Безопасность и право

ВЫБИРАЕМ СКУД - систему контроля и управления доступом в помещение. За последние 3-5 лет изменился подход к использованию СКУД. Изменения связаны в основном с появлением на рынке устройств и программного обеспечения с помощью которых происходит распознавание лиц. Теперь СКУД может использовать не только устаревающую карточку для прохода в помещение, а систему идентификации личности по геометрии лица. Это прогрессивное нововведения исключит передачу пропуска другому сотруднику, ведь лицо передать нельзя. Стоимость СКУД на основе систем распознавания лиц варьируется в примерном диапазоне от 50 т. ₽ до 200 т. ₽. Большая разница в цене связана в первую очередь со стоимостью программы распознавания и контроллера. Более качественные и совершенные системы стоят, естественно, дороже. При разворачивании СКУД необходимо обратить внимание и на устройство, которое преграждает доступ. Если это просто дверь, то СКУД не сможет выполнить предполагаемые задачи до конца. Дверь откроется, и вместе с человеком, которому разрешён доступ, в открытую дверь могут пройти посторонние лица. СКУД хорошо работает, если он сопряжён с грамотно установленным турникетом. При проходе в офисные центры и прочие «приличные» места стали часто устанавливать не крутящиеся турникеты, а небольшие воротца из прозрачного триплекса или каленого стёкла. С эстетической точки зрения это хорошо и красиво, но такие воротца не исключают проход двух человек при одном срабатывании СКУД. Кроме того, при эксплуатации появляется люфт и через такие воротца можно пройти вообще без срабатывания СКУД, потому что производитель из соображения экономии делает их на небольшой высоте. Все эти недостатки могут компенсироваться дежурящим рядом охранником, но зачем тогда нужны технические средства, если к ним ещё нужно охранника приставлять. На мой взгляд, если не требуется какой-то специальный режим, то грамотно установленный турникет высотой не менее метра вполне может служить преградой для несанкционированного прохода. Если такой турнике сопряжён со СКУД на основе распознавания лица, то такой комплекс вполне может работать без участия физической охраны. Если в определенные часы поток людей большой, то необходимо устанавливать несколько таких комплексов. Их количество должно быть рассчитано исходя из требуемой пропускной способности. В места, где требуется более серьезный режим, можно устанавливать ростовой турникет, ставить дополнительные устройства для распознавания запрещённых предметов, выставлять посты охраны и т. д. Режим всегда должен соответствовать задачам безопасности, которые определяются исходя из рисков, которые видит пользователь. borislevin.ru

ВИДЕОЗАПИСЬ В ОФИСЕ. ЗАКОННО ЛИ? В соответствии со статьей 214.2 ТК РФ работодатель имеет право использовать в целях безопасности производства работ приборы, обеспечивающие дистанционную видео-, аудио- или иную фиксацию процессов производства. То есть вести видеосъемку работодатель может на законных условиях. Работодатели обязаны уведомить сотрудников об использовании камер. Даже таблички «Ведется видеонаблюдение» будет достаточно. Но если работодатель не предупредит сотрудников о ведении видеонаблюдения, то его ждет штраф. Изображение работника с записи видеокамер относится к биометрическим персональным данным. Поэтому в организации обязательно должно быть положение о работе с персональными данными сотрудников. В нем прописываются правила обработки, хранения и использования данных, в том числе полученных с видеокамер. С положением нужно ознакомить всех сотрудников под подпись и получить от каждого из них согласие на обработку персональных данных. За обработку персональных данных сотрудников без их письменного согласия работодателю грозит штраф. borislevin.ru

ПОРЯДОК ПРОВЕДЕНИЯ СЛУЖЕБНЫХ РАССЛЕДОВАНИЙ Для проведения служебных расследований в любой организации, будь то государственное учреждение или коммерческая компания, необходимо следовать определенному порядку действий. Для начала проверяем сложившуюся ситуацию и принимаем решение о проведении служебного расследования. Когда нужно проводить внутреннее расследование: - воровство в организации (обнаружена пропажа или утеря денег/документов; недостача товара и т.д.); - утечка данных; - претензии контрагентов/клиентов; - выявление аудитором или комиссией по инвентаризации расхождений; - иные ситуации, которые могут повлиять на сохранность активов, деловую репутацию. Обязательно определяем вопросы для исследования, формируем рабочую группу для проведения расследования (обязательно включаем в рабочую группу сотрудников СБ, аудиторов, кадровую службу), а также составляем план расследования, в котором должны быть зафиксированы даты и сроки проведения тех или иных действий. Следующий пункт - беседы с людьми, связанными с происшествием, исследование документов/предметов, а также сбор и анализ данных. По завершении данных действий рабочая группа должна составить отчет о результатах расследования, а также предложить варианты решения происходящей ситуации. Основная задача при проведении служебного расследования состоит в том, чтобы доказать или опровергнуть факт совершения служебного правонарушения, установить вину работника и ее степень, характер, размер причиненного компании ущерба. Дополнительно определяются причины и мотивы совершения правонарушения, меры по привлечению виновных лиц к ответственности, возможность устранить нарушения и предложения по недопущению повторения подобных ситуаций в будущем. Организация и проведение служебного расследования является достаточно сложной и ответственной процедурой. Не стоит пренебрегать вышеуказанными требованиями, которые помогут достичь цели расследования и принять правильное решение. borislevin.ru

НУЖНА ЛИ ПРОВЕРКА НА ПОЛИГРАФЕ ПРИ ПРИЕМЕ СОТРУДНИКОВ НА РАБОТУ? Залог успеха компании – лояльные кадры. Кроме квалификации необходимо обязательно обратить внимание на надежность и порядочность сотрудников. Наличие в штате нелояльных к компании работников ведет к срыву планов, потере контрагентов, хищениям, утечке информации, и как следствие - потере активов. При приеме на работу довольно сложно определить, что из себя представляет кандидат: порядочный ли он человек, мошенник или засланный конкурентами агент. Помочь в данной ситуации может полиграф. Он выявит недобросовестных кандидатов на начальном этапе и позволит избежать последствий от возможных действий нелояльных сотрудников. Применение полиграфа позволяет: - узнать, не увольняли ли кандидата с прошлых мест за хищения, распространение конфиденциальной информации; - проверить наличие судимостей, вредных привычек; - убедиться, что соискатель не является “засланным разведчиком” конкурентов; - выявить скрываемую сотрудниками информации; - понять, стоит ли доверять работнику материальные ценности и информацию, составляющую коммерческую тайну; - принять на работу надёжный персонал. Следует учитывать, что применение полиграфа не дает 100% гарантии того, что в компании будет работать исключительно честный персонал. Но тем не менее затраты на проверки на полиграфе в разы сокращают риск потери активов и деловой репутации компании. borislevin.ru

Как проверить кандидата при приеме на работу, если в штате нет сотрудников службы безопасности? Обязательно изучите кандидата сразу по двум направлениям: - может ли он причинить вред неумышленно, то есть насколько он компетентен; - может ли он причинить вред умышленно, нет ли проблем с законом, крупных долгов. Часто проверка ограничивается первым пунктом, испытательного срока для проверки компетенций. А как проверить кандидата на благонадежность и законопослушность? Для начала получаем согласие на обработку персональных данных, иначе вы нарушите 152-ФЗ. Если кандидат отказывается предоставлять согласие на обработку персональных данных, стоит задуматься, не скрывает ли он компрометирующую информацию. Минимальный перечень пунктов для проверки выглядит так: Проверка паспорта Сделать это очень просто: откройте сервис ГУ МВД, введите серию и номер документа. Если паспорт действительный, переходите к следующему пункту. Проверка ИНН Проверка ИНН по паспортным данным – например, у незаконных мигрантов ИНН не будет. Проверка на участие в юр.лицах и ИП. Проверяем на сайте налоговой по ФИО и ИНН. Смотрим, не является ли кандидат участником или директором в юр.лице-конкуренте. были ли ликвидированы ранее зарегистрированные на кандидате  юр.лица без нарушения законодательства, открыто ли ИП. Если у ИП есть ОКВЭДы аналогичные вашей сфере деятельности – существует риск, что он собирается воспользоваться вашей базой в личных целях. Проверка по спискам разыскиваемых людей, экстремистов или террористов Переходим по ссылкам и проверяем: ·   Список разыскиваемых МВД РФ. ·   Список разыскиваемых ФСИН. ·   Список Интерпола. ·   База данных Росфинмониторинга. Проверка на банкротство Если речь о руководителе, то по 127-ФЗ банкроты не могут занимать управляющие должности в течение нескольких лет после признания банкротом. Но и кандидатов на рядовые должности тоже лучше проверить на Федресурсе. Проверка исполнительных производств Для проверки по базе судебных приставов понадобятся только ФИО и дата рождения соискателя. Периодические проверки в рабочем режиме Человек успешно прошёл все проверки, но работать не горит желанием или целью сотрудника является слив информации конкурентам. Что делать в этом случае? Чтобы минимизировать риск нужен постоянный контроль, позволяющий отследить подозрительные действия. Для этого используют программы, которые показывают, какими приложениями пользовался сотрудник, на какие сайты заходил, позволяет мониторить, что происходит у сотрудника на экране. Но лучше иметь в штате специалиста – сотрудника СБ, который сможет намного глубже проверить информацию по кандидату или доверить проверку компании, оказывающей услуги по проверке кандидатов на аутсорсинге. https://borislevin.ru/ borislevin.ru

УТЕЧКА ИНФОРМАЦИИ – КАК МИНИМИЗИРОВАТЬ РИСКИ? Сегодня разберем базовые способы усиления защиты от утечки информации: Шифрование данных. Даже если злоумышленники получат данные, то воспользоваться ими будет гораздо сложнее. • Использование защитного ПО (антивирусы, файрволы). Подобные программы помогут защититься от атак извне. • Использование DLP-систем. Этот тип программ специализируются именно на защите от утечек. • Обучение сотрудников: рассказать о фишинговых рассылках как минимум. • Проверка своих систем на уязвимости, например, провести пентест. Специалисты целенаправленно атакуют системы, имитируя атаку хакеров. Как итог, заказчик получает отчет о том, с какой вероятностью заказанная конкурентом атака будет успешной, что нужно исправить. o Провести аудит безопасности – понять соответствие информационной требованиям нормативных документов, а также производителей оборудования и ПО. • Формирование здорового климата внутри компании. Если сотруднику все будет нравиться, то даже если его попытаются подкупить с целью слива информации, вероятность успеха злоумышленников будет гораздо ниже. borislevin.ru

КАК РАСПОЗНАТЬ МОШЕННИКА В КОНТРАГЕНТЕ? Проверка контрагента – необходимый этап подготовки к работе с ним. Как провести поверхностный анализ конкурента? 1. Проверяем данные на сайте налоговой. Здесь мы увидим, существует ли такая организация, не находится ли она в процессе банкротства, не предстоит ли исключение компании из реестра юр.лиц, кто является директором и собственником, нет ли долгов по налогам. 2. Переходим на сайт компании, проверяем, когда он создан, что публикуют и т.д. 3. Читаем отзывы о компании в интернете. 4. Смотрим, не находится ли компания в реестре недобросовестных поставщиков. 5. Изучаем на участие в судах и наличие исполнительных производств. 6. Проверяем бухгалтерскую отчетность. 7. Внимательно читаем проект договора, предложенный контрагентом. Если насторожил хоть один из пунктов, задумайтесь, нужен ли вам неблагонадежный контрагент и проведите более тщательную проверку, обратившись к специалистам. borislevin.ru

Какие системы информационной безопасности должны быть в компании? Похищая данные компаний злоумышленники в первую очередь обращают внимание на: финансовые документы компании; результаты экспериментов и исследований; разработки новых технологий; пароли и ключи доступа к данным, хранящимся в электронных базах; персональную информацию о пользователях, имеющих доступ в базу данных компании;  сведения о клиентах, и поставщиках. Часто компании экономят на лицензионном программном обеспечении. Это стопроцентный сигнал о том, что данные могут оказаться в руках недобросовестных лиц. 2. Причиной проблем может быть и обычная небрежность сотрудников, оставивших без присмотра документы и электронные устройства. 3. Самая явная угроза - умышленное разглашение конфиденциальных сведений, доступ к котором получен в том числе благодаря первым двум пунктам. Что делать? создать инструкции по использованию компьютерной техникой, обработке и хранению конфиденциальной информации; подписать соглашения с сотрудниками об ответственности за нарушение правил работы с конфиденциальной информацией; разграничить доступ пользователей к информации и наблюдение за их действиями в сети; подключение устройств сигнализации, видеонаблюдения, предотвращения доступа посторонних на территорию; установка программно-технических устройств для резервного копирования информации, обеспечения ее сохранности, своевременного уничтожения в случае необходимости; разработка методов обнаружения и предотвращения компьютерных угроз; установка программ идентификации и аутентификации сотрудников, контроля активности, маскировки данных, передаваемых по информационным каналам; установка программных средств обеспечения информационной безопасности. Обязательно подключите антивирусные программы, DLP-системы, Анти-DDoS, UEBA, SIEM, программы криптографической защиты. Используйте межсетевые экраны контроля доступности сети, фильтрации и блокировки подозрительного трафика; прокси-серверы и VPN; установите ловушки DDP, NFT. Использование этих средств и принятие необходимых организационных мер позволит обеспечить защиту конфиденциальной информации от угроз, исходящих как извне так и от своих сотрудников. borislevin.ru

КАК ВЫЯВИТЬ ШПИОНА КОНКУРЕНТА В КОЛЛЕКТИВЕ? Часто шпионов засылают конкуренты. Задача шпиона - выяснить коммерческие секреты, ноу-хау, методики, заполучить базы данных. Иногда шпионов конкуренты находят и среди действующих сотрудников. Засланные казачки - профессионалы с хорошим опытом. Запись в трудовой книжке о работе на конкурента может рассматриваться как плюс, ведь соискатель приходит с наработками от соперника. На что следует обратить внимание? Как правило сотрудник будет пытаться со всеми подружиться, чтобы узнавать нужные сведения. В первую очередь обратите внимание на его интерес к деятельности, выходящей за пределы его полномочий. Вторая категория – это инсайдеры, делящиеся секретами с конкурентами. Как правило это линейные руководители, которые владеют информацией и могут влиять на принятие решений, а также сотрудники, у которых есть доступ к базам данных. Что предпринять? Самое простое - внедрение систем контроля за активностью на рабочем месте (DLP-системы). Важно, что программа позволяет собрать доказательства, которые принимает суд. Не забываем и о подписании со всеми сотрудниками соглашений о неразглашении конфиденциальной информации эта формальность поможет, если дело дойдет до суда. Обязательно разграничиваем доступы к важным файлам, особенно следует обратить внимание на информацию, представляющую собой коммерческую тайну. Не забывайте, что система безопасности коммерческой организации должна быть риск-орентированной! borislevin.ru

КАК ПРОИНСТРУКТИРОВАТЬ СОТРУДНИКОВ ПЕРЕД ОБЩЕНИЕМ С ПРАВООХРАНИТЕЛЬНЫМИ ОРГАНАМИ? Появление сотрудников правоохранительных органов в офисе - дело не самое приятное, но при должной подготовке – совсем не страшное. В первую очередь, все работники офиса должны быть поставлены в известность о том, что визит правоохранительных органов в принципе возможен, и это совсем не значит, что у организации серьезные проблемы. Объясните сотрудникам, что не стоит препятствовать правоохранительным органам, пытаться покинуть офис или начать есть на глазах у всех документы. Сотруднику, встретившему незваных гостей (как правило секретарь на ресепшн) необходимо уточнить у пришедших, на каком основании и с какой целью они явились, попросить показать соответствующее постановление, снять с него копию; незамедлительно поставить в известность генерального директора и руководителя службы безопасности. Если прибывшие в офис представители закона вызывают сотрудников офиса для дачи объяснений или показаний, работники должны вежливо сообщить, что готовы явиться для дачи объяснений вместе со своим адвокатом в другое время. За это время Вы успеете обсудить с адвокатом сложившуюся ситуацию и выстроить позицию. Главное при общении с правоохранительными органами – не паникуйте.

КАК УЗНАТЬ, ВОРУЮТ ЛИ СОТРУДНИКИ? Рассмотрим самую простую классификацию нечестных сотрудников: 1. Мелкие воришки. Проблема мелких воришек в том, что остальные сотрудники считают их действия нормальными или недостойными внимания. Ведь нет ничего страшного в том, чтобы унести домой бумагу для принтера или набор маркеров. 2. Обманщики покупателей. Они создают схемы, которые позволяют перекладывать расходы на покупателей: добавление воды к замороженным продуктам, добавление или дублирование товаров в чеках. Такие действия быстро портят имидж и приводят к потере клиентов. 3. Коррупционерами обычно становятся сотрудники, отвечающие за закупки и оптовые продажи. Откаты, завышение закупочных цен или занижение продажных. Распознать таких сотрудников крайне сложно, если самому не заниматься мониторингом цен на рынке и полностью отстраниться от общения с контрагентами. Если размеры воровства незначительные, то лучше провести незаметное собственное расследование. Это позволит вывести вора «на чистую воду» без широкой огласки. Как снизить уровень краж? - Установить видеонаблюдение. - Регулярно проводить инвентаризации. - Подписать с сотрудниками документы о материальной ответственности. - Разграничить доступ сотрудников к складским помещениям. - Тщательно проверять персонал при устройстве на работу. Эти несколько базовых рекомендаций легко внедряются и не требуют больших временных и денежных затрат. Для более глубокого построения системы защиты от воровства необходимо иметь в штате надежных сотрудников внутренней службы безопасности либо обратиться к профессионалам. borislevin.ru

МОЖНО ЛИ ЭКОНОМИТЬ НА СЛУЖБЕ БЕЗОПАСНОСТИ БЕЗ УЩЕРБА ДЛЯ БИЗНЕСА? Попытки снижения затрат на безопасность – явление распространенное. Причинами могут быть: - включение режима максимальной экономии – вопрос выживания компании, - попытки топ-менеджеров избавиться от сотрудников СБ, мешающих осуществлению преступных замыслов, - непонимание управляющих для чего вообще нужна служба безопасности. В их понимании кадровый аспект можно возложить на службу персонала, работу по проверке контрагентов – на менеджеров по продажам, информационную безопасность – на it-специалистов. Какие эффективные, но безопасные средства экономии можно предложить? • Переход на технические средства охраны. Самый распространенный вариант - это тревожная кнопка днем и выведение на пульт централизованного наблюдения охранного предприятия ночью. • Передача функций службы безопасности и на аутсорсинг. Эти два способа в совокупности дают хороший результат и позволяют существенно снизить издержки на охрану и содержание собственной службы безопасности. Важное условие - серьезно отнесетесь к выбору поставщиков услуг и обратитесь к профессионалам. borislevin.ru