Что такое DLP и зачем это нужно?
Любой компании необходимо уделять внимание защите информации. И это не только персональные данные, тщательно хранить которые требует закон. Практически вся внутренняя коммерческая информация будет «профитом» для конкурентов или мошенников.
Методов защиты информации много, и мы будем писать о них далее. Один из ключевых – внедрение DLP-системы (Data Loss Prevention). Это специализированное программное обеспечение для защиты от утечек. Сегодня эти системы имеют не только функцию обеспечения сохранности информации, но решают и другие задачи. Например, учет рабочего времени и ресурсов, анализ правомерности действий сотрудников в рамках полномочий, минимизация риска коррупции, откатов и подделки документов. Часто те, кто планирует уволиться, решают прихватить с собой базу клиентов, поставщиков или данные о продукте. Против таких DLP тоже работает. Также это мониторинг сделок, каналов общения с контрагентами, помощь при служебных расследованиях, например, в случаях нарушений режима и т. д.
Самый понятный пример – отправка сотрудником информации по почте, слив в облако или вынос на флешке. Для предотвращения этого при помощи системы можно сократить и блокировать количество каналов передачи данных, ввести логгирование или запись информации обо всех файлах, сигнализировать о нарушении. При этом можно прописать даже ключевые слова, на которые система будет реагировать.
По факту, это инструмент для предотвращения утечек любой информации, который постоянно модернизируется. DLP-системы сегодня способны анализировать поведение пользователей и даже отслеживать их продуктивность.
DLP может быть, как активной, так и пассивной. Активная сама предотвращает утечку в моменте, блокируя действия пользователей или работу ПО, когда видит риск. Правда, иногда такое может произойти по ошибке. Пассивная просто отслеживает или реагирует после. Само ПО можно устанавливать, как на выделенных серверах, так и на компьютерах пользователей. Любая система поддается настройке под нужды бизнеса. Уже есть модульные решения, которые позволяют внедрять именно требуемые функции.
Отметим, что DLP нужно не только крупным компаниям, хотя те яснее осознают необходимость обеспечения безопасности информации. Заботиться о своих данных стоит любому бизнесу.
Иногда утечка данных конкурентам, потеря доли рынка или авторитета среди клиентов и партнеров прямо ведет к разорению. Кроме того, что конкуренты могут скопировать продукт или увести клиентов, может случиться и так, что информацию сольют третьим лицам, которые посчитают вас ненадежным партнером. А если это персональная или платежная информация клиентов, может случиться и ответственность по закону.
Вам необходимо задуматься о внедрении DLP, если:
1. В компании уже были утечки информации о продуктах;
2. В открытом доступе появляются данные о компании, которые никто не должен знать;
3. Был массовый отток клиентов или переход сотрудников к конкурентам;
4. Вы стали чаще проигрывать тендеры, хотя явных причин для этого нет;
5. Замечали манипуляции с отчётностью.
Следите за своей безопасностью, читайте наш канал, а ещё лучше консультируйтесь со специалистами в данной сфере.
#информационная
@businesssafe
Любой компании необходимо уделять внимание защите информации. И это не только персональные данные, тщательно хранить которые требует закон. Практически вся внутренняя коммерческая информация будет «профитом» для конкурентов или мошенников.
Методов защиты информации много, и мы будем писать о них далее. Один из ключевых – внедрение DLP-системы (Data Loss Prevention). Это специализированное программное обеспечение для защиты от утечек. Сегодня эти системы имеют не только функцию обеспечения сохранности информации, но решают и другие задачи. Например, учет рабочего времени и ресурсов, анализ правомерности действий сотрудников в рамках полномочий, минимизация риска коррупции, откатов и подделки документов. Часто те, кто планирует уволиться, решают прихватить с собой базу клиентов, поставщиков или данные о продукте. Против таких DLP тоже работает. Также это мониторинг сделок, каналов общения с контрагентами, помощь при служебных расследованиях, например, в случаях нарушений режима и т. д.
Самый понятный пример – отправка сотрудником информации по почте, слив в облако или вынос на флешке. Для предотвращения этого при помощи системы можно сократить и блокировать количество каналов передачи данных, ввести логгирование или запись информации обо всех файлах, сигнализировать о нарушении. При этом можно прописать даже ключевые слова, на которые система будет реагировать.
По факту, это инструмент для предотвращения утечек любой информации, который постоянно модернизируется. DLP-системы сегодня способны анализировать поведение пользователей и даже отслеживать их продуктивность.
DLP может быть, как активной, так и пассивной. Активная сама предотвращает утечку в моменте, блокируя действия пользователей или работу ПО, когда видит риск. Правда, иногда такое может произойти по ошибке. Пассивная просто отслеживает или реагирует после. Само ПО можно устанавливать, как на выделенных серверах, так и на компьютерах пользователей. Любая система поддается настройке под нужды бизнеса. Уже есть модульные решения, которые позволяют внедрять именно требуемые функции.
Отметим, что DLP нужно не только крупным компаниям, хотя те яснее осознают необходимость обеспечения безопасности информации. Заботиться о своих данных стоит любому бизнесу.
Иногда утечка данных конкурентам, потеря доли рынка или авторитета среди клиентов и партнеров прямо ведет к разорению. Кроме того, что конкуренты могут скопировать продукт или увести клиентов, может случиться и так, что информацию сольют третьим лицам, которые посчитают вас ненадежным партнером. А если это персональная или платежная информация клиентов, может случиться и ответственность по закону.
Вам необходимо задуматься о внедрении DLP, если:
1. В компании уже были утечки информации о продуктах;
2. В открытом доступе появляются данные о компании, которые никто не должен знать;
3. Был массовый отток клиентов или переход сотрудников к конкурентам;
4. Вы стали чаще проигрывать тендеры, хотя явных причин для этого нет;
5. Замечали манипуляции с отчётностью.
Следите за своей безопасностью, читайте наш канал, а ещё лучше консультируйтесь со специалистами в данной сфере.
#информационная
@businesssafe
👍22
Как обезопасить офисную информацию?
В этом посте мы указали, что вовсе необязательно находиться по юридическому адресу. Так у вас будет дополнительная гарантия, что внезапно не нагрянет проверка. Как минимум будет время подготовиться. Но важнее даже не то, что к вам придут, а сохранность информации. Сейчас дадим лайфхак, как этого добиться в любом месте.
Чем бы вы ни занимались, мы советуем поднять удаленный сервер и перенести на него хотя бы часть инфраструктуры. Так вы сможете хранить всю коммерческую и просто важную информацию не на офисных компьютерах, а на сервере. Что это дает?
1. Все рабочие данные будут доступны из любого места. Вы, как руководитель, сможете подключаться в любое время и контролировать документы работников, отслеживать их активность и получать любую информацию. Даже в отпуске на пляже;
2. На офисных машинах, если все правильно настроить, не будет компрометирующей информации, а также данных, составляющих коммерческую тайну. Как показывает практика, какие бы серьезные правила и меры контроля вы ни вводили, на диске что-то может сохраниться из-за невнимательности сотрудников. А значит, если случится форс-мажор и придут, проверяющие смогут получить эти данные. Работники ФНС и отдела УЭБиПК вваливаются в офис молниеносно, отстраняют сотрудников от компьютеров и сразу же сажают за них своих людей. А эксперты из органов могут восстановить очень многое из того, что когда-либо находилось на ПК. Только если там не стоят программы, позволяющие стирать информацию навсегда. Об этом будем писать в дальнейшем;
3. Удаленный сервер позволяет создать любое количество рабочих мест и разделить потоки информации между сотрудниками. Любой бизнес так или иначе оптимизирует налоги, почти везде есть так называемая «двойная бухгалтерия» и прочая информация, которая не только не должна попасть в руки контролирующих органов или конкурентов, но и внутри фирмы не все должны иметь к ней доступ. Необходимо сделать так, чтобы к месту главного бухгалтера не имел доступ никто, кроме него самого и владельца. В отдельных случаях доступ можно предоставить кому-то временно. Да и простым сотрудникам лучше работать исключительно со своей информацией на каком-то общем рабочем месте, где собраны только необходимые им данные;
4. Руководитель или ответственный работник может в любое время «обрубить» доступ удаленному серверу выборочно или полностью для всех юзеров. Лучше, если ответственных будет несколько, так как кто-то может быть недоступен или скомпрометирован. Либо можно сделать так, чтобы система сама отключалась при каких-то заранее прописанных подозрительных действиях;
5. Это защита от слива и воровства информации мошенниками. Сейчас есть мощное ПО, которое сотрудник может случайно или специально загрузить на свой ПК, и которое будет сливать данные. Зайти на правильно настроенный удаленный сервер труднее;
6. Если проверяющие изымут технику, вы не потеряете данные, так как недоброжелатели на ней ничего не найдут, а также сможете продолжить работу дальше уже с новых машин, просто подключившись к своему серверу. Так вы не потеряете время и бизнес-процессы не будут заморожены. Часто в таких случаях работа парализуется на месяцы, вам же будет достаточно нескольких часов;
7. Налоговой, Росфинмониторингу и даже банкам будет сложнее отследить активность вашего персонала. Современное ПО сканирует компьютеры, с которых пользователь выходит в банк-клиент или отправляет отчетность в налоговую. VPN или Proxy здесь недостаточно. Все собирается все по максимуму: логи, куки и прочие пользовательские идентификаторы. В случае с удаленным сервером они увидят лишь то, что вы работаете с виртуальной машины, и непонятно, кто конкретно ею пользуется;
Для разных ситуаций придуманы разные методы, но в общем картина такова. Мы видим в удаленных серверах лишь плюсы. Как поднять и настроить виртуальный сервер, а также когда это уместно, а когда нет, будем писать в дальнейшем.
#информационная
@businesssafe
В этом посте мы указали, что вовсе необязательно находиться по юридическому адресу. Так у вас будет дополнительная гарантия, что внезапно не нагрянет проверка. Как минимум будет время подготовиться. Но важнее даже не то, что к вам придут, а сохранность информации. Сейчас дадим лайфхак, как этого добиться в любом месте.
Чем бы вы ни занимались, мы советуем поднять удаленный сервер и перенести на него хотя бы часть инфраструктуры. Так вы сможете хранить всю коммерческую и просто важную информацию не на офисных компьютерах, а на сервере. Что это дает?
1. Все рабочие данные будут доступны из любого места. Вы, как руководитель, сможете подключаться в любое время и контролировать документы работников, отслеживать их активность и получать любую информацию. Даже в отпуске на пляже;
2. На офисных машинах, если все правильно настроить, не будет компрометирующей информации, а также данных, составляющих коммерческую тайну. Как показывает практика, какие бы серьезные правила и меры контроля вы ни вводили, на диске что-то может сохраниться из-за невнимательности сотрудников. А значит, если случится форс-мажор и придут, проверяющие смогут получить эти данные. Работники ФНС и отдела УЭБиПК вваливаются в офис молниеносно, отстраняют сотрудников от компьютеров и сразу же сажают за них своих людей. А эксперты из органов могут восстановить очень многое из того, что когда-либо находилось на ПК. Только если там не стоят программы, позволяющие стирать информацию навсегда. Об этом будем писать в дальнейшем;
3. Удаленный сервер позволяет создать любое количество рабочих мест и разделить потоки информации между сотрудниками. Любой бизнес так или иначе оптимизирует налоги, почти везде есть так называемая «двойная бухгалтерия» и прочая информация, которая не только не должна попасть в руки контролирующих органов или конкурентов, но и внутри фирмы не все должны иметь к ней доступ. Необходимо сделать так, чтобы к месту главного бухгалтера не имел доступ никто, кроме него самого и владельца. В отдельных случаях доступ можно предоставить кому-то временно. Да и простым сотрудникам лучше работать исключительно со своей информацией на каком-то общем рабочем месте, где собраны только необходимые им данные;
4. Руководитель или ответственный работник может в любое время «обрубить» доступ удаленному серверу выборочно или полностью для всех юзеров. Лучше, если ответственных будет несколько, так как кто-то может быть недоступен или скомпрометирован. Либо можно сделать так, чтобы система сама отключалась при каких-то заранее прописанных подозрительных действиях;
5. Это защита от слива и воровства информации мошенниками. Сейчас есть мощное ПО, которое сотрудник может случайно или специально загрузить на свой ПК, и которое будет сливать данные. Зайти на правильно настроенный удаленный сервер труднее;
6. Если проверяющие изымут технику, вы не потеряете данные, так как недоброжелатели на ней ничего не найдут, а также сможете продолжить работу дальше уже с новых машин, просто подключившись к своему серверу. Так вы не потеряете время и бизнес-процессы не будут заморожены. Часто в таких случаях работа парализуется на месяцы, вам же будет достаточно нескольких часов;
7. Налоговой, Росфинмониторингу и даже банкам будет сложнее отследить активность вашего персонала. Современное ПО сканирует компьютеры, с которых пользователь выходит в банк-клиент или отправляет отчетность в налоговую. VPN или Proxy здесь недостаточно. Все собирается все по максимуму: логи, куки и прочие пользовательские идентификаторы. В случае с удаленным сервером они увидят лишь то, что вы работаете с виртуальной машины, и непонятно, кто конкретно ею пользуется;
Для разных ситуаций придуманы разные методы, но в общем картина такова. Мы видим в удаленных серверах лишь плюсы. Как поднять и настроить виртуальный сервер, а также когда это уместно, а когда нет, будем писать в дальнейшем.
#информационная
@businesssafe
👍30👎1
Как пароли защищают бизнес?
Раз затронули тему, сразу дадим советы и по личной информационной безопасности. Ведь безопасность компании напрямую зависит от того, насколько серьезно к собственной безопасности подходят сотрудники и особенно – руководители. Важно учитывать конкретные ситуации, но основное можно выделить.
Первое, на что нужно обратить внимание – пароли. У вас могут быть самые современные серверы, системы шифрования, возможности Tor, VPN/прокси и компетентные сисадмины, но, если ваши пароли легко подобрать, все имеет мало смысла. Именно на этом чаще всего играют мошенники и спецслужбы.
Есть одно простое правило – пароли должны быть сложными. Поэтому каждый, кто не хочет потерять доступ к своим аккаунтам и данным, должен озадачиться этим вопросом. Компания – особенно. Важный момент – все пароли, а не только от банк-клиента или программы 1С с «черной бухгалтерией». Иногда, получив доступ к компьютеру, личной почте или аккаунту рядового бухгалтера, даже не главбуха, можно узнать много интересного.
Основные правила составления паролей следующие:
1. В пароле не должно быть слов, относящихся к событию, человеку или компании. Даже кличку первой кошки из детства, которая давно умерла. Пароль вообще не должен содержать реальных слов или дат. Это должен быть набор рандомных с виду символов. Тогда подобрать его будет сложнее.
2. Чтобы сделать подбор практически невозможным, пароль должен содержать минимум 21 символ, где будут буквы разного регистра, знаки препинания, цифры и спецсимволы.
3. Нельзя хранить пароли на рабочих машинах, подключенных к интернету. Пусть это будет обычный бумажный блокнот, купленный в канцелярском магазине. Хранить его можно, например, в специальной ячейке или сейфе, чтобы для лиц со стороны физический доступ туда был невозможен. Надежнее, если пароли вообще нигде не будут записаны. Но тогда их придется запомнить. В принципе, сохранить у себя в голове несколько самых важных ключей может любой человек.
4. Чтобы запомнить было проще, а при случае и восстановить, необходима система создания пароля. Как в фильмах про детективов и шпионов. Есть много методик и способов. Приведем одну. Выдумываете несуществующее слово, пишете его латинскими буквами, в определенном порядке меняете регистр и через буквы добавляете цифры и спецсимволы. Перед введением новой системы паролей нужно потренироваться и убедиться, что вы ее освоили и не путаетесь.
5. Для менее важных ресурсов и приложений тоже нужны сложные пароли, хотя количество символов может быть и меньше. Пусть они будут строиться по той же системе, но, если ресурсов много, можно использовать менеджеры паролей. Например, KeePassXC, ПО бесплатное и с открытым исходным кодом. Инструкций, как пользоваться, в интернете много
6. Обязательно нужно менять пароли раз в полгода – год. Многие ресурсы сами это рекомендуют. Делать это можно по своей же схеме, просто меняя изначальное выдуманное слово. И никогда ни с кем не обсуждайте вашу систему.
Все эти правила, касаемо паролей, мы советуем внедрить не только в собственную жизнь, но и в своей компании. Если каждый работник обезопасит свою информацию, уровень общей безопасности фирмы будет заметно выше. Про правила доступа и как избежать рисков утечек будем писать далее.
#информационная
@businesssafe
Раз затронули тему, сразу дадим советы и по личной информационной безопасности. Ведь безопасность компании напрямую зависит от того, насколько серьезно к собственной безопасности подходят сотрудники и особенно – руководители. Важно учитывать конкретные ситуации, но основное можно выделить.
Первое, на что нужно обратить внимание – пароли. У вас могут быть самые современные серверы, системы шифрования, возможности Tor, VPN/прокси и компетентные сисадмины, но, если ваши пароли легко подобрать, все имеет мало смысла. Именно на этом чаще всего играют мошенники и спецслужбы.
Есть одно простое правило – пароли должны быть сложными. Поэтому каждый, кто не хочет потерять доступ к своим аккаунтам и данным, должен озадачиться этим вопросом. Компания – особенно. Важный момент – все пароли, а не только от банк-клиента или программы 1С с «черной бухгалтерией». Иногда, получив доступ к компьютеру, личной почте или аккаунту рядового бухгалтера, даже не главбуха, можно узнать много интересного.
Основные правила составления паролей следующие:
1. В пароле не должно быть слов, относящихся к событию, человеку или компании. Даже кличку первой кошки из детства, которая давно умерла. Пароль вообще не должен содержать реальных слов или дат. Это должен быть набор рандомных с виду символов. Тогда подобрать его будет сложнее.
2. Чтобы сделать подбор практически невозможным, пароль должен содержать минимум 21 символ, где будут буквы разного регистра, знаки препинания, цифры и спецсимволы.
3. Нельзя хранить пароли на рабочих машинах, подключенных к интернету. Пусть это будет обычный бумажный блокнот, купленный в канцелярском магазине. Хранить его можно, например, в специальной ячейке или сейфе, чтобы для лиц со стороны физический доступ туда был невозможен. Надежнее, если пароли вообще нигде не будут записаны. Но тогда их придется запомнить. В принципе, сохранить у себя в голове несколько самых важных ключей может любой человек.
4. Чтобы запомнить было проще, а при случае и восстановить, необходима система создания пароля. Как в фильмах про детективов и шпионов. Есть много методик и способов. Приведем одну. Выдумываете несуществующее слово, пишете его латинскими буквами, в определенном порядке меняете регистр и через буквы добавляете цифры и спецсимволы. Перед введением новой системы паролей нужно потренироваться и убедиться, что вы ее освоили и не путаетесь.
5. Для менее важных ресурсов и приложений тоже нужны сложные пароли, хотя количество символов может быть и меньше. Пусть они будут строиться по той же системе, но, если ресурсов много, можно использовать менеджеры паролей. Например, KeePassXC, ПО бесплатное и с открытым исходным кодом. Инструкций, как пользоваться, в интернете много
6. Обязательно нужно менять пароли раз в полгода – год. Многие ресурсы сами это рекомендуют. Делать это можно по своей же схеме, просто меняя изначальное выдуманное слово. И никогда ни с кем не обсуждайте вашу систему.
Все эти правила, касаемо паролей, мы советуем внедрить не только в собственную жизнь, но и в своей компании. Если каждый работник обезопасит свою информацию, уровень общей безопасности фирмы будет заметно выше. Про правила доступа и как избежать рисков утечек будем писать далее.
#информационная
@businesssafe
👍17😱2
Информационная гигиена в компании
Этому вопросу обычно уделяют минимум внимания или не уделяют вообще. Какой бы бизнес у вас ни был, работники в офисе обязаны соблюдать правила обращения с информацией. В противном случае она достанется либо мошенникам, либо конкурентам, либо контролирующим органам. Ни один из этих вариантов вас не обрадует.
Не будем говорить про откровенно черный бизнес, кому нужны особые правила работы с данными и системы защиты, такие, как связки из приватных серверов и Tor, дадим основные моменты, которые рекомендуем внедрить в любом офисе.
1. Используйте только электронный документооборот. Для этого сейчас множество программ и сервисов. Из плюсов можно выделить сокращение расходов на печать, пересылку и хранение документов. Он позволит избежать дублирования и обеспечит контроль за всей информацией. Обмен данными и их поиск происходит быстрее. ЭДО позволяет подписывать и отсылать цифровые документы круглосуточно с любого устройства. Вы видите, кто с каким документом и когда работал. Плюс, документы находятся в защищенном личном кабинете, что минимизирует риски утечки. Можно интегрировать с 1С.
2. Используйте арендованный удаленный сервер или ещё лучше собственный. Какие есть, где найти, какие лучше и как можно «поднять» свой, будем писать отдельно.
3. Используйте VPN. Не обязательно постоянно, но хотя бы в тех случаях, когда обмениваетесь особо важной для бизнеса информацией. Так ваш трафик будет под защитой. Разных сервисов, предоставляющих такие услуги, много. Сравнивайте условия и подбирайте под себя. Если деятельность иногда заходит за рамки законодательства, мы рекомендуем использовать иностранный VPN. Отечественные сервисы имеют свойство быстро предоставлять информацию по запросам в органы. Правда, в связи с сегодняшней ситуацией есть риск, что западные компании прекратят предоставлять услуги в России. Кстати, сервис VPN или Proxy можно также поднять и свой собственный, это не сложно. Об этом также будем писать.
4. Почта тоже должна быть защищенной. Большинство бизнесменов до сих пор пользуется Mail и Yandex. А кто-то даже ведет там странички и общается во встроенных мессенджерах. Это опасно. Во-первых, данные ресурсы – самые простые для взлома. Это могут сделать мошенники, а также взлом могут заказать конкуренты. В сети легко найти подобные предложения за смешную цену в 5000-10000 рублей. «Сломать» же страничку в Mail для работников отдела «К» УЭБиПК вовсе не составляет труда. Во-вторых, по запросу из полиции вся информация сливается этими ресурсами мгновенно.
Поэтому лучше использовать зарубежные почты, хотя бы Google. Но для особо важных переписок есть и более защищенные варианты, например, Protonmail. Опять же, почту можно тоже сделать собственную на своем сервере.
5. Для особо секретных документов используйте системы шифрования. Программ для этого много. Вкратце, это позволит обеспечить защиту от несанкционированного и доступа, от подделки и поможет при спорах между сотрудниками. А ключ можно вынести на токен.
6. Регулярно делайте бэкапы, даже при наличии удаленного сервера (поэтому будет лучше, если их будет несколько). Так ваша информация всегда будет с вами и в случае форс-мажора вы все быстро восстановите. Составьте график бэкапов и назначьте ответственных.
7. Пользуйтесь только лицензионным ПО и следите за обновлениями. Разработчики делают их не просто так. С каждым обновлением закрываются новые уязвимости. Чем новее версия ПО, тем дольше времени требуется на взлом. Также составьте график обновлений с ответственными.
Разумеется, за всем этим нужно следить и проверять вашу систему защиты данных. Об этом будем писать далее.
#информационная
@businesssafe
Этому вопросу обычно уделяют минимум внимания или не уделяют вообще. Какой бы бизнес у вас ни был, работники в офисе обязаны соблюдать правила обращения с информацией. В противном случае она достанется либо мошенникам, либо конкурентам, либо контролирующим органам. Ни один из этих вариантов вас не обрадует.
Не будем говорить про откровенно черный бизнес, кому нужны особые правила работы с данными и системы защиты, такие, как связки из приватных серверов и Tor, дадим основные моменты, которые рекомендуем внедрить в любом офисе.
1. Используйте только электронный документооборот. Для этого сейчас множество программ и сервисов. Из плюсов можно выделить сокращение расходов на печать, пересылку и хранение документов. Он позволит избежать дублирования и обеспечит контроль за всей информацией. Обмен данными и их поиск происходит быстрее. ЭДО позволяет подписывать и отсылать цифровые документы круглосуточно с любого устройства. Вы видите, кто с каким документом и когда работал. Плюс, документы находятся в защищенном личном кабинете, что минимизирует риски утечки. Можно интегрировать с 1С.
2. Используйте арендованный удаленный сервер или ещё лучше собственный. Какие есть, где найти, какие лучше и как можно «поднять» свой, будем писать отдельно.
3. Используйте VPN. Не обязательно постоянно, но хотя бы в тех случаях, когда обмениваетесь особо важной для бизнеса информацией. Так ваш трафик будет под защитой. Разных сервисов, предоставляющих такие услуги, много. Сравнивайте условия и подбирайте под себя. Если деятельность иногда заходит за рамки законодательства, мы рекомендуем использовать иностранный VPN. Отечественные сервисы имеют свойство быстро предоставлять информацию по запросам в органы. Правда, в связи с сегодняшней ситуацией есть риск, что западные компании прекратят предоставлять услуги в России. Кстати, сервис VPN или Proxy можно также поднять и свой собственный, это не сложно. Об этом также будем писать.
4. Почта тоже должна быть защищенной. Большинство бизнесменов до сих пор пользуется Mail и Yandex. А кто-то даже ведет там странички и общается во встроенных мессенджерах. Это опасно. Во-первых, данные ресурсы – самые простые для взлома. Это могут сделать мошенники, а также взлом могут заказать конкуренты. В сети легко найти подобные предложения за смешную цену в 5000-10000 рублей. «Сломать» же страничку в Mail для работников отдела «К» УЭБиПК вовсе не составляет труда. Во-вторых, по запросу из полиции вся информация сливается этими ресурсами мгновенно.
Поэтому лучше использовать зарубежные почты, хотя бы Google. Но для особо важных переписок есть и более защищенные варианты, например, Protonmail. Опять же, почту можно тоже сделать собственную на своем сервере.
5. Для особо секретных документов используйте системы шифрования. Программ для этого много. Вкратце, это позволит обеспечить защиту от несанкционированного и доступа, от подделки и поможет при спорах между сотрудниками. А ключ можно вынести на токен.
6. Регулярно делайте бэкапы, даже при наличии удаленного сервера (поэтому будет лучше, если их будет несколько). Так ваша информация всегда будет с вами и в случае форс-мажора вы все быстро восстановите. Составьте график бэкапов и назначьте ответственных.
7. Пользуйтесь только лицензионным ПО и следите за обновлениями. Разработчики делают их не просто так. С каждым обновлением закрываются новые уязвимости. Чем новее версия ПО, тем дольше времени требуется на взлом. Также составьте график обновлений с ответственными.
Разумеется, за всем этим нужно следить и проверять вашу систему защиты данных. Об этом будем писать далее.
#информационная
@businesssafe
👍13
Должностные инструкции по безопасности для сотрудников
После того, как вы озаботились информационной безопасностью, важно задуматься и том, чтобы меры регулярно соблюдались. Как показывает практика, даже имея самые совершенные системы безопасности и специалистов, это может оказаться бесполезным из-за халатности одного единственного работника. Поэтому в довесок к мерам важно прописать четкие инструкции и следить за их соблюдением. Сделать это нужно документально, устные указания здесь не работают.
Какие нужны должностные инструкции для вашего бизнеса, расписывать не станем, отметим пункты, касающиеся инфобезопасности.
1. У каждого работника свой личный кабинет в системе ЭДО и он должен быть проинструктирован о порядке генерации, смены и прекращения действия паролей, учетных записей и о правилах ввода пароля для доступа в систему. Напомним, пароли нужны сложные, об этом писали в посте выше. Пароль работник должен хранить в голове. Вход в систему с чужого аккаунта должен быть возможен только по согласованию с руководителем. Если у работника перерыв, он должен выходить из учетной записи, а ещё лучше – выключать компьютер или активизировать средства защиты от несанкционированного доступа.
2. Работник должен следить, чтобы все проходило по ЭДО. Бумажных документов в идеале быть не должно. Если возникли, пусть их сразу оцифровывают и сохраняют на удаленный жесткий диск. Сами документы лучше уничтожать в шредере.
3. У каждого должен быть строго определенный круг информации, к которой он имеет доступ. У рядовых работников должен быть минимальный доступ. Полный доступ только у руководителя и, если есть, службы безопасности. В отдельных случаях IT специалист может расширить или отнять права. Желательно, чтобы сотрудники не знали уровень доступа друг друга. Стоит запретить осуществлять обработку данных в присутствии других лиц.
4. Кроме личных кабинетов, создайте всем работникам корпоративные почты и пропишите обязанность вести переписку только с них. Использования корпоративного адреса в личных целях, как и пользование бесплатными почтовыми сервисами для корпоративной переписки необходимо запретить. А также размещение корпоративного адреса почты на общедоступных интернет-ресурсах. Если используете мессенджеры и соцсети, то же самое.
5. Используйте корпоративные СИМ-карты и пропишите запрет использовать их в личных целях. А также запрет на деловое общение с личных номеров. Есть компании, где при входе в офис у сотрудников вообще забирают личные телефоны, но это по ситуации. Личные флешки точно стоит запретить.
6. Никакая информация не должна находиться на рабочем столе. Все только на удаленном жестком диске. Разумеется, никаких Google Docs и прочих облачных сервисов. Ресурсы, которые может посещать пользователь, также стоит ограничить.
7. Пропишите запрет на любые действия, которые могут быть истолкованы как попытки обойти условия работы системы, например, установка какого-либо ПО и изменение конфигурации компьютера. А также запрет использовать компоненты программного и аппаратного обеспечения в неслужебных целях.
8. Работник должен вовремя сигнализировать о проблемах, не пытаясь решить их самостоятельно.
Это основное. Все инструкции должны быть доведены до каждого сотрудника под роспись с объяснением персональной ответственности за нарушения. Минимальная – штраф, максимальное – увольнение. Если нарушен режим коммерческой тайны – уголовная с возмещением возможных убытков. Штрафы мы предлагаем сделать внушительными. Например, за оставление включенного компьютера или использование личной почты – 1-2 оклада.
#информационная
@businesssafe
После того, как вы озаботились информационной безопасностью, важно задуматься и том, чтобы меры регулярно соблюдались. Как показывает практика, даже имея самые совершенные системы безопасности и специалистов, это может оказаться бесполезным из-за халатности одного единственного работника. Поэтому в довесок к мерам важно прописать четкие инструкции и следить за их соблюдением. Сделать это нужно документально, устные указания здесь не работают.
Какие нужны должностные инструкции для вашего бизнеса, расписывать не станем, отметим пункты, касающиеся инфобезопасности.
1. У каждого работника свой личный кабинет в системе ЭДО и он должен быть проинструктирован о порядке генерации, смены и прекращения действия паролей, учетных записей и о правилах ввода пароля для доступа в систему. Напомним, пароли нужны сложные, об этом писали в посте выше. Пароль работник должен хранить в голове. Вход в систему с чужого аккаунта должен быть возможен только по согласованию с руководителем. Если у работника перерыв, он должен выходить из учетной записи, а ещё лучше – выключать компьютер или активизировать средства защиты от несанкционированного доступа.
2. Работник должен следить, чтобы все проходило по ЭДО. Бумажных документов в идеале быть не должно. Если возникли, пусть их сразу оцифровывают и сохраняют на удаленный жесткий диск. Сами документы лучше уничтожать в шредере.
3. У каждого должен быть строго определенный круг информации, к которой он имеет доступ. У рядовых работников должен быть минимальный доступ. Полный доступ только у руководителя и, если есть, службы безопасности. В отдельных случаях IT специалист может расширить или отнять права. Желательно, чтобы сотрудники не знали уровень доступа друг друга. Стоит запретить осуществлять обработку данных в присутствии других лиц.
4. Кроме личных кабинетов, создайте всем работникам корпоративные почты и пропишите обязанность вести переписку только с них. Использования корпоративного адреса в личных целях, как и пользование бесплатными почтовыми сервисами для корпоративной переписки необходимо запретить. А также размещение корпоративного адреса почты на общедоступных интернет-ресурсах. Если используете мессенджеры и соцсети, то же самое.
5. Используйте корпоративные СИМ-карты и пропишите запрет использовать их в личных целях. А также запрет на деловое общение с личных номеров. Есть компании, где при входе в офис у сотрудников вообще забирают личные телефоны, но это по ситуации. Личные флешки точно стоит запретить.
6. Никакая информация не должна находиться на рабочем столе. Все только на удаленном жестком диске. Разумеется, никаких Google Docs и прочих облачных сервисов. Ресурсы, которые может посещать пользователь, также стоит ограничить.
7. Пропишите запрет на любые действия, которые могут быть истолкованы как попытки обойти условия работы системы, например, установка какого-либо ПО и изменение конфигурации компьютера. А также запрет использовать компоненты программного и аппаратного обеспечения в неслужебных целях.
8. Работник должен вовремя сигнализировать о проблемах, не пытаясь решить их самостоятельно.
Это основное. Все инструкции должны быть доведены до каждого сотрудника под роспись с объяснением персональной ответственности за нарушения. Минимальная – штраф, максимальное – увольнение. Если нарушен режим коммерческой тайны – уголовная с возмещением возможных убытков. Штрафы мы предлагаем сделать внушительными. Например, за оставление включенного компьютера или использование личной почты – 1-2 оклада.
#информационная
@businesssafe
👍17🔥1
Что должны знать сотрудники про этику корпоративного общения?
Как писали, человек – самое уязвимое звено в любом бизнесе. Можно обложиться сверхсовременными системами безопасности, шифрования и физической защиты, но один «задушевный» разговор в баре вашего сотрудника может поставить на всем этом крест.
Мы знаем случаи, когда расслабившийся работник, пытаясь произвести впечатление на девушек в караоке, рассказал им, что его фирма продает наличку и на этом хорошо зарабатывает. А девушки оказались сотрудниками полиции… За ним проследили, узнали место работы, а дальше – дело техники.
В любом бизнесе так или иначе оптимизируют налоги и «накопать» что-то всегда можно. Поэтому ваши ответственные работники должны иметь понятие об этике корпоративного общения. И лучше с ними заранее об этом поговорить.
1. Предупредите сотрудников, что обсуждать бизнес на стороне не стоит. Даже с близкими. Понятно, что проконтролировать это невозможно, но так они будут это помнить и прислушаются. Деньги любят тишину.
2. Под угрозой штрафов запретите использовать в лексиконе слова «вывод», «уход от налогов» «обналичка», «кэш», и т.п. А также вообще поднимать данные темы вне определенного узкого круга лиц внутри компании. Это важно не только потому, что вы уже можете быть предметом интереса органов, но интересоваться могут и вашими контрагентами, которых могут прослушивать. Услышав данные слова-маячки, начнут интересоваться и вами. Особенно, если партнер участвует в госзакупках и через него проходят бюджетные деньги. По бюджету работает ФСБ, а они могут прослушивать всех, кого посчитают нужным.
3. Если необходимо обсудить что-то «серое», пусть это будет при личной встрече. Но и в этом случае стоит шифровать разговор. Никогда не говорите прямым текстом, что вам нужна обналичка, бумажный НДС и т.п. Всегда можно придумать и использовать коды или слова-синонимы. Даже если вас и поймут, предъявить будет тяжелее. Говорите понятно, но размыто. Да, это касается больше руководителей, но и беседы простых сотрудников тоже подшивают в дела.
4. По важным вопросам не нужно общаться по обычной связи. Пусть это будет Telegram, Facetime или хотя бы WhatsApp. Прослушивать сотовую связь в России очень просто, любой оператор предоставит данные на любого абонента даже без суда. Если вы – руководитель, лучше запретите сотрудникам звонить вам по обычной связи. Ключевых партнеров тоже можно об этом попросить.
5. Отдельно введите и пропишите режим коммерческой тайны и документы, которые к ней относятся. Установите порядок обращения с такой информацией и контроль. Организуйте учет лиц, получивших к ней доступ. Дополнительно можно физически ограничить доступ к такому компьютеру. Пусть он располагается в отдельном помещении с видеонаблюдением. Это также убережет документы от несанкционированного изъятия. По закону, изымать такие данные можно только с санкции суда. Это тема отдельного поста.
6. Регулярно проводите аудит безопасности и проверяйте сотрудников на знание инструкций. Рекомендуем делать это раз в месяц. Можно максимально все объяснить каждому, он покивает головой и даже распишется. Но, если будет знать, что каждый месяц будут об этом спрашивать, процесс запоминания пойдет лучше. Для этого можно проводить так называемые летучки по безопасности, где проводить тесты и повторять информацию. При этом советуем не просто обязать их запоминать пункты, а объяснять, почему это важно, и что может быть при несоблюдении правил, как для компании, так и для работника.
7. Под угрозой штрафов и увольнения запретите сотрудникам общаться с работниками контролирующих органов при проверках и допросах. Объясните, что они не обязаны отвечать ни на какие вопросы без адвоката. Раздайте номер дежурного адвоката каждому и укажите обязательно связываться с ним в таких случаях. Сотрудники полиции умеют задавать вопросы и владеют методами психологического давления. Не все готовы им в этом противостоять, даже, если проинструктированы. Адвокат готов.
#внутренняя
@businesssafe
Как писали, человек – самое уязвимое звено в любом бизнесе. Можно обложиться сверхсовременными системами безопасности, шифрования и физической защиты, но один «задушевный» разговор в баре вашего сотрудника может поставить на всем этом крест.
Мы знаем случаи, когда расслабившийся работник, пытаясь произвести впечатление на девушек в караоке, рассказал им, что его фирма продает наличку и на этом хорошо зарабатывает. А девушки оказались сотрудниками полиции… За ним проследили, узнали место работы, а дальше – дело техники.
В любом бизнесе так или иначе оптимизируют налоги и «накопать» что-то всегда можно. Поэтому ваши ответственные работники должны иметь понятие об этике корпоративного общения. И лучше с ними заранее об этом поговорить.
1. Предупредите сотрудников, что обсуждать бизнес на стороне не стоит. Даже с близкими. Понятно, что проконтролировать это невозможно, но так они будут это помнить и прислушаются. Деньги любят тишину.
2. Под угрозой штрафов запретите использовать в лексиконе слова «вывод», «уход от налогов» «обналичка», «кэш», и т.п. А также вообще поднимать данные темы вне определенного узкого круга лиц внутри компании. Это важно не только потому, что вы уже можете быть предметом интереса органов, но интересоваться могут и вашими контрагентами, которых могут прослушивать. Услышав данные слова-маячки, начнут интересоваться и вами. Особенно, если партнер участвует в госзакупках и через него проходят бюджетные деньги. По бюджету работает ФСБ, а они могут прослушивать всех, кого посчитают нужным.
3. Если необходимо обсудить что-то «серое», пусть это будет при личной встрече. Но и в этом случае стоит шифровать разговор. Никогда не говорите прямым текстом, что вам нужна обналичка, бумажный НДС и т.п. Всегда можно придумать и использовать коды или слова-синонимы. Даже если вас и поймут, предъявить будет тяжелее. Говорите понятно, но размыто. Да, это касается больше руководителей, но и беседы простых сотрудников тоже подшивают в дела.
4. По важным вопросам не нужно общаться по обычной связи. Пусть это будет Telegram, Facetime или хотя бы WhatsApp. Прослушивать сотовую связь в России очень просто, любой оператор предоставит данные на любого абонента даже без суда. Если вы – руководитель, лучше запретите сотрудникам звонить вам по обычной связи. Ключевых партнеров тоже можно об этом попросить.
5. Отдельно введите и пропишите режим коммерческой тайны и документы, которые к ней относятся. Установите порядок обращения с такой информацией и контроль. Организуйте учет лиц, получивших к ней доступ. Дополнительно можно физически ограничить доступ к такому компьютеру. Пусть он располагается в отдельном помещении с видеонаблюдением. Это также убережет документы от несанкционированного изъятия. По закону, изымать такие данные можно только с санкции суда. Это тема отдельного поста.
6. Регулярно проводите аудит безопасности и проверяйте сотрудников на знание инструкций. Рекомендуем делать это раз в месяц. Можно максимально все объяснить каждому, он покивает головой и даже распишется. Но, если будет знать, что каждый месяц будут об этом спрашивать, процесс запоминания пойдет лучше. Для этого можно проводить так называемые летучки по безопасности, где проводить тесты и повторять информацию. При этом советуем не просто обязать их запоминать пункты, а объяснять, почему это важно, и что может быть при несоблюдении правил, как для компании, так и для работника.
7. Под угрозой штрафов и увольнения запретите сотрудникам общаться с работниками контролирующих органов при проверках и допросах. Объясните, что они не обязаны отвечать ни на какие вопросы без адвоката. Раздайте номер дежурного адвоката каждому и укажите обязательно связываться с ним в таких случаях. Сотрудники полиции умеют задавать вопросы и владеют методами психологического давления. Не все готовы им в этом противостоять, даже, если проинструктированы. Адвокат готов.
#внутренняя
@businesssafe
👍15
Какие бывают удаленные серверы
В прошлый раз мы обозначили тему виртуальных серверов, сегодня поговорим более подробно.
Для начала разберемся в терминах:
1. DS (Dedicated Server) – выделенный сервер, это так называемые «дедики». Когда вы арендуете «дедик», в распоряжение попадает выделенная физическая машина с полным доступом ко всем административным функциям, включая настройки BIOS. Единственным пользователем этой машины будете вы или компания. Подходит для проектов, предусматривающих серьезные вычислительные мощности, вроде бэк-офиса. Самый дорогой вариант из всех, но взамен получите полный контроль над железом, отсутствие соседей и большую безопасность.
Вы полностью контролируете железо, а значит, уверены, что к серверу никто не подключается. Разумеется, провайдер имеет доступ к железу, он может изъять сервер, проанализировать диск и т.д., но это точно будет заметно и можно отреагировать или заранее прописать скрипт, что при определенных условиях, например, при подключении к машине USB-устройств, сервер стирает или шифрует данные. Возможности для маневра есть, хотя много зависит от конкретного провайдера.
2. VDS/VPS (Virtual Dedicated Server/Virtual Private Server) – это виртуальные сервера с root-доступом в выделенной среде. Выглядит это так: хостинг-провайдер закупает один большой кластер, «разрезает» его на куски и продает. Реализуется с помощью технологий KVM, Docker и т.д. Суть с том, что все клиенты находятся на одном большом сервере, но каждый видит только свою виртуальную машину, все изолированы друг от друга. Root-доступ позволяет менять почти все настройки сервера, но не выходит за рамки виртуальной среды – то есть тонко настроить VPS/VDS не получится. С точки зрения безопасности – это менее надежное решение, так как администраторам кластера проще получить доступ к логам и мониторить активность.
Различия между DS и VDS/VPS стоит понимать. Некоторые провайдеры злоупотребляют путаницей в понятиях и накручивают стоимость.
В сети, в частности на даркнет-форумах, время от времени возникают предложения купить “безопасные/абузоустойчивые/bullet-proof” сервера за большие деньги, якобы их владельцы не выдают данные даже ФБР, не говоря о ФСБ. Верить этому или нет – дело ваше, но стоит несколько раз подумать, прежде чем доверять. Вы отдаете деньги в криптовалюте неизвестному человеку, который в случае чего просто умоет руки, начнет шантажировать или украдет информацию.
Некоторые и сами указывают, что при запросе все выдают, а «Устойчивый к запросам» – это просто маркетинговый ход. Кстати, утверждения официально зарегистрированных и сертифицированных сервисов, особенно европейских, что они никому и ничего не выдают– это абсурд. Без содействия с властями они бы не могли работать.
Всем доступных «пуленепробиваемых» сервисов не существует. Есть, но их пользователи о них не распространяются, это эксклюзивная услуга за немалые деньги. Самый надежный вариант – это самому где-нибудь установить стойку и посадить ухаживать за ней доверенного человека, но он подходит не всем из-за сложности и стоимости. Это и один из самых безопасных вариантов.
Для простого бизнеса нужно обозначить предпочтительные локации, в сторону которых стоит смотреть при выборе сервера. С недавних пор все страны ЕС и НАТО стали враждебны по отношению к нашим силовым структурам. Данные не выдаются, сотрудничество прекращено, но в то же время надо быть осторожным, так как некоторые просто отказываются обслуживать или прямо вредят клиентам из России.
В дальнейшем будем развивать тему на канале.
#информационная
@businesssafe
В прошлый раз мы обозначили тему виртуальных серверов, сегодня поговорим более подробно.
Для начала разберемся в терминах:
1. DS (Dedicated Server) – выделенный сервер, это так называемые «дедики». Когда вы арендуете «дедик», в распоряжение попадает выделенная физическая машина с полным доступом ко всем административным функциям, включая настройки BIOS. Единственным пользователем этой машины будете вы или компания. Подходит для проектов, предусматривающих серьезные вычислительные мощности, вроде бэк-офиса. Самый дорогой вариант из всех, но взамен получите полный контроль над железом, отсутствие соседей и большую безопасность.
Вы полностью контролируете железо, а значит, уверены, что к серверу никто не подключается. Разумеется, провайдер имеет доступ к железу, он может изъять сервер, проанализировать диск и т.д., но это точно будет заметно и можно отреагировать или заранее прописать скрипт, что при определенных условиях, например, при подключении к машине USB-устройств, сервер стирает или шифрует данные. Возможности для маневра есть, хотя много зависит от конкретного провайдера.
2. VDS/VPS (Virtual Dedicated Server/Virtual Private Server) – это виртуальные сервера с root-доступом в выделенной среде. Выглядит это так: хостинг-провайдер закупает один большой кластер, «разрезает» его на куски и продает. Реализуется с помощью технологий KVM, Docker и т.д. Суть с том, что все клиенты находятся на одном большом сервере, но каждый видит только свою виртуальную машину, все изолированы друг от друга. Root-доступ позволяет менять почти все настройки сервера, но не выходит за рамки виртуальной среды – то есть тонко настроить VPS/VDS не получится. С точки зрения безопасности – это менее надежное решение, так как администраторам кластера проще получить доступ к логам и мониторить активность.
Различия между DS и VDS/VPS стоит понимать. Некоторые провайдеры злоупотребляют путаницей в понятиях и накручивают стоимость.
В сети, в частности на даркнет-форумах, время от времени возникают предложения купить “безопасные/абузоустойчивые/bullet-proof” сервера за большие деньги, якобы их владельцы не выдают данные даже ФБР, не говоря о ФСБ. Верить этому или нет – дело ваше, но стоит несколько раз подумать, прежде чем доверять. Вы отдаете деньги в криптовалюте неизвестному человеку, который в случае чего просто умоет руки, начнет шантажировать или украдет информацию.
Некоторые и сами указывают, что при запросе все выдают, а «Устойчивый к запросам» – это просто маркетинговый ход. Кстати, утверждения официально зарегистрированных и сертифицированных сервисов, особенно европейских, что они никому и ничего не выдают– это абсурд. Без содействия с властями они бы не могли работать.
Всем доступных «пуленепробиваемых» сервисов не существует. Есть, но их пользователи о них не распространяются, это эксклюзивная услуга за немалые деньги. Самый надежный вариант – это самому где-нибудь установить стойку и посадить ухаживать за ней доверенного человека, но он подходит не всем из-за сложности и стоимости. Это и один из самых безопасных вариантов.
Для простого бизнеса нужно обозначить предпочтительные локации, в сторону которых стоит смотреть при выборе сервера. С недавних пор все страны ЕС и НАТО стали враждебны по отношению к нашим силовым структурам. Данные не выдаются, сотрудничество прекращено, но в то же время надо быть осторожным, так как некоторые просто отказываются обслуживать или прямо вредят клиентам из России.
В дальнейшем будем развивать тему на канале.
#информационная
@businesssafe
👍19
Как избавиться от компании?
Бывают ситуации, когда предприниматель создает новую компанию, а от старой избавляется. Иногда проще начать все с чистого листа. В любом бизнесе так или иначе используются схемы оптимизации, а значит, хранятся и скелеты в шкафу, за которые могут подтянуть. По закону, проверить могут за три предыдущих года. Очень многие до сих пор держат компанию 3 года, а потом от нее избавляются.
Создать и перевести бизнес на новую компанию, если нет долгосрочных и госконтрактов не сложно. Перезаключаются договоры, переводятся сотрудники и основные средства. На старой оставляют все косяки, незакрытую кредиторку, подотчет, «воздушные» активы и иногда – долги.
Путей избавления от старой компании есть три.
1. Бросить фирму и перестать сдавать отчетность в налоговую;
2. Продать фирму;
3. Официально закрыть фирму.
Самый надежный способ – закрывать официально. Но это долго и дорого. Нужно принять решение, сообщить в налоговую, опубликовать в «Вестнике госрегистрации», разобраться с сотрудниками, отчитаться и погасить все долги, снять с учета кассу, подготовить промежуточный и окончательный ликвидационный баланс и сдать все документы в ФНС. При этом могут появиться недовольные кредиторы, а налоговая может назначить выездную проверку.
И когда есть серьезные опасения, фирму предпочитают бросить или продать. На рынке есть услуга под названием «альтернативная ликвидация». Исполнители утверждают, что компания будет переоформлена на третьих лиц, а вы избавитесь от всех проблем. Иногда так и происходит. Но мы опишем реальные риски.
Компанию могут перепродать мошенникам и тем, кто занимается воровством НДС. Фирма с историей всегда представляет ценность. Тогда новый директор просто пересдаст отчетность за прошлые периоды и продаст вычеты по НДС своим клиентам. Ваши же старые покупатели получат требование о необходимости доплатить налоги, согласно новым отчетам. Иными словами, покупатели перестали быть покупателями и иметь право на вычет.
Исправить ситуацию уже будет нельзя. Контроля над компанией нет, а исполнители точно не помогут, так как скорее всего, пропадут. Понятно, что клиенты сразу зададут вопросы и придется с ними разбираться. Вернее, платить. Если договориться не получится, вероятнее всего, они пойдут с вопросами в налоговую и БЭП. А там могут быть разные варианты. И почему вы официально не захотели избавиться от компании спросят уже контролирующие органы. А субсидиарную ответственность на бывшего директора никто не отменял.
Кстати, такая ситуация может произойти и если просто бросить компанию. Коррумпированные работники налоговой отслеживают хорошие фирмы, не сдающие отчетность и продают эту информацию оптимизаторам. Те делают новую ЭЦП, меняют директора и пускают ее в оборот.
Никакие способы, кроме официальной ликвидации, не спасут от субсидиарной и уголовной ответственности. И если глубина налоговой проверки – 3 года, срок привлечения по уголовному делу по экономическим статьям – 10 лет. Сегодня все чаще кредиторы обращаются в суды даже после исключения компании из ЕГРЮЛ и выигрывают.
Поэтому только ликвидация, либо официальное банкротство. Если все будет сделано грамотно и под надзором опытного адвоката, вы получите решение суда о ликвидации. Вот оно уже защитит от всех возможных неприятных последствий. Даже налоговая после этого не сможет предъявить никакие доначисления. И ищите хорошего профильного юриста.
Ну либо просто оставьте фирму про запас и сдавайте нулевые отчеты. А через три года можно будет ее «оживить» и пустить в дело. Может, у вас новые проекты появятся.
#финансовая
@businesssafe
Бывают ситуации, когда предприниматель создает новую компанию, а от старой избавляется. Иногда проще начать все с чистого листа. В любом бизнесе так или иначе используются схемы оптимизации, а значит, хранятся и скелеты в шкафу, за которые могут подтянуть. По закону, проверить могут за три предыдущих года. Очень многие до сих пор держат компанию 3 года, а потом от нее избавляются.
Создать и перевести бизнес на новую компанию, если нет долгосрочных и госконтрактов не сложно. Перезаключаются договоры, переводятся сотрудники и основные средства. На старой оставляют все косяки, незакрытую кредиторку, подотчет, «воздушные» активы и иногда – долги.
Путей избавления от старой компании есть три.
1. Бросить фирму и перестать сдавать отчетность в налоговую;
2. Продать фирму;
3. Официально закрыть фирму.
Самый надежный способ – закрывать официально. Но это долго и дорого. Нужно принять решение, сообщить в налоговую, опубликовать в «Вестнике госрегистрации», разобраться с сотрудниками, отчитаться и погасить все долги, снять с учета кассу, подготовить промежуточный и окончательный ликвидационный баланс и сдать все документы в ФНС. При этом могут появиться недовольные кредиторы, а налоговая может назначить выездную проверку.
И когда есть серьезные опасения, фирму предпочитают бросить или продать. На рынке есть услуга под названием «альтернативная ликвидация». Исполнители утверждают, что компания будет переоформлена на третьих лиц, а вы избавитесь от всех проблем. Иногда так и происходит. Но мы опишем реальные риски.
Компанию могут перепродать мошенникам и тем, кто занимается воровством НДС. Фирма с историей всегда представляет ценность. Тогда новый директор просто пересдаст отчетность за прошлые периоды и продаст вычеты по НДС своим клиентам. Ваши же старые покупатели получат требование о необходимости доплатить налоги, согласно новым отчетам. Иными словами, покупатели перестали быть покупателями и иметь право на вычет.
Исправить ситуацию уже будет нельзя. Контроля над компанией нет, а исполнители точно не помогут, так как скорее всего, пропадут. Понятно, что клиенты сразу зададут вопросы и придется с ними разбираться. Вернее, платить. Если договориться не получится, вероятнее всего, они пойдут с вопросами в налоговую и БЭП. А там могут быть разные варианты. И почему вы официально не захотели избавиться от компании спросят уже контролирующие органы. А субсидиарную ответственность на бывшего директора никто не отменял.
Кстати, такая ситуация может произойти и если просто бросить компанию. Коррумпированные работники налоговой отслеживают хорошие фирмы, не сдающие отчетность и продают эту информацию оптимизаторам. Те делают новую ЭЦП, меняют директора и пускают ее в оборот.
Никакие способы, кроме официальной ликвидации, не спасут от субсидиарной и уголовной ответственности. И если глубина налоговой проверки – 3 года, срок привлечения по уголовному делу по экономическим статьям – 10 лет. Сегодня все чаще кредиторы обращаются в суды даже после исключения компании из ЕГРЮЛ и выигрывают.
Поэтому только ликвидация, либо официальное банкротство. Если все будет сделано грамотно и под надзором опытного адвоката, вы получите решение суда о ликвидации. Вот оно уже защитит от всех возможных неприятных последствий. Даже налоговая после этого не сможет предъявить никакие доначисления. И ищите хорошего профильного юриста.
Ну либо просто оставьте фирму про запас и сдавайте нулевые отчеты. А через три года можно будет ее «оживить» и пустить в дело. Может, у вас новые проекты появятся.
#финансовая
@businesssafe
👍32🤔5
Из чего состоит цифровая безопасность?
Нам часто задают вопросы: что самое главное в обеспечении цифровой безопасности?
Основное, как можно вычислить пользователя, это MAC адрес, IMEI устройства и IP адрес. А также добровольно или не очень оставленные персональные данные.
MAC адрес (Media Access Control) – уникальная комбинация цифр и букв длиной 48 символов. Это аппаратный номер оборудования, который присваивается любому активному сетевому оборудованию еще на заводе. Он помогает идентифицировать устройство среди миллионов других. Да, это не IP, который легко поменять, он вшит аппаратно. Но «перебить» его возможно.
IMEI (International Mobile Equipment Identity) — международный идентификатор мобильного оборудования. Это уникальный номер из 15-ти символов, присваивается уполномоченными организациями, служит для идентификации устройства в сети и хранится в прошивке. Его можно сравнить с ИНН человека.
IP адрес (Internet Protocol) – это сетевой адрес, который выдает провайдер. Он собирается всеми сервисами и ресурсами, которые вы посетили. Может быть статическим или динамическим. Статический = постоянный, а динамический выдается при каждом новом подключении к сети.
Все это при желании вычисляется и пробивается. Способы существуют разные. Проще всего узнать IP адрес, для этого полно бесплатных сервисов. Они показывают IP, данные о провайдере, о системе, браузере и местоположение. Последне – не точно. Операторы часто перекидывают адреса из одного региона в другой. Разумеется, информация об этом у оператора есть, а также – как и когда была смена.
Что касается персональных данных, с ними все ещё проще. Браузеры уже давно собирают все, до чего могут дотянуться: настройки, куки, почты, журнал посещений, версии ПО, плагины, тип устройства и т.д. Да, есть способы минимизировать этот сбор, но нужно быть опытным сисадмином. Согласно некоторым исследованиям, вычислить юзера по отпечатку браузера можно с вероятностью 99%. Конечно, нужно понимать, если данные понадобятся представителям правоохранительных органов, их предоставят.
Надо признать, что сегодня инспекторы налоговой и работники МВД не сильно подкованы в информационном плане. Основные вопросы, которые у них возникают, касаются в основном IP-адреса.
Например, налоговики любят заявлять, раз отчетность сдавалась с одного IP, значит, компании взаимозависимы. Что в свою очередь, доказывает применение схем. Кстати, если адрес отличается хоть на одну цифру, можете сразу отметать все обвинения.
Да, операторы ЭЦП при сдаче отчетности подтягивают данные, с какого устройства и адреса был вход, и налоговики это видят. Спорить, конечно, можно, но от подозрений и претензий это спасет вряд ли. Особенно, если контрагент по документам вообще из другого города.
Личный кабинет или банк-клиент также отслеживает и устройство. В прошлом году у ЦБ была даже идея создать базу данных «подозрительных» устройств, которые ставить на отдельную проверку, но потом от этой идеи отказались. База получилась бы слишком большой, работы у сотрудников банков – слишком много, а обойти это слишком легко покупкой любого старого ноутбука или смартфона. Тем не менее было выиграно много дел по участию в торгах при помощи аффилированных компаний, когда был доказан один IP-адрес и устройство.
Поэтому первое, на что стоит смотреть – разные IP и разные устройства для разных задач. Для этого достаточно снять отдельное помещение и поставить туда отдельную машину, которая будет использоваться только под конкретные цели. Если у вас несколько компаний, таких «анклавов» нужно по их числу. И сдавать отчетность или заходить в банк клиент нужно всегда со специально-выделенных для этого машин. Также хорошо, если в доступе всегда будет компетентный IT-специалист.
В дальнейшем будем писать, как еще обезопасить свой бизнес в цифровом плане.
#информационная
@businesssafe
Нам часто задают вопросы: что самое главное в обеспечении цифровой безопасности?
Основное, как можно вычислить пользователя, это MAC адрес, IMEI устройства и IP адрес. А также добровольно или не очень оставленные персональные данные.
MAC адрес (Media Access Control) – уникальная комбинация цифр и букв длиной 48 символов. Это аппаратный номер оборудования, который присваивается любому активному сетевому оборудованию еще на заводе. Он помогает идентифицировать устройство среди миллионов других. Да, это не IP, который легко поменять, он вшит аппаратно. Но «перебить» его возможно.
IMEI (International Mobile Equipment Identity) — международный идентификатор мобильного оборудования. Это уникальный номер из 15-ти символов, присваивается уполномоченными организациями, служит для идентификации устройства в сети и хранится в прошивке. Его можно сравнить с ИНН человека.
IP адрес (Internet Protocol) – это сетевой адрес, который выдает провайдер. Он собирается всеми сервисами и ресурсами, которые вы посетили. Может быть статическим или динамическим. Статический = постоянный, а динамический выдается при каждом новом подключении к сети.
Все это при желании вычисляется и пробивается. Способы существуют разные. Проще всего узнать IP адрес, для этого полно бесплатных сервисов. Они показывают IP, данные о провайдере, о системе, браузере и местоположение. Последне – не точно. Операторы часто перекидывают адреса из одного региона в другой. Разумеется, информация об этом у оператора есть, а также – как и когда была смена.
Что касается персональных данных, с ними все ещё проще. Браузеры уже давно собирают все, до чего могут дотянуться: настройки, куки, почты, журнал посещений, версии ПО, плагины, тип устройства и т.д. Да, есть способы минимизировать этот сбор, но нужно быть опытным сисадмином. Согласно некоторым исследованиям, вычислить юзера по отпечатку браузера можно с вероятностью 99%. Конечно, нужно понимать, если данные понадобятся представителям правоохранительных органов, их предоставят.
Надо признать, что сегодня инспекторы налоговой и работники МВД не сильно подкованы в информационном плане. Основные вопросы, которые у них возникают, касаются в основном IP-адреса.
Например, налоговики любят заявлять, раз отчетность сдавалась с одного IP, значит, компании взаимозависимы. Что в свою очередь, доказывает применение схем. Кстати, если адрес отличается хоть на одну цифру, можете сразу отметать все обвинения.
Да, операторы ЭЦП при сдаче отчетности подтягивают данные, с какого устройства и адреса был вход, и налоговики это видят. Спорить, конечно, можно, но от подозрений и претензий это спасет вряд ли. Особенно, если контрагент по документам вообще из другого города.
Личный кабинет или банк-клиент также отслеживает и устройство. В прошлом году у ЦБ была даже идея создать базу данных «подозрительных» устройств, которые ставить на отдельную проверку, но потом от этой идеи отказались. База получилась бы слишком большой, работы у сотрудников банков – слишком много, а обойти это слишком легко покупкой любого старого ноутбука или смартфона. Тем не менее было выиграно много дел по участию в торгах при помощи аффилированных компаний, когда был доказан один IP-адрес и устройство.
Поэтому первое, на что стоит смотреть – разные IP и разные устройства для разных задач. Для этого достаточно снять отдельное помещение и поставить туда отдельную машину, которая будет использоваться только под конкретные цели. Если у вас несколько компаний, таких «анклавов» нужно по их числу. И сдавать отчетность или заходить в банк клиент нужно всегда со специально-выделенных для этого машин. Также хорошо, если в доступе всегда будет компетентный IT-специалист.
В дальнейшем будем писать, как еще обезопасить свой бизнес в цифровом плане.
#информационная
@businesssafe
👍21
Работа с виртуальными серверами. SSH
Мы уже говорили о классификации серверов, сегодня затронем тему взаимодействия с ними через протокол SSH.
SSH, Secure SHell (безопасная оболочка) – это сетевой протокол, шифрующий передаваемую между компьютерами информацию. Обычно используется для удаленного доступа к другим машинам через командную строку. Но в него можно завернуть любой другой протокол и защищенно передавать очень большие файлы или видео. Технологии около четверти века, в плане надежности и безопасности оправдывает себя до сих пор.
При покупке виртуального сервера на указанную почту или прямо в личном кабинете провайдера обычно присылают данные для доступа к серверу через SSH: цифровой IP-адрес сервера, логин (обычно это root) и пароль. Этого достаточно для получения доступа к машине. Некоторые программы еще просят указать порт при подключении, обычно это 22-й порт, специально зарезервированный для этих целей, но его можно поменять в целях безопасности. В этих же целях стоит отказаться от входа по паролю и настроить доступ по SHH-ключу, чтобы доступ к серверу имели только вы и/или выбранные вами лица. Подробнее об этом позже.
После подключения вы получите доступ к машине от имени root, то есть войдете как главный администратор. Дальше, в зависимости от потребностей, можно развернуть корпоративную или личную виртуальную частную сеть (VPN), частный почтовый сервер, защищенное облако, удаленную базу данных, бота, сайт и т.д.
Популярные клиентские программы для работы с этим протоколом:
Windows: PuTTY, OpenSSH, FileZilla для передачи файлов;
MacOS: встроенная утилита SSH, Terminus;
Linux: встроенная утилита ssh. Есть поддержка PuTTY и FileZilla.
Новичкам удобно работать с графическими PuTTY и FileZilla, но взаимодействовать с сервером при помощи встроенной в командную строку утилиты проще. Упрощается работа по передаче файлов и распределению их по директориям, будет удобнее настраивать доступ по ключам вместо пароля и т.д.
Команды управления удаленной машиной такие же, как и на обычном компьютере. В большинстве случаев это команды, используемые в Linux, так как большая часть серверов работает на нем, а конкретно на Ubuntu/Debian. Не стоит бояться терминала, один раз изучив и несколько раз попробовав, вы легко привыкнете к нему. С каждым годом базовая компьютерная грамотность – это все более насущная необходимость, поэтому даже руководителям организаций мы советуем хотя бы поверхностно изучить базовые команды и методы настройки серверов через командную строку, чтобы понимать, что делают технари, не быть введенным в заблуждение и не растеряться, если что-то пойдет не так.
Более подробно тему подключения и конфигурации виртуальных серверов, а также тему подключения при помощи RDP, раскроем в будущем.
#информационная
@businesssafe
Мы уже говорили о классификации серверов, сегодня затронем тему взаимодействия с ними через протокол SSH.
SSH, Secure SHell (безопасная оболочка) – это сетевой протокол, шифрующий передаваемую между компьютерами информацию. Обычно используется для удаленного доступа к другим машинам через командную строку. Но в него можно завернуть любой другой протокол и защищенно передавать очень большие файлы или видео. Технологии около четверти века, в плане надежности и безопасности оправдывает себя до сих пор.
При покупке виртуального сервера на указанную почту или прямо в личном кабинете провайдера обычно присылают данные для доступа к серверу через SSH: цифровой IP-адрес сервера, логин (обычно это root) и пароль. Этого достаточно для получения доступа к машине. Некоторые программы еще просят указать порт при подключении, обычно это 22-й порт, специально зарезервированный для этих целей, но его можно поменять в целях безопасности. В этих же целях стоит отказаться от входа по паролю и настроить доступ по SHH-ключу, чтобы доступ к серверу имели только вы и/или выбранные вами лица. Подробнее об этом позже.
После подключения вы получите доступ к машине от имени root, то есть войдете как главный администратор. Дальше, в зависимости от потребностей, можно развернуть корпоративную или личную виртуальную частную сеть (VPN), частный почтовый сервер, защищенное облако, удаленную базу данных, бота, сайт и т.д.
Популярные клиентские программы для работы с этим протоколом:
Windows: PuTTY, OpenSSH, FileZilla для передачи файлов;
MacOS: встроенная утилита SSH, Terminus;
Linux: встроенная утилита ssh. Есть поддержка PuTTY и FileZilla.
Новичкам удобно работать с графическими PuTTY и FileZilla, но взаимодействовать с сервером при помощи встроенной в командную строку утилиты проще. Упрощается работа по передаче файлов и распределению их по директориям, будет удобнее настраивать доступ по ключам вместо пароля и т.д.
Команды управления удаленной машиной такие же, как и на обычном компьютере. В большинстве случаев это команды, используемые в Linux, так как большая часть серверов работает на нем, а конкретно на Ubuntu/Debian. Не стоит бояться терминала, один раз изучив и несколько раз попробовав, вы легко привыкнете к нему. С каждым годом базовая компьютерная грамотность – это все более насущная необходимость, поэтому даже руководителям организаций мы советуем хотя бы поверхностно изучить базовые команды и методы настройки серверов через командную строку, чтобы понимать, что делают технари, не быть введенным в заблуждение и не растеряться, если что-то пойдет не так.
Более подробно тему подключения и конфигурации виртуальных серверов, а также тему подключения при помощи RDP, раскроем в будущем.
#информационная
@businesssafe
👍9
Личная информационная безопасность
Нас становится больше и начинают поступать вопросы. Будем отвечать.
Вопрос: Подскажите, как максимально обеспечить свою личную информационную безопасность?
Защитить себя на 100% вряд ли возможно, но несколько несложных шагов предпринять стоит.
1. Имейте несколько СИМ-карт и смартфонов под разные задачи. Как минимум три: личный, для работы и для всего прочего. Личный номер не давайте никому, кроме родственников и близких друзей. По рабочему общайтесь только с коллегами и партнерами. Третий используйте для регистрации на сайтах, досках объявлений, в приложениях, соцсетях и т.п. Неплохо сделать отдельный номер для банков, брокеров, налоговой и Госуслуг, который вообще не давать никому. Так вы сразу отрежете свои личные номера от рекламных и мошеннических звонков и всегда будете знать, зачем вам звонят. И обязательно поставьте запрет у операторов на любые действия с вашей СИМ-картой по доверенности.
2. На все СИМ-карты установите пароль. Сегодня они продаются по умолчанию без пароля, из-за чего ее можно легко переставить в другой телефон и активировать. Это огромный риск. К вашей СИМ, даже, если она «для мусора», привязано очень много. Те же соцсети. И если вы потеряете телефон, мошенники смогут установить ее в новое устройство и получить доступ к аккаунтам, например, в соцсетях. Что они там найдут и как используют, зависит от обстоятельств. Устройство для работы с банками советуем вообще никогда не выносить из дома. SD-карты лучше вообще не использовать.
3. Обезопасьте и доступ в сами устройства. Заблокируйте смартфон цифровым кодом. Код не должен содержать никаких намеков на ваши данные, типа даты рождения. Не будем повторять, уже писали про пароли тут. Сразу посоветуем не использовать палец или лицо для входа, как в телефон, так и в приложения. Ситуации бывают разные. Смартфон могут поднести к вашему лицу во сне или заставить приложить палец недобросовестные сотрудники силовых структур или грабители. Также стоит отключить отображение СМС и пушей на заблокированном экране.
4. На все важные приложения, типа Госуслуг, обязательно установите двухфакторную аутентификацию! Чем может закончиться, если к аккаунту на Госуслугах получат доступ мошенники, объяснять не будем. Почту это тоже касается. Кстати, тогда на компьютере можно будет входить через QR код.
5. По аналогии с СИМ, имейте несколько почт и банковских карт под разные нужды. Одну для личных целей, вторую – для работы, третью – для покупок в интернете. Сегодня много сервисов требуют данные карты и почту, пусть это будет отдельная карта и почта. Как минимум защититесь от спама, а как максимум – от мошенников в случае, если данные сольют в сеть. Разные карты удобнее использовать и для разных транзакций. Одну – для переводов родным, вторую – для оплаты в офлайн-магазинах, третью – для интернет-покупок и получения кэш-бэков.
6. Помните, что почти все сервисы рано или поздно сливают информацию. Это не только персональные данные, но и фото, переписки, видео, документы. Поэтому не стоит хранить на тех же облачных дисках слишком много личного. Лучше использовать платные сервисы или вообще ничего не хранить в сети. Ваши фото на флешке или компьютере точно будут надежнее. GetContact не использовать от слова совсем.
Про безопасную работу в соцсетях и мессенджерах будем писать отдельно.
Все это не очень сложно, но способно серьезно понизить уровень риска слива ваших данных.
#информационная
@businesssafe
Нас становится больше и начинают поступать вопросы. Будем отвечать.
Вопрос: Подскажите, как максимально обеспечить свою личную информационную безопасность?
Защитить себя на 100% вряд ли возможно, но несколько несложных шагов предпринять стоит.
1. Имейте несколько СИМ-карт и смартфонов под разные задачи. Как минимум три: личный, для работы и для всего прочего. Личный номер не давайте никому, кроме родственников и близких друзей. По рабочему общайтесь только с коллегами и партнерами. Третий используйте для регистрации на сайтах, досках объявлений, в приложениях, соцсетях и т.п. Неплохо сделать отдельный номер для банков, брокеров, налоговой и Госуслуг, который вообще не давать никому. Так вы сразу отрежете свои личные номера от рекламных и мошеннических звонков и всегда будете знать, зачем вам звонят. И обязательно поставьте запрет у операторов на любые действия с вашей СИМ-картой по доверенности.
2. На все СИМ-карты установите пароль. Сегодня они продаются по умолчанию без пароля, из-за чего ее можно легко переставить в другой телефон и активировать. Это огромный риск. К вашей СИМ, даже, если она «для мусора», привязано очень много. Те же соцсети. И если вы потеряете телефон, мошенники смогут установить ее в новое устройство и получить доступ к аккаунтам, например, в соцсетях. Что они там найдут и как используют, зависит от обстоятельств. Устройство для работы с банками советуем вообще никогда не выносить из дома. SD-карты лучше вообще не использовать.
3. Обезопасьте и доступ в сами устройства. Заблокируйте смартфон цифровым кодом. Код не должен содержать никаких намеков на ваши данные, типа даты рождения. Не будем повторять, уже писали про пароли тут. Сразу посоветуем не использовать палец или лицо для входа, как в телефон, так и в приложения. Ситуации бывают разные. Смартфон могут поднести к вашему лицу во сне или заставить приложить палец недобросовестные сотрудники силовых структур или грабители. Также стоит отключить отображение СМС и пушей на заблокированном экране.
4. На все важные приложения, типа Госуслуг, обязательно установите двухфакторную аутентификацию! Чем может закончиться, если к аккаунту на Госуслугах получат доступ мошенники, объяснять не будем. Почту это тоже касается. Кстати, тогда на компьютере можно будет входить через QR код.
5. По аналогии с СИМ, имейте несколько почт и банковских карт под разные нужды. Одну для личных целей, вторую – для работы, третью – для покупок в интернете. Сегодня много сервисов требуют данные карты и почту, пусть это будет отдельная карта и почта. Как минимум защититесь от спама, а как максимум – от мошенников в случае, если данные сольют в сеть. Разные карты удобнее использовать и для разных транзакций. Одну – для переводов родным, вторую – для оплаты в офлайн-магазинах, третью – для интернет-покупок и получения кэш-бэков.
6. Помните, что почти все сервисы рано или поздно сливают информацию. Это не только персональные данные, но и фото, переписки, видео, документы. Поэтому не стоит хранить на тех же облачных дисках слишком много личного. Лучше использовать платные сервисы или вообще ничего не хранить в сети. Ваши фото на флешке или компьютере точно будут надежнее. GetContact не использовать от слова совсем.
Про безопасную работу в соцсетях и мессенджерах будем писать отдельно.
Все это не очень сложно, но способно серьезно понизить уровень риска слива ваших данных.
#информационная
@businesssafe
👍34🔥5
Бухгалтерская безопасность
Мы рассматриваем любые риски, с которыми может столкнуться бизнес. В канале уже был пост о том, как подходить к выбору персонала.
Сегодня хотим отдельно выделить позицию главного бухгалтера. Это человек, от работы которого зависит, не только эффективность, но и как на компанию будут смотреть контролирующие органы. Многие предприниматели до сих пор думают, что это не очень важная кадровая единица, кто отправляет отчеты и занимается документами. Это не так. Компетентный бухгалтер способен как повысить прибыльность бизнеса, так и угробить его. Для начала перечислим риски.
Мы знаем случаи, когда бухгалтеры откровенно воровали деньги, как со счета, так и из кассы. Выделяли средства компании под несуществующие товары и услуги, выделяли средства на хозяйственные нужды без отчета за них, выписывали премии, завышая суммы в зарплатных ведомостях. Если компания большая, контрагентов и персонала много, владельцу бывает нереально уследить за каждым рублем.
Бухгалтер может получать откаты у контрагентов за согласование поставок или условий оплат. Многие банки прямо предлагают бухгалтеру оплату за открытие счета. Мы сталкивались с тем, что бухгалтеры даже создают собственные юрлица и отправляют платежи за фейковые поставки товаров и услуг. Аналогичных тем, что компания закупает постоянно.
Конечно, если компания большая, то закупками занимается отдел снабжения, договорами – юридический отдел, персоналом – кадровый. Но в любом случае главбух для них всех – значимая фигура, к которой нужно прислушаться. Если же бухгалтер войдет в сговор с финансовым директором или директором по закупкам, потери и риски возрастают кратно. Мы знаем случаи, когда в сговоре с кадровиком бухгалтер годами начислял зарплату несуществующим работникам офиса в другом городе.
Главбух – человек, который отвечает за налоги и обладает всей информацией о компании. Даже той, которую нельзя никому доверять. Он видит все финансовые потоки, бизнес-процессы, схемы ухода от налогов, контрагентов. Знает слабые и сильные места, владеет полной информацией о бизнесе и его показателях, а также о том, что хранится под грифом «коммерческая тайна». Поэтому при желании вреда может принести много, особенно, если его обидеть.
На практике мы сталкивались с разными «подставами» от бухгалтеров. Самое безобидное – удаление или искажение информации в базах данных. Да, за такое можно привлечь к ответственности, но компании это вряд ли поможет. Записи, документы и бухгалтерию придется восстанавливать. А у главбуха обычно максимальный доступ и удалить он может многое.
Посерьезнее будет проблемы, если бухгалтер отправится в налоговую или правоохранительные органы с документами, подтверждающими игры с налогами. Либо они сами решат его допросить по каким-то, возможно, несерьезным вопросам. Бывает, что на допрос вызывают и уже уволенных бухгалтеров. При желании рассказать они могут многое. Даже если нет доказательной базы, одни его показания «весят» очень много. Поэтому хорошие отношения с бухгалтером необходимы для минимизации таких рисков.
И можно тратить миллионы на защиту информации и безопасность компании в целом, только все это может быть малополезно, если бухгалтер решит вас обмануть, слить или просто «нагадить».
Проверить, насколько хорош и чистоплотен бухгалтер, тяжело. Многие предприниматели даже об этом не думают, тем самым создавая для себя дополнительные риски. Какие – будем писать в дальнейшем. Пока же посоветуем не верить всему, что говорит бухгалтер, а пытаться вникать самому. Неплохо начать разбираться в 1С, сейчас для этого есть специальные курсы для предпринимателей. А также периодически привлекать высококлассных сторонних специалистов для проведения аудита. При подозрениях в нечистоплотности, лучше сделать это сегодня.
О налоговых рисках работы бухгалтера в следующем посте.
#финансовая
@businesssafe
Мы рассматриваем любые риски, с которыми может столкнуться бизнес. В канале уже был пост о том, как подходить к выбору персонала.
Сегодня хотим отдельно выделить позицию главного бухгалтера. Это человек, от работы которого зависит, не только эффективность, но и как на компанию будут смотреть контролирующие органы. Многие предприниматели до сих пор думают, что это не очень важная кадровая единица, кто отправляет отчеты и занимается документами. Это не так. Компетентный бухгалтер способен как повысить прибыльность бизнеса, так и угробить его. Для начала перечислим риски.
Мы знаем случаи, когда бухгалтеры откровенно воровали деньги, как со счета, так и из кассы. Выделяли средства компании под несуществующие товары и услуги, выделяли средства на хозяйственные нужды без отчета за них, выписывали премии, завышая суммы в зарплатных ведомостях. Если компания большая, контрагентов и персонала много, владельцу бывает нереально уследить за каждым рублем.
Бухгалтер может получать откаты у контрагентов за согласование поставок или условий оплат. Многие банки прямо предлагают бухгалтеру оплату за открытие счета. Мы сталкивались с тем, что бухгалтеры даже создают собственные юрлица и отправляют платежи за фейковые поставки товаров и услуг. Аналогичных тем, что компания закупает постоянно.
Конечно, если компания большая, то закупками занимается отдел снабжения, договорами – юридический отдел, персоналом – кадровый. Но в любом случае главбух для них всех – значимая фигура, к которой нужно прислушаться. Если же бухгалтер войдет в сговор с финансовым директором или директором по закупкам, потери и риски возрастают кратно. Мы знаем случаи, когда в сговоре с кадровиком бухгалтер годами начислял зарплату несуществующим работникам офиса в другом городе.
Главбух – человек, который отвечает за налоги и обладает всей информацией о компании. Даже той, которую нельзя никому доверять. Он видит все финансовые потоки, бизнес-процессы, схемы ухода от налогов, контрагентов. Знает слабые и сильные места, владеет полной информацией о бизнесе и его показателях, а также о том, что хранится под грифом «коммерческая тайна». Поэтому при желании вреда может принести много, особенно, если его обидеть.
На практике мы сталкивались с разными «подставами» от бухгалтеров. Самое безобидное – удаление или искажение информации в базах данных. Да, за такое можно привлечь к ответственности, но компании это вряд ли поможет. Записи, документы и бухгалтерию придется восстанавливать. А у главбуха обычно максимальный доступ и удалить он может многое.
Посерьезнее будет проблемы, если бухгалтер отправится в налоговую или правоохранительные органы с документами, подтверждающими игры с налогами. Либо они сами решат его допросить по каким-то, возможно, несерьезным вопросам. Бывает, что на допрос вызывают и уже уволенных бухгалтеров. При желании рассказать они могут многое. Даже если нет доказательной базы, одни его показания «весят» очень много. Поэтому хорошие отношения с бухгалтером необходимы для минимизации таких рисков.
И можно тратить миллионы на защиту информации и безопасность компании в целом, только все это может быть малополезно, если бухгалтер решит вас обмануть, слить или просто «нагадить».
Проверить, насколько хорош и чистоплотен бухгалтер, тяжело. Многие предприниматели даже об этом не думают, тем самым создавая для себя дополнительные риски. Какие – будем писать в дальнейшем. Пока же посоветуем не верить всему, что говорит бухгалтер, а пытаться вникать самому. Неплохо начать разбираться в 1С, сейчас для этого есть специальные курсы для предпринимателей. А также периодически привлекать высококлассных сторонних специалистов для проведения аудита. При подозрениях в нечистоплотности, лучше сделать это сегодня.
О налоговых рисках работы бухгалтера в следующем посте.
#финансовая
@businesssafe
👍20
Бухгалтерские и налоговые риски
Главная опасность со стороны бухгалтера – это даже не воровство, а налоговая сторона. И часто бухгалтер может не иметь никакого умысла, а просто быть некомпетентным или ленивым.
Задача хорошего бухгалтера – не только вести учет и сдавать отчетность, а экономить средства для компании, в том числе на налогах. Дело в том, что нашей ФНС сколько ни уплати, все будет мало. Поэтому платить налоги нужно четко, столько, чтобы не вызвать претензий и столько, чтобы не отдать лишнего, тем самым причинив ущерб фирме.
Сразу совет: если бухгалтер говорит, что в плане оптимизации налогообложения ничего нельзя сделать, лучше искать другого. Сделать что-то можно всегда. Вопрос компетенции и желания.
Сегодня бизнесу необходимо так или иначе оптимизировать. В противном случае большинству просто не выжить. И на передовой таких процессов находится бухгалтер. Именно ему приходится подбивать отчеты, запрашивать документы у контрагентов, общаться с инспекторами, отвечать на требования, ходить на комиссии, взаимодействовать с оптимизаторами. Все это он должен уметь делать, соблюдая при этом интересы компании.
Не так сложно посчитать налоги, сложнее решить с директором, сколько и какими путями их оптимизировать без риска для фирмы. Здесь встает вопрос не столько компетенции, сколько мотивации и чистоплотности.
Бухгалтер должен понимать, что он так или иначе завязан на показатели компании. Многие бухгалтеры относятся к оптимизации налогов, как к дополнительной нагрузке. И отчасти это верно. Работы у них и так всегда хватает без этого. А оптимизация сегодня – это очень непростой процесс. Некоторые компании специально нанимают налоговых консультантов и платят им большие деньги. А кто-то просто вываливает это все на штатного бухгалтера. Так делать не нужно.
Это серьезная работа и у него должна быть мотивация делать дополнительный объем, как минимум хорошая премия в конце квартала.
Если это оптимизация НДС, он должен точно посчитать, сколько и каких документов купить, у какого поставщика, соблюсти лимиты, как грамотно провести, как оформить договоры и первичную документацию, корректно декларировать, создать легендирование. Решать в дальнейшем возможные проблемы с инспекторами и отстаивать свою позицию, не поддаваясь на запугивания и провокации. Должен уметь разговаривать с налоговиками на их языке и иметь контакты тех, кто сможет помочь.
Экономя средства компании на налогах, бухгалтер должен понимать, что это ему будет оплачено. Часто экономия достигает сотен миллионов рублей, и главбух это знает.
Поэтому иногда компетентные главбухи, понимая свои возможности и не получая мотивации, решают заработать. Мы лично сталкивались с тем, что бухгалтер закупал НДС по одной ставке, а руководителю озвучивал другую, кладя разницу в карман. Некоторые даже умудряются продать свой НДС компании налево за дорого, а купить по объявлению дешево. Можно завышать налоги, а затем возвращать и выводить себе на карту. Конечно, это риски, приводящие к серьезным последствиям.
Хороший бухгалтер всегда найдёт, где его оценят, поэтому общайтесь с ним, узнавайте потребности и недовольства заранее, создавайте условия, в которых он нуждается и мотивируйте. В отчетный период можно назначить ему отдельного помощника. Он должен быть в команде и работать на благо компании, но под надзором собственника.
Где найти хорошего бухгалтера – вопрос не к нам. Опытные бухгалтеры не ищут работу. Чаще всего они появляются, благодаря связям и рекомендациям.
#финансовая
@businesssafe
Главная опасность со стороны бухгалтера – это даже не воровство, а налоговая сторона. И часто бухгалтер может не иметь никакого умысла, а просто быть некомпетентным или ленивым.
Задача хорошего бухгалтера – не только вести учет и сдавать отчетность, а экономить средства для компании, в том числе на налогах. Дело в том, что нашей ФНС сколько ни уплати, все будет мало. Поэтому платить налоги нужно четко, столько, чтобы не вызвать претензий и столько, чтобы не отдать лишнего, тем самым причинив ущерб фирме.
Сразу совет: если бухгалтер говорит, что в плане оптимизации налогообложения ничего нельзя сделать, лучше искать другого. Сделать что-то можно всегда. Вопрос компетенции и желания.
Сегодня бизнесу необходимо так или иначе оптимизировать. В противном случае большинству просто не выжить. И на передовой таких процессов находится бухгалтер. Именно ему приходится подбивать отчеты, запрашивать документы у контрагентов, общаться с инспекторами, отвечать на требования, ходить на комиссии, взаимодействовать с оптимизаторами. Все это он должен уметь делать, соблюдая при этом интересы компании.
Не так сложно посчитать налоги, сложнее решить с директором, сколько и какими путями их оптимизировать без риска для фирмы. Здесь встает вопрос не столько компетенции, сколько мотивации и чистоплотности.
Бухгалтер должен понимать, что он так или иначе завязан на показатели компании. Многие бухгалтеры относятся к оптимизации налогов, как к дополнительной нагрузке. И отчасти это верно. Работы у них и так всегда хватает без этого. А оптимизация сегодня – это очень непростой процесс. Некоторые компании специально нанимают налоговых консультантов и платят им большие деньги. А кто-то просто вываливает это все на штатного бухгалтера. Так делать не нужно.
Это серьезная работа и у него должна быть мотивация делать дополнительный объем, как минимум хорошая премия в конце квартала.
Если это оптимизация НДС, он должен точно посчитать, сколько и каких документов купить, у какого поставщика, соблюсти лимиты, как грамотно провести, как оформить договоры и первичную документацию, корректно декларировать, создать легендирование. Решать в дальнейшем возможные проблемы с инспекторами и отстаивать свою позицию, не поддаваясь на запугивания и провокации. Должен уметь разговаривать с налоговиками на их языке и иметь контакты тех, кто сможет помочь.
Экономя средства компании на налогах, бухгалтер должен понимать, что это ему будет оплачено. Часто экономия достигает сотен миллионов рублей, и главбух это знает.
Поэтому иногда компетентные главбухи, понимая свои возможности и не получая мотивации, решают заработать. Мы лично сталкивались с тем, что бухгалтер закупал НДС по одной ставке, а руководителю озвучивал другую, кладя разницу в карман. Некоторые даже умудряются продать свой НДС компании налево за дорого, а купить по объявлению дешево. Можно завышать налоги, а затем возвращать и выводить себе на карту. Конечно, это риски, приводящие к серьезным последствиям.
Хороший бухгалтер всегда найдёт, где его оценят, поэтому общайтесь с ним, узнавайте потребности и недовольства заранее, создавайте условия, в которых он нуждается и мотивируйте. В отчетный период можно назначить ему отдельного помощника. Он должен быть в команде и работать на благо компании, но под надзором собственника.
Где найти хорошего бухгалтера – вопрос не к нам. Опытные бухгалтеры не ищут работу. Чаще всего они появляются, благодаря связям и рекомендациям.
#финансовая
@businesssafe
👍15
Трехэтапный подход к обеспечению информационной безопасности
Сегодня рассмотрим одну из моделей построения системы безопасности с примерами.
Этап 1: Поймите свою инфраструктуру.
На нем нужно разобраться с локальными сетями, устройствами, а также с программным обеспечением, что именно будете защищать.
Здесь 5 ключевых вопросов:
1. Какую информацию нужно защищать? Где в системе находятся самые чувствительные данные?
2. Какие устройства вовлечены в работу?
3. Какое программное обеспечение используется?
4. Используются ли надежные пароли?
5. С какими ресурсами в интернете взаимодействуют сотрудники? Посещают ли они социальные сети на рабочем месте?
Раскроем.
Чтобы защитить свое дело, нужно понимать ценность данных, а также то, как их могут использовать злоумышленники. Вот примеры данных, являющихся критически важными:
• Данные карт, банковские документы, финансовая информация и бухгалтерия;
• Персональные данные сотрудников
• Другие коммерческие тайны организации.
Какие устройства вовлечены в работу? Соблюдается ли параллелизм: не используется ли рабочее устройство в личных целях?
Зная, какие устройства используются, вы успешнее управляете организацией. Понимаете, что конкретно нужно защищать. Ведите учет вашего оборудования и создайте перечень защищаемой информации: компьютеры, телефоны, банковские и SIM-карты, модемы и роутеры. Создайте электронную таблицу и регулярно обновляйте ее при появлении нового оборудования и данных или при их потере/выходе из строя. Если есть локальная сеть, поручите системному администратору использовать Nmap, ZenMap, – это сетевые сканеры, позволяющие определить, какие устройства подключены к сети – а также ПО для управления устройствами и установленным программным обеспечением в вашей сети.
Создайте план регулярных проверок и обновления программного обеспечения, которое используете. Старайтесь использовать ПО с открытым исходным кодом (opensource), чтобы избежать проблем с программными закладками, позволяющими криминалистам получить доступ к вашим данным. То же самое касается и устройств – никаких макбуков, айфонов или хуавеев. О выборе конкретных устройств поговорим в будущих постах.
Этап 2 Защищайте активы
Чтобы защитить информацию, мало технических решений. Проводите семинары, на которых будете рассказывать о том, как вести себя при приходе ребят в погонах и как вести себя, чтобы не занести на устройства заразу. Составьте документ, что можно делать на рабочем месте, а что нельзя, и сделайте так, чтобы сотрудники придерживались его. Используйте двух- или многофакторную аутентификацию везде, где это возможно. Токены, смарт-карты и смс – ваши лучшие друзья. Поймите, кто из сотрудников в вашей организации имеет доступ к конфиденциальной информации и убедитесь, что они осознают свою роль и осведомлены об основных правилах цифровой гигиены и защиты информации. Убедитесь, что работники могут определить основные признаки фишинговой атаки; например, когда кто-то в спешке просит ценную информацию или требует игнорировать процедуры безопасности. Если сотрудник понимает, что происходящее кажется странным, подозрительным или слишком хорошо звучит, чтобы быть правдой – он готов отражать подобные типы атак.
Этап 3 Подготовьте организацию
После разработки модели обеспечения информационной безопасности нужно обдумать сценарии реакций на атаки или инциденты. Это значит, нужно понять, как реагировать на ту или иную ситуацию, нарушающую безопасность, а также как быстро восстановиться после нее. Определите, какая конкретно информация важна для вас в случае атаки, и зашифруйте ее в криптоконтейнере, переместив на носитель, вроде флешки. Саму флешку можете поместить в банковскую ячейку или отдать доверенным лицам. Если необходимо, сделайте копии.
#информационная
@businesssafe
Сегодня рассмотрим одну из моделей построения системы безопасности с примерами.
Этап 1: Поймите свою инфраструктуру.
На нем нужно разобраться с локальными сетями, устройствами, а также с программным обеспечением, что именно будете защищать.
Здесь 5 ключевых вопросов:
1. Какую информацию нужно защищать? Где в системе находятся самые чувствительные данные?
2. Какие устройства вовлечены в работу?
3. Какое программное обеспечение используется?
4. Используются ли надежные пароли?
5. С какими ресурсами в интернете взаимодействуют сотрудники? Посещают ли они социальные сети на рабочем месте?
Раскроем.
Чтобы защитить свое дело, нужно понимать ценность данных, а также то, как их могут использовать злоумышленники. Вот примеры данных, являющихся критически важными:
• Данные карт, банковские документы, финансовая информация и бухгалтерия;
• Персональные данные сотрудников
• Другие коммерческие тайны организации.
Какие устройства вовлечены в работу? Соблюдается ли параллелизм: не используется ли рабочее устройство в личных целях?
Зная, какие устройства используются, вы успешнее управляете организацией. Понимаете, что конкретно нужно защищать. Ведите учет вашего оборудования и создайте перечень защищаемой информации: компьютеры, телефоны, банковские и SIM-карты, модемы и роутеры. Создайте электронную таблицу и регулярно обновляйте ее при появлении нового оборудования и данных или при их потере/выходе из строя. Если есть локальная сеть, поручите системному администратору использовать Nmap, ZenMap, – это сетевые сканеры, позволяющие определить, какие устройства подключены к сети – а также ПО для управления устройствами и установленным программным обеспечением в вашей сети.
Создайте план регулярных проверок и обновления программного обеспечения, которое используете. Старайтесь использовать ПО с открытым исходным кодом (opensource), чтобы избежать проблем с программными закладками, позволяющими криминалистам получить доступ к вашим данным. То же самое касается и устройств – никаких макбуков, айфонов или хуавеев. О выборе конкретных устройств поговорим в будущих постах.
Этап 2 Защищайте активы
Чтобы защитить информацию, мало технических решений. Проводите семинары, на которых будете рассказывать о том, как вести себя при приходе ребят в погонах и как вести себя, чтобы не занести на устройства заразу. Составьте документ, что можно делать на рабочем месте, а что нельзя, и сделайте так, чтобы сотрудники придерживались его. Используйте двух- или многофакторную аутентификацию везде, где это возможно. Токены, смарт-карты и смс – ваши лучшие друзья. Поймите, кто из сотрудников в вашей организации имеет доступ к конфиденциальной информации и убедитесь, что они осознают свою роль и осведомлены об основных правилах цифровой гигиены и защиты информации. Убедитесь, что работники могут определить основные признаки фишинговой атаки; например, когда кто-то в спешке просит ценную информацию или требует игнорировать процедуры безопасности. Если сотрудник понимает, что происходящее кажется странным, подозрительным или слишком хорошо звучит, чтобы быть правдой – он готов отражать подобные типы атак.
Этап 3 Подготовьте организацию
После разработки модели обеспечения информационной безопасности нужно обдумать сценарии реакций на атаки или инциденты. Это значит, нужно понять, как реагировать на ту или иную ситуацию, нарушающую безопасность, а также как быстро восстановиться после нее. Определите, какая конкретно информация важна для вас в случае атаки, и зашифруйте ее в криптоконтейнере, переместив на носитель, вроде флешки. Саму флешку можете поместить в банковскую ячейку или отдать доверенным лицам. Если необходимо, сделайте копии.
#информационная
@businesssafe
👍16
Как не «попасть» при работе с персональными данными?
Мы учитываем максимально все риски для компании. В наших реалиях самую большую опасность представляет даже не рынок и не бизнес-процессы, а контролирующие органы. Несоблюдение разных законов и ограничений может породить такие санкции с их стороны, что никакая сверхприбыльная бизнес-модель не поможет. В основном, это касается налоговой и МВД, но про это позже. Сейчас напомним, что ещё есть такое ведомство, как Роскомнадзор. Они тоже не спят и способны доставить много неприятностей. Одна из таких – штрафы за несоблюдение закона о персональных данных.
В 2021 год порядок работы с персональными данными изменился в сторону ужесточения. Были повышены штрафы и ответственность вплоть до уголовной. Регулируется это Федеральным законом «О персональных данных» от 27.07.2006 N 152-ФЗ.
Любая компания так или иначе имеет дело с персональными данными. А значит, это касается всех.
Персональные данные — это любая информация, которая прямо или косвенно относится к физлицу и позволяют его идентифицировать: Ф.И.О., адрес, паспорт, СНИЛС, образование, семейное положение, имущество и т.п. Даже размер зарплаты. И на обработку всей такой информации нужно согласие владельца. Не относятся к персональным данным только обезличенные данные.
Сегодня компании за некоторыми исключениями должны уведомлять Роскомнадзор, что обрабатывают персональные данные. Исключения: обработка информации в связи с трудовым законодательством только работников, либо для оформления однократного пропуска. После уведомления вас включат в реестр операторов персональных данных. Но это ещё не все. Вам придется постоянно актуализировать сведения. За работу без уведомления могут привлечь к ответственности по ст. 19.7 КоАП.
Штрафы для компаний немаленькие. Перечислим некоторые.
Обрабатывали персональные данные без письменного согласия владельца – от 30 до 500 тысяч.
Не обеспечили сохранность персональных данных при обработке – от 50 до 100 тысяч.
Не выполнили обязанность по обеспечению записи систематизации накопления хранения уточнения или извлечения персональных данных, которые собрали через интернет – от 1 до 18 млн рублей.
Чтобы не попасть под подобные санкции нужно собрать со всех работников письменные согласия на обработку персональных данных. Если работаете с данными клиентов, и от них тоже. В случае с клиентами это может быть галочка на сайте при заполнении анкеты или оформлении заказа. Но там необходимо выложить и политику конфиденциальности или пользовательское соглашение. Не будем подробно это разбирать, на большинстве ресурсов можно увидеть, как это оформлено.
С сотрудников нужно получить согласие на обработку и распространение. Это два разных документа! Есть случаи, когда это не требуется, но мы советуем делать это всегда. Если собираетесь распространять данные клиентов – от них тоже потребуется два согласия. Формы есть в открытом доступе в сети.
Если данные сотрудника нужны контрагенту, например, как вашего представителя, также возьмите у него письменное согласие на передачу персональных данных третьему лицу. С 1 марта 2021 года включить условие об их передаче в согласие на обработку нельзя. Нужен отдельный документ.
Предоставлять документы с персональными данными без согласия можно только госорганам, третьим лицам в случае экстренной ситуации, профсоюзу, третьим лицам в связи с исполнением должностных обязанностей.
Повторим, это касается практически любого бизнеса, где так или иначе собирают и обрабатывают персональные данные.
#юридическая
@businesssafe
Мы учитываем максимально все риски для компании. В наших реалиях самую большую опасность представляет даже не рынок и не бизнес-процессы, а контролирующие органы. Несоблюдение разных законов и ограничений может породить такие санкции с их стороны, что никакая сверхприбыльная бизнес-модель не поможет. В основном, это касается налоговой и МВД, но про это позже. Сейчас напомним, что ещё есть такое ведомство, как Роскомнадзор. Они тоже не спят и способны доставить много неприятностей. Одна из таких – штрафы за несоблюдение закона о персональных данных.
В 2021 год порядок работы с персональными данными изменился в сторону ужесточения. Были повышены штрафы и ответственность вплоть до уголовной. Регулируется это Федеральным законом «О персональных данных» от 27.07.2006 N 152-ФЗ.
Любая компания так или иначе имеет дело с персональными данными. А значит, это касается всех.
Персональные данные — это любая информация, которая прямо или косвенно относится к физлицу и позволяют его идентифицировать: Ф.И.О., адрес, паспорт, СНИЛС, образование, семейное положение, имущество и т.п. Даже размер зарплаты. И на обработку всей такой информации нужно согласие владельца. Не относятся к персональным данным только обезличенные данные.
Сегодня компании за некоторыми исключениями должны уведомлять Роскомнадзор, что обрабатывают персональные данные. Исключения: обработка информации в связи с трудовым законодательством только работников, либо для оформления однократного пропуска. После уведомления вас включат в реестр операторов персональных данных. Но это ещё не все. Вам придется постоянно актуализировать сведения. За работу без уведомления могут привлечь к ответственности по ст. 19.7 КоАП.
Штрафы для компаний немаленькие. Перечислим некоторые.
Обрабатывали персональные данные без письменного согласия владельца – от 30 до 500 тысяч.
Не обеспечили сохранность персональных данных при обработке – от 50 до 100 тысяч.
Не выполнили обязанность по обеспечению записи систематизации накопления хранения уточнения или извлечения персональных данных, которые собрали через интернет – от 1 до 18 млн рублей.
Чтобы не попасть под подобные санкции нужно собрать со всех работников письменные согласия на обработку персональных данных. Если работаете с данными клиентов, и от них тоже. В случае с клиентами это может быть галочка на сайте при заполнении анкеты или оформлении заказа. Но там необходимо выложить и политику конфиденциальности или пользовательское соглашение. Не будем подробно это разбирать, на большинстве ресурсов можно увидеть, как это оформлено.
С сотрудников нужно получить согласие на обработку и распространение. Это два разных документа! Есть случаи, когда это не требуется, но мы советуем делать это всегда. Если собираетесь распространять данные клиентов – от них тоже потребуется два согласия. Формы есть в открытом доступе в сети.
Если данные сотрудника нужны контрагенту, например, как вашего представителя, также возьмите у него письменное согласие на передачу персональных данных третьему лицу. С 1 марта 2021 года включить условие об их передаче в согласие на обработку нельзя. Нужен отдельный документ.
Предоставлять документы с персональными данными без согласия можно только госорганам, третьим лицам в случае экстренной ситуации, профсоюзу, третьим лицам в связи с исполнением должностных обязанностей.
Повторим, это касается практически любого бизнеса, где так или иначе собирают и обрабатывают персональные данные.
#юридическая
@businesssafe
👍21🔥2
Как защитить бизнес от недобросовестного номинала?
Иногда требуется разделить компанию на несколько юрлиц. Причины могут быть разными. Вкратце это:
1. Избегание взаимозависимости компаний, когда ими владеет один человек;
2. Оптимизация бизнес-процессов;
3. Выделение отдельного направления;
4. Прекращение деятельности с расчетом в будущем возобновить бизнес;
5. Владелец не хочет «светиться» или по закону не может возглавлять фирму;
6. Владелец не желает отвлекаться на юридические моменты;
7. Оптимизация налогообложения;
8. Понижение интереса контролирующих органов;
9. Защита активов.
Новой компании требуется директор. Найти его не сложно. Про номинальных директоров уже писали тут.
Встает вопрос в чистоплотности нового руководителя и методах снижения рисков от его необдуманных или злонамеренных действий. Не всегда можно найти на 100% надежного человека. Да, и как показывает практика, сегодня – он надежный, а завтра – лютый враг. А ведь под воздействием недоброжелателей такой товарищ может попробовать и увести бизнес.
Умные юристы уже давно придумали действенный способ. Это опционный договор.
Владелец оформляет такой договор с номинальным директором, где прописывается условие, что доля в компании может быть выкуплена при определенных условиях без согласия со стороны номинала и по определенной цене. Условия прописываются отдельно.
Это защитит владельца, который получает возможность официально вернуть себе компанию при любых подозрениях. Цена прописывается для того, чтобы не отталкиваться от рынка. Бывает так, что при создании фирмы ее стоимость близка к нулю. Там нет активов, крупных контрактов, репутации на рынке и т.п. С ростом оборотов ее стоимость растет. Иногда растет так, что у номинального директора может закружиться голова, если он представит, сколько бы мог иметь, если бы реально владел компанией.
В отличие от договоров займа и залога, с которыми нужно идти в суд, эта процедура возвращения бизнеса довольно простая. Если форс-мажор все-таки случается, владелец берет опционный договор, идет к нотариусу, объясняет ситуацию и заявляет, что выкупает долю, согласно условиям договора. После чего перечисляет средства на депозитный счет нотариуса. Больше ничего делать не нужно. Нотариус оформляет документы и отправляет уведомление «продавцу», что тот больше не владеет компанией, может прийти и получить стоимость своей доли. А придет или нет, это уже не имеет значения.
При помощи опционного договора инвестор может защитить свои интересы при открытии нового бизнеса. Допустим, он вкладывает крупную сумму денег в новый проект, руководителем которого ставит номинала или доверенное лицо. Сам же ничем не занимается, но планирует вернуть свои инвестиции и получать прибыль. Если что-то пойдет не так, он точно также возвращает себе бизнес и в будущем может продать его или нанять другого управленца.
Также опционный договор можно использовать и в другую сторону. Например, если владеете компанией, но не участвуете в ее хозяйственной деятельности, вы можете заключить такой договор с руководителем или несколькими, где будет прописано, что при достижении определенных показателей и условий они вправе выкупить небольшую долю компании. Тем самым у них появляется перспектива стать совладельцами и рассчитывать на совсем другие доходы. Это всегда действует стимулирующе.
Используйте этот механизм и читайте канал «Безопасность бизнеса». У нас еще много подобных полезных инструментов, которыми будем делиться.
#юридическая
@businesssafe
Иногда требуется разделить компанию на несколько юрлиц. Причины могут быть разными. Вкратце это:
1. Избегание взаимозависимости компаний, когда ими владеет один человек;
2. Оптимизация бизнес-процессов;
3. Выделение отдельного направления;
4. Прекращение деятельности с расчетом в будущем возобновить бизнес;
5. Владелец не хочет «светиться» или по закону не может возглавлять фирму;
6. Владелец не желает отвлекаться на юридические моменты;
7. Оптимизация налогообложения;
8. Понижение интереса контролирующих органов;
9. Защита активов.
Новой компании требуется директор. Найти его не сложно. Про номинальных директоров уже писали тут.
Встает вопрос в чистоплотности нового руководителя и методах снижения рисков от его необдуманных или злонамеренных действий. Не всегда можно найти на 100% надежного человека. Да, и как показывает практика, сегодня – он надежный, а завтра – лютый враг. А ведь под воздействием недоброжелателей такой товарищ может попробовать и увести бизнес.
Умные юристы уже давно придумали действенный способ. Это опционный договор.
Владелец оформляет такой договор с номинальным директором, где прописывается условие, что доля в компании может быть выкуплена при определенных условиях без согласия со стороны номинала и по определенной цене. Условия прописываются отдельно.
Это защитит владельца, который получает возможность официально вернуть себе компанию при любых подозрениях. Цена прописывается для того, чтобы не отталкиваться от рынка. Бывает так, что при создании фирмы ее стоимость близка к нулю. Там нет активов, крупных контрактов, репутации на рынке и т.п. С ростом оборотов ее стоимость растет. Иногда растет так, что у номинального директора может закружиться голова, если он представит, сколько бы мог иметь, если бы реально владел компанией.
В отличие от договоров займа и залога, с которыми нужно идти в суд, эта процедура возвращения бизнеса довольно простая. Если форс-мажор все-таки случается, владелец берет опционный договор, идет к нотариусу, объясняет ситуацию и заявляет, что выкупает долю, согласно условиям договора. После чего перечисляет средства на депозитный счет нотариуса. Больше ничего делать не нужно. Нотариус оформляет документы и отправляет уведомление «продавцу», что тот больше не владеет компанией, может прийти и получить стоимость своей доли. А придет или нет, это уже не имеет значения.
При помощи опционного договора инвестор может защитить свои интересы при открытии нового бизнеса. Допустим, он вкладывает крупную сумму денег в новый проект, руководителем которого ставит номинала или доверенное лицо. Сам же ничем не занимается, но планирует вернуть свои инвестиции и получать прибыль. Если что-то пойдет не так, он точно также возвращает себе бизнес и в будущем может продать его или нанять другого управленца.
Также опционный договор можно использовать и в другую сторону. Например, если владеете компанией, но не участвуете в ее хозяйственной деятельности, вы можете заключить такой договор с руководителем или несколькими, где будет прописано, что при достижении определенных показателей и условий они вправе выкупить небольшую долю компании. Тем самым у них появляется перспектива стать совладельцами и рассчитывать на совсем другие доходы. Это всегда действует стимулирующе.
Используйте этот механизм и читайте канал «Безопасность бизнеса». У нас еще много подобных полезных инструментов, которыми будем делиться.
#юридическая
@businesssafe
👍20🔥5
Неочевидные риски соцсетей
Мы разбираем различные аспекты безопасности, включая те, которые сразу не заметны. Все знают, что руководителю и ключевым сотрудникам лучше не пользоваться соцсетями. Либо же соблюдать строгую «информационную гигиену»: не указывать свой номер, не делиться ничем личным, фильтровать «друзей» и т.п. Про это будем писать далее.
Сегодня осветим неочевидные риски соцсетей. Это налоговая.
В инспекции тоже работают люди и, как все, используют соцсети. Иногда для решения конкретных задач, иногда – чтобы просто получить больше информации о налогоплательщике. Мониторят все до чего могут дотянуться: ВК, Instagram, Facebook, ОК, Youtube-каналы и т.п.
При этом скрины страниц аккаунтов считаются вполне себе доказательствами в суде.
В основном доказывают аффилированность или знакомство контрагентов или физлиц. Когда директор узнает о возможном назначении выездной налоговой проверки, он старается обезопасить активы, переписывая их на друзей и знакомых. Оформлять имущество на незнакомого человека не станешь, поэтому привлекаются разные дальние родственники, одноклассники и т.п.
Тогда налоговые инспекторы и лезут в соцсети, где могут найти, что незнакомые контрагенты/физлица уже много раз пили вместе пиво и гоняли в отпуск. А значит, это вовсе не продажа, а простая смена владельца для ухода от доначислений. То же при дроблении.
Иногда по датам фоток постов можно отследить, где и когда находился руководитель и утверждать, что он физически не мог подписать договор или акт, так как был на отдыхе в Таиланде.
Особо недалекие руководители могут ещё и поделиться подробностями своего бизнеса и благосостояния, похвастаться какой-нибудь сделкой или приобретением. Были случаи, когда человек выкладывал посты, от лица владельца бизнеса, который был оформлен на подставных лиц. Конечно, ему назначили проверку.
Мы знаем случаи, когда в соцсетях инспекторы собирали и полноценную доказательную базу по дроблению и взаимозависимости. Например, когда якобы независимая компания-дистрибьютер открыто заявляет на своей страничке, что продукцию производит «свой завод» и детально описывает производство и качество товара.
Также в соцсетях мониторят круг общения. По закону, инспектор может пригласить на встречу любого, у кого считает, есть интересующая его информация. А давить на близких, которые к такому вовсе не готовы гораздо проще, чем на предпринимателя и узнать часто можно очень много. Таким же образом вычисляют номинальных директоров.
И даже, если человек проявляет чудеса шифрования, не имеет никаких аккаунтов в соцсетях и не живет по адресу регистрации, его можно вычислить именно по окружению. Программы поиска по фото позволяют найти странички, где он так или иначе засветился и пригласить на допрос уже их владельцев. Часто так работают и в МВД.
Поверьте, никто и никогда не будет пытаться вас отстоять, когда придут люди в погонах и начнут говорить страшные слова: ответственность, налоговое преступление, уголовное дело. Поэтому повторим: мы не рекомендуем использовать соцсети от слова совсем. Помните же: любая информация может быть использована против вас.
С другой стороны, можно использовать соцсети для создания необходимых вам доказательств, которые потом предъявлять тем же инспекторам. Но это уже высший пилотаж, серьезная работа и тема отдельного поста.
#информационная #налоговая
@businesssafe
Мы разбираем различные аспекты безопасности, включая те, которые сразу не заметны. Все знают, что руководителю и ключевым сотрудникам лучше не пользоваться соцсетями. Либо же соблюдать строгую «информационную гигиену»: не указывать свой номер, не делиться ничем личным, фильтровать «друзей» и т.п. Про это будем писать далее.
Сегодня осветим неочевидные риски соцсетей. Это налоговая.
В инспекции тоже работают люди и, как все, используют соцсети. Иногда для решения конкретных задач, иногда – чтобы просто получить больше информации о налогоплательщике. Мониторят все до чего могут дотянуться: ВК, Instagram, Facebook, ОК, Youtube-каналы и т.п.
При этом скрины страниц аккаунтов считаются вполне себе доказательствами в суде.
В основном доказывают аффилированность или знакомство контрагентов или физлиц. Когда директор узнает о возможном назначении выездной налоговой проверки, он старается обезопасить активы, переписывая их на друзей и знакомых. Оформлять имущество на незнакомого человека не станешь, поэтому привлекаются разные дальние родственники, одноклассники и т.п.
Тогда налоговые инспекторы и лезут в соцсети, где могут найти, что незнакомые контрагенты/физлица уже много раз пили вместе пиво и гоняли в отпуск. А значит, это вовсе не продажа, а простая смена владельца для ухода от доначислений. То же при дроблении.
Иногда по датам фоток постов можно отследить, где и когда находился руководитель и утверждать, что он физически не мог подписать договор или акт, так как был на отдыхе в Таиланде.
Особо недалекие руководители могут ещё и поделиться подробностями своего бизнеса и благосостояния, похвастаться какой-нибудь сделкой или приобретением. Были случаи, когда человек выкладывал посты, от лица владельца бизнеса, который был оформлен на подставных лиц. Конечно, ему назначили проверку.
Мы знаем случаи, когда в соцсетях инспекторы собирали и полноценную доказательную базу по дроблению и взаимозависимости. Например, когда якобы независимая компания-дистрибьютер открыто заявляет на своей страничке, что продукцию производит «свой завод» и детально описывает производство и качество товара.
Также в соцсетях мониторят круг общения. По закону, инспектор может пригласить на встречу любого, у кого считает, есть интересующая его информация. А давить на близких, которые к такому вовсе не готовы гораздо проще, чем на предпринимателя и узнать часто можно очень много. Таким же образом вычисляют номинальных директоров.
И даже, если человек проявляет чудеса шифрования, не имеет никаких аккаунтов в соцсетях и не живет по адресу регистрации, его можно вычислить именно по окружению. Программы поиска по фото позволяют найти странички, где он так или иначе засветился и пригласить на допрос уже их владельцев. Часто так работают и в МВД.
Поверьте, никто и никогда не будет пытаться вас отстоять, когда придут люди в погонах и начнут говорить страшные слова: ответственность, налоговое преступление, уголовное дело. Поэтому повторим: мы не рекомендуем использовать соцсети от слова совсем. Помните же: любая информация может быть использована против вас.
С другой стороны, можно использовать соцсети для создания необходимых вам доказательств, которые потом предъявлять тем же инспекторам. Но это уже высший пилотаж, серьезная работа и тема отдельного поста.
#информационная #налоговая
@businesssafe
👍27🔥3
Почему сейчас стоит использовать Linux
Безопасность подразумевает разные решения и не всегда они на 100% удобные. Вы же не будете спорить, что строительная каска на объекте защищает? Хотя носить ее в жару не всегда доставляет удовольствие. Про маски и корону говорить не будем, вопрос спорный. Сегодня отметим одну фишку, которая реально защищает ваши данные.
С введением санкций зарубежные поставщики ПО начали постепенно отказываться работать с российскими компаниями и иногда даже с физлицами. В то же время правительство РФ обязывает отказаться от использования зарубежных программ и ОС в ближайшие годы. Правда, пока только в госучреждениях, но тенденция понятна. Импортозамещение ширится.
Поэтому сегодня про Linux — альтернативу операционной системе Windows. Раскроем ее плюшки и недостатки. Говорить про историю этой ОС и про отдельные дистрибутивы (редакции, сборки) не будем, сосредоточимся на ключевых моментах.
Плюсы:
1. Продвинутый уровень безопасности.
Код ядра ОС Linux и исходники большей части программ под него открыты и регулярно проходят серьезные аудиты, которые выявляют и устраняют уязвимости. В Windows код всей ОС и большей части программ закрыт, что позволяет разработчикам при необходимости внедрить в нее что угодно, какой захочется вредоносный функционал. А в наше время это стало особенно опасно. Также в Linux в разы больше возможностей реализации сложных и надежных методов обеспечения инфобезопасности – как личной, так и корпоративной.
2. Большая свобода действий.
Здесь пользователь сам решает, что и когда происходит с системой, как она будет реагировать на те или иные события. Рабочее окружение можно ювелирно настраивать под себя. Времена сложного и неудобного Linux ушли. Уже появилось куча разного ПО и драйверов, а пользовательский опыт круто усовершенствован.
3. Высокая производительность.
В отличие от Windows, Linux весит сильно меньше и в целом использует ресурсы более оптимально. В системе не будет ненужных предустановленных программ и всякой шпионской телеметрии.
4. Актуальность и стабильность.
Linux захватил почти всю «серверную» часть интернета еще очень давно, и вряд ли это изменится в ближайшие 10-15 лет. Популярность Linux на десктопах также растет, потому что Microsoft делает все более закрытую, неповоротливую и следящую за каждым вашим шорохом операционную систему с кучей уязвимостей. Если действительно заботитесь об информационной безопасности, советуем хотя бы поверхностно изучить внутреннее устройство и основные команды Linux — поверьте, актуальными эти знания будут еще очень долго.
Минусы:
1. Непривычность.
Самый большой «минус», который отталкивает обычных людей от Linux —это непривычность по сравнению с Windows, особенно пугает командная строка. Да, здесь все иначе, но если вы погрузитесь в тему, то очень скоро поймете, что многие вещи сделаны «по уму» и более мудро, а работать в командной строке не так страшно и в некоторых задачах даже удобнее и быстрее. Это примерно похоже, как если пересесть с Android на Iphone. Несколько дней напряжно, а потом обратно не затащишь;
2. Все еще не хватает ПО.
Да. Хотя система становится все более универсальной и поддерживающей все большее количество ПО, для некоторых задач альтернативы ПО из Windows все еще нет или принципиально быть не может, и это отталкивает юзеров. Но проблема с каждым годом потихоньку решается адаптацией нужного ПО. К тому же можно воспользоваться виртуализацией, о которой будем писать позже.
Это не все плюсы и минусы, но общую картину, думаем, донесли. Стоит ли пользоваться Linux, решать вам, но потребность в этой ОС в последнее время растет – это факт. Мы бы советовали. Безопасность системы в разы выше привычной винды. Про дистрибутивы, для каких задач они используются и как с ними работать, поговорим в будущем.
#информационная
@businesssafe
Безопасность подразумевает разные решения и не всегда они на 100% удобные. Вы же не будете спорить, что строительная каска на объекте защищает? Хотя носить ее в жару не всегда доставляет удовольствие. Про маски и корону говорить не будем, вопрос спорный. Сегодня отметим одну фишку, которая реально защищает ваши данные.
С введением санкций зарубежные поставщики ПО начали постепенно отказываться работать с российскими компаниями и иногда даже с физлицами. В то же время правительство РФ обязывает отказаться от использования зарубежных программ и ОС в ближайшие годы. Правда, пока только в госучреждениях, но тенденция понятна. Импортозамещение ширится.
Поэтому сегодня про Linux — альтернативу операционной системе Windows. Раскроем ее плюшки и недостатки. Говорить про историю этой ОС и про отдельные дистрибутивы (редакции, сборки) не будем, сосредоточимся на ключевых моментах.
Плюсы:
1. Продвинутый уровень безопасности.
Код ядра ОС Linux и исходники большей части программ под него открыты и регулярно проходят серьезные аудиты, которые выявляют и устраняют уязвимости. В Windows код всей ОС и большей части программ закрыт, что позволяет разработчикам при необходимости внедрить в нее что угодно, какой захочется вредоносный функционал. А в наше время это стало особенно опасно. Также в Linux в разы больше возможностей реализации сложных и надежных методов обеспечения инфобезопасности – как личной, так и корпоративной.
2. Большая свобода действий.
Здесь пользователь сам решает, что и когда происходит с системой, как она будет реагировать на те или иные события. Рабочее окружение можно ювелирно настраивать под себя. Времена сложного и неудобного Linux ушли. Уже появилось куча разного ПО и драйверов, а пользовательский опыт круто усовершенствован.
3. Высокая производительность.
В отличие от Windows, Linux весит сильно меньше и в целом использует ресурсы более оптимально. В системе не будет ненужных предустановленных программ и всякой шпионской телеметрии.
4. Актуальность и стабильность.
Linux захватил почти всю «серверную» часть интернета еще очень давно, и вряд ли это изменится в ближайшие 10-15 лет. Популярность Linux на десктопах также растет, потому что Microsoft делает все более закрытую, неповоротливую и следящую за каждым вашим шорохом операционную систему с кучей уязвимостей. Если действительно заботитесь об информационной безопасности, советуем хотя бы поверхностно изучить внутреннее устройство и основные команды Linux — поверьте, актуальными эти знания будут еще очень долго.
Минусы:
1. Непривычность.
Самый большой «минус», который отталкивает обычных людей от Linux —это непривычность по сравнению с Windows, особенно пугает командная строка. Да, здесь все иначе, но если вы погрузитесь в тему, то очень скоро поймете, что многие вещи сделаны «по уму» и более мудро, а работать в командной строке не так страшно и в некоторых задачах даже удобнее и быстрее. Это примерно похоже, как если пересесть с Android на Iphone. Несколько дней напряжно, а потом обратно не затащишь;
2. Все еще не хватает ПО.
Да. Хотя система становится все более универсальной и поддерживающей все большее количество ПО, для некоторых задач альтернативы ПО из Windows все еще нет или принципиально быть не может, и это отталкивает юзеров. Но проблема с каждым годом потихоньку решается адаптацией нужного ПО. К тому же можно воспользоваться виртуализацией, о которой будем писать позже.
Это не все плюсы и минусы, но общую картину, думаем, донесли. Стоит ли пользоваться Linux, решать вам, но потребность в этой ОС в последнее время растет – это факт. Мы бы советовали. Безопасность системы в разы выше привычной винды. Про дистрибутивы, для каких задач они используются и как с ними работать, поговорим в будущем.
#информационная
@businesssafe
👍25🔥3
Проверка менеджеров контрагента
Причин, по которым стоит проверять товарищей контрагентов, как и сотрудников, можно собрать сотни и тысячи. Об этом наделано уже много постов. Мы снова расскажем про неочевидные.
И это опять налоговая. Сегодня это – самый большой фактор риска и проблем для любого бизнеса от мала до велика. Требования к проверкам все ужесточаются, гайки завинчиваются. Дело в том, что инспекторы сами не хотят этим заниматься и перекладывают обузу и ответственность за выбор друзей-партнеров на бизнесменов. Для этого в свое время была введена налоговая оговорка в договорах, требования о проявлении должной осмотрительности и прочие повинности. Также напилено куча специальных электронных сервисов и даже возможность «дружить» с контром в сервисе ФНС, на подобие того, как это устроено в соцсетях.
Но, как показывает практика, инспекторам этого мало. Да и проверка с оговоркой не защитит компанию, если партнер пропадет и станет не абонент, не выполнив обязательства.
Если вы крупная компания, рекомендуем обеспечить перекрестный контроль нескольких отделов: финансового, договорного, бухгалтерии, продаж. Пусть проверкой занимаются все, кто так или иначе имеет дело с контрами. И, если где-то есть подозрения в ненадежности, стоит запариться и провести более глубокую проверку. Это же позволит исключить и ряд чисто коммерческих рисков.
Мы рекомендуем начать проверять не только компанию, но и физиков – должностных лиц контрагента, в частности менеджеров по закупкам и продажам. Именно они чаще всего являются источниками срыва обязательств и риска невыполнения договоров. Тут два фактора – простая халатность и умышленные действия, направленные на личное обогащение.
Что касается халатности, часто служба закупок смотрит исключительно на цену и условия поставки и не желает убеждаться, насколько поставщик хорош, давно на рынке, надежен и обладает репутацией. Это риск.
Касаемо второго фактора, иногда менеджеры входят в сговор и в итоге компания-покупатель приобретает товар далеко не высшего качества и не по оптимальным для нее условиям. А вероятно, и вообще у недобросовестного поставщика. Обычно тупо завышается цена сделки, а менеджер получает «откат».
Мы знаем случаи, когда руководители отделов клепали собственные карманные лавки, которые приобретали продукцию у производителя за дешево и потом продавали ее своей же компании по совсем другим прайсам, удлиняя цепочку и завышая расходы. То же работает и в случае продажи, когда товар реализуется на «свою» фирму по заниженной цене, а дальше уже уходит реальным покупателям по рыночной.
Схем, как могут «подгадить» свои и чужие работники, множество, будем раскрывать в дальнейших постах. Поэтому их нужно проверять. Как надо проверять контрагентов, рассказывать не будем, об этом написано уже много. Как это делается в случае своих работников, мы рассказали в этом посте.
Так вот, все то же самое имеет смысл провести и относительно ключевых людей компании, с которой заключаете крупный контракт. Главное – не забывайте использовать различные источники, в том числе неофициальные. Именно они дают самую интересную информацию. Не будем вдаваться в вопросы корректности сбора таких сведений. Уверены, если вы потеряете сумму со многими нулями из-за того, что менеджер контрагента решил «навариться», вы не будете задаваться такими вопросами. А когда вам прилетит требование из налоговой о крупных доначислениях по подобной причине, вы полностью забудете про корректность.
Причем здесь налоговая? Да притом, что часто именно выкрутасы лиц на руководящих и даже не очень должностях приводят к тому, что фирмой заинтересуются фискалы. Читайте канал «Безопасность бизнеса» и мы расскажем, как с этим быть.
#внутренняя
@businesssafe
Причин, по которым стоит проверять товарищей контрагентов, как и сотрудников, можно собрать сотни и тысячи. Об этом наделано уже много постов. Мы снова расскажем про неочевидные.
И это опять налоговая. Сегодня это – самый большой фактор риска и проблем для любого бизнеса от мала до велика. Требования к проверкам все ужесточаются, гайки завинчиваются. Дело в том, что инспекторы сами не хотят этим заниматься и перекладывают обузу и ответственность за выбор друзей-партнеров на бизнесменов. Для этого в свое время была введена налоговая оговорка в договорах, требования о проявлении должной осмотрительности и прочие повинности. Также напилено куча специальных электронных сервисов и даже возможность «дружить» с контром в сервисе ФНС, на подобие того, как это устроено в соцсетях.
Но, как показывает практика, инспекторам этого мало. Да и проверка с оговоркой не защитит компанию, если партнер пропадет и станет не абонент, не выполнив обязательства.
Если вы крупная компания, рекомендуем обеспечить перекрестный контроль нескольких отделов: финансового, договорного, бухгалтерии, продаж. Пусть проверкой занимаются все, кто так или иначе имеет дело с контрами. И, если где-то есть подозрения в ненадежности, стоит запариться и провести более глубокую проверку. Это же позволит исключить и ряд чисто коммерческих рисков.
Мы рекомендуем начать проверять не только компанию, но и физиков – должностных лиц контрагента, в частности менеджеров по закупкам и продажам. Именно они чаще всего являются источниками срыва обязательств и риска невыполнения договоров. Тут два фактора – простая халатность и умышленные действия, направленные на личное обогащение.
Что касается халатности, часто служба закупок смотрит исключительно на цену и условия поставки и не желает убеждаться, насколько поставщик хорош, давно на рынке, надежен и обладает репутацией. Это риск.
Касаемо второго фактора, иногда менеджеры входят в сговор и в итоге компания-покупатель приобретает товар далеко не высшего качества и не по оптимальным для нее условиям. А вероятно, и вообще у недобросовестного поставщика. Обычно тупо завышается цена сделки, а менеджер получает «откат».
Мы знаем случаи, когда руководители отделов клепали собственные карманные лавки, которые приобретали продукцию у производителя за дешево и потом продавали ее своей же компании по совсем другим прайсам, удлиняя цепочку и завышая расходы. То же работает и в случае продажи, когда товар реализуется на «свою» фирму по заниженной цене, а дальше уже уходит реальным покупателям по рыночной.
Схем, как могут «подгадить» свои и чужие работники, множество, будем раскрывать в дальнейших постах. Поэтому их нужно проверять. Как надо проверять контрагентов, рассказывать не будем, об этом написано уже много. Как это делается в случае своих работников, мы рассказали в этом посте.
Так вот, все то же самое имеет смысл провести и относительно ключевых людей компании, с которой заключаете крупный контракт. Главное – не забывайте использовать различные источники, в том числе неофициальные. Именно они дают самую интересную информацию. Не будем вдаваться в вопросы корректности сбора таких сведений. Уверены, если вы потеряете сумму со многими нулями из-за того, что менеджер контрагента решил «навариться», вы не будете задаваться такими вопросами. А когда вам прилетит требование из налоговой о крупных доначислениях по подобной причине, вы полностью забудете про корректность.
Причем здесь налоговая? Да притом, что часто именно выкрутасы лиц на руководящих и даже не очень должностях приводят к тому, что фирмой заинтересуются фискалы. Читайте канал «Безопасность бизнеса» и мы расскажем, как с этим быть.
#внутренняя
@businesssafe
👍21🔥3👏2
Угрозы для предпринимателя. БЭП
Бизнес – это корабль в океане с непредсказуемым прогнозом и разной местной флорой и фауной. Как писали, самая большая опасность и риски исходят от налоговой. Денег в стране все меньше и власти требуют собирать все больше. Как заявил премьер, ФНС – это ведомство №1.
Если посмотреть, кто на втором месте, там будет отдел борьбы с экономическими преступлениями и противодействия коррупции (ОЭБиПК), он же БЭП.
Для начала теория. Эти парни работают в связке с ФНС и всегда подключаются при сложных и выездных проверках. Их интересуют случаи уклонения в крупном – от 15 млн, и в особо крупном размере – 45 млн при. Когда можно возбудить уголовное дело по ст. 199 УК РФ.
Можно сказать, у них взаимовыгодное сотрудничество. Работники налоговой владеют всей информацией о компаниях, но не настолько круты в оперативно-розыскных моментах. Опера БЭПа мало понимают в налогах, но умеют расследовать дела и трамбовать «клиентов». Для этого у них есть рычаги: прослушка, опросы, наблюдение, доступы на закрытые объекты и т.п.
Именно поэтому их иногда и приглашают на налоговые комиссии, чтобы налплату было страшнее или когда сами не справляются.
У работников БЭПа задачи те же самые – наказать злодея, вернуть добро и закрыть дело. Это официально. На деле же главная их цель – погреть карман за счет бизнеса. Именно поэтому они часто работают нахрапом, устраивают «маски-шоу», выемки и прочие перформансы. Чтобы комерс испугался, во всем признался и в состоянии аффекта был «готов» на любую сумму.
Кстати, если раньше товарищи из БЭПа могли сами инициировать прессинг, по сути, любой компании, с 9 марта этого года ситуация изменилась. И теперь возбуждать уголовные дела по налогам они могут лишь по результатам материалов проверок от ФНС. Для бизнеса это хорошо. Но есть нюанс. Мы живем в России и передать материалы следователю без проверки налоговый инспектор, конечно, сможет. А если спросят, сошлется на какое-нибудь межведомственное соглашение, которое нельзя показывать. В таких случаях наш совет: максимально придать такое огласке и затем оспаривать в суде.
Сразу расскажем, как БЭП выбирает жертв. Как и в случае с приставами, дела на каждого опера БЭПа валятся пачками. Как любой адекватный человек, он не будет разбирать их все. А будет выбирать самые «жирные» и самые простые. Простые – это там, где нужно меньше работать, чтобы «нагнуть» предпринимателя или начинающего оптимизатора-обнальщика. Кстати, дела по обналичке – одни из самых любимых и «вкусных», так как фигурантов много и получить можно и с бизнеса, и с обнальщиков.
БЭП действует по ситуации. Но в первую очередь всегда идет сбор информации. Поэтому мы регулярно пишем про информационную безопасность. Именно она стоит на передовой, когда на вас идут парни из органов.
Первым делом ставят прослушку, если надо – наружку, взламывают соцсети, почты и телефоны. Потом в ход идут свидетели и контрольные закупки, позже даже внедренцы.
У любого бизнеса есть «скелеты в сейфе», поэтому такие расклады тоже надо иметь в голове. Что делать в каждой конкретной ситуации, вам скажут ваш налоговый консультант и адвокат. Кстати, обоих этих специалистов настоятельно рекомендуем держать на расстоянии телефона. Да, и предупредите всех без исключения сотрудников, как себя вести в случае, например, спектакля «маски-шоу». А делать надо следующее – не отвечать ни на какие вопросы оперативников, а повторять одну единственную фразу: «прошу обеспечить явку адвоката ФИО, номер телефона». Не нужно думать, что вы или работники в силах компетентно противостоять давлению профи из БЭПа. Поэтому молчите и пусть это делает адвокат, он умеет.
Для этого посоветуем заключить с ним соглашение, где будут прописаны подобные форс-мажоры и время, за которое он обязан прилететь. В крайнем случае – прислать адекватную замену.
#внешняя #власти
@businesssafe
Бизнес – это корабль в океане с непредсказуемым прогнозом и разной местной флорой и фауной. Как писали, самая большая опасность и риски исходят от налоговой. Денег в стране все меньше и власти требуют собирать все больше. Как заявил премьер, ФНС – это ведомство №1.
Если посмотреть, кто на втором месте, там будет отдел борьбы с экономическими преступлениями и противодействия коррупции (ОЭБиПК), он же БЭП.
Для начала теория. Эти парни работают в связке с ФНС и всегда подключаются при сложных и выездных проверках. Их интересуют случаи уклонения в крупном – от 15 млн, и в особо крупном размере – 45 млн при. Когда можно возбудить уголовное дело по ст. 199 УК РФ.
Можно сказать, у них взаимовыгодное сотрудничество. Работники налоговой владеют всей информацией о компаниях, но не настолько круты в оперативно-розыскных моментах. Опера БЭПа мало понимают в налогах, но умеют расследовать дела и трамбовать «клиентов». Для этого у них есть рычаги: прослушка, опросы, наблюдение, доступы на закрытые объекты и т.п.
Именно поэтому их иногда и приглашают на налоговые комиссии, чтобы налплату было страшнее или когда сами не справляются.
У работников БЭПа задачи те же самые – наказать злодея, вернуть добро и закрыть дело. Это официально. На деле же главная их цель – погреть карман за счет бизнеса. Именно поэтому они часто работают нахрапом, устраивают «маски-шоу», выемки и прочие перформансы. Чтобы комерс испугался, во всем признался и в состоянии аффекта был «готов» на любую сумму.
Кстати, если раньше товарищи из БЭПа могли сами инициировать прессинг, по сути, любой компании, с 9 марта этого года ситуация изменилась. И теперь возбуждать уголовные дела по налогам они могут лишь по результатам материалов проверок от ФНС. Для бизнеса это хорошо. Но есть нюанс. Мы живем в России и передать материалы следователю без проверки налоговый инспектор, конечно, сможет. А если спросят, сошлется на какое-нибудь межведомственное соглашение, которое нельзя показывать. В таких случаях наш совет: максимально придать такое огласке и затем оспаривать в суде.
Сразу расскажем, как БЭП выбирает жертв. Как и в случае с приставами, дела на каждого опера БЭПа валятся пачками. Как любой адекватный человек, он не будет разбирать их все. А будет выбирать самые «жирные» и самые простые. Простые – это там, где нужно меньше работать, чтобы «нагнуть» предпринимателя или начинающего оптимизатора-обнальщика. Кстати, дела по обналичке – одни из самых любимых и «вкусных», так как фигурантов много и получить можно и с бизнеса, и с обнальщиков.
БЭП действует по ситуации. Но в первую очередь всегда идет сбор информации. Поэтому мы регулярно пишем про информационную безопасность. Именно она стоит на передовой, когда на вас идут парни из органов.
Первым делом ставят прослушку, если надо – наружку, взламывают соцсети, почты и телефоны. Потом в ход идут свидетели и контрольные закупки, позже даже внедренцы.
У любого бизнеса есть «скелеты в сейфе», поэтому такие расклады тоже надо иметь в голове. Что делать в каждой конкретной ситуации, вам скажут ваш налоговый консультант и адвокат. Кстати, обоих этих специалистов настоятельно рекомендуем держать на расстоянии телефона. Да, и предупредите всех без исключения сотрудников, как себя вести в случае, например, спектакля «маски-шоу». А делать надо следующее – не отвечать ни на какие вопросы оперативников, а повторять одну единственную фразу: «прошу обеспечить явку адвоката ФИО, номер телефона». Не нужно думать, что вы или работники в силах компетентно противостоять давлению профи из БЭПа. Поэтому молчите и пусть это делает адвокат, он умеет.
Для этого посоветуем заключить с ним соглашение, где будут прописаны подобные форс-мажоры и время, за которое он обязан прилететь. В крайнем случае – прислать адекватную замену.
#внешняя #власти
@businesssafe
👍30🔥2🤯1