Adobe устранила семь уязвимостей в Flash Player
22-04-2008 12:03
Adobe выпустила версию 9.0.124.0 своего Flash Player для Windows, Linux, Mac и Solaris, в которой устранено семь уязвимостей. Согласно отчету компании, атакующие могут использовать уязвимости, используя специально сформированные файлы формата .swf, чтобы получить контроль над целевой системой. Пользователь может стать жертвой хакеров, просто посетив специально созданную, зараженную веб-страницу или открыв swf-файл при помощи приложения, которое использует Flash Player.
Одна из уязвимостей была обнаружена недавно в ходе конкурса хакеров Pwn to Own на конференции CanSecWest. При помощи нее Шейн Маколей (Shane Macaulay) взломал ноутбук под управлением ОС Vista.
Из-за этой ошибки Flash Player некорректно обрабатывает объекты ActionScript. Согласно докладу с Zero Day Initiative, уязвимость используется при помощи манипуляции тэгом DeclareFunction2.
Другие уязвимости - в первую очередь, ошибки, связанные с доменной политикой, которая призвана предотвратить доступ к контенту определенных доменных областей. Обновление изменяет некоторые настройки безопасности Flash Player, чтобы по умолчанию устанавливался более высокий уровень безопасности, пишет Heise Security.
Пользователи должны установить новую версию как можно скорее, так как уже есть зараженные веб-сайты, где используются эти уязвимости.
CNews
комментарии: 0
понравилось!
вверх^
к полной версии
Adobe выпустила версию 9.0.124.0 своего Flash Player для Windows, Linux, Mac и Solaris, в которой устранено семь уязвимостей. Согласно отчету компании, атакующие могут использовать уязвимости, используя специально сформированные файлы формата .swf, чтобы получить контроль над целевой системой. Пользователь может стать жертвой хакеров, просто посетив специально созданную, зараженную веб-страницу или открыв swf-файл при помощи приложения, которое использует Flash Player.
Одна из уязвимостей была обнаружена недавно в ходе конкурса хакеров Pwn to Own на конференции CanSecWest. При помощи нее Шейн Маколей (Shane Macaulay) взломал ноутбук под управлением ОС Vista.
Из-за этой ошибки Flash Player некорректно обрабатывает объекты ActionScript. Согласно докладу с Zero Day Initiative, уязвимость используется при помощи манипуляции тэгом DeclareFunction2.
Другие уязвимости - в первую очередь, ошибки, связанные с доменной политикой, которая призвана предотвратить доступ к контенту определенных доменных областей. Обновление изменяет некоторые настройки безопасности Flash Player, чтобы по умолчанию устанавливался более высокий уровень безопасности, пишет Heise Security.
Пользователи должны установить новую версию как можно скорее, так как уже есть зараженные веб-сайты, где используются эти уязвимости.
CNews
Спамеры обходят фильтры при помощи html-тэгов
22-04-2008 12:00
«Лаборатория Касперского» опубликовала квартальный аналитический отчет «Спам в первом квартале 2008 г.». Итоги первого квартала 2008 г. в целом неутешительны: доля спама в почте неуклонно растет, спам по-прежнему разнообразен и все больше криминализируется.
Доля спама в почтовом трафике в среднем составила 88%. Наибольшие колебания долевых показателей спама наблюдались в январе (от 73,1% до 97,3%), но уже с середины февраля доля спама не падала ниже 80%.
Список лидирующих тематик спама оказался вполне традиционным для Рунета: «Медикаменты; товары/услуги для здоровья» (32,5%), «Образование» (13,3%), «Отдых и путешествия» (7,2%), «Компьютеры и интернет» (4,5%). Отличием пятерки лидеров стало появление в ней тематики Спам «для взрослых» (4,3%), которая более двух лет занимала последние места в рейтинге спам-тематик.
Две интересные особенности тематического состава спама Рунета: нехарактерное отсутствие предвыборного спама перед выборами президента РФ и резкий рост числа спамовых писем, рекламирующих различные реплики, т.е. копии элитных товаров (доля такой рекламы составила 9,1% всего мартовского спама).
В первом квартале 2008 г. криминализированный спам поражал разнообразием. Его условно можно поделить на три категории:
Мошеннический спам, с помощью которого спамеры пытаются разнообразными способами украсть у пользователя деньги.
Спам, который используется злоумышленниками для распространения вредоносных программ.
Спам с предложениями криминального характера - организация DDoS-атак, продажа спам-софта и баз с конфиденциальными данными, предложения разослать вредоносные программы и т.п.
Особняком стоят случаи черного PR, которые тоже наблюдались в этом квартале. Это были атаки на газету «Коммерсант» и на страховую компанию SB-Garant.
В последнее время в Рунете используются не только ставшие уже классическими для западного сегмента интернета схемы мошенничества, такие, как фальшивые уведомления о выигрыше в лотерею, - злоумышленники вполне успешно разрабатывают новые способы выманивания денег у русскоязычных пользователей. Например, в настоящие время в Рунете очень популярно мошенничество с использованием отправки смс на короткие номера.
Спамовые письма, с помощью которых злоумышленники пытались распространять ссылки на вредоносные программы, в основном имитировали уведомления известных почтовых систем. Много вирусных атак наблюдалось на праздники. Что касается рекламы криминальных товаров и услуг, то здесь встречались самые разнообразные предложения: осуществить DDoS-атаки, заблокировать телефон жертвы с помощью флуда, продать спам-базы адресов, обещания обучить пользователя писать вирусы и др. Помимо криминальной деятельности в виртуальной Сети, спамеры предлагали и услуги по вполне конкретным действия в реальном мире.
Не обошлось в первом квартале 2008 г. и без технических спамерских новинок: спамеры стали добавлять «мусорный» текст с помощью html-тэгов. Для этого используются тэги-комментарии, тэги, определяющие цвет текста и т.п., которые большинство почтовых клиентов считают вспомогательными и не показывают пользователям. Наряду с новыми приемами спамеры активно используют уже отработанные методы. С января 2008 г. растет доля «графического» спама, к концу первого квартала она составила 28% всего спама.
CNews
комментарии: 0
понравилось!
вверх^
к полной версии
«Лаборатория Касперского» опубликовала квартальный аналитический отчет «Спам в первом квартале 2008 г.». Итоги первого квартала 2008 г. в целом неутешительны: доля спама в почте неуклонно растет, спам по-прежнему разнообразен и все больше криминализируется.
Доля спама в почтовом трафике в среднем составила 88%. Наибольшие колебания долевых показателей спама наблюдались в январе (от 73,1% до 97,3%), но уже с середины февраля доля спама не падала ниже 80%.
Список лидирующих тематик спама оказался вполне традиционным для Рунета: «Медикаменты; товары/услуги для здоровья» (32,5%), «Образование» (13,3%), «Отдых и путешествия» (7,2%), «Компьютеры и интернет» (4,5%). Отличием пятерки лидеров стало появление в ней тематики Спам «для взрослых» (4,3%), которая более двух лет занимала последние места в рейтинге спам-тематик.
Две интересные особенности тематического состава спама Рунета: нехарактерное отсутствие предвыборного спама перед выборами президента РФ и резкий рост числа спамовых писем, рекламирующих различные реплики, т.е. копии элитных товаров (доля такой рекламы составила 9,1% всего мартовского спама).
В первом квартале 2008 г. криминализированный спам поражал разнообразием. Его условно можно поделить на три категории:
Мошеннический спам, с помощью которого спамеры пытаются разнообразными способами украсть у пользователя деньги.
Спам, который используется злоумышленниками для распространения вредоносных программ.
Спам с предложениями криминального характера - организация DDoS-атак, продажа спам-софта и баз с конфиденциальными данными, предложения разослать вредоносные программы и т.п.
Особняком стоят случаи черного PR, которые тоже наблюдались в этом квартале. Это были атаки на газету «Коммерсант» и на страховую компанию SB-Garant.
В последнее время в Рунете используются не только ставшие уже классическими для западного сегмента интернета схемы мошенничества, такие, как фальшивые уведомления о выигрыше в лотерею, - злоумышленники вполне успешно разрабатывают новые способы выманивания денег у русскоязычных пользователей. Например, в настоящие время в Рунете очень популярно мошенничество с использованием отправки смс на короткие номера.
Спамовые письма, с помощью которых злоумышленники пытались распространять ссылки на вредоносные программы, в основном имитировали уведомления известных почтовых систем. Много вирусных атак наблюдалось на праздники. Что касается рекламы криминальных товаров и услуг, то здесь встречались самые разнообразные предложения: осуществить DDoS-атаки, заблокировать телефон жертвы с помощью флуда, продать спам-базы адресов, обещания обучить пользователя писать вирусы и др. Помимо криминальной деятельности в виртуальной Сети, спамеры предлагали и услуги по вполне конкретным действия в реальном мире.
Не обошлось в первом квартале 2008 г. и без технических спамерских новинок: спамеры стали добавлять «мусорный» текст с помощью html-тэгов. Для этого используются тэги-комментарии, тэги, определяющие цвет текста и т.п., которые большинство почтовых клиентов считают вспомогательными и не показывают пользователям. Наряду с новыми приемами спамеры активно используют уже отработанные методы. С января 2008 г. растет доля «графического» спама, к концу первого квартала она составила 28% всего спама.
CNews
Фишеры предлагают скидки на покупки
22-04-2008 11:58
Фишеры используют обещания финансовых дисконтов, чтобы обманным путем получить данные кредитных карт пользователей.
Фишеры рассылают письма якобы от MasterCard SecureCode. Они пытаются использовать неосведомленность пользователей о новой программе, которая по иронии судьбы призвана обеспечить большую безопасность транзакций кредитных карточек.
Фишинг-письма пытаются привлечь пользователей пройти регистрацию на SecureCode, чтобы получить скидку 16% на покупки, совершенные с помощью платежной карты. Остальные фишеры, как правило, просят пользователей по какой-либо причине подтвердить свои личные данные.
Как сообщает Register, если пользователь кликнет по ссылке в теле письма, то его запрос перенаправится на фишинг-сайт, почти идентичный сайту MasterCard. Посетителям затем будет предложено предоставить конфиденциальную информацию, в том числе срок действия кредитной карты, дату рождения и трехзначный защитный код, расположенный на обратной стороне карты - достаточно информации для киберпреступников.
Фишинг-письма были перехвачены фирмой безопасности Sophos.
CNews
комментарии: 0
понравилось!
вверх^
к полной версии
Фишеры используют обещания финансовых дисконтов, чтобы обманным путем получить данные кредитных карт пользователей.
Фишеры рассылают письма якобы от MasterCard SecureCode. Они пытаются использовать неосведомленность пользователей о новой программе, которая по иронии судьбы призвана обеспечить большую безопасность транзакций кредитных карточек.
Фишинг-письма пытаются привлечь пользователей пройти регистрацию на SecureCode, чтобы получить скидку 16% на покупки, совершенные с помощью платежной карты. Остальные фишеры, как правило, просят пользователей по какой-либо причине подтвердить свои личные данные.
Как сообщает Register, если пользователь кликнет по ссылке в теле письма, то его запрос перенаправится на фишинг-сайт, почти идентичный сайту MasterCard. Посетителям затем будет предложено предоставить конфиденциальную информацию, в том числе срок действия кредитной карты, дату рождения и трехзначный защитный код, расположенный на обратной стороне карты - достаточно информации для киберпреступников.
Фишинг-письма были перехвачены фирмой безопасности Sophos.
CNews
49% веб-приложений имеют от одной до десяти уязвимостей
22-04-2008 11:57
В докладе о безопасности веб-приложений за 2008 г. (2008 Annual Web Application Security Report), недавно опубликованном британской ИБ-фирмой NTA Monitor, рисуется тревожная картина уязвимостей веб-приложений, обнаруженных в 2007 г. По данным компании, результаты исследования основываются на тестах, проводимых в течение всего года «для клиентов, постоянно участвующих в исследовании и для клиентов, которые планируют или только начинают использовать новое приложение».
49% всех исследуемых приложений имеют от одной до десяти уязвимостей. Во всех отраслях, в среднем по 13 уязвимостей всех уровней критичности на одну заявку. 2% уязвимостей классифицированы как имеющие «высокий» уровень риска. 17% всех заявок на тестирование включают по крайней мере один чрезвычайно важный недостаток, по сравнению с 34% в 2006 г.
Однако в некоторых отраслях обстановка значительно хуже, чем в других. Сфера услуг страдает больше всего – 20% приложений имели в среднем по одной уязвимости «высокого» уровня и по четыре «среднего». Издательства имели по семь уязвимостей «среднего» уровня, но ни одной «высокого». Удивительно, но правительственные организации имеют хорошие показатели - без уязвимостей «высокого» уровня, и только всего по три «среднего» уровня в среднем на одну заявку. Банковские и юридические заявки в среднем имели по одной уязвимости «высокого» уровня, сообщает Heise Security.
В компании подтвердили, что в этих тестах участвовали произвольные приложения, без подозрения на уязвимости. Несмотря на то, что размер выборки не разглашается по соображениям конфиденциальности, результаты могут быть достаточно достоверными.
CNews
комментарии: 0
понравилось!
вверх^
к полной версии
В докладе о безопасности веб-приложений за 2008 г. (2008 Annual Web Application Security Report), недавно опубликованном британской ИБ-фирмой NTA Monitor, рисуется тревожная картина уязвимостей веб-приложений, обнаруженных в 2007 г. По данным компании, результаты исследования основываются на тестах, проводимых в течение всего года «для клиентов, постоянно участвующих в исследовании и для клиентов, которые планируют или только начинают использовать новое приложение».
49% всех исследуемых приложений имеют от одной до десяти уязвимостей. Во всех отраслях, в среднем по 13 уязвимостей всех уровней критичности на одну заявку. 2% уязвимостей классифицированы как имеющие «высокий» уровень риска. 17% всех заявок на тестирование включают по крайней мере один чрезвычайно важный недостаток, по сравнению с 34% в 2006 г.
Однако в некоторых отраслях обстановка значительно хуже, чем в других. Сфера услуг страдает больше всего – 20% приложений имели в среднем по одной уязвимости «высокого» уровня и по четыре «среднего». Издательства имели по семь уязвимостей «среднего» уровня, но ни одной «высокого». Удивительно, но правительственные организации имеют хорошие показатели - без уязвимостей «высокого» уровня, и только всего по три «среднего» уровня в среднем на одну заявку. Банковские и юридические заявки в среднем имели по одной уязвимости «высокого» уровня, сообщает Heise Security.
В компании подтвердили, что в этих тестах участвовали произвольные приложения, без подозрения на уязвимости. Несмотря на то, что размер выборки не разглашается по соображениям конфиденциальности, результаты могут быть достаточно достоверными.
CNews
Может ли сертификация гарантировать безопасность?
22-04-2008 11:55
[size=2]В последнее время у специалистов появилось много вопросов о международном стандарте ISO 27001. Глядя на ситуацию с ISO 9000 в России, многие делают вывод, что сертификация "не работает" и якобы ISO 27001 не нужен. Хотелось бы внести ясность и разобраться с этим
К сожалению, в настоящее время есть много примеров, когда сертификация по стандартам действительно "не работает". Особенно печальная картина сложилась как раз среди стандартов качества, например, ISO 9000. Основная причина такой ситуации - появление бесчисленного количества мелких учреждений, осуществляющих схемы добровольной сертификации, которые очень сложно отследить. Часто небольшие компании грубо нарушают кодекс аудитора - сами оказывают консалтинговые услуги и сами же проводят сертификацию.
В этой части интересен опыт международных аудиторских компаний по проверке внутреннего контроля, отвечающего требованиям закона Сарбэйнса – Оксли (SOX), цель которого — повысить доверие инвесторов к процедуре финансовой отчетности публично котируемых на американских фондовых биржах компаний, установив меры контроля для обеспечения конфиденциальности и целостности финансовых данных.
Согласно международной практике, даже несмотря на то, что основным финансовым аудитором является определенная компания, она вынуждена согласиться на реализацию требований SOX другим финансовым аудитором, по сути - его конкурентом. Это на практике реализует не только принцип разделения функций аудитор-консультант, но и обеспечивает дополнительный контроль.
Каждое предприятие, намеревающееся сертифицироваться в ближайшее время, должно понимать, что от правильного выбора аудитора зависит доверие к сертификату и сертифицированной компании. Вне зависимости от цели - будь то привлечение дополнительных иностранных инвестиций, IPO, слияние с иностранной компанией, повышение своего рейтингового индекса - необходимо четко представлять, что за рубежом есть определенное доверие только к немногим ведущим фирмам, которые и обеспечивают большинство сертификационных аудитов. При этом эти компании жестко контролируются вышестоящими, аккредитующими органами, например, UKAS (United Kingdom Accreditation Service). Они регулярно проводят выборочный аудит сертифицированных компаний и могут отозвать аккредитацию для аудитора вне зависимости от ее статуса.
ISO27001
Международный стандарт BS ISO/IEC 27001:2005 описывает требования, необходимые для проведения сертификации систем управления информационной безопасностью. Методологические аспекты, связанные с построением и жизненным циклом систем управления информационной безопасностью, содержатся в международных стандартах ISO/IEC 27002 (ранее ISO/EC 17799), ISO/IEC 27003-27034, 13335. Стандарты охватывают руководства по внедрению таких систем, их анализ и контроль, управление рисками и инцидентами, непрерывность бизнеса, реализацию организационных и технических мер контроля, измерение эффективности и метрики. В части аудита данных систем рекомендуется использовать стандарты ISO/IEC 19011 и ISO/IEC Guide 62. В России, по данным реестра форума российских пользователей систем управления информационной безопасностью, на настоящий момент сертифицировано десять компаний, в странах СНГ - пять.
Официальная схема сертификации предусматривает различные механизмы контроля. Существует руководство, помогающее осуществлять контроль компетентности и качества работы консультантов по стандартам (Guidelines for the selection of quality management system consultants and use of their services), международные требования к органам по сертификации и самой сертификации по ISO (Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems). Кроме всего прочего, схемой сертификации предусмотрено наличие аккредитованных учебных центров (например, по ISO17001 в России - это Академия информационных систем), а также персональных сертификатов о прохождении обучения (и в некоторых случаях – сдачи экзамена) на данных курсах.
Почему же не работает?
Разберем конкретную ситуацию. Допустим, некая компания проходит сертификацию. Против ожиданий, после этого она не достигает улучшений качества. Одной из причин может стать отсутствие подтвержденных корректирующих действий по выявленным фактам. Другими словами, руководство компании не восприняло результаты аудита всерьез и не исправило внутренние проблемы с организацией контроля качества. Это может быть связано с тем, что предоставленная аудитором информация, возможно, не нашла практической реализации в улучшении продукта/услуги. Действительно, если имеется четкая связь того, что выявленные факты по анализу удовлетворенности потребителей не соответствуют поставленным на данный момент целям бизнеса компании, то почему на них необходимо тратить деньги? В данном случае эта информация может быть в дальнейшем использована для изменения целей, но не больше.
Есть два фактора, по которым косвенно судят об улучшениях услуг илиЧитать далее...
комментарии: 0
понравилось!
вверх^
к полной версии
[size=2]В последнее время у специалистов появилось много вопросов о международном стандарте ISO 27001. Глядя на ситуацию с ISO 9000 в России, многие делают вывод, что сертификация "не работает" и якобы ISO 27001 не нужен. Хотелось бы внести ясность и разобраться с этим
К сожалению, в настоящее время есть много примеров, когда сертификация по стандартам действительно "не работает". Особенно печальная картина сложилась как раз среди стандартов качества, например, ISO 9000. Основная причина такой ситуации - появление бесчисленного количества мелких учреждений, осуществляющих схемы добровольной сертификации, которые очень сложно отследить. Часто небольшие компании грубо нарушают кодекс аудитора - сами оказывают консалтинговые услуги и сами же проводят сертификацию.
В этой части интересен опыт международных аудиторских компаний по проверке внутреннего контроля, отвечающего требованиям закона Сарбэйнса – Оксли (SOX), цель которого — повысить доверие инвесторов к процедуре финансовой отчетности публично котируемых на американских фондовых биржах компаний, установив меры контроля для обеспечения конфиденциальности и целостности финансовых данных.
Согласно международной практике, даже несмотря на то, что основным финансовым аудитором является определенная компания, она вынуждена согласиться на реализацию требований SOX другим финансовым аудитором, по сути - его конкурентом. Это на практике реализует не только принцип разделения функций аудитор-консультант, но и обеспечивает дополнительный контроль.
Каждое предприятие, намеревающееся сертифицироваться в ближайшее время, должно понимать, что от правильного выбора аудитора зависит доверие к сертификату и сертифицированной компании. Вне зависимости от цели - будь то привлечение дополнительных иностранных инвестиций, IPO, слияние с иностранной компанией, повышение своего рейтингового индекса - необходимо четко представлять, что за рубежом есть определенное доверие только к немногим ведущим фирмам, которые и обеспечивают большинство сертификационных аудитов. При этом эти компании жестко контролируются вышестоящими, аккредитующими органами, например, UKAS (United Kingdom Accreditation Service). Они регулярно проводят выборочный аудит сертифицированных компаний и могут отозвать аккредитацию для аудитора вне зависимости от ее статуса.
ISO27001
Международный стандарт BS ISO/IEC 27001:2005 описывает требования, необходимые для проведения сертификации систем управления информационной безопасностью. Методологические аспекты, связанные с построением и жизненным циклом систем управления информационной безопасностью, содержатся в международных стандартах ISO/IEC 27002 (ранее ISO/EC 17799), ISO/IEC 27003-27034, 13335. Стандарты охватывают руководства по внедрению таких систем, их анализ и контроль, управление рисками и инцидентами, непрерывность бизнеса, реализацию организационных и технических мер контроля, измерение эффективности и метрики. В части аудита данных систем рекомендуется использовать стандарты ISO/IEC 19011 и ISO/IEC Guide 62. В России, по данным реестра форума российских пользователей систем управления информационной безопасностью, на настоящий момент сертифицировано десять компаний, в странах СНГ - пять.
Официальная схема сертификации предусматривает различные механизмы контроля. Существует руководство, помогающее осуществлять контроль компетентности и качества работы консультантов по стандартам (Guidelines for the selection of quality management system consultants and use of their services), международные требования к органам по сертификации и самой сертификации по ISO (Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems). Кроме всего прочего, схемой сертификации предусмотрено наличие аккредитованных учебных центров (например, по ISO17001 в России - это Академия информационных систем), а также персональных сертификатов о прохождении обучения (и в некоторых случаях – сдачи экзамена) на данных курсах.
Почему же не работает?
Разберем конкретную ситуацию. Допустим, некая компания проходит сертификацию. Против ожиданий, после этого она не достигает улучшений качества. Одной из причин может стать отсутствие подтвержденных корректирующих действий по выявленным фактам. Другими словами, руководство компании не восприняло результаты аудита всерьез и не исправило внутренние проблемы с организацией контроля качества. Это может быть связано с тем, что предоставленная аудитором информация, возможно, не нашла практической реализации в улучшении продукта/услуги. Действительно, если имеется четкая связь того, что выявленные факты по анализу удовлетворенности потребителей не соответствуют поставленным на данный момент целям бизнеса компании, то почему на них необходимо тратить деньги? В данном случае эта информация может быть в дальнейшем использована для изменения целей, но не больше.
Есть два фактора, по которым косвенно судят об улучшениях услуг или
В 72% компаний компьютеры заражены вредоносным ПО
22-04-2008 11:50
72% компаний с установленными в сети обновленными решениями безопасности заражены вредоносными кодами, говорится в отчете PandaLabs по результатам исследования, проведенного среди 1,5 млн. пользователей в 2007 г. Среди конечных пользователей выявлено 23% зараженных домашних компьютеров. Актуальные данные свидетельствуют о том, что ситуация с тех пор не улучшилась.
Основная причина создавшейся ситуации заключается в том, что на сегодняшний день для защиты компьютеров от постоянно увеличивающегося числа вредоносных кодов уже недостаточно традиционных решений безопасности. Компьютер может быть заражен, а его пользователь - даже не подозревать об этом.
«Многие пользователи и ИТ-менеджеры считают, что все решения безопасности одинаковы, и что наличия установленного традиционного антивируса вполне достаточно для обеспечения необходимой защиты, однако это совсем не так. Из-за эволюции вредоносного ПО обладатель традиционного антивируса по-прежнему уязвим, - объяснил Мэтью Бриньон, CMO в Panda Security. - Он может стать жертвой кражи персональных и конфиденциальных данных, а также утратить информацию о своих кредитных катах, банковских счетах и др.».
Для того чтобы придать ситуации широкую огласку, Panda Security запустила кампанию Infected or Not. Благодаря этой инициативе как пользователи, так и компании смогут воспользоваться возможностью осуществить бесплатную оценку безопасности своих ПК и сетей при помощи крупнейшей в мире базы данных вредоносных кодов, содержащей более 11 млн. экземпляров вредоносных кодов, и, как результат, смогут повысить уровень безопасности своих компьютеров.
Благодаря принципу «Коллективного разума» Panda может обнаруживать вредоносные коды, которые остаются незамеченными другими решениями безопасности.
Поясним, что «Коллективный разум» – это инновационная модель безопасности, основанная на сборе информации о вредоносных кодах с интернет-сообщества и ее автоматизированной обработке в сети новых центров данных. Поскольку знания аккумулируются на серверах Panda, а не на компьютерах пользователей, «Коллективный разум» позволяет повысить эффективность обнаружения решений Panda Security, одновременно снижая потребление пропускной способности сети и ресурсов.
На данный момент сеть «Коллективного разума» Panda Security включает 4 млн. компьютеров. Накопленные в системе знания состоят из более чем 11 млн. образцов вредоносного ПО и более 100 млн. проанализированных программ. В 2007 г. свыше 94% всех новых угроз, присланных в PandaLabs, были обнаружены с помощью системы «Коллективного разума».
CNews
комментарии: 0
понравилось!
вверх^
к полной версии
72% компаний с установленными в сети обновленными решениями безопасности заражены вредоносными кодами, говорится в отчете PandaLabs по результатам исследования, проведенного среди 1,5 млн. пользователей в 2007 г. Среди конечных пользователей выявлено 23% зараженных домашних компьютеров. Актуальные данные свидетельствуют о том, что ситуация с тех пор не улучшилась.
Основная причина создавшейся ситуации заключается в том, что на сегодняшний день для защиты компьютеров от постоянно увеличивающегося числа вредоносных кодов уже недостаточно традиционных решений безопасности. Компьютер может быть заражен, а его пользователь - даже не подозревать об этом.
«Многие пользователи и ИТ-менеджеры считают, что все решения безопасности одинаковы, и что наличия установленного традиционного антивируса вполне достаточно для обеспечения необходимой защиты, однако это совсем не так. Из-за эволюции вредоносного ПО обладатель традиционного антивируса по-прежнему уязвим, - объяснил Мэтью Бриньон, CMO в Panda Security. - Он может стать жертвой кражи персональных и конфиденциальных данных, а также утратить информацию о своих кредитных катах, банковских счетах и др.».
Для того чтобы придать ситуации широкую огласку, Panda Security запустила кампанию Infected or Not. Благодаря этой инициативе как пользователи, так и компании смогут воспользоваться возможностью осуществить бесплатную оценку безопасности своих ПК и сетей при помощи крупнейшей в мире базы данных вредоносных кодов, содержащей более 11 млн. экземпляров вредоносных кодов, и, как результат, смогут повысить уровень безопасности своих компьютеров.
Благодаря принципу «Коллективного разума» Panda может обнаруживать вредоносные коды, которые остаются незамеченными другими решениями безопасности.
Поясним, что «Коллективный разум» – это инновационная модель безопасности, основанная на сборе информации о вредоносных кодах с интернет-сообщества и ее автоматизированной обработке в сети новых центров данных. Поскольку знания аккумулируются на серверах Panda, а не на компьютерах пользователей, «Коллективный разум» позволяет повысить эффективность обнаружения решений Panda Security, одновременно снижая потребление пропускной способности сети и ресурсов.
На данный момент сеть «Коллективного разума» Panda Security включает 4 млн. компьютеров. Накопленные в системе знания состоят из более чем 11 млн. образцов вредоносного ПО и более 100 млн. проанализированных программ. В 2007 г. свыше 94% всех новых угроз, присланных в PandaLabs, были обнаружены с помощью системы «Коллективного разума».
CNews
Microsoft: пользователи Word 2000-2007 в опасности
22-04-2008 11:41
Microsoft предупредила пользователей текстового редактора Word об уязвимости версий 2000, 2003 и 2007, позволяющей злоумышленнику получить доступ к ПК жертвы. По информации Microsoft, уже были проведены первые атаки.
Корпорация Microsoft опубликовала предупреждение для пользователей редактора Word об уязвимости текстового процессора. Используя ее, хакеры могут получить несанкционированный доступ к ПК жертвы и выполнить на нем произвольный код.
Проблема связана с компонентом Jet Database Engine. Он используется в пакете MS Office, в том числе в программах Word и Access. Для осуществления атаки киберпреступник должен создать файл в формате .doc, который при открытии в любой программе, работающей с такими файлами, провоцирует ошибку в msjet40.dll, а она позволяет выполнить произвольный код на ПК.
Специалисты Microsoft отмечают эту особенность атаки через файлы .doc как «смягчающие обстоятельства», поскольку злоумышленнику необходимо разместить зараженный файл в Сети и «заставить» жертву скачать его, а затем открыть.
В сообщении компании говорится, что от уязвимости могут пострадать пользователи программ Microsoft Word 2000 SP3, Microsoft Word 2002 SP3, Microsoft Word 2003 SP2, Microsoft Word 2003 SP3, Microsoft Word 2007 и Microsoft Word 2007 SP1, работающих на базе ОС Microsoft Windows 2000, Windows XP или Windows Server 2003 SP1.
Проблема не касается версий Windows Server 2003 SP2, Windows Vista и Windows Vista SP1.
В данный момент специалисты Microsoft занимаются решением проблемы. О сроках выпуска патча в бюллетене ничего не говорится.
Тем временем, специалисты Microsoft уже сообщили, что знают о первых атаках с помощью данной уязвимости. Однако в корпорации полагают, что риски небольшие, а пользователям до выпуска патча необходимо проявлять осторожность — не скачивать и не открывать файлы в формате .doc с незнакомых или подозрительных веб-ресурсов, а также получаемые по электронной почте от адресатов, не вызывающих доверия.
CNews
комментарии: 0
понравилось!
вверх^
к полной версии
Microsoft предупредила пользователей текстового редактора Word об уязвимости версий 2000, 2003 и 2007, позволяющей злоумышленнику получить доступ к ПК жертвы. По информации Microsoft, уже были проведены первые атаки.
Корпорация Microsoft опубликовала предупреждение для пользователей редактора Word об уязвимости текстового процессора. Используя ее, хакеры могут получить несанкционированный доступ к ПК жертвы и выполнить на нем произвольный код.
Проблема связана с компонентом Jet Database Engine. Он используется в пакете MS Office, в том числе в программах Word и Access. Для осуществления атаки киберпреступник должен создать файл в формате .doc, который при открытии в любой программе, работающей с такими файлами, провоцирует ошибку в msjet40.dll, а она позволяет выполнить произвольный код на ПК.
Специалисты Microsoft отмечают эту особенность атаки через файлы .doc как «смягчающие обстоятельства», поскольку злоумышленнику необходимо разместить зараженный файл в Сети и «заставить» жертву скачать его, а затем открыть.
В сообщении компании говорится, что от уязвимости могут пострадать пользователи программ Microsoft Word 2000 SP3, Microsoft Word 2002 SP3, Microsoft Word 2003 SP2, Microsoft Word 2003 SP3, Microsoft Word 2007 и Microsoft Word 2007 SP1, работающих на базе ОС Microsoft Windows 2000, Windows XP или Windows Server 2003 SP1.
Проблема не касается версий Windows Server 2003 SP2, Windows Vista и Windows Vista SP1.
В данный момент специалисты Microsoft занимаются решением проблемы. О сроках выпуска патча в бюллетене ничего не говорится.
Тем временем, специалисты Microsoft уже сообщили, что знают о первых атаках с помощью данной уязвимости. Однако в корпорации полагают, что риски небольшие, а пользователям до выпуска патча необходимо проявлять осторожность — не скачивать и не открывать файлы в формате .doc с незнакомых или подозрительных веб-ресурсов, а также получаемые по электронной почте от адресатов, не вызывающих доверия.
CNews
PayPal будет блокировать старые браузеры
22-04-2008 11:38
Платежная система PayPal, принадлежащая компании eBay, в пятницу, 18 апреля, объявила о том, что планирует бороться с фишингом, блокируя доступ к своему сайту для пользователей старых и небезопасных браузеров.
«Нас тревожит тот факт, что значительное число наших клиентов пользуются старыми браузерами, в которых есть масса уязвимостей», - говорится в заявлении PayPal.
Теперь PayPal поддерживает только браузеры с использованием SSL-сертификатов с расширенной проверкой (EV), сообщает АР. Данную технологию поддерживают последние версии Microsoft Internet Explorer и Firefox 2.
комментарии: 0
понравилось!
вверх^
к полной версии
Платежная система PayPal, принадлежащая компании eBay, в пятницу, 18 апреля, объявила о том, что планирует бороться с фишингом, блокируя доступ к своему сайту для пользователей старых и небезопасных браузеров.
«Нас тревожит тот факт, что значительное число наших клиентов пользуются старыми браузерами, в которых есть масса уязвимостей», - говорится в заявлении PayPal.
Теперь PayPal поддерживает только браузеры с использованием SSL-сертификатов с расширенной проверкой (EV), сообщает АР. Данную технологию поддерживают последние версии Microsoft Internet Explorer и Firefox 2.
Британские полицейские запустили свое приложение для Facebook
22-04-2008 11:36
Полиция города Манчестер (Британия) запустила собственное приложение для социальной сети Facebook, которое должно помогать в поимке преступников.
С помощью нового приложения жителям Манчестера будут сообщать о различных происшествиях, совершенных преступлениях, разыскиваемых преступниках и т.п.
Приложение также дает пользователям возможность через социальную сеть ставить полицейских в известность о преступлениях, сообщает ITpro.
«Новое приложение улучшит осведомленность полиции Манчестера об инцидентах, происходящих в городе, и позволит быстрее задерживать преступников», - сказал Роб Тэйлор (Rob Taylor), помощник главного констебля.
комментарии: 0
понравилось!
вверх^
к полной версии
Полиция города Манчестер (Британия) запустила собственное приложение для социальной сети Facebook, которое должно помогать в поимке преступников.
С помощью нового приложения жителям Манчестера будут сообщать о различных происшествиях, совершенных преступлениях, разыскиваемых преступниках и т.п.
Приложение также дает пользователям возможность через социальную сеть ставить полицейских в известность о преступлениях, сообщает ITpro.
«Новое приложение улучшит осведомленность полиции Манчестера об инцидентах, происходящих в городе, и позволит быстрее задерживать преступников», - сказал Роб Тэйлор (Rob Taylor), помощник главного констебля.
Мобильники все-таки опасны для детей
22-04-2008 11:34
[size=2]Использование мобильных телефонов детьми и подростками небезопасно для их здоровья, заявили эксперты Российского национального комитета по защите от неионизирующих излучений, проведя опыты на животных разных возрастов. Подрастающему поколению рекомендовано максимально исключить общение по мобильнику, так как оно может приводить к тяжелым поражениям нервной системы.
Российский национальный комитет по защите от неионизирующих излучений (РНКЗНИ) сформулировал свою точку зрения относительно возможного влияния электромагнитного поля мобильных телефонов на здоровье детей и подростков. В результате проведенных опытов, консультаций и дискуссий было сформулировано решение «Дети и мобильные телефоны: под угрозой здоровье будущих поколений». В нем изложено мнение ведущих российских ученых в области гигиены и радиобиологии неионизирующих излучений, которое основано на современных научных знаниях и фундаментальных представлениях, накопленных за многие годы исследований вопросов влияния электромагнитного поля на здоровье человека.
Как рассказал CNews заместитель председателя РНКЗНИ, директор Центра электромагнитной безопасности Олег Григорьев, в основу принятого решения, в частности, были положены результаты анализа опытов, которые проводились над животными разных возрастов, главным образом, над крысами и их эмбрионами. Выяснилось, что электромагнитное поле очень сильно влияет на развивающийся организм. Электромагнитное поле — важнейший биотропный фактор, определяющий не только здоровье, но и непосредственно процессы высшей нервной деятельности, включая поведение и мышление людей. При использовании мобильного телефона обязательно происходит воздействие электромагнитного поля на головной мозг пользователя.
Несмотря на то, что в Санитарных правилах и нормах рекомендовано ограничение возможности использования мобильных телефонов лицами, не достигшими 18 лет (СанПиН 2.1.8/2.2.4.1190–03, пункт 6.9), дети и подростки стали целевой маркетинговой группой для рынка сотовой связи, отмечают эксперты РНКЗНИ. Действующие стандарты безопасности для мобильных телефонов разработаны для взрослых и не учитывают особенности детского организма.
Потенциальный риск для здоровья детей очень высок. Следует учитывать, что электромагнитное поле влияет на формирование процессов высшей нервной деятельности, а поглощение электромагнитной энергии в голове ребенка значительно выше, чем у взрослого (мозговая ткань детей обладает большей проводимостью, меньший размер головы, тонкие кости черепа и т.д.). Детский организм обладает большей чувствительностью к электромагнитному полю, чем взрослый; мозг детей имеет большую склонность к накоплению неблагоприятных реакций в условиях повторных облучений электромагнитным полем.
Cпециалисты подчеркивают, что современные дети пользуются мобильными телефонами с раннего возраста и будут продолжать их использовать будучи взрослыми, поэтому стаж контакта детей с электромагнитными излучениями будет существенно больше, чем у современных взрослых. По мнению членов РНКЗНИ, у детей, использующих мобильные телефоны, следует ожидать следующие возможные ближайшие расстройства: ослабление памяти, снижение внимания, снижение умственных и познавательных способностей, раздражительность, нарушение сна, склонность к стрессорным реакциям, повышение эпилептической готовности. Ожидаемыми (возможными) отдаленными последствиями являются опухоль мозга, слухового и вестибулярных нервов (в возрасте 25–30 лет), болезнь Альцгеймера, «приобретенное слабоумие», депрессивный синдром и другие проявления дегенерации нервных структур головного мозга (в возрасте 50–60 лет). По словам Олега Григорьева, все эти прогнозы были выработаны после анализа полученных данных и длительных научных дискуссий.
«Дети, используя мобильный телефон, не в состоянии осознавать, что подвергают свой мозг воздействию электромагнитного поля, а здоровье — риску, — говорится в заявлении комитета. — И этот риск ничуть не меньше, чем риск для здоровья ребенка от табака или алкоголя. Наш долг — не позволить бездействием нанести ущерб здоровью детей — будущего страны».
РНКЗНИ уже направил свое решение главному санитарному врачу России Геннадию Онищенко с просьбой ввести в стране систему предупреждения о вреде электромагнитного излучения на здоровье детей при использовании мобильных телефонов. «Самым простым решением было бы вкладывать в коробку с телефоном брошюру, где бы рассказывалось об этой проблеме, — считает Олег Григорьев. — Такая практика, например, есть в Великобритании. Родители должны быть оповещены о влиянии электромагнитного поля на здоровье детей. Если проявить определенную настойчивость, то ребенку можно объяснить, чем грозит общение по мобильному».
Григорьев сообщил, что до конца мая 2008 г. РНКЗНИ выработает конкретные рекомендации по использованию мобильников детьми и подростками в возрасте до 18 лет. «Но первая рекомендация уже есть — детям необходимо максимально исключить использование мобильных телефонов, старатьсяЧитать далее...
комментарии: 0
понравилось!
вверх^
к полной версии
[size=2]Использование мобильных телефонов детьми и подростками небезопасно для их здоровья, заявили эксперты Российского национального комитета по защите от неионизирующих излучений, проведя опыты на животных разных возрастов. Подрастающему поколению рекомендовано максимально исключить общение по мобильнику, так как оно может приводить к тяжелым поражениям нервной системы.
Российский национальный комитет по защите от неионизирующих излучений (РНКЗНИ) сформулировал свою точку зрения относительно возможного влияния электромагнитного поля мобильных телефонов на здоровье детей и подростков. В результате проведенных опытов, консультаций и дискуссий было сформулировано решение «Дети и мобильные телефоны: под угрозой здоровье будущих поколений». В нем изложено мнение ведущих российских ученых в области гигиены и радиобиологии неионизирующих излучений, которое основано на современных научных знаниях и фундаментальных представлениях, накопленных за многие годы исследований вопросов влияния электромагнитного поля на здоровье человека.
Как рассказал CNews заместитель председателя РНКЗНИ, директор Центра электромагнитной безопасности Олег Григорьев, в основу принятого решения, в частности, были положены результаты анализа опытов, которые проводились над животными разных возрастов, главным образом, над крысами и их эмбрионами. Выяснилось, что электромагнитное поле очень сильно влияет на развивающийся организм. Электромагнитное поле — важнейший биотропный фактор, определяющий не только здоровье, но и непосредственно процессы высшей нервной деятельности, включая поведение и мышление людей. При использовании мобильного телефона обязательно происходит воздействие электромагнитного поля на головной мозг пользователя.
Несмотря на то, что в Санитарных правилах и нормах рекомендовано ограничение возможности использования мобильных телефонов лицами, не достигшими 18 лет (СанПиН 2.1.8/2.2.4.1190–03, пункт 6.9), дети и подростки стали целевой маркетинговой группой для рынка сотовой связи, отмечают эксперты РНКЗНИ. Действующие стандарты безопасности для мобильных телефонов разработаны для взрослых и не учитывают особенности детского организма.
Потенциальный риск для здоровья детей очень высок. Следует учитывать, что электромагнитное поле влияет на формирование процессов высшей нервной деятельности, а поглощение электромагнитной энергии в голове ребенка значительно выше, чем у взрослого (мозговая ткань детей обладает большей проводимостью, меньший размер головы, тонкие кости черепа и т.д.). Детский организм обладает большей чувствительностью к электромагнитному полю, чем взрослый; мозг детей имеет большую склонность к накоплению неблагоприятных реакций в условиях повторных облучений электромагнитным полем.
Cпециалисты подчеркивают, что современные дети пользуются мобильными телефонами с раннего возраста и будут продолжать их использовать будучи взрослыми, поэтому стаж контакта детей с электромагнитными излучениями будет существенно больше, чем у современных взрослых. По мнению членов РНКЗНИ, у детей, использующих мобильные телефоны, следует ожидать следующие возможные ближайшие расстройства: ослабление памяти, снижение внимания, снижение умственных и познавательных способностей, раздражительность, нарушение сна, склонность к стрессорным реакциям, повышение эпилептической готовности. Ожидаемыми (возможными) отдаленными последствиями являются опухоль мозга, слухового и вестибулярных нервов (в возрасте 25–30 лет), болезнь Альцгеймера, «приобретенное слабоумие», депрессивный синдром и другие проявления дегенерации нервных структур головного мозга (в возрасте 50–60 лет). По словам Олега Григорьева, все эти прогнозы были выработаны после анализа полученных данных и длительных научных дискуссий.
«Дети, используя мобильный телефон, не в состоянии осознавать, что подвергают свой мозг воздействию электромагнитного поля, а здоровье — риску, — говорится в заявлении комитета. — И этот риск ничуть не меньше, чем риск для здоровья ребенка от табака или алкоголя. Наш долг — не позволить бездействием нанести ущерб здоровью детей — будущего страны».
РНКЗНИ уже направил свое решение главному санитарному врачу России Геннадию Онищенко с просьбой ввести в стране систему предупреждения о вреде электромагнитного излучения на здоровье детей при использовании мобильных телефонов. «Самым простым решением было бы вкладывать в коробку с телефоном брошюру, где бы рассказывалось об этой проблеме, — считает Олег Григорьев. — Такая практика, например, есть в Великобритании. Родители должны быть оповещены о влиянии электромагнитного поля на здоровье детей. Если проявить определенную настойчивость, то ребенку можно объяснить, чем грозит общение по мобильному».
Григорьев сообщил, что до конца мая 2008 г. РНКЗНИ выработает конкретные рекомендации по использованию мобильников детьми и подростками в возрасте до 18 лет. «Но первая рекомендация уже есть — детям необходимо максимально исключить использование мобильных телефонов, стараться
Базы данных: как защититься от инсайдеров?
22-04-2008 11:27
[size=2]Корпоративные базы данных нередко оказываются незащищенными от действий инсайдеров, поскольку злоумышленникам, работающим в компании, нетрудно замаскировать воровство конфиденциальных данных под обычный рабочий процесс. Как же организовать эффективную защиту? Необходим целый комплекс мер, включающий, помимо ведения журнала аудита, анализ потенциальных каналов утечки и их "сужение", выстраивание формализованных процедур контроля.
Широкое обсуждение разнообразных мер по защите данных от инсайдеров, ведущееся многими специалистами, все же не проясняет до конца сути вопроса. Под эту тему попадает все, включая контент-анализ информационных сообщений, выходящих за пределы организации, контроль подключаемых накопителей, контроль действий сотрудников на их рабочих местах и многое другое. Однако защите от инсайдеров корпоративных баз данных, хранящих стратегические нематериальные активы компаний, несомненно, должно придаваться первостепенное значение.
В рамках данной статьи мы рассмотрим доступ к корпоративным базам данных со стороны собственных сотрудников компании, которые имеют все необходимые права и работают с этими базами, выполняя свои прямые производственные обязанности. За пределами нашего внимания останется защита резервных копий и данных в мобильных устройствах, а также ряд других аспектов защиты баз, отличающихся тем, что в отношении них более или менее понятно, что и от кого защищать, и можно провести определенную аналогию с защитой периметра.
Особенность ситуации с доступом к БД состоит в том, что вредоносная деятельность сотрудника легко может быть замаскирована под обычную служебную активность. Таким образом, задача, которую мы пытаемся разрешить, является еще одним воплощением старой, как мир, проблемы – как выявить скрытых "врагов" в кругу "друзей".
Но давайте снимем эту излишнюю эмоциональную окраску – в компании нет ни друзей, ни врагов - только сотрудники. И некоторые из них могут сознательно действовать в ущерб компании (так называемые "обиженные", либо "лазутчики", засланные кем-то с криминальными намерениями, либо сотрудники, завербованные с этой же целью), другие могут находиться в некотором "пограничном" состоянии, борясь с соблазном "продаться". Есть еще одна категория – люди рассеянные или недисциплинированные, которые могут нанести ущерб ненамеренно.
На чем можно построить противодействие активным вредоносным элементам и как приучить к дисциплине "пассивных" потенциально опасных сотрудников?
Контроль и аудит
Первое, что приходит в голову, - это слово "контроль". Еще не определив это понятие и не наполнив его содержанием, можно согласиться с тем, что контроль - это хорошо: по меньшей мере, его наличие позволит поднять психологическую планку, которую необходимо преодолеть потенциальным "кротам" для начала своей вредоносной деятельности. Находясь в поле действия "контроля", такой субъект уже не просто берет то, что "плохо лежит", а должен спланировать свои действия, сознательно пойти на риск, что осложнит выполнение его намерений и во многих случаях заставит от них отказаться. Угроза наказания поможет приучить к дисциплине рассеянных.
Но каким конкретным содержанием может быть наполнено слово "контроль"?
Руководствуясь здравым смыслом, можно заключить, что это прослеживание событий, связанных с контролируемой сферой активности, с последующим анализом и выделением противоправных, сомнительных и потенциально опасных действий.
Прослеживание событий (или более терминологически точно – аудит, т.е. регистрация тех действий пользователей, которые имеют отношение к безопасности, с автоматической записью информации о них в специальные журналы) – находится в сфере внимания многих современных стандартов безопасности и целого ряда регулирующих актов, -- таких, как стандарт Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации", международный стандарт безопасности информационных систем ISO 17799:2005, его предшественник от 2000 года и соответствующий Российский ГОСТ Р ИСО/МЭК 17799-2005 "Информационная технология - Практические правила управления информационной безопасностью", Payment Card Industry Data Security Standard (PCI DSS), знаменитый закон Sarbanes- Oxley и др.
5 пунктов о журналах аудита
Эксперт Кимбер Спрэдлин (Kimber Spradlin) из Embarcadero Technologies сформулировал 5 пунктов о журналах аудита, которые стоит принять во внимание всем, кто имеет отношение к безопасности БД. Журналы аудита – важная область, связанная с безопасностью баз данных, и в частности, с обеспечением выполнения требований стандартов по ИБ.
Вне зависимости от страны и рода деятельности, компании сталкиваются с требованиями соблюдения законодательных норм по ИБ и конфиденциальности данных. Тем не менее, ни одна из этих норм, возможно, за исключением Payment Card Industry’s Data Security Standard (PCI DSS), не содержит четких указаний, как именно им следует удовлетворять. Другими словами, любой совет, связанный сЧитать далее...
комментарии: 0
понравилось!
вверх^
к полной версии
[size=2]Корпоративные базы данных нередко оказываются незащищенными от действий инсайдеров, поскольку злоумышленникам, работающим в компании, нетрудно замаскировать воровство конфиденциальных данных под обычный рабочий процесс. Как же организовать эффективную защиту? Необходим целый комплекс мер, включающий, помимо ведения журнала аудита, анализ потенциальных каналов утечки и их "сужение", выстраивание формализованных процедур контроля.
Широкое обсуждение разнообразных мер по защите данных от инсайдеров, ведущееся многими специалистами, все же не проясняет до конца сути вопроса. Под эту тему попадает все, включая контент-анализ информационных сообщений, выходящих за пределы организации, контроль подключаемых накопителей, контроль действий сотрудников на их рабочих местах и многое другое. Однако защите от инсайдеров корпоративных баз данных, хранящих стратегические нематериальные активы компаний, несомненно, должно придаваться первостепенное значение.
В рамках данной статьи мы рассмотрим доступ к корпоративным базам данных со стороны собственных сотрудников компании, которые имеют все необходимые права и работают с этими базами, выполняя свои прямые производственные обязанности. За пределами нашего внимания останется защита резервных копий и данных в мобильных устройствах, а также ряд других аспектов защиты баз, отличающихся тем, что в отношении них более или менее понятно, что и от кого защищать, и можно провести определенную аналогию с защитой периметра.
Особенность ситуации с доступом к БД состоит в том, что вредоносная деятельность сотрудника легко может быть замаскирована под обычную служебную активность. Таким образом, задача, которую мы пытаемся разрешить, является еще одним воплощением старой, как мир, проблемы – как выявить скрытых "врагов" в кругу "друзей".
Но давайте снимем эту излишнюю эмоциональную окраску – в компании нет ни друзей, ни врагов - только сотрудники. И некоторые из них могут сознательно действовать в ущерб компании (так называемые "обиженные", либо "лазутчики", засланные кем-то с криминальными намерениями, либо сотрудники, завербованные с этой же целью), другие могут находиться в некотором "пограничном" состоянии, борясь с соблазном "продаться". Есть еще одна категория – люди рассеянные или недисциплинированные, которые могут нанести ущерб ненамеренно.
На чем можно построить противодействие активным вредоносным элементам и как приучить к дисциплине "пассивных" потенциально опасных сотрудников?
Контроль и аудит
Первое, что приходит в голову, - это слово "контроль". Еще не определив это понятие и не наполнив его содержанием, можно согласиться с тем, что контроль - это хорошо: по меньшей мере, его наличие позволит поднять психологическую планку, которую необходимо преодолеть потенциальным "кротам" для начала своей вредоносной деятельности. Находясь в поле действия "контроля", такой субъект уже не просто берет то, что "плохо лежит", а должен спланировать свои действия, сознательно пойти на риск, что осложнит выполнение его намерений и во многих случаях заставит от них отказаться. Угроза наказания поможет приучить к дисциплине рассеянных.
Но каким конкретным содержанием может быть наполнено слово "контроль"?
Руководствуясь здравым смыслом, можно заключить, что это прослеживание событий, связанных с контролируемой сферой активности, с последующим анализом и выделением противоправных, сомнительных и потенциально опасных действий.
Прослеживание событий (или более терминологически точно – аудит, т.е. регистрация тех действий пользователей, которые имеют отношение к безопасности, с автоматической записью информации о них в специальные журналы) – находится в сфере внимания многих современных стандартов безопасности и целого ряда регулирующих актов, -- таких, как стандарт Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации", международный стандарт безопасности информационных систем ISO 17799:2005, его предшественник от 2000 года и соответствующий Российский ГОСТ Р ИСО/МЭК 17799-2005 "Информационная технология - Практические правила управления информационной безопасностью", Payment Card Industry Data Security Standard (PCI DSS), знаменитый закон Sarbanes- Oxley и др.
5 пунктов о журналах аудита
Эксперт Кимбер Спрэдлин (Kimber Spradlin) из Embarcadero Technologies сформулировал 5 пунктов о журналах аудита, которые стоит принять во внимание всем, кто имеет отношение к безопасности БД. Журналы аудита – важная область, связанная с безопасностью баз данных, и в частности, с обеспечением выполнения требований стандартов по ИБ.
Вне зависимости от страны и рода деятельности, компании сталкиваются с требованиями соблюдения законодательных норм по ИБ и конфиденциальности данных. Тем не менее, ни одна из этих норм, возможно, за исключением Payment Card Industry’s Data Security Standard (PCI DSS), не содержит четких указаний, как именно им следует удовлетворять. Другими словами, любой совет, связанный с
Пирамида для лоха
22-04-2008 11:12
[size=2]Финансовые пирамиды стали печальным символом российского перестроечного времени. Появление рынка ценных бумаг и отсутствие законодательной базы по урегулированию деятельности финансовых структур явились предпосылками для создания нашумевших компаний - «МММ», «Хопер-Инвест», «Русский дом Селенга» и других. Кроме того, переход на рыночную экономику спровоцировал инфляцию и глобальный кризис недоверия к власти. Как следствие, поток сбережений населения потек в финансовые пирамиды.
С течением времени мы начали забывать о подобных структурах, но россияне сейчас снова заинтересовались инвестициями и вновь готовы зарабатывать на своих накоплениях. Чтобы снова не оказаться тем самым лохом, на котором заработают другие, нам всем неплохо снова пришлось вспомнить, что же такое пресловутая финансовая пирамида. На эту тему корреспондент ИА «Клерк.Ру» Андрей Соколов побеседовал с профессором Иваном Андриевским, управляющим партнером НКГ «2К Аудит – Деловые консультации».
Иван, как отличить финансовую структуру, регулируемую законом и государством, от финансовой пирамиды, управляемой мошенниками?
Развитие современных рынков сопровождается созданием новых финансовых структур и инструментов, в частности, появлением ПИФов – контролируемых государством инвестиционных фондов. Высокая ликвидность паев и вероятность высоких доходов дает ПИФам определенное преимущество перед банковскими депозитами. Как показывают последние события, этим фактом активно пользуются создатели новых финансовых пирамид, которые утверждают, что вкладывают средства в высокоприбыльные проекты и в наиболее ликвидные акции.
Собираясь вложить в какой-либо фонд свои сбережения, в первую очередь следует обратить внимание на гарантию получения доходов по ставке выше рыночной. Безусловно, существуют дивиденды порядка 70%, которые можно получить в инвестиционном фонде. Однако управляющие компании по законодательству не имеют права регламентировать доходность, так как они работают с высокорисковыми инструментами финансового рынка. К тому же инвестиционные компании подписывают с клиентом особую декларацию, в которой оговаривается вероятность потери денег инвестора из-за колебаний на рынке ценных бумаг.
Во-вторых, для того, чтобы принимать средства населения в доверительное управление или размещать их на депозитах, компания обязана иметь лицензию Федеральной службы по финансовым рынкам или лицензию Центробанка.
Но законодательство Российской Федерации не запрещает привлекать деньги, например, по договору займа…
Именно поэтому следующий момент, на котором стоит заострить внимание, - это предмет договора. Управляющие компании заключают договор на доверительное управление денежными средствами, тогда как финансовые пирамиды, за неимением соответствующих лицензий, заключают договор займа.
Кроме того, следует обратить внимание на содержание договора, в частности, на права и обязанности сторон. Зачастую мошенники составляют договор так, что фактически вкладчик не может претендовать на возврат своих средств в случае банкротства компании. Также в одном из пунктов может быть прописана обязанность клиента привлекать новых вкладчиков, что является неприемлемым в работе банков и инвестиционных фондов. Поэтому прежде чем подписывать договор, стоит проконсультироваться с независимым юристом.
Каким еще образом можно обезопасить свои инвестиции?
Перед тем, как размещать деньги в любой инвестиционной компании или банке, необходимо в средствах массовой информации и Интернете собрать все доступные сведения об их деятельности. Стоит обратить внимание на то, что солидные управляющие компании раскрывают подробную информацию о движении средств - в каких ценных бумагах и проектах деньги клиента, схемы той или иной инвестиционной программы. Пирамиды, напротив, не используют прозрачную информированность о своей деятельности. Они ограничиваются лишь набором общих фраз, изобилующих специализированными экономическими терминами, которые рассчитаны на финансовую неграмотность потенциальных вкладчиков. Кроме того, если компания просит клиента поторопиться с взносом, есть повод насторожиться. Ни один банк или ПИФ не должен настаивать на оперативном размещении средств.
Стоит также обратить внимание, принято ли в компании проводить многочисленные семинары, выездные корпоративные мероприятия, розыгрыш призов. Как правило, таким образом мошенники создают иллюзию значимости и востребованности у потенциального клиента и собственной успешной деятельности. Это психологический прием, который активно используют строители пирамид.
Что делать инвестору, пострадавшему от недобросовестных основателей пирамид?
К сожалению, в России главы финансовых пирамид признаются мошенниками только по факту прекращения выплат. Добиться возвращения вложенных средств практически невозможно. Как правило, к моменту банкротства компании ее владельцы оказываются далеко за пределами страны. Обращение в государственные контрольные органы тоже не приносят результата, так как ониЧитать далее...
комментарии: 0
понравилось!
вверх^
к полной версии
[size=2]Финансовые пирамиды стали печальным символом российского перестроечного времени. Появление рынка ценных бумаг и отсутствие законодательной базы по урегулированию деятельности финансовых структур явились предпосылками для создания нашумевших компаний - «МММ», «Хопер-Инвест», «Русский дом Селенга» и других. Кроме того, переход на рыночную экономику спровоцировал инфляцию и глобальный кризис недоверия к власти. Как следствие, поток сбережений населения потек в финансовые пирамиды.
С течением времени мы начали забывать о подобных структурах, но россияне сейчас снова заинтересовались инвестициями и вновь готовы зарабатывать на своих накоплениях. Чтобы снова не оказаться тем самым лохом, на котором заработают другие, нам всем неплохо снова пришлось вспомнить, что же такое пресловутая финансовая пирамида. На эту тему корреспондент ИА «Клерк.Ру» Андрей Соколов побеседовал с профессором Иваном Андриевским, управляющим партнером НКГ «2К Аудит – Деловые консультации».
Иван, как отличить финансовую структуру, регулируемую законом и государством, от финансовой пирамиды, управляемой мошенниками?
Развитие современных рынков сопровождается созданием новых финансовых структур и инструментов, в частности, появлением ПИФов – контролируемых государством инвестиционных фондов. Высокая ликвидность паев и вероятность высоких доходов дает ПИФам определенное преимущество перед банковскими депозитами. Как показывают последние события, этим фактом активно пользуются создатели новых финансовых пирамид, которые утверждают, что вкладывают средства в высокоприбыльные проекты и в наиболее ликвидные акции.
Собираясь вложить в какой-либо фонд свои сбережения, в первую очередь следует обратить внимание на гарантию получения доходов по ставке выше рыночной. Безусловно, существуют дивиденды порядка 70%, которые можно получить в инвестиционном фонде. Однако управляющие компании по законодательству не имеют права регламентировать доходность, так как они работают с высокорисковыми инструментами финансового рынка. К тому же инвестиционные компании подписывают с клиентом особую декларацию, в которой оговаривается вероятность потери денег инвестора из-за колебаний на рынке ценных бумаг.
Во-вторых, для того, чтобы принимать средства населения в доверительное управление или размещать их на депозитах, компания обязана иметь лицензию Федеральной службы по финансовым рынкам или лицензию Центробанка.
Но законодательство Российской Федерации не запрещает привлекать деньги, например, по договору займа…
Именно поэтому следующий момент, на котором стоит заострить внимание, - это предмет договора. Управляющие компании заключают договор на доверительное управление денежными средствами, тогда как финансовые пирамиды, за неимением соответствующих лицензий, заключают договор займа.
Кроме того, следует обратить внимание на содержание договора, в частности, на права и обязанности сторон. Зачастую мошенники составляют договор так, что фактически вкладчик не может претендовать на возврат своих средств в случае банкротства компании. Также в одном из пунктов может быть прописана обязанность клиента привлекать новых вкладчиков, что является неприемлемым в работе банков и инвестиционных фондов. Поэтому прежде чем подписывать договор, стоит проконсультироваться с независимым юристом.
Каким еще образом можно обезопасить свои инвестиции?
Перед тем, как размещать деньги в любой инвестиционной компании или банке, необходимо в средствах массовой информации и Интернете собрать все доступные сведения об их деятельности. Стоит обратить внимание на то, что солидные управляющие компании раскрывают подробную информацию о движении средств - в каких ценных бумагах и проектах деньги клиента, схемы той или иной инвестиционной программы. Пирамиды, напротив, не используют прозрачную информированность о своей деятельности. Они ограничиваются лишь набором общих фраз, изобилующих специализированными экономическими терминами, которые рассчитаны на финансовую неграмотность потенциальных вкладчиков. Кроме того, если компания просит клиента поторопиться с взносом, есть повод насторожиться. Ни один банк или ПИФ не должен настаивать на оперативном размещении средств.
Стоит также обратить внимание, принято ли в компании проводить многочисленные семинары, выездные корпоративные мероприятия, розыгрыш призов. Как правило, таким образом мошенники создают иллюзию значимости и востребованности у потенциального клиента и собственной успешной деятельности. Это психологический прием, который активно используют строители пирамид.
Что делать инвестору, пострадавшему от недобросовестных основателей пирамид?
К сожалению, в России главы финансовых пирамид признаются мошенниками только по факту прекращения выплат. Добиться возвращения вложенных средств практически невозможно. Как правило, к моменту банкротства компании ее владельцы оказываются далеко за пределами страны. Обращение в государственные контрольные органы тоже не приносят результата, так как они
Bon Jovi - It's My Life
21-04-2008 23:06
комментарии: 0
понравилось!
вверх^
к полной версии
Не взяли на работу – идите в суд.
21-04-2008 22:39
Впервые в российской правоприменительной деятельности суд вынес решение о выплате гражданину морального и материального вреда за отказ в приеме его на работу по причине того, что он «не подходит по возрастной категории». Компенсация в размере 290 тыс. руб. должна быть взыскана с ООО «Талирс Плюс» в пользу Юрия Ступко до 7 июня. Исполнительный лист, выданный на основании вышеуказанного судебного решения, гр. Ю. Ступка предъявил в УФССП России по Воронежской области 4 апреля. В связи с неисполнением со стороны должника судебного решения судебный пристав приступил к принудительному исполнению судебного акта.
комментарии: 0
понравилось!
вверх^
к полной версии
Впервые в российской правоприменительной деятельности суд вынес решение о выплате гражданину морального и материального вреда за отказ в приеме его на работу по причине того, что он «не подходит по возрастной категории». Компенсация в размере 290 тыс. руб. должна быть взыскана с ООО «Талирс Плюс» в пользу Юрия Ступко до 7 июня. Исполнительный лист, выданный на основании вышеуказанного судебного решения, гр. Ю. Ступка предъявил в УФССП России по Воронежской области 4 апреля. В связи с неисполнением со стороны должника судебного решения судебный пристав приступил к принудительному исполнению судебного акта.
Limp Bizkit - Take A Look Around
21-04-2008 21:22
комментарии: 0
понравилось!
вверх^
к полной версии
Думцы предлагают лицензировать торговлю табачными изделиями.
21-04-2008 21:12
Депутаты Госдумы обсудили вопросы законодательной реализации Рамочной конвенции ВОЗ по борьбе против табака.
Предлагается, в частности, ввести лицензирование не только на производство табака, но и на оптовую торговлю и розничную продажу табачных изделий, и установить наказания в виде лишения лицензии за нарушение правил торговли табаком (продажу табачных изделий несовершеннолетним). Рассматривался вопрос о введении запрета на производство и продажу пищевой и сувенирной продукции в виде табачных изделий (печенье, конфеты, жевательная резинка и т.д. в виде сигарет).
Предлагаются также и методы ценовой политики, направленные на борьбу с потреблением табака: повышение акцизных налогов на табачную продукцию, способствующее удорожанию сигарет.
Думцы надеются, что привести российское законодательство в соответствие с требованиями Рамочной Конвенции удастся до 2010 года.
Кроме того, было отмечено, что принятый в первом чтении проект технического регламента на табачную продукцию содержит нормы, которые противоречат положениям Конвенции, что ставит под сомнение принятие его во втором чтении. В частности, согласно проекту предупредительные надписи должны занимать не менее 30% большей стороны пачки. Предлагается изменить эту норму и установить, что основная предупредительная надпись должна занимать 30 и более % одной большей стороны упаковки, а дополнительная надпись о вреде курения табака – 50 и более % другой большей стороны упаковки.
комментарии: 0
понравилось!
вверх^
к полной версии
Депутаты Госдумы обсудили вопросы законодательной реализации Рамочной конвенции ВОЗ по борьбе против табака.
Предлагается, в частности, ввести лицензирование не только на производство табака, но и на оптовую торговлю и розничную продажу табачных изделий, и установить наказания в виде лишения лицензии за нарушение правил торговли табаком (продажу табачных изделий несовершеннолетним). Рассматривался вопрос о введении запрета на производство и продажу пищевой и сувенирной продукции в виде табачных изделий (печенье, конфеты, жевательная резинка и т.д. в виде сигарет).
Предлагаются также и методы ценовой политики, направленные на борьбу с потреблением табака: повышение акцизных налогов на табачную продукцию, способствующее удорожанию сигарет.
Думцы надеются, что привести российское законодательство в соответствие с требованиями Рамочной Конвенции удастся до 2010 года.
Кроме того, было отмечено, что принятый в первом чтении проект технического регламента на табачную продукцию содержит нормы, которые противоречат положениям Конвенции, что ставит под сомнение принятие его во втором чтении. В частности, согласно проекту предупредительные надписи должны занимать не менее 30% большей стороны пачки. Предлагается изменить эту норму и установить, что основная предупредительная надпись должна занимать 30 и более % одной большей стороны упаковки, а дополнительная надпись о вреде курения табака – 50 и более % другой большей стороны упаковки.
Утверждена примерная программа рассмотрения Госдумой проектов федеральных законов на
21-04-2008 21:09
Предполагается, что в первом чтении депутаты рассмотрят следующие законопроекты: о перераспределении полномочий по выработке государственной политики и нормативно-правовому регулированию в области таможенного дела; очередные поправки в Закон об ОСАГО; изменения в Закон «О Фонде содействия реформированию жилищно-коммунального хозяйства»; а также поправки в Закон «Об экологической экспертизе». Также в первом чтении будет рассмотрен законопроект « О внесении изменений в Водный кодекс Российской Федерации и отдельные законодательные акты Российской Федерации».
Во втором чтении запланировано рассмотрение законопроекта, уточняющего понятие «мелкое хищение».
В рамках «правительственного часа» перед депутатами выступят Министр сельского хозяйства Российской Федерации Алексей Гордеев и Министр промышленности и энергетики Российской Федерации Виктор Христенко. Тема доклада: « О состоянии тракторостроения и сельскохозяйственного машиностроения в Российской Федерации, энерговооруженности сельского хозяйства Российской Федерации и перспективах их развития».
комментарии: 0
понравилось!
вверх^
к полной версии
Предполагается, что в первом чтении депутаты рассмотрят следующие законопроекты: о перераспределении полномочий по выработке государственной политики и нормативно-правовому регулированию в области таможенного дела; очередные поправки в Закон об ОСАГО; изменения в Закон «О Фонде содействия реформированию жилищно-коммунального хозяйства»; а также поправки в Закон «Об экологической экспертизе». Также в первом чтении будет рассмотрен законопроект « О внесении изменений в Водный кодекс Российской Федерации и отдельные законодательные акты Российской Федерации».
Во втором чтении запланировано рассмотрение законопроекта, уточняющего понятие «мелкое хищение».
В рамках «правительственного часа» перед депутатами выступят Министр сельского хозяйства Российской Федерации Алексей Гордеев и Министр промышленности и энергетики Российской Федерации Виктор Христенко. Тема доклада: « О состоянии тракторостроения и сельскохозяйственного машиностроения в Российской Федерации, энерговооруженности сельского хозяйства Российской Федерации и перспективах их развития».
foo fighters - the pretender
21-04-2008 20:39
комментарии: 0
понравилось!
вверх^
к полной версии
АВТО: ГАИ и чужие
21-04-2008 15:33
[size=3]Радость от приобретения нового автомобиля часто бывает омрачена, ведь процедуры снятия и постановки на учет транспортных средств в ГАИ-ГИБДД по-прежнему являются для большинства автомобилистов крайне неприятными - непонятными, сложными и утомительными. Однако совершенно необязательно мучиться самому - можно нанять специалиста, который и в очереди за вас постоит, и "красивый" номер для вашего автомобиля выпросит.
Вокруг ГАИ
Подразделение, где мне предстояло снять с учета автомобиль, отделение N6 МОТОТРЭР ГИБДД УВД ЮАО г. Москвы (межрайонный отдел технического осмотра транспорта и регистрационно-экзаменационных работ), находилось в самом конце Варшавского шоссе и представляло собой несколько малоэтажных зданий барачного типа в аварийном состоянии.
- Это хорошо, что вы пораньше приехали,- сказал мне молодой человек по имени Алексей, с которым я заранее договорился о помощи,- скоро документы уже начнут принимать, а я очередь занял. Тут на самом деле не одно ГАИ, а два. Где мужики стоят, там отечественные машины регистрируют, а нам надо с другой стороны - там иномарки. Сейчас все отдадим, нам распечатают заявление, я пойду квитанции оплачивать, а вы на площадку заезжайте.
Там, куда указывал Алексей, высились какие-то ободранные металлические и бетонные конструкции. На крыше одного из зданий МОТОТРЭР порывы ветра грохали оторванными листами железной кровли.
Как я в дальнейшем узнал от Алексея, во всех отношениях удачно был выбран не только час, но и день, и месяц посещения ГАИ. А еще он рассказал, как холодно стоять тут зимой (документы принимают через окошко, а очередь топчется на улице) и какой глубины бывают здесь лужи. Про пыль и грязь рассказывать не было нужды - этого добра было в изобилии и в тот день, особенно на площадке осмотра автотранспорта. Она напоминала заброшенную стойку, на которую загнали пару сотен автомобилей, создав две параллельные очереди.
- В том вагончике принимают документы после осмотра,- продолжал свои объяснения помощник,- а уже потом в том домике получают ПТС с отметкой о снятии с учета и транзитные номера.
- Если кофе хотите или поесть что-нибудь, можно прямо тут купить,- объяснял Алексей, показывая на женщину в халате с тележкой, продвигающуюся между рядов машин.- А вот где здесь туалет, я не знаю, как-то, помню, искал, но не нашел. Обычно все ходят туда, где эти штуки бетонные, но там надо под ноги внимательно смотреть и вообще быть аккуратнее - арматура торчит, дыры всякие... Зато телевизоры внутри поставили, я даже футбол там как-то смотрел.
Почти за пять часов, проведенных в обществе моего помощника, я узнал много интересного про ГАИ на Варшавке. Это и отсутствие туалетов при наличии телевизоров, и более или менее приличный ремонт внутри при полной разрухе снаружи, а также очень странное отношение милиционеров к рабочим площадям. С одной стороны, места всем явно не хватает: комнаты в зданиях маленькие, коридоры узкие, очереди на сдачу документов и вовсе стоят на улице. А с другой - множество кабинетов на первых этажах отданы фирмам, оформляющим автостраховки и выписывающим справки-счета и договоры купли-продажи.
- Мне кажется, вы убедились, что я не просто так деньги беру,- улыбнулся на прощание Алексей.- В нашем случае хоть и дольше, чем обычно, получилось, но время я для вас все равно сэкономил, и пыль глотать почти не пришлось. Жаль, правда, что вы доверенность оформить на меня не смогли, и поэтому пришлось самому к окнам подходить и показываться. Но так я и беру меньше - 2,5 тыс. руб. Когда я сам все делаю, а вы дома сидите, это стоит 4,5 тыс. руб. Согласитесь, оно того стоит.
На вопрос о том, сколько же таким образом удается заработать и велик ли спрос на подобные услуги, Алексей отвечает уклончиво: "Для меня это скорее приработок. Я работаю в сфере автобизнеса, плюс к тому сам покупаю и перепродаю машины - постоянно нужно себе или клиентам то снять с учета машину, то поставить".
По словам Алексея, он не имеет никаких привилегий у сотрудников ГИБДД: "Я просто знаю - куда, когда и в какой последовательности надо бежать. Клиенты платят мне за то, что я за них стою в очередях на холоде и в грязи, общаюсь с людьми в погонах. Но общаюсь я на общих основаниях и деньгами ни с кем не делюсь".
Профессиональные консультанты
Помимо помощников-любителей вроде Алексея на рынке услуг по регистрации автотранспорта есть и настоящие профессионалы. Они не стоят в очередях и не бегают оплачивать квитанции наравне с обычными гражданами. Эти полезные и компетентные люди - "свои" в регистрационных подразделений ГИБДД: они могут подать документы в обход общей очереди, договориться с инспектором об исправлении какой-либо неточности в бумагах и - опять же минуя очередь - "закатить" автомобиль клиента на площадку осмотра, а еще похлопотать о получении "красивых" номерных знаков. Эти энергичные мужчины здороваются за руку с милицейскими чиновниками, называя их по-дружески Михалычами, Иванычами и Санычами, и запросто входят в закрытые для всех прочихЧитать далее...
комментарии: 0
понравилось!
вверх^
к полной версии
[size=3]Радость от приобретения нового автомобиля часто бывает омрачена, ведь процедуры снятия и постановки на учет транспортных средств в ГАИ-ГИБДД по-прежнему являются для большинства автомобилистов крайне неприятными - непонятными, сложными и утомительными. Однако совершенно необязательно мучиться самому - можно нанять специалиста, который и в очереди за вас постоит, и "красивый" номер для вашего автомобиля выпросит.
Вокруг ГАИ
Подразделение, где мне предстояло снять с учета автомобиль, отделение N6 МОТОТРЭР ГИБДД УВД ЮАО г. Москвы (межрайонный отдел технического осмотра транспорта и регистрационно-экзаменационных работ), находилось в самом конце Варшавского шоссе и представляло собой несколько малоэтажных зданий барачного типа в аварийном состоянии.
- Это хорошо, что вы пораньше приехали,- сказал мне молодой человек по имени Алексей, с которым я заранее договорился о помощи,- скоро документы уже начнут принимать, а я очередь занял. Тут на самом деле не одно ГАИ, а два. Где мужики стоят, там отечественные машины регистрируют, а нам надо с другой стороны - там иномарки. Сейчас все отдадим, нам распечатают заявление, я пойду квитанции оплачивать, а вы на площадку заезжайте.
Там, куда указывал Алексей, высились какие-то ободранные металлические и бетонные конструкции. На крыше одного из зданий МОТОТРЭР порывы ветра грохали оторванными листами железной кровли.
Как я в дальнейшем узнал от Алексея, во всех отношениях удачно был выбран не только час, но и день, и месяц посещения ГАИ. А еще он рассказал, как холодно стоять тут зимой (документы принимают через окошко, а очередь топчется на улице) и какой глубины бывают здесь лужи. Про пыль и грязь рассказывать не было нужды - этого добра было в изобилии и в тот день, особенно на площадке осмотра автотранспорта. Она напоминала заброшенную стойку, на которую загнали пару сотен автомобилей, создав две параллельные очереди.
- В том вагончике принимают документы после осмотра,- продолжал свои объяснения помощник,- а уже потом в том домике получают ПТС с отметкой о снятии с учета и транзитные номера.
- Если кофе хотите или поесть что-нибудь, можно прямо тут купить,- объяснял Алексей, показывая на женщину в халате с тележкой, продвигающуюся между рядов машин.- А вот где здесь туалет, я не знаю, как-то, помню, искал, но не нашел. Обычно все ходят туда, где эти штуки бетонные, но там надо под ноги внимательно смотреть и вообще быть аккуратнее - арматура торчит, дыры всякие... Зато телевизоры внутри поставили, я даже футбол там как-то смотрел.
Почти за пять часов, проведенных в обществе моего помощника, я узнал много интересного про ГАИ на Варшавке. Это и отсутствие туалетов при наличии телевизоров, и более или менее приличный ремонт внутри при полной разрухе снаружи, а также очень странное отношение милиционеров к рабочим площадям. С одной стороны, места всем явно не хватает: комнаты в зданиях маленькие, коридоры узкие, очереди на сдачу документов и вовсе стоят на улице. А с другой - множество кабинетов на первых этажах отданы фирмам, оформляющим автостраховки и выписывающим справки-счета и договоры купли-продажи.
- Мне кажется, вы убедились, что я не просто так деньги беру,- улыбнулся на прощание Алексей.- В нашем случае хоть и дольше, чем обычно, получилось, но время я для вас все равно сэкономил, и пыль глотать почти не пришлось. Жаль, правда, что вы доверенность оформить на меня не смогли, и поэтому пришлось самому к окнам подходить и показываться. Но так я и беру меньше - 2,5 тыс. руб. Когда я сам все делаю, а вы дома сидите, это стоит 4,5 тыс. руб. Согласитесь, оно того стоит.
На вопрос о том, сколько же таким образом удается заработать и велик ли спрос на подобные услуги, Алексей отвечает уклончиво: "Для меня это скорее приработок. Я работаю в сфере автобизнеса, плюс к тому сам покупаю и перепродаю машины - постоянно нужно себе или клиентам то снять с учета машину, то поставить".
По словам Алексея, он не имеет никаких привилегий у сотрудников ГИБДД: "Я просто знаю - куда, когда и в какой последовательности надо бежать. Клиенты платят мне за то, что я за них стою в очередях на холоде и в грязи, общаюсь с людьми в погонах. Но общаюсь я на общих основаниях и деньгами ни с кем не делюсь".
Профессиональные консультанты
Помимо помощников-любителей вроде Алексея на рынке услуг по регистрации автотранспорта есть и настоящие профессионалы. Они не стоят в очередях и не бегают оплачивать квитанции наравне с обычными гражданами. Эти полезные и компетентные люди - "свои" в регистрационных подразделений ГИБДД: они могут подать документы в обход общей очереди, договориться с инспектором об исправлении какой-либо неточности в бумагах и - опять же минуя очередь - "закатить" автомобиль клиента на площадку осмотра, а еще похлопотать о получении "красивых" номерных знаков. Эти энергичные мужчины здороваются за руку с милицейскими чиновниками, называя их по-дружески Михалычами, Иванычами и Санычами, и запросто входят в закрытые для всех прочих
21 апреля: Самое интересное в законодательстве за 21 апреля 2008
21-04-2008 15:24
ПРИКАЗ ФМС РФ ОТ 29.02.2008 N 40
"ОБ УТВЕРЖДЕНИИ АДМИНИСТРАТИВНОГО РЕГЛАМЕНТА ПО ПРЕДОСТАВЛЕНИЮ ФЕДЕРАЛЬНОЙ МИГРАЦИОННОЙ СЛУЖБОЙ ГОСУДАРСТВЕННОЙ УСЛУГИ ПО ВЫДАЧЕ ИНОСТРАННЫМ ГРАЖДАНАМ И ЛИЦАМ БЕЗ ГРАЖДАНСТВА РАЗРЕШЕНИЯ НА ВРЕМЕННОЕ ПРОЖИВАНИЕ В РОССИЙСКОЙ ФЕДЕРАЦИИ"
Зарегистрировано в Минюсте РФ 14.04.2008 N 11526.
Регламентирован порядок предоставления ФМС РФ государственной услуги по выдаче иностранным гражданам и лицам без гражданства разрешения на временное проживание
Административный регламент регулирует сроки и последовательность действий ФМС РФ, территориальных органов ФМС РФ и их структурных подразделений при выдаче иностранным гражданам и лицам без гражданства разрешения на временное проживание в РФ, определяет порядок информирования и получения консультаций (справок) о предоставлении государственной услуги, устанавливает требования к местам для информирования, местам для ожидания, местам приема заявителей, регламентирует порядок приема и оформления заявлений, правила ведения учетных дел, порядок обжалования действий должностных лиц, а также принимаемых ими решений. В приложениях к Регламенту приводятся, в частности, сведения о местонахождении, адресах органов ФМС РФ, формы заявлений, уведомлений, решений, справок. Кроме того, утверждены образец отметки о разрешении на временное проживание, проставляемой в документе, удостоверяющем личность иностранного гражданина или лица без гражданства, и образец бланка разрешения на временное проживание.
ПРИКАЗ ФМС РФ ОТ 29.02.2008 N 41
"ОБ УТВЕРЖДЕНИИ АДМИНИСТРАТИВНОГО РЕГЛАМЕНТА ПО ПРЕДОСТАВЛЕНИЮ ФЕДЕРАЛЬНОЙ МИГРАЦИОННОЙ СЛУЖБОЙ ГОСУДАРСТВЕННОЙ УСЛУГИ ПО ВЫДАЧЕ ИНОСТРАННЫМ ГРАЖДАНАМ И ЛИЦАМ БЕЗ ГРАЖДАНСТВА ВИДА НА ЖИТЕЛЬСТВО В РОССИЙСКОЙ ФЕДЕРАЦИИ"
Зарегистрировано в Минюсте РФ 14.04.2008 N 11525.
Государственная услуга по выдаче иностранным гражданам и лицам без гражданства вида на жительство в РФ будет предоставляться в соответствии с Административным регламентом
Регламент определяет сроки и последовательность действий (административных процедур) ФМС РФ, территориальных органов ФМС РФ и их структурных подразделений по выдаче иностранным гражданам вида на жительство, устанавливает порядок приема, рассмотрения заявлений о выдаче вида на жительство, о продлении срока его действия, оформления, выдачи и аннулирования, регламентирует порядок обжалования действий (бездействия) должностного лица, а также принимаемого им решения при предоставлении государственной услуги. В приложениях к Регламенту приводятся, в частности, сведения о местонахождении, контактных телефонах, адресах органов ФМС РФ, формы заявлений, справок, решений.
комментарии: 0
понравилось!
вверх^
к полной версии
ПРИКАЗ ФМС РФ ОТ 29.02.2008 N 40
"ОБ УТВЕРЖДЕНИИ АДМИНИСТРАТИВНОГО РЕГЛАМЕНТА ПО ПРЕДОСТАВЛЕНИЮ ФЕДЕРАЛЬНОЙ МИГРАЦИОННОЙ СЛУЖБОЙ ГОСУДАРСТВЕННОЙ УСЛУГИ ПО ВЫДАЧЕ ИНОСТРАННЫМ ГРАЖДАНАМ И ЛИЦАМ БЕЗ ГРАЖДАНСТВА РАЗРЕШЕНИЯ НА ВРЕМЕННОЕ ПРОЖИВАНИЕ В РОССИЙСКОЙ ФЕДЕРАЦИИ"
Зарегистрировано в Минюсте РФ 14.04.2008 N 11526.
Регламентирован порядок предоставления ФМС РФ государственной услуги по выдаче иностранным гражданам и лицам без гражданства разрешения на временное проживание
Административный регламент регулирует сроки и последовательность действий ФМС РФ, территориальных органов ФМС РФ и их структурных подразделений при выдаче иностранным гражданам и лицам без гражданства разрешения на временное проживание в РФ, определяет порядок информирования и получения консультаций (справок) о предоставлении государственной услуги, устанавливает требования к местам для информирования, местам для ожидания, местам приема заявителей, регламентирует порядок приема и оформления заявлений, правила ведения учетных дел, порядок обжалования действий должностных лиц, а также принимаемых ими решений. В приложениях к Регламенту приводятся, в частности, сведения о местонахождении, адресах органов ФМС РФ, формы заявлений, уведомлений, решений, справок. Кроме того, утверждены образец отметки о разрешении на временное проживание, проставляемой в документе, удостоверяющем личность иностранного гражданина или лица без гражданства, и образец бланка разрешения на временное проживание.
ПРИКАЗ ФМС РФ ОТ 29.02.2008 N 41
"ОБ УТВЕРЖДЕНИИ АДМИНИСТРАТИВНОГО РЕГЛАМЕНТА ПО ПРЕДОСТАВЛЕНИЮ ФЕДЕРАЛЬНОЙ МИГРАЦИОННОЙ СЛУЖБОЙ ГОСУДАРСТВЕННОЙ УСЛУГИ ПО ВЫДАЧЕ ИНОСТРАННЫМ ГРАЖДАНАМ И ЛИЦАМ БЕЗ ГРАЖДАНСТВА ВИДА НА ЖИТЕЛЬСТВО В РОССИЙСКОЙ ФЕДЕРАЦИИ"
Зарегистрировано в Минюсте РФ 14.04.2008 N 11525.
Государственная услуга по выдаче иностранным гражданам и лицам без гражданства вида на жительство в РФ будет предоставляться в соответствии с Административным регламентом
Регламент определяет сроки и последовательность действий (административных процедур) ФМС РФ, территориальных органов ФМС РФ и их структурных подразделений по выдаче иностранным гражданам вида на жительство, устанавливает порядок приема, рассмотрения заявлений о выдаче вида на жительство, о продлении срока его действия, оформления, выдачи и аннулирования, регламентирует порядок обжалования действий (бездействия) должностного лица, а также принимаемого им решения при предоставлении государственной услуги. В приложениях к Регламенту приводятся, в частности, сведения о местонахождении, контактных телефонах, адресах органов ФМС РФ, формы заявлений, справок, решений.