БЕЗ ГРАЖДАНСТВА РАЗРЕШЕНИЯ НА ВРЕМЕННОЕ ПРОЖИВАНИЕ В РОССИЙСКОЙ ФЕДЕРАЦИИ"
Зарегистрировано в Минюсте РФ 14.04.2008 N 11526.


Регламентирован порядок предоставления ФМС РФ государственной услуги по выдаче иностранным гражданам и лицам без гражданства разрешения на временное проживание

Административный регламент регулирует сроки и последовательность действий ФМС РФ, территориальных органов ФМС РФ и их структурных подразделений при выдаче иностранным гражданам и лицам без гражданства разрешения на временное проживание в РФ, определяет порядок информирования и получения консультаций (справок) о предоставлении государственной услуги, устанавливает требования к местам для информирования, местам для ожидания, местам приема заявителей, регламентирует порядок приема и оформления заявлений, правила ведения учетных дел, порядок обжалования действий должностных лиц, а также принимаемых ими решений. В приложениях к Регламенту приводятся, в частности, сведения о местонахождении, адресах органов ФМС РФ, формы заявлений, уведомлений, решений, справок. Кроме того, утверждены образец отметки о разрешении на временное проживание, проставляемой в документе, удостоверяющем личность иностранного гражданина или лица без гражданства, и образец бланка разрешения на временное проживание.

ПРИКАЗ ФМС РФ ОТ 29.02.2008 N 41
"ОБ УТВЕРЖДЕНИИ АДМИНИСТРАТИВНОГО РЕГЛАМЕНТА ПО ПРЕДОСТАВЛЕНИЮ ФЕДЕРАЛЬНОЙ МИГРАЦИОННОЙ СЛУЖБОЙ ГОСУДАРСТВЕННОЙ УСЛУГИ ПО ВЫДАЧЕ ИНОСТРАННЫМ ГРАЖДАНАМ И ЛИЦАМ БЕЗ ГРАЖДАНСТВА ВИДА НА ЖИТЕЛЬСТВО В РОССИЙСКОЙ ФЕДЕРАЦИИ"
Зарегистрировано в Минюсте РФ 14.04.2008 N 11525.


Государственная услуга по выдаче иностранным гражданам и лицам без гражданства вида на жительство в РФ будет предоставляться в соответствии с Административным регламентом

Регламент определяет сроки и последовательность действий (административных процедур) ФМС РФ, территориальных органов ФМС РФ и их структурных подразделений по выдаче иностранным гражданам вида на жительство, устанавливает порядок приема, рассмотрения заявлений о выдаче вида на жительство, о продлении срока его действия, оформления, выдачи и аннулирования, регламентирует порядок обжалования действий (бездействия) должностного лица, а также принимаемого им решения при предоставлении государственной услуги. В приложениях к Регламенту приводятся, в частности, сведения о местонахождении, контактных телефонах, адресах органов ФМС РФ, формы заявлений, справок, решений.

Из России ведется командование крупнейшей в мире зомби-сетью под названием Kraken, уверены эксперты. Количество компьютеров в ее составе непрерывно растет и уже насчитывает 400 тыс. В нашей стране, наряду с Францией и США, базируются серверы, с которых сеть получает сетевые командные пакеты.

Специалисты компании Damballa Solutions, специализирующейся на защите от ботнетов, обнаружили новую зомби-сеть под названием Kraken. Она включает порядка 400 тыс. компьютеров. Размеры бот-сети превосходят всемирно известную Stormbot. В ноябре 2007 г. эта сеть состояла из 230 тыс. машин. В бот-сеть Kraken уже включены компьютеры порядка 50 компаний из списка Fortune 500, уверены эксперты.

Специалисты из Damballa полагают, что ботнет формируется вирусом, который распространяется через скрытые графические файлы. Как пишет Heise Security, он скрывается от антивирусных сканеров (80% антивирусного ПО просто не распознают его) и регулярно обновляет свой код. Пользователь может заразить свою машину с открытием графического файла — в этот момент вирус уже устанавливает себя на ПК.

Пол Роял (Paul Royal), исследователь из Dambala, считает, что авторы вируса прекрасно знают, как работают антивирусные сканеры, и умело обходят их. В апреле 2008 г., по его оценкам, бот-сеть увеличится еще на 50%, то есть до 600 тыс. зараженных машин.

Пока что ботнет эксплуатируется в основном спамерами, предлагающими медикаменты, услуги онлайн-казино и кредитные услуги. Исследователи отмечают, что отдельные боты сети Kraken рассылают до 500 тыс. спам-писем в сутки.

Вирус, посредством которого расширяется ботнет, имеет возможность самообновления, поэтому, как полагают эксперты из Damballa, возможно, бот-сеть будет использоваться не только для рассылки спама.

SANS Internet Storm Center опубликовал подтверждение существования Kraken и отметил, что ему удалось зафиксировать сетевые пакеты, передаваемые командными серверами ботнета, базирующимися в США, Франции и России.

Впервые ботнет был обнаружен в конце 2007 г., однако первые признаки жизни он подавал еще в конце 2006 г.


Светлана Симонова

CNews

ИТ-специалисты компаний как минимум вдвое недооценивают риски использования работниками незащищенных флэшек. Между тем, до 77% сотрудников международных корпораций используют такие USB-накопители для хранения корпоративных данных. По словам российских специалистов, наш бизнес зачастую использует неправильный подход для предотвращения этих утечек.

Сотрудники часто используют личные незащищенные флэш-накопители для хранения ценной корпоративной информации. К такому выводу пришли авторы проведенного в США по заказу компании SanDisk исследования о рисках использования незащищенных USB-накопителей. Опрос рядовых сотрудников и ИТ-специалистов компаний показал, что руководители ИТ-отделов не имеют представления о масштабах распространения незащищенных флэш-накопителей в своих организациях: 77% опрошенных сотрудников корпораций используют личные флэш-накопители для хранения и переноса служебных данных. Однако опрошенные ИТ-специалисты оценивали долю сотрудников, использующих личные флэш-накопители в служебных целях, лишь в 35%.

Результаты опросов также показали, что чаще всего пользователи копируют на личные флэшки данные о заказчиках (25%), информацию финансового характера (17%), бизнес-планы (15%), информацию о сотрудниках компании (13%), маркетинговые планы (13%), объекты интеллектуальной собственности (6%), а также исходные коды программ (6%). Главным достоинством USB-накопителей является мобильность, но она создает значительный риск потери данных.

«Большинство ИТ-директоров понимает, что утечка информации может привести к краже личности, похищению интеллектуальной собственности или раскрытию коммерческих тайн, а также повлечь значительный ущерб как в смысле имиджа, так и с финансовой точки зрения, — говорит Джил Майлдворс (Gil Mildworth), старший директор по маркетингу в подразделении SanDisk по корпоративным решениям. — Результаты нашего опроса говорят о том, что, несмотря на некоторую осведомленность о возможных рисках, связанных с использованием незащищенных USB-накопителей, руководители ИТ-отделов еще не начали разработку эффективных политик, внедрение технологических решений и разъяснительную работу среди сотрудников с целью уменьшения этих рисков. Значительное снижение подобных рисков, как и повышение мобильности и продуктивности сотрудников, возможны только в случае принятия административного решения (на уровне руководства) о развертывании систем интеллектуального управления устройствами, систем мониторинга и применения соответствующих общекорпоративных политик безопасности».

Примерно 23% опрошенных пользователей были либо вовсе не знакомы с корпоративными политиками в отношении флэш-накопителей, либо знали лишь о существовании подобных политик, но не имели полного представления об их сути. В то же время 44% респондентов отметили, что, насколько им известно, их компания не запрещает копирование корпоративных данных на личные USB-флэш-накопители. Еще 16% опрошенных ответили, что они не знают о таком запрете, в то время как лишь 40% пользователей наверняка знают, что в их компании существует запрет на копирование корпоративных данных на личные флэш-накопители.

Ответы ИТ-специалистов соответствовали результатам опросов пользователей. Примерно 21% ИТ-специалистов считает, что сотрудники компании лишь немного знакомы с принятыми корпоративными политиками, 33% опрошенных считают, что сотрудники посредственно знакомы с политиками, 28% полагают, что сотрудники хорошо знакомы с корпоративными правилами, и лишь 19% считают, что сотрудники полностью осведомлены о принятых в компании правилах и политиках.

Отечественные эксперты отмечают, что полученные в США результаты в полной мере нельзя перенести на Россию. В нашей стране специалисты по ИБ и ИТ в организациях очень хорошо осведомлены об опасности неконтролируемого использования сменных носителей и внешних устройств, считают аналитики компании Perimetrix. Согласно исследованию «Инсайдерские угрозы в России 2008», в ходе которого аналитический центр компании опросил более 450 организаций, специалисты по ИБ и ИТ указали, что именно мобильные накопители являются самым опасным каналом утечки. Он получил 74% голосов, обогнав электронную почту (58%), веб (26%) и принтеры (18%). «Высшие исполнительные лица крупных и средних организаций, не относящиеся к ИТ или ИБ, тоже прекрасно понимают, что их сотрудникам не нужно хранить конфиденциальную информацию на флэшках, так как это может привести к случайной или злоумышленной утечке, — говорит директор по развитию бизнеса компании Perimetrix Алексей Доля. Таким образом, российский бизнес и государственные организации прекрасно осведомлены об опасности флэш-накопителей и ни в коем случае не недооценивают этот канал утечки».

Другое мнение высказали в компании InfoWatch. «Проблема утечки корпоративной информации при помощи флэшек недооценивается, — считает главный аналитик InfoWatch Николай Федотов. — Но ровно в той же степени, в какой недооценивается опасность утечек на любых других мобильных носителях. Наш мониторинг показывает, что очень большая доля утечек информации (39% от опубликованных случаев за 2007 г.) связана с потерями и кражами ноутбуков. Флэшку потерять даже легче. И украсть ее тоже могут. Тем не менее, такие накопители широко используются для конфиденциальных данных».

Сказанное выше, по словам Федотова, относится к незлонамеренным утечкам (таковых, по его оценкам, 71% в 2007 г.). «Что касается намеренной кражи данных, то здесь роль флэш-накопителей оценивается по достоинству — как службами ИБ, так и злоумышленниками», — подчеркнул эксперт.

Как считают специалисты, одними запретами и разъяснительной работой с сотрудниками проблему утечки информации решить не удастся. «Частые утечки, связанные с утратой ноутбуков, не привели на Западе к запретам их использования, — говорит Николай Федотов. — Руководство предприятий начало вводить обязательное шифрование данных. А производители ноутбуков начали встраивать стойкое шифрование прямо в контроллер жесткого диска. Производители флэш-накопителей неизбежно должны пойти тем же путем. К сожалению, российская тенденция, которую мы наблюдаем, тянет нас совсем в другом направлении. Вместо защиты данных вводятся тупые запреты. В том числе, запрет на использование флэш-накопителей. Хотя элементарное шифрование — эффективнее».

Андрей Арсентьев

CNews

Конституционный суд признал не противоречащим Основному закону действующий порядок предоставления налогового вычета по подоходному налогу при купле-продаже недвижимости, оформляемой в долевую собственность. Суд установил, что налоговые органы неправильно толкуют Налоговый кодекс, отказывая родителям, покупающим недвижимость в долевую собственность с несовершеннолетними детьми, в праве получить вычет в полном объеме.
В Конституционный суд обратилась группа граждан, считающих, что дробление имущественного вычета нарушает их конституционное право на равенство условий налогообложения с единоличными собственниками жилья. Напомним, сейчас при продаже недвижимости НК позволяет гражданам не платить подоходный налог с вырученной суммы при условии, что жилье находилось в собственности более трех лет. Если срок владения меньше, из полученного дохода вычитается 1 млн руб. или цена, за которую жилье было ранее куплено, и оставшаяся сумма облагается налогом 13%. Обратившаяся в КС семья Козловых из Омска посчитала, что в случае с общей собственностью эта система дает сбой. Продав квартиру, находившуюся в долевой собственности, каждый из трех представителей этой семьи получил по 833 тыс. руб. Налоговики указали им, что вычет в 1 млн руб. предоставляется на всю квартиру - то есть по 333,3 тыс. руб. на каждого владельца. Истцы же считают, что 1 млн следует вычитать из стоимости каждой доли. КС решил, что пункт НК о дележе вычета Конституции не противоречит. Наоборот, нарушением принципа равенства и справедливости было бы предоставление полного вычета каждому совладельцу - поскольку в сумме с той же недвижимости они могли бы экономить на налогах в несколько раз больше, чем единоличные владельцы. То есть конкретной семье Козловых судьи в основаниях для уменьшения налога отказали. Однако КС при этом пояснил, что вычет должен дробиться лишь для единых объектов. Если же граждане продают доли, выделенные в натуре и являющиеся самостоятельным объектом индивидуального права собственности, вычет следует предоставлять каждому продавцу. Поясним, что, согласно жилищному и гражданскому законодательству, такими самостоятельными объектами, продаваемыми отдельно, могут быть доли жилого дома, комнаты, но не доли в комнате или в неделимой квартире.

Тем же постановлением и также с оговоркой КС подтвердил конституционность другого вида имущественного вычета. Речь о вычете уже не при продаже, а при покупке жилья. Согласно НК, в этом случае налоговики возвращают покупателю "живыми деньгами" 13% от максимум 1 млн руб.- то есть не более 130 тыс. руб. ($5,3 тыс.). Истица Наталья Иванова из Карелии приобрела жилье в долевую собственность с несовершеннолетним ребенком. Налоговики отказались предоставлять ей вычет в полном размере, поскольку половина квартиры принадлежит ребенку, не уплачивающему подоходный налог и, соответственно, не имеющему права на его возврат. КС заявил, что хотя сам принцип раздела вычета законен, в конкретном случае налоговики истолковали его неправильно. Родители, фактически оплачивающие долю ребенка и берущие на себя обязанность по уплате за него налогов, "образуют самостоятельную группу налогоплательщиков", поэтому, установил КС, они вправе получить вычет в полном размере.
Вадим Вислогузов"Коммерсант"

Большинство сделок с недвижимостью предполагает обязательную уплату сторонами налогов. Но далеко не все граждане знают, когда нужно платить, сколько и за что. Между тем уклонение от налогов – вольное или невольное – может привести к начислению штрафов и порой ставит сделку под угрозу срыва. Обязательства по уплате налогов у сторон по сделке наступает после государственной регистрации прав собственности на недвижимость, то есть с момента внесения записей о правах в Единый государственный реестр прав.
Когда продавец платит

Собственник, продающий недвижимость, платит налог с дохода (НДФЛ) от ее продажи. Согласно Налоговому кодексу РФ, доходы россиян от продажи недвижимого имущества облагаются налогом по ставке 13%. «Сумма для расчета налога - налоговая база - определяется исходя из доходов за минусом сумм имущественных налоговых вычетов (возвращения НДФЛ при покупке жилья), - говорит специалист отдела по работе с физическими лицами УФНС по Санкт-Петербургу Андрей Иванов. То есть, если доход от продажи квартиры составляет 1 млн руб., а вычет – 200 тыс. руб., то налоговая база будет равна 800 тыс. руб. С нее и придется платить налог.

С покупателя недвижимости налог не взимается. Но после того как он станет полноправным собственником, ему придется платить налог на имущество. Объектами налогообложения являются жилые дома, квартиры, дачи, гаражи и иные строения, помещения и сооружения. Налог исчисляется от стоимости жилого помещения: чем дороже имущество, тем выше налог. Для недвижимости стоимостью выше 500 тыс. руб. (то есть почти всех квартир в Петербурге) ставка составит 0,3-2%. Кстати, при владении недвижимостью в России иностранцы тоже обязаны уплачивать налог на имущество. Ставки данного налога одинаковы для всех, как для резидентов, так и для нерезидентов, имеющих собственность на территории России. Если иностранец продает недвижимость в пределах нашей страны, то со своего дохода он должен заплатить целых 30% подоходного налога.
Искусство вычитать

Налогоплательщик - как продавец, так и покупатель - имеет право на имущественный налоговый вычет, то есть возврат части НДФЛ при строительстве, покупке или продаже недвижимого имущества. Покупатели могут получить вычет и на ту сумму, которую выплачивают в качестве процентов по кредитам, выданным на покупку жилья.

Размер вычета не превышает 1 млн руб. в том случае, если владелец продает имущество, находившееся в его собственности менее трех лет. При продаже недвижимости, которой гражданин владел три года и более, имущественный налоговый вычет предоставляется в полном объеме. Другими словами, в этом случае продавец недвижимости не будет платить никаких налогов на доходы физических лиц. Равно как и продавец, которому отчуждаемая недвижимость принадлежала на праве собственности менее трех лет, но цена сделки (стоимость продаваемой недвижимости) не превышает 1 млн руб.

«Даже если сделка отвечает перечисленным выше условиям в части освобождения от уплаты налогов, это не означает, что налоговый орган должен предоставлять вычеты автоматически», - объясняет советник генерального директора по правовым вопросам «Балтийской ипотечной корпорации», адвокат Санкт-Петербургской городской коллегии адвокатов Наталья Савенко.

«Имущественный налоговый вычет предоставляется налогоплательщику на основании письменного заявления при подаче им налоговой декларации в налоговый орган по месту жительства или регистрации. Декларация подается после окончания налогового периода. Таким образом, если сделка с недвижимостью была совершена в 2007 г., декларация и указанное заявление должны быть представлены в налоговую инспекцию до 30 апреля 2008 г.», - говорит член правления ООО «Городской ипотечный банк» Игорь Жигунов.

Вместо использования своего права на получение имущественного налогового вычета налогоплательщик может уменьшить сумму облагаемых налогом доходов. Например, если гражданин продает квартиру, приобретенную им в собственность по договору долевого участия и принадлежащую ему менее трех лет, то, по словам Натальи Савенко, у него есть выбор. Он может либо воспользоваться имущественным налоговым вычетом в размере 1 млн руб. Либо, если на новое строительство гражданином потрачена сумма более 1 млн руб., - из цены квартиры вычесть налоговую базу для исчисления 13% налога на доходы. «В данном случае необходимо четко понять экономическую выгоду, исходя из имеющихся документов», - добавляет Наталья Савенко.

При продаже имущества, находящегося в общей долевой собственности, величина имущественного налогового вычета распределяется между всеми совладельцами пропорционально их доле. В качестве примера можно привести продажу квартиры, находящейся в общей долевой собственности семьи из пяти человек. Допустим, стоимость квартиры - 2,5 млн руб., доли каждого собственника равны. Квартира была ранее передана в собственность продавцов в результате приватизации.

Период владения объектом составляет 2 года. В данном случае предельный размер налогового вычета, которым может воспользоваться каждый из продавцов, составляет 200 тысяч руб. (1 млн налогового вычета делим на пять). Доход, полученный каждым из продавцов квартиры, составит 500 тыс. руб. Соответственно, налоговая база по доходам, полученным от продажи квартиры, определяется по налоговым декларациям каждого продавца в сумме 300 тыс. руб. (500 тыс. минус 200 тыс. руб.).
За подарок и наследство

При дарении недвижимости налогов платить не нужно лишь в том случае, если даритель и одаряемый являются членами семьи или близкими родственниками. Так, налог не платят супруги, родители или дети дарителя, его братья, сестры, дедушки и бабушки. Если же человек получает недвижимость по договору дарения не от перечисленных выше родственников, он платит налог на доход от приобретения этой недвижимости (по ставке 13%). Налогоплательщик, получивший недвижимость по договору дарения от организации или индивидуального предпринимателя, также уплачивает налог на доход 13% от стоимости полученного в дар имущества.

Надо иметь в виду, что налоговые органы вправе требовать исчисления суммы налога с рыночной, а не с инвентаризационной (нормативной) стоимости полученного в дар имущества. Кроме того, у одаряемого появляется обязанность представить налоговую декларацию за тот налоговый период (год), в котором был получен подарок.

Что касается налогообложения наследуемого имущества, то с 1 января 2006 года эта процедура претерпела изменения. «Наследник обязан заплатить налог с имущества, если свидетельство о праве на наследство выдано до 1 января 2006 года. Если свидетельство выдается начиная с 1 января 2006 года, налог с имущества, переходящего в порядке наследования, не взимается», - предупреждает Наталья Савенко. Нередки случаи, когда граждане по тем или иным причинам меняют свое жилье на меньшее с доплатой. По общему правилу, получивший доплату человек обязан заплатить с нее налог на доходы физических лиц – 13% без применения каких-либо вычетов. Иностранцы, опять же, при получения дохода в результате дарения и мены, платят налог по повышенной ставке - 30%.
Издержки уступительности

Нередко квартиры в новостройках приобретаются путем заключения договора об уступке права требования жилого помещения. Дело в том, что некоторая часть квартир первичного рынка покупаются на стадии котлована и продаются частными инвесторами в период завершения строительства дома. При этом операция продажи уже построенной, но еще не оформленной в собственность новостройки очень проста: заключается договор переуступки третьему лицу (покупателю) права требования по инвестиционному договору. При этом продавец платит налог в размере 13% со своего дохода, то есть разницы между прежней и настоящей ценой квартиры. Впрочем, инвесторы всячески стараются минимизировать налогооблагаемую базу. Например, занижают сумму договора переуступки или вообще не фиксируют разницу между ценой переуступки и той, которая указана в договоре инвестирования.

Покупателю также придется платить налоги - с имущества, полученного по договору о переуступке права требования. При этом гражданин, приобретающий право требования, может получить налоговый вычет, а уступающий его - не имеет такого права.
Бюллетень недвижимости