Олег Бакшинский: Как обеспечить надежную защиту промышленного предприятия

Занимал пост генерального директора в компаниях Headtechnology RU и SafeLine (ГК «Информзащита»). Работал в IBM в России и СНГ. С августа 2022 года по декабрь 2023 года - генеральный директор Cloud Networks.

Для промышленных предприятий безопасность информации давно стала не просто требованием, но и залогом устойчивости бизнеса.

О том, как реализовать проект по защите периметра технологических сетей, о внедрении средств защиты конечных точек и создании комплексных систем, о важности и сложности миграции с иностранных систем безопасности, учитывая риски «бэкдоров» и программных закладок, об аудите безопасности, кадрах и многом другом рассказывает Олег Бакшинский, генеральный директор Cloud Networks.

В чем состоит специфика работы в области обеспечения безопасности промышленных объектов? Каковы основные риски, с которыми сталкиваются предприятия?

Мне кажется, ключом к ответу на данный вопрос может стать давний спор, разгоревшийся в сфере обеспечения ИБ промышленных систем еще несколько лет назад: что легче: переобучить ибэшника в асушника или асушника в ибэшника? Вопрос скорее можно назвать риторическим, но в самой его формулировке частично кроется ответ. Для того чтобы выполнять работы по ИБ в АСУ ТП, причем неважно, на какой стадии — аудит, проектирование или внедрение, — мало разбираться в средствах защиты, знать нормативно-правовую базу, международные стандарты и пр. Даже базовые знания в типах и архитектурах систем промышленной автоматизации не всегда помогут выстроить функционирующую систему защиты. Второй индикатор — думаю, многие безопасники меня поддержат, — небольшое желание специалистов АСУ ТП на объектах общаться с представителями ИБ. И вот тут, на мой взгляд, кроется главное отличие специалиста ИБ АСУ ТП или просто специалиста АСУ ТП: опыт работы непосредственно на технологических установках. Этот опыт заключается не столько в знании сетевых технологий, операционных систем и средств защиты, сколько в понимании ответственности за состояние объекта. Причем такое понимание порой появляется благодаря собственным примерам: многие работники сферы АСУ ТП сталкивались с различными инцидентами и аварийными ситуациями, происходящими либо на их родных заводах, либо на предприятиях по соседству. Благодаря устоявшейся практике так называемых молний, между различными промышленными холдингами идет постоянный процесс обмена информацией о самых тяжелых авариях, об их последствиях и первопричинах. Одним из основных тезисов, часто встречающихся в области ИБ АСУ ТП, является «главенство функциональной и промышленной безопасности над информационной». И это касается не только возможных рисков от реализации киберинцидентов, но и негативных последствий в результате неправильно спроектированной системы защиты или ошибок при настройке на этапе внедрения.

Особо хочу отметить, что, кроме бывших инженеров АСУ ТП, переобученных по направлению информационной безопасности, в нашей компании работает много «классических» специалистов — сотрудников, занимающихся проектированием и внедрением всевозможных средств защиты, начиная от обычных антивирусов и межсетевых экранов и заканчивая сложными системами класса SIEM, SOAR, SGRC и пр. В выделенном управлении ИБ АСУ ТП работают не только специалисты, пришедшие из сферы автоматизации: на сложных и комплексных проектах сотрудники всех подразделений действуют в тесной кооперации друг с другом, обмениваясь опытом и постоянно повышая компетенции в смежных для себя областях.

Какие конкретные шаги предприняла Cloud Networks для минимизации рисков, связанных с кибербезопасностью промышленных объектов, в последние полтора года?

Прежде всего в штате нашей организации немало специалистов, пришедших из сферы АСУ ТП, причем работавших преимущественно на взрывопожароопасных предприятиях химической и нефтегазовой отраслей и, соответственно, осознающих все риски и последствия от неправильных действий на промышленном объекте. Перед внедрением на объекте инженеры разворачивают на нашем внутреннем стенде образы систем АСУ ТП и тестируют внедряемые средства защиты на совместимость с прикладным программным обеспечением. Следует подчеркнуть, что прежде всего тестируются инвазивные СЗИ. Специально для этого Cloud Networks инвестировала средства в необходимые серверные мощности для стендирования решений.

Следующий этап — работа с заказчиками из подразделений эксплуатации. В ходе планирования мы стараемся учесть технологические окна на объектах, чтобы проводить работы в максимально комфортных условиях и для служб АСУ ТП, и для технологического персонала. Хотя, стоит отметить, в этом году на нескольких площадках нами были развернуты средства защиты конечных точек «на ходу». Причем в большинстве случаев эти работы сопровождались деинсталляцией существующих средств защиты.

Немаловажный фактор — применяемые средства защиты. Тут следует сказать и про использование при построении архитектуры специализированных, адаптированных под промышленные системы средств защиты (тут даже не наша персональная заслуга, а наших технологических партнеров), и про проектную конфигурацию. Нередко для отдельных модулей СЗИ выбираются пассивные режимы, то есть средства защиты работают на мониторинг и оповещение администратора, а не на автоматическое блокирование угрозы.

Можете ли вы привести примеры успешных проектов по обеспечению безопасности промышленных объектов, реализованных вашей компанией?

Ряд реализованных и реализуемых в настоящее время проектов связан с очень острой в сегодняшних реалиях проблемой — миграцией внедренных в прошлые периоды зарубежных средств защиты, производителями которых являются недружественные страны. Данные работы проводятся с целью решения трех основных задач.

Во-первых, отсутствие гарантий по программным закладкам и бэкдоров (back door) со стороны производителей оборудования и ПО.

Во-вторых, выполнение требований Указа Президента РФ от 01.05.2022 № 250.

В-третьих, устранение несоответствия средств защиты нормативным документам в области защиты объектов КИИ. В частности, отсутствие гарантийной и технической поддержки, актуальных обновлений баз данных сигнатур.

В рамках поставленных перед нашей компанией задач мы защитили периметр технологических сетей ряда предприятий на стыке с корпоративными ЛВС, внедрив средства межсетевого экранирования и создав демилитаризованные зоны.

Кроме того, вспоминая старую поговорку «инцидент рождается и умирает на хосте», наши заказчики стремятся в первую очередь мигрировать с иностранных средств защиты конечных точек. Данные задачи также успешно были нами реализованы на ряде предприятий промышленного сектора.

Еще одним запоминающимся проектом за прошедшие полгода стала комплексная система защиты распределенного промышленного объекта, включающая подсистемы антивирусной защиты, обеспечения целостности, резервного копирования, двухфакторной аутентификации, межсетевого экранирования, криптошлюзов, системы анализа защищенности, SIEM. Ввод системы ИБ в промышленную эксплуатацию пока не произошел, но уже проведены заводские испытания, подтвердившие весь заявленный функционал. Данный объект является ярчайшим примером той кооперации инженеров из всех отделов технического департамента Cloud Networks, о которой я говорил в начале.

Не могу не упомянуть про большой объем подготовительной работы, предшествовавшей внедрению средств защиты. За 2022 год нашими инженерами управления ИБ АСУ ТП выполнена огромная работа по обследованию промышленных объектов. Были проведены аудиты более чем на 40 промышленных площадках с географией расположения от Краснодарского края до Приморья. Общее время в командировках инженерного состава превысило 6000 часов. Результаты аудитов и обследований хоть напрямую и не улучшают ситуацию с ИБ, но являются фундаментом для выстраивания дальнейшей работы как в организационной, так и в технической плоскости.

Какой подход применяет Cloud Networks для проведения аудитов информационной безопасности на промышленных предприятиях? Какие основные аспекты вы анализируете? Из каких этапов состоит и что позволяет выявить?

При проведении аудитов информационной безопасности специалистами Cloud Networks проводится комплексный анализ промышленного предприятия, который предполагает анализ технологических и производственных процессов, инвентаризацию информационных систем и анализ информационных взаимодействий, в том числе взаимодействия с корпоративной сетью, определение недопустимых событий, способных повлиять на ход работы промышленного предприятия, выявление уязвимостей и нарушений в процессе эксплуатации промышленных систем.

Данный подход позволяет определить ранее неучтенные объекты, не декларированные сетевые взаимодействия, выявить возможные угрозы информационной безопасности промышленных систем — как явные, так и на первый взгляд не актуальные.

Процесс аудита информационной безопасности можно условно разбить на три этапа. Первый — предварительный анализ данных. Второй — очное обследование объектов. Третий — формирование выводов (рекомендаций) по результатам аудита.

На первом этапе осуществляется оценка имеющейся исходной информации: перечни систем, их проектная документация, организационно-распорядительные документы, схемы топологии сети и т. д. После этого составляется и согласуется программа проведения аудита, в которой определяются сроки, порядок и методы проведения обследования. К моменту приезда инженерного состава на объект ответственные специалисты служб предприятия, как правило, уже имеют представление о сроках и целях работы, методах сбора данных, ожидаемых результатах.

На втором этапе проводится натурное (очное) обследование объектов, в рамках которого сопоставляются исходные данные с реальным состоянием объектов обследования и выявляются возможные нарушения и угрозы информационной безопасности. В процессе обследования также проводится интервьюирование производственного и административного персонала на предмет знаний в области информационной безопасности и определяются недопустимые события, критичные для промышленного предприятия. Могу констатировать — и статистика проведенных нами аудитов это подтверждает, — что в большинстве случаев реальное положение дел на промышленной площадке не в полной мере соответствует первоначально полученным данным.

На третьем этапе происходит систематизация и обработка собранной информации, формируется отчетная документация. В минимальный набор входит полноценный и всесторонний отчет об обследовании с перечнем выявленных недостатков, также для предприятий составляется план мероприятий по приведению объектов обследования в соответствие с требованиями законодательства РФ в области информационной безопасности. Нередко на стадии аудитов разрабатываются модели угроз информации. Бывают более «экзотичные» запросы — например, по разработке методик определения и верификации негативных событий.

Какие рекомендации по улучшению ИБ чаще всего получают предприятия после проведения аудита?

Чаще всего рекомендуется скорректировать штатную структуру ИБ-подразделения предприятия. По результатам аудитов, проведенных за текущий год сотрудниками Cloud Networks, выявлено, что порядка 63% организаций назначают ответственными за обеспечение ИБ-объектов КИИ сотрудников, не имеющих требуемых в соответствии с приказом ФСТЭК от 21.09.2017 № 235 квалификаций, а в 87% случаев на данных сотрудников дополнительно возлагаются обязанности, не связанные с обеспечением ИБ объектов КИИ. Организаций, обеспечивающих в полной мере соблюдение требований Указа Президента Российской Федерации от 01.05.2022 № 250 и подзаконных актов к нему, на текущий момент в рамках проведения аудитов субъектов КИИ вообще не выявлено.

Пальму первенства с рекомендацией о корректировке штатной структуры предприятия делит рекомендация о необходимости проведения категорирования объектов КИИ либо проведения повторного категорирования в случае выявления в ходе аудита несоответствия фактическим данным перечня объектов или присвоенных им категорий. Особенно данная рекомендация касалась периода ранних этапов после вступления в силу требований Федерального закона от 26.07.2017 № 187-ФЗ.

На третье место я бы поставил рекомендацию по формированию либо корректировке организационных распорядительных документов, связанных с вопросами обеспечения на предприятии информационной безопасности объектов КИИ. Часто бывают случаи, когда в данных документах не учитывается специфика защиты информации в системах промышленной автоматизации. Данная рекомендация, как и первые две названных, касается вопросов нормативного соответствия и в целом структуры организации работы по обеспечению ИБ, но без построения организационной основы и наличия на предприятии квалифицированных кадров внедренная система обеспечения информационной безопасности, включающая ряд дорогостоящих решений, таких как DLP, IDS, межсетевое экранирование, SIEM и т. д., будет ограничена и неэффективна.

Кроме того, зачастую на предприятиях выявляются случаи использования в системах промышленной автоматизации нелегитимных компонентов и сетевых соединений, не учтенных в проектной и эксплуатационной документации. В данном случае даются рекомендации о необходимости рассмотрения целесообразности использования таких компонентов, а при выявлении компонентов, несущих явную угрозу информационной безопасности объектов КИИ, например, таких устройств, как LTE-модемы и WI-FI роутеры, не обеспечивающих надлежащую защиту канала передачи данных и используемых обслуживающим персоналом и подрядными организациями для удаленного доступа к системам, рекомендуется исключить их применение.

В то же время хотелось бы отметить, что данные рекомендации касаются не всех предприятий — все зависит от текущего уровня зрелости процессов обеспечения информационной безопасности объектов КИИ, отношения к рискам, корпоративной культуры и других факторов, присущих той или иной организации.

По итогам проведенного аудита мы всегда формируем рекомендации по построению либо модернизации системы обеспечения информационной безопасности объектов КИИ. Такие рекомендации обязательно учитывают особенности используемых на предприятии систем промышленной автоматизации, в том числе их архитектуру, компоненты, структуру технологических сетей, а также применяемые средства обеспечения информационной безопасности в технологическом и корпоративном сегменте сети.

Хочу отметить, что постепенно выявляемые проблемы носят все более узкий характер и требуют более точечных корректировок в процессах построения ИБ. Это связано с ростом зрелости предприятий в вопросах защиты информации объектов КИИ ввиду все большего понимания топ-менеджментом и сотрудниками на местах необходимости обеспечения информационной безопасности и рисков, связанных с возникновением угроз безопасности информации.

Как часто, по вашему мнению, предприятиям следует проводить аудит ИБ для обеспечения надлежащей защиты от киберугроз?

Прежде чем ответить на этот вопрос, хотел бы напомнить, что для значимых объектов КИИ, к которым в большинстве своем относятся промышленные АСУ ТП, периодичность проведения аудитов и анализов защищенности регламентирована нормативно-правовыми актами, в частности приказом ФСТЭК № 235. В первоначальной редакции от 2017г. эта периодичность составляла не реже одного раза в год, в последних редакциях срок увеличили до трех лет.

Следует разделить аудит на внешний и внутренний. И тот и другой вид допускаются тем же 235-м приказом. При проведении внутреннего аудита формируется комиссия из работников предприятия — как правило, это главные специалисты, начальники управлений и отделов по направлениям ИТ, АСУ ТП, ИБ и других профильных служб, участвующих в процессах обеспечения информационной безопасности. Внешний аудит может проводить только компания, имеющая разрешение на деятельность в сфере технической защиты конфиденциальной информации, обладающая соответствующей лицензией ФСТЭК.

Несмотря на обозначенный срок в три года, я бы рекомендовал, во-первых, проводить аудиты не реже одного раза в год, а во-вторых, чередовать внутренние и внешние проверки. Ведь какие факторы приводят к появлению многих проблем, нарушений и несоответствий, о которых мы говорили выше? Отсутствие достаточных бюджетов на улучшение систем защиты — это очень большая проблема для предприятий, но у проблем, связанных с наличием недекларированных компонентов и сетевых взаимодействий, нередко совсем иная природа. Эффект «замыленного глаза» зачастую не позволяет выявить несоответствия, лежащие на самой поверхности. Опытные инженеры, много лет эксплуатирующие АСУ ТП, открывая очередной шкаф с оборудованием, говорят сами себе: «Тут все понятно и знакомо, со вчерашнего дня ничего не изменилось». И могут пропустить какие-либо изменения, проводившиеся во время их отпуска, которые нигде не зафиксированы. Нередко на объектах реализуются временные схемы для решения срочных, сиюминутных задач, и эти схемы так и остаются в неразобранном виде на долгое время. Сказываются и такие проблемы, как отсутствие актуальной документации на объекте, текучка кадров, большая нагрузка.

Проведение внешних аудитов позволяет избежать вышеописанных ситуаций, поскольку командируемые специалисты заряжены на решение конкретной задачи и менее отвлекаются на внешние факторы.

Расскажите о переквалификации экспертов АСУ ТП в области обеспечения безопасности. Какой уровень профессионализма требуется от ваших сотрудников?

Компания Cloud Networks применила подход диверсификации навыков сотрудников при создании управления ИБ АСУ ТП, то есть был сделан упор на команду, состоящую из экспертов в области ИБ и экспертов в области АСУ ТП. Данный подход был необходим, каждое направление имеет свои тонкости, особенности и нюансы. В итоге мы наблюдаем быстрое развитие и становление экспертов бывших изначально АСУ ТП — в области уже ИБ АСУ ТП. После прохождения переквалификации сотрудники, пришедшие из АСУ ТП, обладают как минимум начальными знаниями в области ИБ и основными принципами построения систем в защищенном исполнении и использования тех или иных СЗИ. Главное в АСУ ТП, конечно же, доступность системы, и именно эксперты в части АСУ ТП прекрасно знают принципы работы оборудования и программного обеспечения различных вендоров АСУ ТП и понимают, как те или иные наложенные СЗИ или даже их отдельные функциональные модули могут повлиять на работу всей системы и на ее доступность. Особый плюс экспертов АСУ ТП в том, что они знают всю промышленную кухню, ведь все-таки у нашей промышленности особая специфика, подход к работе и построению бизнес-процессов тоже свой. К каждому заказчику нужен свой, индивидуальный подход, и они прекрасно знают, как работать с данными сотрудниками предприятий: будь то специалист АСУ ТП или КИП, энергетик, главный метролог или главный инженер и т. д. И когда заказчик видит, что наши сотрудники обладают экспертностью не только в области ИБ, но и в АСУ ТП, а также понимают специфику работы непосредственно производственных объектов, удается моментально выстраивать доверительные отношения — а это одна из трех ключевых ценностей нашей компании (Инновации. Технологии. Отношения). Что скрывать, были случаи, когда наши эксперты подсказывали сотрудникам заказчика, как организовать эффективную работу АСУ ТП. По результату кооперативной работы специалистов изначально разных профилей мы получаем в лице каждого нашего сотрудника эксперта как в области ИБ, так и в области АСУ ТП.

В сфере ИБ АСУ ТП требуется высокий уровень профессионализма, ведь будь то разработка эффективной архитектуры системы или уже внедрение средств ИБ, даже малые неточности со стороны специалистов могут привести к нарушению доступности АСУ ТП, а это грозит значительными финансовыми потерями для заказчика.

Какие уроки вынесла компания из «пожаротушения», возникшего в результате резкого увеличения числа киберинцидентов?

Так как мы говорим сегодня про индустриальный сектор, то хочу отметить, что непосредственно у наших ключевых заказчиков резкого роста компьютерных инцидентов в промышленных системах не наблюдалось. И, отвечая на поставленный вопрос, хотел бы отметить, что в первую очередь уроки вынесли сами промышленные предприятия. Об этом говорит, прежде всего, увеличившееся количество запросов, а также специфика этих запросов. Но и наша компания не осталась в стороне от сложившейся в этой сфере проблематики. Мы успели реализовать несколько проектов по защите промышленной инфраструктуры, которая была экстренно «отрезана» субъектами от корпоративного сегмента сети в рамках превентивной защиты от возможных хакерских атак.

Хотя, если говорить в целом, то события середины 2010-х годов, происходившие в промышленном сегменте, уже наталкивали на определенные подходы в рамках моделирования угроз и дальнейшего построения систем защиты, так что кардинального перестраивания работы у нас не произошло. Конкретно сейчас на отрасль больше влияет политика в области импортозамещения — со всеми вытекающими последствиями. Но наша компания готова и к таким вызовам, своевременно осваивая и осуществляя переход на отечественные разработки.

В каком направлении, по вашему мнению, будет двигаться отрасль кибербезопасности промышленных объектов в ближайшем будущем?

Прежде всего, конечно же, к результативной безопасности — время «чисто бумажной» ИБ прошло. Уже сейчас мы видим, как отрасль от запросов на аудит, обследования уровня защищенности и соответствия стандартам приходит к запросам на предпроектное обследование с последующим проектированием комплексных систем безопасности. Кроме того, большое внимание будет уделено импортозамещению. В промышленной сфере эта тема муссируется довольно давно, не только применительно к СЗИ, но и непосредственно к компонентам и ПО самих АСУ ТП. Однако ряд законодательных инициатив 2022–2023 гг. обозначил крайний срок для полного перехода на отечественные средства защиты информации.

Также наблюдается запрос на усовершенствование систем защиты у заказчиков, которые относительно давно задумались об организации информационной безопасности в промышленном сегменте и уже успели построить зрелую систему защиты. Речь идет о построении полноценного промышленного SOC (Security Operations Center) либо об интеграции данных с промышленных систем и средств защиты в ранее построенные корпоративные SOC.

Как Cloud Networks планирует развиваться в контексте растущей потребности в услугах по обеспечению кибербезопасности промышленных объектов?

Первый ответ содержится прямо в вопросе — Cloud Networks планируют расти вслед за ростом потребностей! С момента создания обособленного подразделения по обеспечению информационной безопасности АСУ ТП мы находимся в режиме постоянного роста штата сотрудников. Причем этот рост является экспоненциальным и в настоящий момент не прекращается. А если учесть общее количество технических специалистов, принимающих участие в проектах по ИБ АСУ ТП, то цифра станет еще более впечатляющей. Также в нашей компании постоянно развивается и совершенствуется практика обмена опытом между сотрудниками, пришедшими из сферы АСУ ТП, и специалистами, много лет работающими в сфере ИБ. Не могу не отметить, что мы в Cloud Networks на постоянной основе участвуем в различных мероприятиях, как в офлайн-, так и онлайн-формате, следим за новостями по всем направлениям информационной безопасности, выстраиваем диалог с отечественными разработчиками СЗИ и регуляторами. Это позволяет нам постоянно быть в тренде и быть готовыми к любым запросам со стороны наших уважаемых заказчиков и партнеров!

Реклама ООО "Облачные сети" erid: LjN8KUpLz

Журнал IT Manager

Опубликовано 29.09.2023

Информационная безопасность Киберугрозы Промышленность

Предыдущая
Информационная безопасность в эпоху цифрового суверенитета

Следующая
Денис Суховей: «Потеря данных может стать точкой невозврата»

Новостная лента

Главное за неделю

Нажимая на кнопку, я принимаю условия соглашения.

Соглашение об использовании сайта

Внимательно прочитайте настоящее Соглашение, прежде чем начать пользоваться Сайтом. Вы обязаны соблюдать условия настоящего Соглашения, заходя на Сайт и используя сервисы, предлагаемые на Сайте. В случае, если Вы не согласны с условиями Соглашения, Вы не можете пользоваться Сайтом или использовать любые сервисы, предлагаемые на Сайте, а также посещать страницы, размещенные в доменной зоне Сайта. Начало использования Сайта означает надлежащее заключение настоящего Соглашения и Ваше полное согласие со всеми его условиями.

1. Термины и определения

1.1. Компания - Общество с ограниченной ответственностью «ИТ Медиа» (ООО «ИТ Медиа»).

1.2. Пользователь - лицо, получающее доступ к сервисам и информации, размещенным на Сайте.

1.3. Сайт – веб-сайт Компании, размещенный в сети Интернет по адресу https://www.it-world.ru.

1.4. Соглашение - настоящее Соглашение между Пользователем и Компанией, устанавливающее правила использования Сайта, включая графические изображения, элементы дизайна и средства индивидуализации, текстовую информацию и документацию, программы для ЭВМ и файлы для скачивания, любые иные произведения, объекты и материалы Сайта, а также условия и правила размещения Пользователем информации и материалов в соответствующих открытых разделах Сайта.

2. Общие положения и условия

2.1. Любые материалы, файлы и сервисы, содержащиеся на Сайте, не могут быть воспроизведены в какой-либо форме, каким-либо способом, полностью или частично без предварительного письменного разрешения Компании, за исключением случаев, указанных в настоящем Соглашении. При воспроизведении Пользователем материалов Сайта ссылка на Сайт обязательна, при этом текст указанной ссылки не должен содержать ложную, вводящую в заблуждение, уничижительную или оскорбительную информацию. Перевод, переработка (модификация), любое изменение материалов Сайта, а также любые иные действия, в том числе удаление, изменение малозаметной информации и сведений об авторских правах и правообладателях, не допускается.

2.2. Действующая редакция настоящего Соглашения размещена в сети Интернет на Сайте по адресу: https://www.it-world.ru/about/agreement.php. Компания вправе в любое время в одностороннем порядке изменять условия настоящего Соглашения. Такие изменения вступают в силу по истечении 2 (двух) дней с момента размещения новой версии Соглашения в сети Интернет на Сайте. При несогласии Пользователя с внесенными изменениями он обязан удалить все имеющиеся у него материалы Сайта, после чего прекратить использование материалов и сервисов Сайта. Ваше регулярное посещение данного Сайта считается вашим убедительным принятием измененного соглашения, поэтому Вы обязаны регулярно просматривать настоящее Соглашение и дополнительные условия или уведомления, размещенные на Сайте.

3. Обязательства Пользователя

3.1. Пользователь обязуется не предпринимать действий, которые могут рассматриваться как нарушающие российское законодательство или нормы международного права, в том числе в сфере интеллектуальной собственности, авторских и/или смежных правах, а также любых действий, которые приводят или могут привести к нарушению нормальной работы Сайта и сервисов Сайта.

3.2. Любые средства индивидуализации, в том числе товарные знаки и знаки обслуживания, а равно логотипы и эмблемы, содержащиеся на страницах Сайта, являются интеллектуальной собственностью их правообладателей. Пользователю Сайта запрещено воспроизводить или иным способом использовать указанные средства индивидуализации и/или их элементы без предварительного письменного разрешения соответствующих правообладателей.

3.3. Компания стремится обеспечить, однако не контролирует и не гарантирует конфиденциальность и охрану любой информации, размещенной на Сайте или полученной с Сайта. Компания принимает разумные меры в целях недопущения несанкционированного разглашения размещенной Пользователем на Сайте информации третьим лицам, однако не несет ответственность в случае, если такое разглашение было допущено. В этой связи, передача информации на Сайт означает согласие Пользователя на любое воспроизведение, распространение, раскрытие и иное использование такой информации. Размещая информацию и материалы, включая, фотографии и изображения, Пользователь также гарантирует, что обладает всеми правами и полномочиями, необходимыми для этого, с учетом условий настоящего Соглашения и что такое размещение не нарушает охраняемые законом права и интересы третьих лиц, международные договоры и действующее законодательство Российской Федерации.

3.4. Пользователь самостоятельно несет ответственность за любую информацию и материалы, размещенные им на Сайте. Компания не инициирует размещение указанной информации, не выбирает получателей информации, не влияет на содержание и целостность размещаемой информации, а также в момент размещения Пользователем информации на Сайте не знает и не может знать, нарушает ли такое размещение действующее законодательство Российской Федерации, однако Компания вправе отслеживать, просматривать и/или удалять любую информацию и материалы, размещенные Пользователем на Сайте. При размещении любой информации и материалов Пользователь не становится соавтором Сайта и отказывается от каких-либо претензий на такое авторство в будущем. Компания не выплачивает Пользователю авторского или любого иного вознаграждения, как в период, так и по истечении срока действия настоящего Соглашения.

3.5. В случае предъявления третьими лицами претензий Компании, связанных с нарушением Пользователем условий настоящего Соглашения, а равно с размещенной Пользователем информацией на Сайте, указанный Пользователь обязуется самостоятельно урегулировать такие претензии, а также возместить Компании все понесенные убытки и потери, включая возмещение штрафов, судебных расходов, издержек и компенсаций.

3.6. Компания не несет ответственности за посещение Пользователем, а также любое использование им внешних ресурсов (сайтов третьих лиц), ссылки на которые могут содержаться на Сайте. Компания не несет ответственности за точность, надежность, достоверность и безопасность любой информации, материалов, рекомендаций и сервисов, размещенных на внешних ресурсах. Использование внешних ресурсов осуществляется Пользователем добровольно, исключительно по собственному усмотрению и на свой риск.

3.7. Компания стремится к обеспечению достоверности информации, размещенной на Сайте, однако не несет ответственности за любые неточности и/или недостоверность информации, а равно сбои в работе предоставляемых через Сайт сервисов. Пользователь согласен с тем, что Компания не несет ответственность и не имеет прямых или косвенных обязательств перед Пользователем в связи с любыми возможными или возникшими потерями, или убытками, связанными с любым содержанием Сайта, интеллектуальной собственностью, товарами или услугами, доступными на нем или полученными через внешние сайты или ресурсы либо иные ожидания Пользователя, которые возникли в связи с использованием размещенной на Сайте информации или ссылки на внешние ресурсы. Ни при каких условиях, включая, но не ограничиваясь невнимательностью или небрежностью Пользователя, Компания не несет ответственности за любой ущерб (прямой или косвенный, случайный или закономерный), включая, но не ограничиваясь потерей данных или прибылей, связанной с использованием или невозможностью использования Сайта, информации, файлов или материалов на нем, даже если Компания или ее представители были предупреждены о возможности такой потери. В случае, если использование Сайта приведёт к необходимости дополнительного обслуживания, исправления или ремонта любого оборудования, а равно восстановления данных, все связанные с этим затраты оплачиваются Пользователем самостоятельно.

3.8. Вся представленная на Сайте информация предоставляется «как есть», без каких-либо гарантий, явных или подразумеваемых. Компания полностью, в той мере, в какой это разрешено законом, отказывается от какой-либо ответственности, явной или подразумеваемой, включая, но не ограничиваясь неявными гарантиями пригодности к использованию, а также гарантиями законности любой информации, продукта или услуги, полученной или приобретенной с помощью этого Сайта.

3.9. Пользователь согласен, что все материалы и сервисы Сайта или любая их часть могут сопровождаться рекламой. Пользователь согласен с тем, что Компания не несет какой-либо ответственности и не имеет каких-либо обязательств в связи с такой рекламой.

4. Условия обработки и использования персональных данных. Принимая условия настоящего Соглашения Пользователь выражает свое согласие на:

4.1. Предоставление своих персональных данных, включающих имя, номера контактных телефонов; адреса электронной почты; место работы и занимаемая должность; пользовательские данные (сведения о местоположении; тип и версия ОС; тип и версия Браузера; тип устройства и разрешение его экрана; источник откуда пришел на сайт пользователь; с какого сайта или по какой рекламе; язык ОС и Браузера; какие страницы открывает и на какие кнопки нажимает пользователь; ip-адрес) своей волей и в своем интересе.

4.2. Цель обработки персональных данных:

предоставление Пользователю услуг Сайта;
направление уведомлений, касающихся услуг Сайта;
подготовка и направление ответов на запросы Пользователя;
выполнение регулярной информационной рассылки;
направление информации о продуктах и услугах Компании, а также рекламно-информационных сообщений, касающихся продукции и услуг Компании и ее партнеров.

4.3. Перечень действий с персональными данными, на которые Пользователь выражает свое согласие:

сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, передача третьим лицам для указанных выше целей, а также осуществление любых иных действий, предусмотренных действующим законодательством РФ как неавтоматизированными, так и автоматизированными способами.

4.4. Компания обязуется принимать все необходимые меры для защиты персональных данных Пользователя от неправомерного доступа или раскрытия.

4.5. Настоящее согласие действует до момента его отзыва Пользователем путем направления соответствующего уведомления заказным письмо с уведомлением на адрес Компании.

5. Прочие положения

5.1. Использование материалов и сервисов Сайта, а равно размещение на нем материалов Пользователя, регулируется нормами действующего законодательства Российской Федерации. Все возможные споры, вытекающие из настоящего Соглашения или связанные с ним, подлежат разрешению в соответствии с действующим законодательством Российской Федерации по месту нахождения Компании.

5.2. Признание судом какого-либо положения Соглашения недействительным или не подлежащим принудительному исполнению не влечет недействительности иных положений Соглашения.

5.4. Бездействие со стороны Компании в случае нарушения кем-либо из Пользователей положений Соглашения не лишает Компанию права предпринять соответствующие действия в защиту своих интересов и защиту авторских прав на охраняемые в соответствии с законодательством материалы Сайта позднее.

Пользователь подтверждает, что ознакомлен со всеми пунктами настоящего Соглашения и безоговорочно принимает их.

По всем вопросам, связанным с нарушением авторских прав Компании, незаконного использования материалов Сайта или размещением ложной, вводящей в заблуждение информации о Компании, просим обращаться по  следующим контактным данным:

ООО «ИТ Медиа» ИНН 7802426999, КПП 781301001,
Санкт-Петербург, ул Большая монетная, 16 / К. 30 литера А, пом. 14-Н №30