Продавцы страховки. Нужно ли подразделение ИБ в компании?

Специалистов по информационной безопасности иногда называют «тормозом инноваций» и «продавцами страха».

Подразделения, отвечающие за информационную безопасность, сегодня можно найти практически в любой более-менее крупной компании. Таково веление времени. Эпидемии вирусов-шифровальщиков и другого вредоносного ПО, охватившие мир несколько лет назад, заставили последних сомневающихся максимально серьезно отнестись к защите своих данных.

Чуть ли не еженедельно мы читаем в новостях о кражах и утечках чувствительной для бизнеса информации, с которой сталкиваются, казалось бы, самые крупные и значимые участники рынка, не говоря уже о небольших игроках. Такие инциденты всегда влекут за собой не только финансовые, но и репутационные потери, а это гораздо более тяжелые последствия. Деньги можно снова заработать, а как вернуть себе безупречное имя? Поэтому во многих компаниях уделяется первостепенное внимание работе ИБ-подразделения. В него нанимают лучших и самых дорогих специалистов, для него выделяются бюджеты на закупку самых лучших на рынке ИБ-решений. При этом не будем забывать, что департамент информационной безопасности, по сути, не зарабатывает деньги для бизнеса. Если даже ИТ-подразделение может служить генератором инноваций и новых идей, локомотивом цифровой трансформации бизнес-процессов, то ИБ-специалисты, как правило, выступают в совершенно иной роли. Их задача – сберечь данные, сохранить деньги, защитить бизнес от атак и вторжений. Иногда возникают определенные сложности в работе с ИТ-департаментом и функциональными бизнес-подразделениями, которые хотят внедрить новое решение, опробовать ту или иную технологию. А ИБ-специалисты говорят им: это небезопасно. И потому их иногда называют «тормозом инноваций» и «продавцами страха». Возможно, причины этого находятся в организационной плоскости, в неправильно выстроенном взаимодействии ИБ с ИТ-департаментом, с бизнес-подразделениями. Попробуем разобраться в столь непростом вопросе с помощью экспертов, которые уже много лет работают на рынке услуг кибербезопасности.

Признак зрелости

Нужно ли выделять ИБ-подразделение в самостоятельную структурную единицу, подчиняющуюся непосредственно топ-менеджменту или же такие функции можно делегировать департаменту информационных технологий? Возможно, подбные задачи следует возложить на дирекцию, отвечающую за физическую безопасность предприятия? На этот счет можно услышать различные, порой диаметрально противоположные мнения. Так, Муслим Меджлумов, директор блока управляемых сервисов компании BI.Zone, считает, что в данном случае все зависит от отрасли, размера организации, а также от уровня зрелости ее ИТ-инфраструктуры и процессов. «Например, для крупного промышленного предприятия с большим оборотом, чья деятельность преимущественно ведется в «физическом» мире, приоритетом всегда оставалась внутренняя безопасность: контроль работы пользователей, предотвращение утечек данных, – говорит он. – Это не означает, будто они не подвержены кибератакам, просто их фокус больше направлен на внутреннего нарушителя. На практике такие задачи обычно выполняет даже не ИТ-департамент, а направление физической и/или экономической безопасности. Но с ростом случаев промышленного шпионажа, который осуществляется удаленно, и трендом на цифровизацию осознание необходимости повышать уровень киберзащищенности вынуждает промышленные корпорации создавать с нуля или наращивать силы подразделений ИБ. В e-commerce или современных компаниях финансового сектора, где «с рождения» широко используются онлайн-сервисы, вопросы кибербезопасности стоят весьма остро. Поэтому такие отрасли серьезно относятся к ИБ с самого начала, делегируя эту функцию выделенному подразделению или передавая на аутсорсинг специалистам. Ошибка может стоить бизнеса».

«Исходя из принципов разделения полномочий организациям необходимо собственное ИБ-подразделение, которое бы осуществляло контроль за действиями ИТ-персонала, но не имело бы возможности вносить изменения в конфигурации ИТ-оборудования. Это позволит снизить вероятность злоупотребления полномочиями», – уверен Андрей Головин, директор департамента информационной безопасности компании Oberon. По его словам, в случае полной независимости от департамента информационных технологий ИБ-подразделение может более эффективно выполнять функции контроля ИТ и самостоятельно распоряжаться своим бюджетом на развитие. В случае подчинения уровень безопасности инфраструктуры может быть ниже, но взаимодействие ИТ и ИБ будет более тесным.

Кто главнее?

Нередко в корпоративной иерархии ИБ-департамент стоит ниже, чем ИТ-подразделение. Андрей Головин (Oberon) объясняет это недостатками корпоративного управления. В идеале, как он говорит, как ИБ- так и ИТ- подразделения должны напрямую подчиняться высшему менеджменту компании. Муслим Меджлумов (BI.Zone) напоминает о том, что ИТ – это основная функция, а ИБ – вспомогательная, если, конечно, она не является приоритетным направлением деятельности компании. При этом на развитие ИБ, как правило, выделяется в среднем примерно 5% от бюджета на ИТ, чем и объясняется такое положение безопасников в корпоративной иерархии. «Однако за последние 3–5 лет кибербезопасности начали уделять гораздо больше внимания. Вопросы рисков ИБ стали выносить на уровень совета директоров компаний. Связано это прежде всего с крупными инцидентами, их освещением в СМИ, публичными расследованиями атак. К специалистам стали прислушиваться. Хотя пропорция в бюджете ИТ/ИБ вряд ли сильно изменится, но авторитет и вес руководителя по кибербезопасности будет расти с каждым годом», – констатирует эксперт.

Проблема взаимопонимания

Как мы уже говорили, ИБ-специалистов часто называют «тормозом инноваций». Нередко можно услышать, как CIO, CDO или бизнес хотели внедрить какое-либо новое решение, но проект не получил одобрения безопасников. Как решить подобную проблему? «Развитие технологий несет не только более широкие возможности для бизнеса, но и новые угрозы. Цель ИБ – не запрещать что-то новое, а сделать это безопасным. Не всегда удается соблюсти баланс между удобством и защищенностью, отсюда и возникает непонимание действий ИБ-подразделения, ограничивающего «свободу» пользователей, – говорит Андрей Головин (Oberon). – В идеальной ситуации ИБ и ИТ должны стремиться к одному знаменателю – предоставлению эффективных и безопасных рабочих инструментов для пользователей. Однако в реальности – ввиду различных обстоятельств – оба подразделения часто начинают конфликтовать из-за сфер влияния». По мнению Романа Пустарнакова, директора департамента организации работ с заказчиками компании «Газинформсервис», стремительное развитие ИТ приводит к столь же стремительному развитию цифрового мошенничества и других угроз. Остановки ИТ-систем, искажение или потеря информации могут разрушить бизнес и привести его собственников к уголовной ответственности. А ИБ позволяет минимизировать такие риски. «Важно, чтобы топ-менеджмент компании понимал, что ИБ – это не обуза для бизнеса, а его страховка. Успешной представляется модель, в которой ИТ и ИБ слышат друг друга и могут конструктивно сотрудничать», – добавляет эксперт.

Защита из облака

Развитие облачных технологий стимулирует рынок ИТ-услуг. Сегодня вовсе не обязательно иметь свою ИТ-инфраструктуру и установленные приложения, а использовать все по облачной модели. В связи с этим можно говорить о новых вызовах, с которыми приходится сталкиваться ИБ-специалистам. «Облачный провайдер, создавая сервисные продукты и поставляя их клиенту, должен оправдать надежды заказчика. Именно провайдер является консолидирующим во всей «цепочке доверия»: делая выбор вендора для своих сервисных продуктов, он должен обладать большой экспертизой в ИТ. Причем сегодня не так много вендоров способны предоставить готовое ИТ-решение для облачных провайдеров. Именно в этом, на мой взгляд, главный вызов для ИТ-индустрии в целом. Облачная трансформация – вопрос не только для компании-пользователя ИТ-сервисов, но и для компаний-разработчиков», – комментирует Алексей Афанасьев, эксперт по вопросам информационной безопасности облачного провайдера CloudМТS. «Арендуя облачную инфраструктуру, клиент должен получать возможность обеспечить ее защиту под ключ, причем в том составе решений ИБ, что его устраивают, а также иметь ИБ Service Desk, аналогично ИТ-инфраструктуре, который принимал бы заявки, связанные с обеспечением безопасности и расследованием инцидентов. Иными словами, ИБ трансформируется и подвержена общему тренду виртуализации и перемещению в облако, построению защищенного облака совместно со специалистами ИТ. Переход на модель Security as a service позволит заказчикам минимизировать затраты на ИБ, с одной стороны, и обяжет сервис-провайдеров и интеграторов формировать крупные центры компетенций в сфере защиты информации – с другой», – дополняет Никита Семенов, руководитель отдела информационной безопасности компании «Талмер».

Хочу все знать

Сегодня от ИТ-специалистов требуются не только знания и компетенции в предметной области, но и умение разбираться в бизнесе своей компании. Таким образом, они могут давать рекомендации сотрудникам функциональных подразделений по выбору технологий и решений. Нередко можно услышать подобные пожелания и по адресу ИБ-специалистов: они должны уметь не только защищать данные, предотвращать атаки и утечки, но и прекрасно ориентироваться на ИТ-рынке, а также досконально знать специфику отрасли, в которой работает их предприятие. «Главное – хорошо изучить свою сферу. Специалисты по ИБ иногда должны разбираться в предмете бизнеса не хуже самого бизнеса, например в вопросах SoD – segregation of duties, или разграничения полномочий. Здесь важно анализировать бизнес-процессы и дифференцировать обязанности и функции сотрудников так, чтобы они не могли навредить компании за счет имеющихся у них излишних полномочий», – предупреждает Роман Пустарнаков («Газинформсервис»).

«Каждый должен делать свое дело и в совершенстве им владеть, – добавляет Александр Зенков, инженер отдела проектов информационной безопасности компании «Поликом Про». – Все знают и умеют только дураки. В каждой сфере есть «шестеренки», отвечающие за разные направления: аналитики, специалисты, инженеры, менеджеры – у каждого свой функционал. Знать, наверное, нужно, где заканчивается поле твоей работы и начинается работа другого специалиста и кому конкретно нужно передать свою работу, чтобы не останавливать процесс».

Семь раз проверь, один раз установи

Крайне сложная и болезненная тема для любой компании – политика управления обновлениями. Не секрет, что иногда патч решает одну проблему и создает несколько новых. Бывает и так, что обновление приводит к проблемам с сертификацией. С другой стороны, ИТ не согласовывает с ИБ многие моменты, связанные с приобретением оборудования и ПО. «Не всегда есть возможность безболезненно провести обновление, а иногда риски установки апдейта выше, чем жизнь без него. Установка обновления не затрагивает одновременно всех компонентов ИТ-инфраструктуры, а обычно касается прошивок оборудования, операционной системы или приложения. Поэтому сегмент, в котором необходимо провести обновление, можно локализовать, и тем самым оценить потенциальные последствия в случае неудачи. Например, для критических сервисов можно создавать тестовые стенды, на которых обкатывать обновления перед установкой в продуктивной среде, – объясняет Муслим Меджлумов (BI.Zone). – Что касается приобретения новых ИТ-решений, на мой взгляд, требования к ПО или оборудованию должны проходить через сито регламентов безопасности. Есть безопасники из разряда бескомпромиссных, которые все время пытаются протащить какие-то параноидальные требования. Внятных аргументов у таких пассионариев нет, и очень скоро несостоятельность их позиции становится очевидной всем. Слов «Нет, так не должно быть!» недостаточно – нужны примеры, которые не ломают экономическую модель проекта». По мнению Александра Зенкова («Поликом Про»), в компании должна быть создана «песочница» для обкатки подобных обновлений и решений. «При успешных тестах уже можно разворачивать на «живую» инфраструктуру. Тогда и проблемы будут решаться в той же «песочнице», и приниматься уже решения по дальнейшим действиям», – говорит он.

Не пугать, но предупреждать

Любое подразделение компании должно уметь «продавать» результаты своей работы бизнесу. Специалистов по информационной безопасности нередко называют «продавцами страха». Но что нужно продавать и как продавать? «Продажа страха начинается с угроз, а рассказ об угрозах – это информирование. Лучшая методика продажи ИБ является способом продажи услуг страхования. ИБ повышает гарантии, что ваша инфраструктура отразит атаку, но не утверждает это на 100%, никто не может поручиться на 100%, в противном случае просто обманывают», – считает Александр Зенков («Поликом Про»). По мнению Андрея Головина (Oberon), наиболее эффективное средство для привлечения внимания к необходимости обеспечения ИБ – это оценка рисков и расчет ROI от внедрения средств защиты. Хотя не всегда легко оценить, например, стоимость репутационных потерь для бизнеса. «Успех в «продаже» страхов бизнесу заключается совсем не в том, чтобы напугать последствиями инцидента ИБ (будь они финансовые, репутационные, юридические и иные), а в том, чтобы показать, что такие проблемы наблюдались у других компаний и были эффективно решены следующим доступным нам способом», – заключает эксперт. Немного скорректировал этот расхожий стереотип Роман Пустарнаков («Газинформсервис»). «ИБ-специалисты – продавцы страховки. Не стоит нас демонизировать, не зря Рокфеллер говорил: «Никогда не экономьте на рекламе и страховке», – резюмировал он.

Нужно ли отдельное ИБ-подразделение в компании либо эту функцию можно делегировать ИТ-департаменту?

Думаю, в будущем не будет отдельной ярко выраженной специализации «ИБ», также, как и «ИТ». Все это станет «Бизнесом», который будет разбираться в ИТ и осознавать правила ИБ. Регуляторы (ФСТЭК, ФСБ, ЦБ и т.д.) требуют создания ИБ-подразделений для обеспечения защиты критической информационной инфраструктуры (КИИ), государственных информационных систем (ГИС), защиты разного рода тайн. В первую очередь, конечно, это «бумажная безопасность», и делегировать это в ИТ-департамент неверно.

Комментарий

Продавцы страховки. Нужно ли подразделение ИБ в компании?. Рис. 1

Василий Степаненко, директор центра киберзащиты компании DataLine

Нужно ли отдельное ИБ-подразделение в компании либо эту функцию можно делегировать ИТ-департаменту?

В чем плюсы и минусы самостоятельного существования ИБ в компании и его подчинения ИТ-департаменту?

Бюджет ИБ в среднем не превышает 20% от ИТ-бюджета, и обоснование бюджета ИБ обычно связано с торговлей страхом, такая уж особенность ибэшников. ИТ-бюджет основывается на потребностях бизнеса, поэтому его проще принимают. Нахождение ИБ в составе ИТ облегчает доступ к финансам, однако, при таком подходе ИБ не может в полной мере обеспечить аудиторскую функцию и расследование инцидентов.

Можно это покрыть за счет аутсорсинга ИБ при наличии ИБ-лидера из топ-менеджмента. ИБ отдельно от ИТ часто порождает проблемы разделения ответственности за обеспечение работоспособности и производительности информационных систем.

Почему в корпоративной иерархии ИБ, как правило, ниже ИТ?

Как-то участвовал в споре: что первично — обеспечение информационной безопасности или обеспечение непрерывности бизнеса? В международном стандарте ISO 27001 есть раздел, посвященный обеспечению непрерывности бизнеса, но детализации нет. Опытный аудитор по ISO 27001 прокомментировал тогда, что на Западе правильным считается сначала внедрение ISO 22301, в рамках которого обеспечивается появление планов и мероприятий по обеспечению непрерывности бизнеса, а уже потом внедряется ISO 27001 (Менеджмент ИБ). Сужаем понятие непрерывность бизнеса до непрерывности работы ИТ. Получаем ответ: нет смысла в обеспечении информационной безопасности, т.е. безопасности ИТ, если все ИТ сломалось. Конечно же, возможно все сломалось именно из-за реализации рисков ИБ, но статистика все же говорит о других причинах.

Бизнес так примерно и думает: за счет автоматизации ИТ дает мне прямую выгоду в виде уменьшения ошибок персонала, сокращения персонала и т.д. Необходимость ИБ очевидна для бизнеса, который либо ранее пострадал от реализации рисков ИБ, либо уже применяет западный подход и демонстрирует высокий уровень зрелости.

ИБ часто называют “тормозом инноваций” в компании. Особенно это актуально сейчас, когда во многих компаниях идет цифровизация бизнес-процессов, активно тестируются и внедряются новые технологии и подходы. Как соблюсти баланс интересов в этом случае?

Новые технологии важны, но сохранить лицо в случае ИТ-беды для бизнеса еще важнее. Найти баланс поможет все та же старая формула: стоимость защиты не должна превышать стоимость защищаемой информации. Верят в то, что осязаемо: тест на проникновение доказывает реальность воплощения рисков ИБ в новых технологиях, но такое доказательство стоит денег. Можно провести сканирование и увидеть проблемные места в новых технологиях. Можно просто риски просчитать математически. Если есть доверие к методике и рисковику, то тоже может получится вполне наглядно.

В России о риск-менеджменте говорят, но не применяют в большинстве случаев. «Авось пронесёт» — лозунг многих стартапов, в том числе и в сфере высоких технологий. Такая уж у нас ментальность. Нужно создавать песочницы (желательно вне компании), где можно будет проверять новые технологии. Те, что пройдут это «сито», стоит рассматривать под микроскопом в части ИБ.

Какую модель взаимоотношений ИТ и ИБ вы считаете наиболее оптимальной? Возможно для разных компаний и разных отраслей могут быть различные варианты ответа?

Зависит от компании и задач, возложенных на ИБ. Информационная безопасность — широкая сфера. К ней относят и поиск закладок в железе посредством рентгена, и оформление различных политик, compliance, администрирование СЗИ, сертификацию СЗИ и СКЗИ, расследование инцидентов и т.д. Если сузить ее до кибербезопасности, то наиболее унифицированной я назвал бы формулу, когда в компании ИТ и ИБ подчинены одному топ-менеджеру. Так не произойдет ситуаций, когда, например, ИТ идет в облака, а ИБ думает о внедрении аппаратных модулей доверенной загрузки в сервера. Бюджет обоих подразделений будет сбалансирован, штат и задачи оптимизированы, конфликты минимизированы.

Сегодня многие предприятия работают в облачной среде, позволяющей практически не иметь собственную ИТ-инфраструктуру и установленные приложения. О каких новых трендах и вызовах для ИБ в связи с этим можно говорить?

ИБ беспокоится о защищенности провайдера облачной инфраструктуры. Бизнес хочет защититься как можно дешевле (измеряют в деньгах), ИТ жаждет надежности (смотрят на SLA), а вот для ИБ инструментов измерения защищенности провайдера почти нет. Есть организация Cloud Security Alliance (CSA), в рамках которой разработаны требования по безопасности провайдеров и есть несколько вариантов оценки STAR: самооценка (заполнение матрицы), аттестация (расширение SOC AICPA), сертификация (расширение ISO 27001). Но в России лишь три провайдера представлены в реестре CSA. Требований у отечественных регуляторов к провайдерам, кроме как лицензионных (ТЗКИ, СКЗИ, лицензии связи), практически нет.

Сейчас наложенные средства ИБ на ИТ все менее возможны. Например, контейнеры требуют совершенно другого подхода ИБ и иных средств защиты.

Про айтишников часто говорят, что они должны досконально разбираться в работе бизнеса, не хуже сотрудников самих бизнес-подразделений. Должны ли обладать такими же знаниями и компетенциями, в том числе и знаниями в области ИТ, специалисты по информационной безопасности?

У каждого свои задачи, но знать, как и что устроено в компании, сотрудникам ИБ необходимо. Вне контекста компании вряд ли удастся выстроить эффективную систему управления информационной безопасностью. ИТшники бывают разные, нередко anykey называют программистами и хотят, чтобы они починили электропроводку.

Знать все невозможно. На мой взгляд, ИБшники должны быть коммуникабельны, это даст больше, чем знание деталей работы каждого узкопрофильного ИТ-специалиста.

Крайне сложной и болезненной темой является политика управления обновлениями. Не секрет, что иногда патч решает одну проблему, но при этом приносит несколько новых. Бывает и так, что обновление приводит к проблемам с сертификацией. С другой стороны, ИТ не согласовывает с ИБ многие моменты, связанные с приобретением оборудования и ПО. Существует также масса проблем организационного характера. Как должны разрешаться такого рода сложности?

Единственный способ разрешить сложности — договариваться. Политика управления обновлениями как документ полезна для прохождения различного рода аудитов. Но для жизни нужно не абстрактное описание, а детали: сколько и где проходят тесты, кто отвечает за обновление, кто отвечает за бэкапы и т.д. ИБ часто считает, что их часть заканчивается на передаче в ИТ отчетов от сканера уязвимостей, но это не так. Устранить все уязвимости не получится, нужно садиться и договариваться, что ставим, а что нет.

Отмечу, что обновления сертифицированного ФСТЭК России ПО нужно скачивать не с ресурсов вендора, а с ресурсов заявителя на сертификацию. Этот нюанс нужно знать, поэтому этот процесс лучше оставить в руках ИБ.

Не все патчи нужно ставить и не стоит спешить обновиться до самой последней версии ПО. Нужно иметь тестовые среды, в которых предварительно апробировать обновления и патчи. Хорошо иметь группу тестировщиков (и ИБ должны быть в этой группе) из разных подразделений компании, чтобы охватить как можно больше возможных конфликтов обновления с другим ПО, находящимся у подразделений.

Практика показывает, что основные проблемы — не во взаимоотношениях ИТшников, отвечающих за инфраструктуру и ИБ, а в пользователях, не желающих перезагружать свои рабочие места. А также в администраторах прикладного софта, не желающих ставить любые обновления на сервера, так как они не всегда четко понимают, чем это обернется.

ИБ-специалистов часто называют “продавцами страха”. Как грамотно «продать» страх бизнесу?

Не нужно продавать страх, нужно давать выбор решений. Врач предлагает варианты лечения, можно выполнять рекомендации, а может и так пройдёт. Но если обратились к врачу — значит есть какие-то опасения.

Если в компании есть ИБ, или ИБ на аутсорсинге, значит бизнес уже понимает, что в этом направлении могут возникнуть проблемы. Нужно предлагать варианты решения, причем метрики, на основе которых будет происходить выбор оптимального решения, нужно бизнесу продемонстрировать заранее.

Смотреть все статьи по теме "Информационная безопасность"

Журнал IT Manager

Опубликовано 06.11.2019

Информационная безопасность Страхование

Предыдущая
Локализация персональных данных в России. Рациональный подход

Следующая
Практика защиты КИИ в эпоху VUCA

Новостная лента

Главное за неделю

Нажимая на кнопку, я принимаю условия соглашения.

Соглашение об использовании сайта

Внимательно прочитайте настоящее Соглашение, прежде чем начать пользоваться Сайтом. Вы обязаны соблюдать условия настоящего Соглашения, заходя на Сайт и используя сервисы, предлагаемые на Сайте. В случае, если Вы не согласны с условиями Соглашения, Вы не можете пользоваться Сайтом или использовать любые сервисы, предлагаемые на Сайте, а также посещать страницы, размещенные в доменной зоне Сайта. Начало использования Сайта означает надлежащее заключение настоящего Соглашения и Ваше полное согласие со всеми его условиями.

1. Термины и определения

1.1. Компания - Общество с ограниченной ответственностью «ИТ Медиа» (ООО «ИТ Медиа»).

1.2. Пользователь - лицо, получающее доступ к сервисам и информации, размещенным на Сайте.

1.3. Сайт – веб-сайт Компании, размещенный в сети Интернет по адресу https://www.it-world.ru.

1.4. Соглашение - настоящее Соглашение между Пользователем и Компанией, устанавливающее правила использования Сайта, включая графические изображения, элементы дизайна и средства индивидуализации, текстовую информацию и документацию, программы для ЭВМ и файлы для скачивания, любые иные произведения, объекты и материалы Сайта, а также условия и правила размещения Пользователем информации и материалов в соответствующих открытых разделах Сайта.

2. Общие положения и условия

2.1. Любые материалы, файлы и сервисы, содержащиеся на Сайте, не могут быть воспроизведены в какой-либо форме, каким-либо способом, полностью или частично без предварительного письменного разрешения Компании, за исключением случаев, указанных в настоящем Соглашении. При воспроизведении Пользователем материалов Сайта ссылка на Сайт обязательна, при этом текст указанной ссылки не должен содержать ложную, вводящую в заблуждение, уничижительную или оскорбительную информацию. Перевод, переработка (модификация), любое изменение материалов Сайта, а также любые иные действия, в том числе удаление, изменение малозаметной информации и сведений об авторских правах и правообладателях, не допускается.

2.2. Действующая редакция настоящего Соглашения размещена в сети Интернет на Сайте по адресу: https://www.it-world.ru/about/agreement.php. Компания вправе в любое время в одностороннем порядке изменять условия настоящего Соглашения. Такие изменения вступают в силу по истечении 2 (двух) дней с момента размещения новой версии Соглашения в сети Интернет на Сайте. При несогласии Пользователя с внесенными изменениями он обязан удалить все имеющиеся у него материалы Сайта, после чего прекратить использование материалов и сервисов Сайта. Ваше регулярное посещение данного Сайта считается вашим убедительным принятием измененного соглашения, поэтому Вы обязаны регулярно просматривать настоящее Соглашение и дополнительные условия или уведомления, размещенные на Сайте.

3. Обязательства Пользователя

3.1. Пользователь обязуется не предпринимать действий, которые могут рассматриваться как нарушающие российское законодательство или нормы международного права, в том числе в сфере интеллектуальной собственности, авторских и/или смежных правах, а также любых действий, которые приводят или могут привести к нарушению нормальной работы Сайта и сервисов Сайта.

3.2. Любые средства индивидуализации, в том числе товарные знаки и знаки обслуживания, а равно логотипы и эмблемы, содержащиеся на страницах Сайта, являются интеллектуальной собственностью их правообладателей. Пользователю Сайта запрещено воспроизводить или иным способом использовать указанные средства индивидуализации и/или их элементы без предварительного письменного разрешения соответствующих правообладателей.

3.3. Компания стремится обеспечить, однако не контролирует и не гарантирует конфиденциальность и охрану любой информации, размещенной на Сайте или полученной с Сайта. Компания принимает разумные меры в целях недопущения несанкционированного разглашения размещенной Пользователем на Сайте информации третьим лицам, однако не несет ответственность в случае, если такое разглашение было допущено. В этой связи, передача информации на Сайт означает согласие Пользователя на любое воспроизведение, распространение, раскрытие и иное использование такой информации. Размещая информацию и материалы, включая, фотографии и изображения, Пользователь также гарантирует, что обладает всеми правами и полномочиями, необходимыми для этого, с учетом условий настоящего Соглашения и что такое размещение не нарушает охраняемые законом права и интересы третьих лиц, международные договоры и действующее законодательство Российской Федерации.

3.4. Пользователь самостоятельно несет ответственность за любую информацию и материалы, размещенные им на Сайте. Компания не инициирует размещение указанной информации, не выбирает получателей информации, не влияет на содержание и целостность размещаемой информации, а также в момент размещения Пользователем информации на Сайте не знает и не может знать, нарушает ли такое размещение действующее законодательство Российской Федерации, однако Компания вправе отслеживать, просматривать и/или удалять любую информацию и материалы, размещенные Пользователем на Сайте. При размещении любой информации и материалов Пользователь не становится соавтором Сайта и отказывается от каких-либо претензий на такое авторство в будущем. Компания не выплачивает Пользователю авторского или любого иного вознаграждения, как в период, так и по истечении срока действия настоящего Соглашения.

3.5. В случае предъявления третьими лицами претензий Компании, связанных с нарушением Пользователем условий настоящего Соглашения, а равно с размещенной Пользователем информацией на Сайте, указанный Пользователь обязуется самостоятельно урегулировать такие претензии, а также возместить Компании все понесенные убытки и потери, включая возмещение штрафов, судебных расходов, издержек и компенсаций.

3.6. Компания не несет ответственности за посещение Пользователем, а также любое использование им внешних ресурсов (сайтов третьих лиц), ссылки на которые могут содержаться на Сайте. Компания не несет ответственности за точность, надежность, достоверность и безопасность любой информации, материалов, рекомендаций и сервисов, размещенных на внешних ресурсах. Использование внешних ресурсов осуществляется Пользователем добровольно, исключительно по собственному усмотрению и на свой риск.

3.7. Компания стремится к обеспечению достоверности информации, размещенной на Сайте, однако не несет ответственности за любые неточности и/или недостоверность информации, а равно сбои в работе предоставляемых через Сайт сервисов. Пользователь согласен с тем, что Компания не несет ответственность и не имеет прямых или косвенных обязательств перед Пользователем в связи с любыми возможными или возникшими потерями, или убытками, связанными с любым содержанием Сайта, интеллектуальной собственностью, товарами или услугами, доступными на нем или полученными через внешние сайты или ресурсы либо иные ожидания Пользователя, которые возникли в связи с использованием размещенной на Сайте информации или ссылки на внешние ресурсы. Ни при каких условиях, включая, но не ограничиваясь невнимательностью или небрежностью Пользователя, Компания не несет ответственности за любой ущерб (прямой или косвенный, случайный или закономерный), включая, но не ограничиваясь потерей данных или прибылей, связанной с использованием или невозможностью использования Сайта, информации, файлов или материалов на нем, даже если Компания или ее представители были предупреждены о возможности такой потери. В случае, если использование Сайта приведёт к необходимости дополнительного обслуживания, исправления или ремонта любого оборудования, а равно восстановления данных, все связанные с этим затраты оплачиваются Пользователем самостоятельно.

3.8. Вся представленная на Сайте информация предоставляется «как есть», без каких-либо гарантий, явных или подразумеваемых. Компания полностью, в той мере, в какой это разрешено законом, отказывается от какой-либо ответственности, явной или подразумеваемой, включая, но не ограничиваясь неявными гарантиями пригодности к использованию, а также гарантиями законности любой информации, продукта или услуги, полученной или приобретенной с помощью этого Сайта.

3.9. Пользователь согласен, что все материалы и сервисы Сайта или любая их часть могут сопровождаться рекламой. Пользователь согласен с тем, что Компания не несет какой-либо ответственности и не имеет каких-либо обязательств в связи с такой рекламой.

4. Условия обработки и использования персональных данных. Принимая условия настоящего Соглашения Пользователь выражает свое согласие на:

4.1. Предоставление своих персональных данных, включающих имя, номера контактных телефонов; адреса электронной почты; место работы и занимаемая должность; пользовательские данные (сведения о местоположении; тип и версия ОС; тип и версия Браузера; тип устройства и разрешение его экрана; источник откуда пришел на сайт пользователь; с какого сайта или по какой рекламе; язык ОС и Браузера; какие страницы открывает и на какие кнопки нажимает пользователь; ip-адрес) своей волей и в своем интересе.

4.2. Цель обработки персональных данных:

предоставление Пользователю услуг Сайта;
направление уведомлений, касающихся услуг Сайта;
подготовка и направление ответов на запросы Пользователя;
выполнение регулярной информационной рассылки;
направление информации о продуктах и услугах Компании, а также рекламно-информационных сообщений, касающихся продукции и услуг Компании и ее партнеров.

4.3. Перечень действий с персональными данными, на которые Пользователь выражает свое согласие:

сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, передача третьим лицам для указанных выше целей, а также осуществление любых иных действий, предусмотренных действующим законодательством РФ как неавтоматизированными, так и автоматизированными способами.

4.4. Компания обязуется принимать все необходимые меры для защиты персональных данных Пользователя от неправомерного доступа или раскрытия.

4.5. Настоящее согласие действует до момента его отзыва Пользователем путем направления соответствующего уведомления заказным письмо с уведомлением на адрес Компании.

5. Прочие положения

5.1. Использование материалов и сервисов Сайта, а равно размещение на нем материалов Пользователя, регулируется нормами действующего законодательства Российской Федерации. Все возможные споры, вытекающие из настоящего Соглашения или связанные с ним, подлежат разрешению в соответствии с действующим законодательством Российской Федерации по месту нахождения Компании.

5.2. Признание судом какого-либо положения Соглашения недействительным или не подлежащим принудительному исполнению не влечет недействительности иных положений Соглашения.

5.4. Бездействие со стороны Компании в случае нарушения кем-либо из Пользователей положений Соглашения не лишает Компанию права предпринять соответствующие действия в защиту своих интересов и защиту авторских прав на охраняемые в соответствии с законодательством материалы Сайта позднее.

Пользователь подтверждает, что ознакомлен со всеми пунктами настоящего Соглашения и безоговорочно принимает их.

По всем вопросам, связанным с нарушением авторских прав Компании, незаконного использования материалов Сайта или размещением ложной, вводящей в заблуждение информации о Компании, просим обращаться по  следующим контактным данным:

ООО «ИТ Медиа» ИНН 7802426999, КПП 781301001,
Санкт-Петербург, ул Большая монетная, 16 / К. 30 литера А, пом. 14-Н №30