Безопасность Бизнеса

2022-06-20 11:00:05 ​Как СКУД помогает сократить расходы компании?

Инфобезопасность сегодня на первом месте, но и физический доступ в помещения компании имеет значение. И больше в плане внутрифирменных движений. Человеческий фактор – один из самых непредсказуемых моментов, который нельзя просчитать и запрограммировать. Поэтому важно по максимуму его контролировать. Решений, как это сделать, полно, вплоть до инструкций по каким зонам и в каком направлении можно ходить, как на крупных японских заводах. Или даже – навешивание камер на сотрудников. Но это перебор. Расскажем, как этим озаботиться простому бизнесу, чтобы получить эффект.

Каждый предприниматель хочет, чтобы сотрудники работали подольше и побольше, а получали поменьше. Ну или хотя бы точно не более того, насколько наработали. Как раз на этой почве часто и возникают терки и конфликты. Мол, кто-то отработал дольше, а получил меньше, чем коллега. И ладно бы это решалось внутри фирмы. Так часто недовольные товарищи выносят это все на суд. А трудовая дисциплина у нас регулируется не только внутренними правилами и регламентами должностных обязанностей, а ещё и ТК РФ. И тут работодатель может реально наступить на грабли и потерять время и деньги. Поэтому и нужен контроль.

В этом поможет СКУД – система контроля и управления доступом. Она физически ограничивает доступ куда-либо для персонала. Это набор программно-аппаратных технических средств контроля и управления в определенных точках (двери, ворота, КПП).

Основная задача – кого можно пускать, в какое время и куда.

Прочие задачи:

– ограничение доступа на территорию;
– идентификация лиц
– учёт рабочего времени;
– ведение базы персонала/посетителей
– расчет зарплаты (при интеграции с системами бухгалтерского учёта);
– интеграция с системами безопасности: видеонаблюдения, охранной и пожарной сигнализации,

Состоит из нескольких блоков.

1. Входная зона.
Это преграждающие устройства: турникеты, ворота, шлагбаумы и дорожные барьеры. Либо электрозащелки и магнитные замки на дверях.

2. Идентификаторы: карточки, брелоки, метки

3. Считыватели (в том числе биометрические, наподобие FaceID)

4. Контроллер – это мозг системы, который и принимает решение, пускать или нет. Желательно с собственным аккумулятором для исключения сбоев при перепадах/отключениях электричества.

5. Базы данных и ПО

Важно заметить, что системы бывают как автономные, так и сетевые. Автономные – это, по сути, несколько км кабеля, которые объединяют все вышеперечисленное с одно целое. Стоят они недорого, но и возможностей у них не много. Сетевые – это совсем другое дело.

Там уже и возможность создавать отчеты, вести учёт рабочего времени, передавать информацию о событиях, управляться дистанционно. Можно привязать неограниченное количество пунктов пропуска, групп сотрудников с разными привилегиями в разные зоны, функция фотоверификации, контроль трудовой дисциплины, интеграция с другими подсистемами безопасности, возможности управлять правами пользователей и вести базу данных удаленно, беспроводные технологии или радиоканалы (Bluetooth, Wi-Fi, GSM).

Сетевые системы удобны для больших объектов, но могут стоить сильно дорого до нескольких млн.

Если вернуться к теме контроля рабочего времени, система позволяет точно знать, когда сотрудник пришел и ушел и даже сколько раз выходил покурить.

При этом доступно и решение разграничения офисного пространства. Ведь товарищ может быть внутри, а гулять по местам общего пользования, например, за кофе или ходить трепаться и курить в гости к коллегам из других отделов.

Кроме того, можно назначить и различные права доступа сотрудников в офисные помещения в соответствии с их полномочиями.

Так руководитель всегда будет знать, кто и сколько отработал до минуты и споры на этой почве будут не иметь смысла. Все будет в базе, включая опоздания и перекуры. А автоматизированный табель учета рабочего времени СКУДа можно синхронизировать и с 1С, чтобы бухгалтер быстрее считал зарплаты.
#физическая

@businesssafe Открыть/Комментировать

2022-06-17 10:15:00 ​Зачем нужны сервисы одноразовых записок?

Как указали в прошлом посте, инфобезопасность сегодня на передовой при защите любого бизнеса. И сделать так, чтобы ни один левый человек не смог сунуть нос в вашу переписку, крайне важно.

Сегодня вы научитесь передавать информацию так, чтобы даже в случае прослушки открытого канала связи ее мог видеть только адресат. Ну и вдобавок узнаете о методе проверки канала связи на слежку.

Гарантированно замутить безопасную передачу сообщений можно при помощи сервисов одноразовых записок. Принцип прост: вы пишете текст, либо отправляете файл с сообщением, а прога генерирует одноразовую ссылку, перейдя по которой, адресат увидит сообщение. После просмотра ссылка станет неактивной. То есть прочитать сообщение сможет только тот, кто первый его открыл, и никто больше. Так достигается дополнительная гарантия того, что непонятное третье лицо не сможет перехватить информацию.

Подобных сервисов много, рассмотрим два годных.

Первый – privnote.com – один из самых авторитетных. Есть возможность задать пароль, срок действия записки и уведомление об уничтожении на e-mail. Но есть и минусы: он стал собирать куки, нет более тонких настроек и через него нельзя передавать файлы. Сразу предупредим: полно фишинговых ссылок, полностью копирующих ресурс. Настоящий сайт только по адресу privnote.com.

Второй – Cryptgeon – относительно молодой проект, вдохновленный Privnote. Он интереснее, потому что автор разместил на GitHub код проекта, что позволяет развернуть сервис одноразовых записок на собственных мощностях. Вот пример, поднятый самим создателем: cryptgeon.nicco.io. Программа поддерживает стойкое шифрование, передачу файлов и настройку возможного количества просмотров или времени жизни заметки. На странице в репозитории GitHub есть инструкция, настроить все можно без проблем. Либо используйте готовое решение от автора.

А теперь покажем, как с помощью сервисов одноразовых записок можно проверить надежность канала связи.

Создайте записку в Privnote, предварительно нажав «Не спрашивать подтверждение перед тем, как показать и уничтожить записку». Далее укажите e-mail, на который будет прислано уведомление, что записку прочитали и она уничтожилась. После этого сократите ссылку в любом сокращателе ссылок (так не будет понятно, что она ведет на Privnote).

Кидайте ссылку по тому каналу связи, который проверяете. Желательно оформить сообщение так, чтобы вызвать интерес у потенциального опера или третьей стороны. Можно указать, что по ссылке пакет с важными документами и схемами ухода от налогов. Конечно, ваш получатель должен быть проинструктирован по другому каналу связи, что сообщение открывать не надо.

Далее три варианта:

1. Если спустя время перейдете по ссылке и увидите, что записка уничтожена, появится повод подозревать ненадежность канала связи;

2. Если записка будет цела, очень вероятно, канал связи безопасен;

3. Третий вариант с осторожным злоумышленником, который не переходит по ссылке, ибо догадывается, что подстава. Но в таком случае он просто не может знать, что передается в очередном сообщении в Privnote, а значит можно спокойно передавать важные данные именно таким способом.

У нас в запасе ещё много подобного и полезного, будем делиться.
#информационная

@businesssafe Открыть/Комментировать

2022-06-15 10:15:00 ​Угрозы для предпринимателя. БЭП

Бизнес – это корабль в океане с непредсказуемым прогнозом и разной местной флорой и фауной. Как писали, самая большая опасность и риски исходят от налоговой. Денег в стране все меньше и власти требуют собирать все больше. Как заявил премьер, ФНС – это ведомство №1.

Если посмотреть, кто на втором месте, там будет отдел борьбы с экономическими преступлениями и противодействия коррупции (ОЭБиПК), он же БЭП.

Для начала теория. Эти парни работают в связке с ФНС и всегда подключаются при сложных и выездных проверках. Их интересуют случаи уклонения в крупном – от 15 млн, и в особо крупном размере – 45 млн при. Когда можно возбудить уголовное дело по ст. 199 УК РФ.

Можно сказать, у них взаимовыгодное сотрудничество. Работники налоговой владеют всей информацией о компаниях, но не настолько круты в оперативно-розыскных моментах. Опера БЭПа мало понимают в налогах, но умеют расследовать дела и трамбовать «клиентов». Для этого у них есть рычаги: прослушка, опросы, наблюдение, доступы на закрытые объекты и т.п.

Именно поэтому их иногда и приглашают на налоговые комиссии, чтобы налплату было страшнее или когда сами не справляются.

У работников БЭПа задачи те же самые – наказать злодея, вернуть добро и закрыть дело. Это официально. На деле же главная их цель – погреть карман за счет бизнеса. Именно поэтому они часто работают нахрапом, устраивают «маски-шоу», выемки и прочие перформансы. Чтобы комерс испугался, во всем признался и в состоянии аффекта был «готов» на любую сумму.

Кстати, если раньше товарищи из БЭПа могли сами инициировать прессинг, по сути, любой компании, с 9 марта этого года ситуация изменилась. И теперь возбуждать уголовные дела по налогам они могут лишь по результатам материалов проверок от ФНС. Для бизнеса это хорошо. Но есть нюанс. Мы живем в России и передать материалы следователю без проверки налоговый инспектор, конечно, сможет. А если спросят, сошлется на какое-нибудь межведомственное соглашение, которое нельзя показывать. В таких случаях наш совет: максимально придать такое огласке и затем оспаривать в суде.

Сразу расскажем, как БЭП выбирает жертв. Как и в случае с приставами, дела на каждого опера БЭПа валятся пачками. Как любой адекватный человек, он не будет разбирать их все. А будет выбирать самые «жирные» и самые простые. Простые – это там, где нужно меньше работать, чтобы «нагнуть» предпринимателя или начинающего оптимизатора-обнальщика. Кстати, дела по обналичке – одни из самых любимых и «вкусных», так как фигурантов много и получить можно и с бизнеса, и с обнальщиков.

БЭП действует по ситуации. Но в первую очередь всегда идет сбор информации. Поэтому мы регулярно пишем про информационную безопасность. Именно она стоит на передовой, когда на вас идут парни из органов.

Первым делом ставят прослушку, если надо – наружку, взламывают соцсети, почты и телефоны. Потом в ход идут свидетели и контрольные закупки, позже даже внедренцы.

У любого бизнеса есть «скелеты в сейфе», поэтому такие расклады тоже надо иметь в голове. Что делать в каждой конкретной ситуации, вам скажут ваш налоговый консультант и адвокат. Кстати, обоих этих специалистов настоятельно рекомендуем держать на расстоянии телефона. Да, и предупредите всех без исключения сотрудников, как себя вести в случае, например, спектакля «маски-шоу». А делать надо следующее – не отвечать ни на какие вопросы оперативников, а повторять одну единственную фразу: «прошу обеспечить явку адвоката ФИО, номер телефона». Не нужно думать, что вы или работники в силах компетентно противостоять давлению профи из БЭПа. Поэтому молчите и пусть это делает адвокат, он умеет.

Для этого посоветуем заключить с ним соглашение, где будут прописаны подобные форс-мажоры и время, за которое он обязан прилететь. В крайнем случае – прислать адекватную замену.
#внешняя #власти

@businesssafe Открыть/Комментировать

2022-06-13 10:15:00 ​Проверка менеджеров контрагента

Причин, по которым стоит проверять товарищей контрагентов, как и сотрудников, можно собрать сотни и тысячи. Об этом наделано уже много постов. Мы снова расскажем про неочевидные.

И это опять налоговая. Сегодня это – самый большой фактор риска и проблем для любого бизнеса от мала до велика. Требования к проверкам все ужесточаются, гайки завинчиваются. Дело в том, что инспекторы сами не хотят этим заниматься и перекладывают обузу и ответственность за выбор друзей-партнеров на бизнесменов. Для этого в свое время была введена налоговая оговорка в договорах, требования о проявлении должной осмотрительности и прочие повинности. Также напилено куча специальных электронных сервисов и даже возможность «дружить» с контром в сервисе ФНС, на подобие того, как это устроено в соцсетях.

Но, как показывает практика, инспекторам этого мало. Да и проверка с оговоркой не защитит компанию, если партнер пропадет и станет не абонент, не выполнив обязательства.

Если вы крупная компания, рекомендуем обеспечить перекрестный контроль нескольких отделов: финансового, договорного, бухгалтерии, продаж. Пусть проверкой занимаются все, кто так или иначе имеет дело с контрами. И, если где-то есть подозрения в ненадежности, стоит запариться и провести более глубокую проверку. Это же позволит исключить и ряд чисто коммерческих рисков.

Мы рекомендуем начать проверять не только компанию, но и физиков – должностных лиц контрагента, в частности менеджеров по закупкам и продажам. Именно они чаще всего являются источниками срыва обязательств и риска невыполнения договоров. Тут два фактора – простая халатность и умышленные действия, направленные на личное обогащение.

Что касается халатности, часто служба закупок смотрит исключительно на цену и условия поставки и не желает убеждаться, насколько поставщик хорош, давно на рынке, надежен и обладает репутацией. Это риск.

Касаемо второго фактора, иногда менеджеры входят в сговор и в итоге компания-покупатель приобретает товар далеко не высшего качества и не по оптимальным для нее условиям. А вероятно, и вообще у недобросовестного поставщика. Обычно тупо завышается цена сделки, а менеджер получает «откат».

Мы знаем случаи, когда руководители отделов клепали собственные карманные лавки, которые приобретали продукцию у производителя за дешево и потом продавали ее своей же компании по совсем другим прайсам, удлиняя цепочку и завышая расходы. То же работает и в случае продажи, когда товар реализуется на «свою» фирму по заниженной цене, а дальше уже уходит реальным покупателям по рыночной.

Схем, как могут «подгадить» свои и чужие работники, множество, будем раскрывать в дальнейших постах. Поэтому их нужно проверять. Как надо проверять контрагентов, рассказывать не будем, об этом написано уже много. Как это делается в случае своих работников, мы рассказали в этом посте.

Так вот, все то же самое имеет смысл провести и относительно ключевых людей компании, с которой заключаете крупный контракт. Главное – не забывайте использовать различные источники, в том числе неофициальные. Именно они дают самую интересную информацию. Не будем вдаваться в вопросы корректности сбора таких сведений. Уверены, если вы потеряете сумму со многими нулями из-за того, что менеджер контрагента решил «навариться», вы не будете задаваться такими вопросами. А когда вам прилетит требование из налоговой о крупных доначислениях по подобной причине, вы полностью забудете про корректность.

Причем здесь налоговая? Да притом, что часто именно выкрутасы лиц на руководящих и даже не очень должностях приводят к тому, что фирмой заинтересуются фискалы. Читайте канал «Безопасность бизнеса» и мы расскажем, как с этим быть.
#внутренняя

@businesssafe Открыть/Комментировать

2022-06-10 10:15:00 ​Почему сейчас стоит использовать Linux

Безопасность подразумевает разные решения и не всегда они на 100% удобные. Вы же не будете спорить, что строительная каска на объекте защищает? Хотя носить ее в жару не всегда доставляет удовольствие. Про маски и корону говорить не будем, вопрос спорный. Сегодня отметим одну фишку, которая реально защищает ваши данные.

С введением санкций зарубежные поставщики ПО начали постепенно отказываться работать с российскими компаниями и иногда даже с физлицами. В то же время правительство РФ обязывает отказаться от использования зарубежных программ и ОС в ближайшие годы. Правда, пока только в госучреждениях, но тенденция понятна. Импортозамещение ширится.

Поэтому сегодня про Linux — альтернативу операционной системе Windows. Раскроем ее плюшки и недостатки. Говорить про историю этой ОС и про отдельные дистрибутивы (редакции, сборки) не будем, сосредоточимся на ключевых моментах.

Плюсы:

1. Продвинутый уровень безопасности.
Код ядра ОС Linux и исходники большей части программ под него открыты и регулярно проходят серьезные аудиты, которые выявляют и устраняют уязвимости. В Windows код всей ОС и большей части программ закрыт, что позволяет разработчикам при необходимости внедрить в нее что угодно, какой захочется вредоносный функционал. А в наше время это стало особенно опасно. Также в Linux в разы больше возможностей реализации сложных и надежных методов обеспечения инфобезопасности – как личной, так и корпоративной.

2. Большая свобода действий.
Здесь пользователь сам решает, что и когда происходит с системой, как она будет реагировать на те или иные события. Рабочее окружение можно ювелирно настраивать под себя. Времена сложного и неудобного Linux ушли. Уже появилось куча разного ПО и драйверов, а пользовательский опыт круто усовершенствован.

3. Высокая производительность.
В отличие от Windows, Linux весит сильно меньше и в целом использует ресурсы более оптимально. В системе не будет ненужных предустановленных программ и всякой шпионской телеметрии.

4. Актуальность и стабильность.
Linux захватил почти всю «серверную» часть интернета еще очень давно, и вряд ли это изменится в ближайшие 10-15 лет. Популярность Linux на десктопах также растет, потому что Microsoft делает все более закрытую, неповоротливую и следящую за каждым вашим шорохом операционную систему с кучей уязвимостей. Если действительно заботитесь об информационной безопасности, советуем хотя бы поверхностно изучить внутреннее устройство и основные команды Linux — поверьте, актуальными эти знания будут еще очень долго.

Минусы:

1. Непривычность.
Самый большой «минус», который отталкивает обычных людей от Linux —это непривычность по сравнению с Windows, особенно пугает командная строка. Да, здесь все иначе, но если вы погрузитесь в тему, то очень скоро поймете, что многие вещи сделаны «по уму» и более мудро, а работать в командной строке не так страшно и в некоторых задачах даже удобнее и быстрее. Это примерно похоже, как если пересесть с Android на Iphone. Несколько дней напряжно, а потом обратно не затащишь;

2. Все еще не хватает ПО.
Да. Хотя система становится все более универсальной и поддерживающей все большее количество ПО, для некоторых задач альтернативы ПО из Windows все еще нет или принципиально быть не может, и это отталкивает юзеров. Но проблема с каждым годом потихоньку решается адаптацией нужного ПО. К тому же можно воспользоваться виртуализацией, о которой будем писать позже.

Это не все плюсы и минусы, но общую картину, думаем, донесли. Стоит ли пользоваться Linux, решать вам, но потребность в этой ОС в последнее время растет – это факт. Мы бы советовали. Безопасность системы в разы выше привычной винды. Про дистрибутивы, для каких задач они используются и как с ними работать, поговорим в будущем.
#информационная

@businesssafe Открыть/Комментировать

2022-06-08 10:15:00 ​Неочевидные риски соцсетей

Мы разбираем различные аспекты безопасности, включая те, которые сразу не заметны. Все знают, что руководителю и ключевым сотрудникам лучше не пользоваться соцсетями. Либо же соблюдать строгую «информационную гигиену»: не указывать свой номер, не делиться ничем личным, фильтровать «друзей» и т.п. Про это будем писать далее.

Сегодня осветим неочевидные риски соцсетей. Это налоговая.

В инспекции тоже работают люди и, как все, используют соцсети. Иногда для решения конкретных задач, иногда – чтобы просто получить больше информации о налогоплательщике. Мониторят все до чего могут дотянуться: ВК, Instagram, Facebook, ОК, Youtube-каналы и т.п.

При этом скрины страниц аккаунтов считаются вполне себе доказательствами в суде.

В основном доказывают аффилированность или знакомство контрагентов или физлиц. Когда директор узнает о возможном назначении выездной налоговой проверки, он старается обезопасить активы, переписывая их на друзей и знакомых. Оформлять имущество на незнакомого человека не станешь, поэтому привлекаются разные дальние родственники, одноклассники и т.п.

Тогда налоговые инспекторы и лезут в соцсети, где могут найти, что незнакомые контрагенты/физлица уже много раз пили вместе пиво и гоняли в отпуск. А значит, это вовсе не продажа, а простая смена владельца для ухода от доначислений. То же при дроблении.

Иногда по датам фоток постов можно отследить, где и когда находился руководитель и утверждать, что он физически не мог подписать договор или акт, так как был на отдыхе в Таиланде.

Особо недалекие руководители могут ещё и поделиться подробностями своего бизнеса и благосостояния, похвастаться какой-нибудь сделкой или приобретением. Были случаи, когда человек выкладывал посты, от лица владельца бизнеса, который был оформлен на подставных лиц. Конечно, ему назначили проверку.

Мы знаем случаи, когда в соцсетях инспекторы собирали и полноценную доказательную базу по дроблению и взаимозависимости. Например, когда якобы независимая компания-дистрибьютер открыто заявляет на своей страничке, что продукцию производит «свой завод» и детально описывает производство и качество товара.

Также в соцсетях мониторят круг общения. По закону, инспектор может пригласить на встречу любого, у кого считает, есть интересующая его информация. А давить на близких, которые к такому вовсе не готовы гораздо проще, чем на предпринимателя и узнать часто можно очень много. Таким же образом вычисляют номинальных директоров.

И даже, если человек проявляет чудеса шифрования, не имеет никаких аккаунтов в соцсетях и не живет по адресу регистрации, его можно вычислить именно по окружению. Программы поиска по фото позволяют найти странички, где он так или иначе засветился и пригласить на допрос уже их владельцев. Часто так работают и в МВД.

Поверьте, никто и никогда не будет пытаться вас отстоять, когда придут люди в погонах и начнут говорить страшные слова: ответственность, налоговое преступление, уголовное дело. Поэтому повторим: мы не рекомендуем использовать соцсети от слова совсем. Помните же: любая информация может быть использована против вас.

С другой стороны, можно использовать соцсети для создания необходимых вам доказательств, которые потом предъявлять тем же инспекторам. Но это уже высший пилотаж, серьезная работа и тема отдельного поста.
#информационная #налоговая

@businesssafe Открыть/Комментировать

2022-06-06 10:15:00 ​Как защитить бизнес от недобросовестного номинала?

Иногда требуется разделить компанию на несколько юрлиц. Причины могут быть разными. Вкратце это:

1. Избегание взаимозависимости компаний, когда ими владеет один человек;
2. Оптимизация бизнес-процессов;
3. Выделение отдельного направления;
4. Прекращение деятельности с расчетом в будущем возобновить бизнес;
5. Владелец не хочет «светиться» или по закону не может возглавлять фирму;
6. Владелец не желает отвлекаться на юридические моменты;
7. Оптимизация налогообложения;
8. Понижение интереса контролирующих органов;
9. Защита активов.

Новой компании требуется директор. Найти его не сложно. Про номинальных директоров уже писали тут.

Встает вопрос в чистоплотности нового руководителя и методах снижения рисков от его необдуманных или злонамеренных действий. Не всегда можно найти на 100% надежного человека. Да, и как показывает практика, сегодня – он надежный, а завтра – лютый враг. А ведь под воздействием недоброжелателей такой товарищ может попробовать и увести бизнес.

Умные юристы уже давно придумали действенный способ. Это опционный договор.

Владелец оформляет такой договор с номинальным директором, где прописывается условие, что доля в компании может быть выкуплена при определенных условиях без согласия со стороны номинала и по определенной цене. Условия прописываются отдельно.

Это защитит владельца, который получает возможность официально вернуть себе компанию при любых подозрениях. Цена прописывается для того, чтобы не отталкиваться от рынка. Бывает так, что при создании фирмы ее стоимость близка к нулю. Там нет активов, крупных контрактов, репутации на рынке и т.п. С ростом оборотов ее стоимость растет. Иногда растет так, что у номинального директора может закружиться голова, если он представит, сколько бы мог иметь, если бы реально владел компанией.
В отличие от договоров займа и залога, с которыми нужно идти в суд, эта процедура возвращения бизнеса довольно простая. Если форс-мажор все-таки случается, владелец берет опционный договор, идет к нотариусу, объясняет ситуацию и заявляет, что выкупает долю, согласно условиям договора. После чего перечисляет средства на депозитный счет нотариуса. Больше ничего делать не нужно. Нотариус оформляет документы и отправляет уведомление «продавцу», что тот больше не владеет компанией, может прийти и получить стоимость своей доли. А придет или нет, это уже не имеет значения.

При помощи опционного договора инвестор может защитить свои интересы при открытии нового бизнеса. Допустим, он вкладывает крупную сумму денег в новый проект, руководителем которого ставит номинала или доверенное лицо. Сам же ничем не занимается, но планирует вернуть свои инвестиции и получать прибыль. Если что-то пойдет не так, он точно также возвращает себе бизнес и в будущем может продать его или нанять другого управленца.

Также опционный договор можно использовать и в другую сторону. Например, если владеете компанией, но не участвуете в ее хозяйственной деятельности, вы можете заключить такой договор с руководителем или несколькими, где будет прописано, что при достижении определенных показателей и условий они вправе выкупить небольшую долю компании. Тем самым у них появляется перспектива стать совладельцами и рассчитывать на совсем другие доходы. Это всегда действует стимулирующе.

Используйте этот механизм и читайте канал «Безопасность бизнеса». У нас еще много подобных полезных инструментов, которыми будем делиться.
#юридическая

@businesssafe Открыть/Комментировать

2022-06-03 10:15:00 ​Как не «попасть» при работе с персональными данными?

Мы учитываем максимально все риски для компании. В наших реалиях самую большую опасность представляет даже не рынок и не бизнес-процессы, а контролирующие органы. Несоблюдение разных законов и ограничений может породить такие санкции с их стороны, что никакая сверхприбыльная бизнес-модель не поможет. В основном, это касается налоговой и МВД, но про это позже. Сейчас напомним, что ещё есть такое ведомство, как Роскомнадзор. Они тоже не спят и способны доставить много неприятностей. Одна из таких – штрафы за несоблюдение закона о персональных данных.

В 2021 год порядок работы с персональными данными изменился в сторону ужесточения. Были повышены штрафы и ответственность вплоть до уголовной. Регулируется это Федеральным законом «О персональных данных» от 27.07.2006 N 152-ФЗ.

Любая компания так или иначе имеет дело с персональными данными. А значит, это касается всех.

Персональные данные — это любая информация, которая прямо или косвенно относится к физлицу и позволяют его идентифицировать: Ф.И.О., адрес, паспорт, СНИЛС, образование, семейное положение, имущество и т.п. Даже размер зарплаты. И на обработку всей такой информации нужно согласие владельца. Не относятся к персональным данным только обезличенные данные.

Сегодня компании за некоторыми исключениями должны уведомлять Роскомнадзор, что обрабатывают персональные данные. Исключения: обработка информации в связи с трудовым законодательством только работников, либо для оформления однократного пропуска. После уведомления вас включат в реестр операторов персональных данных. Но это ещё не все. Вам придется постоянно актуализировать сведения. За работу без уведомления могут привлечь к ответственности по ст. 19.7 КоАП.

Штрафы для компаний немаленькие. Перечислим некоторые.

Обрабатывали персональные данные без письменного согласия владельца – от 30 до 500 тысяч.

Не обеспечили сохранность персональных данных при обработке – от 50 до 100 тысяч.

Не выполнили обязанность по обеспечению записи систематизации накопления хранения уточнения или извлечения персональных данных, которые собрали через интернет – от 1 до 18 млн рублей.

Чтобы не попасть под подобные санкции нужно собрать со всех работников письменные согласия на обработку персональных данных. Если работаете с данными клиентов, и от них тоже. В случае с клиентами это может быть галочка на сайте при заполнении анкеты или оформлении заказа. Но там необходимо выложить и политику конфиденциальности или пользовательское соглашение. Не будем подробно это разбирать, на большинстве ресурсов можно увидеть, как это оформлено.

С сотрудников нужно получить согласие на обработку и распространение. Это два разных документа! Есть случаи, когда это не требуется, но мы советуем делать это всегда. Если собираетесь распространять данные клиентов – от них тоже потребуется два согласия. Формы есть в открытом доступе в сети.

Если данные сотрудника нужны контрагенту, например, как вашего представителя, также возьмите у него письменное согласие на передачу персональных данных третьему лицу. С 1 марта 2021 года включить условие об их передаче в согласие на обработку нельзя. Нужен отдельный документ.

Предоставлять документы с персональными данными без согласия можно только госорганам, третьим лицам в случае экстренной ситуации, профсоюзу, третьим лицам в связи с исполнением должностных обязанностей.

Повторим, это касается практически любого бизнеса, где так или иначе собирают и обрабатывают персональные данные.
#юридическая

@businesssafe Открыть/Комментировать

2022-06-01 10:15:00 ​Трехэтапный подход к обеспечению информационной безопасности

Сегодня рассмотрим одну из моделей построения системы безопасности с примерами.

Этап 1: Поймите свою инфраструктуру.

На нем нужно разобраться с локальными сетями, устройствами, а также с программным обеспечением, что именно будете защищать.

Здесь 5 ключевых вопросов:

1. Какую информацию нужно защищать? Где в системе находятся самые чувствительные данные?
2. Какие устройства вовлечены в работу?
3. Какое программное обеспечение используется?
4. Используются ли надежные пароли?
5. С какими ресурсами в интернете взаимодействуют сотрудники? Посещают ли они социальные сети на рабочем месте?

Раскроем.

Чтобы защитить свое дело, нужно понимать ценность данных, а также то, как их могут использовать злоумышленники. Вот примеры данных, являющихся критически важными:

• Данные карт, банковские документы, финансовая информация и бухгалтерия;
• Персональные данные сотрудников
• Другие коммерческие тайны организации.

Какие устройства вовлечены в работу? Соблюдается ли параллелизм: не используется ли рабочее устройство в личных целях?

Зная, какие устройства используются, вы успешнее управляете организацией. Понимаете, что конкретно нужно защищать. Ведите учет вашего оборудования и создайте перечень защищаемой информации: компьютеры, телефоны, банковские и SIM-карты, модемы и роутеры. Создайте электронную таблицу и регулярно обновляйте ее при появлении нового оборудования и данных или при их потере/выходе из строя. Если есть локальная сеть, поручите системному администратору использовать Nmap, ZenMap, – это сетевые сканеры, позволяющие определить, какие устройства подключены к сети – а также ПО для управления устройствами и установленным программным обеспечением в вашей сети.

Создайте план регулярных проверок и обновления программного обеспечения, которое используете. Старайтесь использовать ПО с открытым исходным кодом (opensource), чтобы избежать проблем с программными закладками, позволяющими криминалистам получить доступ к вашим данным. То же самое касается и устройств – никаких макбуков, айфонов или хуавеев. О выборе конкретных устройств поговорим в будущих постах.

Этап 2 Защищайте активы

Чтобы защитить информацию, мало технических решений. Проводите семинары, на которых будете рассказывать о том, как вести себя при приходе ребят в погонах и как вести себя, чтобы не занести на устройства заразу. Составьте документ, что можно делать на рабочем месте, а что нельзя, и сделайте так, чтобы сотрудники придерживались его. Используйте двух- или многофакторную аутентификацию везде, где это возможно. Токены, смарт-карты и смс – ваши лучшие друзья. Поймите, кто из сотрудников в вашей организации имеет доступ к конфиденциальной информации и убедитесь, что они осознают свою роль и осведомлены об основных правилах цифровой гигиены и защиты информации. Убедитесь, что работники могут определить основные признаки фишинговой атаки; например, когда кто-то в спешке просит ценную информацию или требует игнорировать процедуры безопасности. Если сотрудник понимает, что происходящее кажется странным, подозрительным или слишком хорошо звучит, чтобы быть правдой – он готов отражать подобные типы атак.

Этап 3 Подготовьте организацию

После разработки модели обеспечения информационной безопасности нужно обдумать сценарии реакций на атаки или инциденты. Это значит, нужно понять, как реагировать на ту или иную ситуацию, нарушающую безопасность, а также как быстро восстановиться после нее. Определите, какая конкретно информация важна для вас в случае атаки, и зашифруйте ее в криптоконтейнере, переместив на носитель, вроде флешки. Саму флешку можете поместить в банковскую ячейку или отдать доверенным лицам. Если необходимо, сделайте копии.
#информационная

@businesssafe Открыть/Комментировать

2022-05-30 10:15:00 ​Бухгалтерские и налоговые риски

Главная опасность со стороны бухгалтера – это даже не воровство, а налоговая сторона. И часто бухгалтер может не иметь никакого умысла, а просто быть некомпетентным или ленивым.

Задача хорошего бухгалтера – не только вести учет и сдавать отчетность, а экономить средства для компании, в том числе на налогах. Дело в том, что нашей ФНС сколько ни уплати, все будет мало. Поэтому платить налоги нужно четко, столько, чтобы не вызвать претензий и столько, чтобы не отдать лишнего, тем самым причинив ущерб фирме.

Сразу совет: если бухгалтер говорит, что в плане оптимизации налогообложения ничего нельзя сделать, лучше искать другого. Сделать что-то можно всегда. Вопрос компетенции и желания.

Сегодня бизнесу необходимо так или иначе оптимизировать. В противном случае большинству просто не выжить. И на передовой таких процессов находится бухгалтер. Именно ему приходится подбивать отчеты, запрашивать документы у контрагентов, общаться с инспекторами, отвечать на требования, ходить на комиссии, взаимодействовать с оптимизаторами. Все это он должен уметь делать, соблюдая при этом интересы компании.

Не так сложно посчитать налоги, сложнее решить с директором, сколько и какими путями их оптимизировать без риска для фирмы. Здесь встает вопрос не столько компетенции, сколько мотивации и чистоплотности.

Бухгалтер должен понимать, что он так или иначе завязан на показатели компании. Многие бухгалтеры относятся к оптимизации налогов, как к дополнительной нагрузке. И отчасти это верно. Работы у них и так всегда хватает без этого. А оптимизация сегодня – это очень непростой процесс. Некоторые компании специально нанимают налоговых консультантов и платят им большие деньги. А кто-то просто вываливает это все на штатного бухгалтера. Так делать не нужно.

Это серьезная работа и у него должна быть мотивация делать дополнительный объем, как минимум хорошая премия в конце квартала.

Если это оптимизация НДС, он должен точно посчитать, сколько и каких документов купить, у какого поставщика, соблюсти лимиты, как грамотно провести, как оформить договоры и первичную документацию, корректно декларировать, создать легендирование. Решать в дальнейшем возможные проблемы с инспекторами и отстаивать свою позицию, не поддаваясь на запугивания и провокации. Должен уметь разговаривать с налоговиками на их языке и иметь контакты тех, кто сможет помочь.

Экономя средства компании на налогах, бухгалтер должен понимать, что это ему будет оплачено. Часто экономия достигает сотен миллионов рублей, и главбух это знает.

Поэтому иногда компетентные главбухи, понимая свои возможности и не получая мотивации, решают заработать. Мы лично сталкивались с тем, что бухгалтер закупал НДС по одной ставке, а руководителю озвучивал другую, кладя разницу в карман. Некоторые даже умудряются продать свой НДС компании налево за дорого, а купить по объявлению дешево. Можно завышать налоги, а затем возвращать и выводить себе на карту. Конечно, это риски, приводящие к серьезным последствиям.

Хороший бухгалтер всегда найдёт, где его оценят, поэтому общайтесь с ним, узнавайте потребности и недовольства заранее, создавайте условия, в которых он нуждается и мотивируйте. В отчетный период можно назначить ему отдельного помощника. Он должен быть в команде и работать на благо компании, но под надзором собственника.

Где найти хорошего бухгалтера – вопрос не к нам. Опытные бухгалтеры не ищут работу. Чаще всего они появляются, благодаря связям и рекомендациям.
#финансовая

@businesssafe Открыть/Комментировать