Інформація з обмеженим доступом на підприємстві: проблеми безпеки та захисту

Поняття «інформація» сьогодні вживається досить широко і різносторонньо. Важко знайти таку галузь знань, де б воно не використовувалося. Обсяг наукових знань, за оцінкою фахівців, подвоюється кожні п’ять років. Тож, можна сказати, що XXI століття буде інформаційним століттям.

Стабільне функціонування, зростання економічного потенціалу будь-якого підприємства в умовах шаленого розвитку інформаційних відносин багато в чому залежить від наявності надійної системи інформаційної безпеки. Це і зумовлює актуальність наукових пошуків цього напряму.

Останнім часом наукові доробки з вирішення різних проблем інформаційної безпеки бізнесу значно активізувались. Це зумовлено як потребами часу, адже ми є активними учасниками розвитку інформаційного суспільства, так і пріоритетними вимогами бізнесу.

Адже не володіючи достовірною, своєчасною, цінною тощо інформацією щодо різних аспектів функціонування підприємства, керівник, та й весь бізнес, вразливий до впливу як внутрішніх, так і зовнішніх інформаційних загроз. Дослідженню окремих напрямів цієї проблеми присвятили свої праці Ю. Бабенко, О. Бєліков, К. Бєляков, Ю. Мірошник, А. Марущак, О. Івченко, П. Пригунов, Д. Прокоф’єва та ін. Проте такі питання, як внутрішні загрози інформаційній безпеці підприємства та шляхи їх попередження, залишаються мало дослідженими, потребують подальшого наукового осмислення питання конфіденційного та секретного діловодства на підприємстві як важливої складової системи інформаційної безпеки підприємства.

З огляду на зазначене, метою статті є визначення найбільш актуальних проблем формування системи інформаційної безпеки бізнесу в сучасних умовах.

Досягнення поставленої мети реалізовувалось через постановку та послідовне вирішення таких основних завдань:

  • обґрунтувати правові напрями визначення комерційної таємниці на підприємстві;
  • дослідити основні загрози інформаційній безпеці підприємства;
  • встановити канали витоку конфіденційної інформації та можливі шляхи локалізації таких загроз.

Пріоритетним напрямом у процесі формування та забезпечення інформаційної безпеки будь-якої компанії є збереження в таємниці комерційно важливої інформації, що дозволяє успішно конкурувати на ринку виробництва та збуту товарів і послуг. Це вимагає конкретних дій, спрямованих на захист інформації з обмеженим доступом. Як свідчить вітчизняна і закордонна преса, кількість злочинів в інформаційній сфері не тільки не зменшується, а й має досить стійку тенденцію до зростання.

Досвід свідчить, що для боротьби з цією тенденцією необхідна цілеспрямована організація процесу захисту інформаційних ресурсів. Причому в цьому повинні брати активну участь професіонали, адміністрація та співробітники, що і визначає значущість організаційної сторони питання.

Аналіз стану справ у сфері інформаційної безпеки свідчить, що на сьогодні концепція і структура захисту інформації вже склалася, і її основу становлять:

  • досить розвинений арсенал технічних засобів захисту інформації;
  • значна кількість фірм, що спеціалізуються на вирішенні питань захисту інформації;
  • чітко окреслена система поглядів на цю проблему;
  • наявність значного практичного досвіду тощо.

Досвід також свідчить, що:

  • забезпечення безпеки інформації не може бути одноразовим актом. Це безперервний процес, що полягає в обґрунтуванні та реалізації найбільш раціональних методів, способів та шляхів удосконалення і розвитку системи захисту, безперервному контролі її стану, виявленні її слабких місць та протиправних дій;
  • безпека інформації може бути забезпечена лише за умови комплексного використання всього арсеналу наявних засобів захисту у всіх структурних елементах виробничої системи і на всіх етапах технологічного циклу обробки інформації. Найбільший ефект досягається тоді, коли всі засоби, методи і заходи поєднуються в єдиний цілісний механізм - систему захисту інформації (СЗІ). При цьому функціонування системи повинно контролюватися, оновлюватися і доповнюватися залежно від зміни зовнішніх і внутрішніх умов;
  • жодна СЗІ не може забезпечити необхідного рівня безпеки інформації без належної підготовки користувачів і дотримання ними усіх установлених правил, спрямованих на її захист [1].

Систему захисту інформації можна визначити як сукупність спеціальних органів, засобів, методів і заходів, що забезпечують захист інформації від внутрішніх та зовнішніх загроз.

Перш ніж починати роботу над СЗІ, необхідно насамперед визначитися, яку інформацію слід відносити до конфіденційної інформації, а яку — до комерційної таємниці.

Відповідно до ст. 28 Закону України «Про інформацію» [2] інформацію поділяють за режимом доступу (на відкриту та інформацію з обмеженим доступом), а остання за своїм правовим режимом поділяється на конфіденційну і таємну (ст. 30).

Відкрита інформація, окрім тієї, доступ до якої не може бути обмежено відповідно до згаданого Закону (ст. 29), здатна переходити до категорії конфіденційної за рішенням її власника або уповноваженої ним особи; відомості, які становлять конфіденційну або таємну інформацію, можуть належати до об’єктів права інтелектуальної власності; інформація, що визнана конфіденційною за рішенням її власника або уповноваженої ним особи, може також бути віднесена до категорії таємної у випадках, передбачених законодавством.

Закон України «Про інформацію» не містить чіткого розмежування понять конфіденційної інформації та комерційної таємниці. У цьому Законі не встановлено, в чому саме полягає особливість правового режиму інформації комерційного та банківського характеру, але однозначно встановлюється, що такі відомості не можуть бути конфіденційною інформацією.

Згідно зі ст. 505 ЦК України [7] комерційною таємницею є інформація, яка є секретною в тому розумінні, що вона в цілому чи в певній формі та сукупності її складових є невідомою і не є легкодоступною для осіб, які звичайно мають справу з видом інформації, до якого вона належить. У зв’язку з цим, як зазначає вітчизняний дослідник О. Бєліков, такий вид інформації має комерційну цінність; вона є предметом адекватних існуючим обставинам заходів щодо збереження її секретності, вжитих особою, яка законно контролює цю інформацію. Комерційною таємницею можуть бути відомості технічного, організаційного, комерційного, виробничого та іншого характеру, за винятком тих, які відповідно до закону не можуть належати до комерційної таємниці [4].

Для визначення комерційної таємниці на підприємстві можна запропонувати чотири способи:

1. Тотальний. Сутність цього методу дуже проста. Виключити з переліку відомостей все, що не може бути комерційною таємницею. По-перше, відомостями, які становлять комерційну таємницю, не можуть бути відомості, що становлять державну таємницю, тобто такого виду секретної інформації, котрий містить відомості у сфері оборони, економіки зовнішніх відносин, державної безпеки і охорони правопорядку, розголошення яких може заподіяти шкоду життєво важливим інтересам України і які визнані законом державною таємницею і підлягають охороні з боку держави.

По-друге, Кабінет Міністрів України затвердив перелік відомостей, що не становлять комерційну таємницю. Ці відомості використовуються при здійсненні перевірок контролюючими органами, аудиторами для проведення аудита, при здачі звітності в різні фонди. До них належать: статутні документи, документи, що дозволяють займатися підприємницькою або господарською діяльністю та її окремими видами; інформація з усіх установлених форм державної звітності; дані, необхідні для перевірки вирахування і сплати податків та інших обов’язкових платежів; відомості про чисельність і склад працівників, їхню заробітну плату за професіями і посадами, а також наявність вільних місць; документи про сплату податків і обов’язкових платежів; інформація про забруднення навколишнього природного середовища, недотримання безпечних умов праці, реалізацію продукції, що заподіює шкоду здоров’ю, а також інших порушень законодавства України і розміри заподіяних при цьому збитків; документи про платоспроможність; відомості про участь посадових осіб підприємства в кооперативах, малих підприємствах, союзах, об’єднаннях та інших організаціях, що займаються підприємницькою діяльністю; відомості, що згідно із чинним законодавством підлягають розголошенню [8].

Все інше, що залишилося, слід визнати комерційною таємницею підприємства. Таким чином, таємницею буде вся інформація підприємства. Цей спосіб найбільш простий і найменш ефективний. Дійсно, дуже легко оголосити всю інформацію, що підлягає захисту, секретом. От тільки як захищати? У свідомості людини, зазвичай, все — означає ніщо. Це занадто абстрактне поняття, що вимагає конкретного пояснення. Отже, або доведеться створювати відмінну працюючу систему, що займеться захистом «всього», або — змиритися з тим, що таємниця залишиться лише закріпленою на папері.

2. Плагіаторський. Треба з’ясувати, яку саме інформацію ваші партнери вважають комерційною таємницею, і зробити так само на своєму підприємстві. Природно, що повного списку вам ніхто не надасть, але підказати, які саме сфери діяльності підлягають засекречуванню і дати невелику пораду, напевно, зможуть. У крайньому випадку досить просто ознайомитися зі спеціальними матеріалами і літературою, що досліджує ці теми. Як допоміжна інформація там надається зразковий перелік інформації, що може бути віднесена до комерційної таємниці. Проте все, чого ви дізнаєтеся таким чином, буде лише сировиною, з якої вам доведеться створити необхідний продукт. У комерційній таємниці дуже небагато універсальних положень, що підходять абсолютно для всіх. Кожна ситуація вимагає індивідуального підходу, який би враховував усі нюанси та особливості. Те, що на одному підприємстві вважається таємницею, може бути зовсім відкритим на інших і навпаки.

3. Аналітичний. Цей спосіб складніший за наведені вище, однак більш ефективний. Він полягає у використанні «рольових ігор» і давно застосовується психологами, слідчими, маркетологами та багатьма іншими. Необхідно уявити себе на місці іншої людини. Наприклад, подумайте, яка саме інформація про ваших конкурентів була б вам особливо корисна. Тепер уявіть себе на місці ваших конкурентів і розгляньте ситуацію щодо вашого підприємства. Також досить корисним буде уявити себе на місці зловмисника (злодія, шантажиста або іншого недоброзичливця), адже загроза може виходити і від них також. Якщо ваша уява працює погано, залучіть родичів, друзів. Зверніться до власного персоналу з таким завданням, і вони не тільки вам допоможуть, але й, можливо, ви знайдете в деяких своїх працівниках відмінні аналітичні якості, що раніше не використовувалися. Отримані в такий спосіб результати після необхідної обробки і варто визнати комерційною таємницею. Природно, що такого роду «сеанси перевтілення» варто проводити регулярно, адже підприємство розвивається, з’являється щось нове. Результат такої роботи, якщо вона проведена з усією серйозністю, може бути дуже ефективним.

4. Експертний. Якщо в попередніх способах описувалися ситуації, коли бізнесмен намагається самостійно вирішити свої проблеми, то в цьому випадку потрібно звернутися по допомогу до фахівців. Природно, професіонал, що займається захистом комерційної таємниці, здатний зробити це набагато краще за будь-яку непідготовлену особу. Люди, чиєю професією є захист і безпека, мають відмінну підготовку, підкріплену практичним досвідом. І їм не складе особливих труднощів виконати свою роботу.

Створення ефективної системи інформаційної безпеки є неможливим без чіткого визначення загроз інформації, що охороняється. Під загрозами інформації з обмеженим доступом прийнято розуміти потенційні або реально можливі дії стосовно інформаційних ресурсів, що призводять до неправомірного оволодіння інформацією.

Джерелами зовнішніх загроз є: несумлінні конкуренти; злочинні угруповання і формування; окремі особи та організації адміністративно-управлінського апарату.

Джерелами внутрішніх загроз можуть бути: адміністрація підприємства; персонал; технічні засоби забезпечення виробничої та трудової діяльності.

Фахівці встановлюють, у середньому, таке співвідношення зовнішніх і внутрішніх загроз: 82 % загроз створюються співробітниками фірми або за їх прямої чи опосередкованої участі; 17 % загроз виникає ззовні - зовнішні загрози; 1 % загроз створюється випадковими особами [9].

Основними загрозами інформації є її розголошення, витік і несанкціонований доступ до її джерел.

Розголошення інформації. Розголошення комерційних секретів, мабуть, найбільш розповсюджена дія власника (джерела), що призводить до неправомірного оволодіння конфіденційною інформацією за мінімальних витрат зусиль з боку зловмисника. Для цього він користується в основному легальними шляхами і мінімальним набором технічних засобів.

Реалізується розголошення формальними і неформальними каналами поширення інформації.

До формальних каналів поширення інформації належать:

  • ділові зустрічі, наради, переговори та інші форми спілкування;
  • обмін офіційними діловими, науковими і технічними документами, засобами передачі офіційної інформації (пошта, телефон, телеграф, факс тощо).

Неформальними каналами поширення інформації є:

  • особисте спілкування (зустрічі, переписка, телефонні переговори тощо);
  • виставки, семінари, конференції, з’їзди, колоквіуми та інші масові заходи;
  • засоби масової інформації (преса, інтерв’ю, радіо, телебачення тощо).

Як правило, причиною розголошення конфіденційної інформації є:

  • слабке знання (або незнання) вимог захисту конфіденційної інформації;
  • помилковість дій персоналу через низьку виробничу кваліфікацію;
  • відсутність системи контролю за оформленням документів, підготовкою виступів, реклами і публікацій;
  • злісне, навмисне невиконання вимог захисту комерційної таємниці.

Витік інформації загалом можна розглядати як неправомірний вихід конфіденційної інформації за межі організації або кола осіб, яким ця інформація була довірена.

Витік інформації за своєю суттю завжди припускає протиправне (таємне або явне, усвідомлене або випадкове) оволодіння конфіденційною інформацією, незалежно від того, яким шляхом це досягається.

Причини витоку полягають, як правило, у недосконалості норм щодо збереження комерційних секретів, порушенні цих норм, а також відступі від правил поводження з відповідними документами, технічними засобами, зразками продукції та іншими матеріалами, що містять конфіденційну інформацію.

Умови передбачають різні фактори й обставини, що складаються у процесі наукової, виробничої, рекламної, видавничої, звітної, інформаційної та іншої діяльності підприємства (організації) і створюють передумови для витоку комерційних секретів. До таких факторів і обставин можуть, наприклад, належати:

  • недостатнє знання працівниками підприємства правил захисту комерційної таємниці та нерозуміння (або непорозуміння) необхідності їх ретельного дотримання;
  • використання неатестованих технічних засобів обробки конфіденційної інформації;
  • слабкий контроль за дотриманням правил захисту інформації правовими, організаційними та інженерно- технічними засобами;
  • плинність кадрів, у тому числі які володіють інформацією, що становить комерційну таємницю.

Таким чином, значна частина причин і умов, що створюють передумови і можливість неправомірного оволодіння конфіденційною інформацією, виникають через недбалість керівників підприємств та їхніх співробітників.

Несанкціонований доступ. Несанкціонований доступ можна визначити як сукупність прийомів і порядок дій з метою одержання (добування) охоро- нюваних даних протиправним шляхом (таємне спостереження, перехоплення телеграфних повідомлень, підслуховування телефонних переговорів, крадіжки креслень, зразків, документів тощо).

До інших способів несанкціонованого доступу до інформації, які не порушують норм закону, але знаходяться на межі такої ситуації, можна віднести:

  • співбесіди про наймання на роботу зі службовцями конкуруючих фірм (хоча опитувач зовсім не має наміру приймати цю людини на роботу);
  • так звані «помилкові» переговори з фірмою-конкурентом щодо придбання ліцензії, створення спільного підприємства, підписання партнерської угоди;
  • наймання на роботу службовця конкуруючої фірми для одержання необхідної інформації;
  • працевлаштування «свого» працівника на підприємство-конкурента.

Перехід від абстрактного до конкретного захисту зазвичай розпочинається з виявлення та аналізу найбільш уразливих місць. Таким місцем, безумовно, є джерела, що містять інформацію конфіденційного характеру.

Джерелами інформації, що є комерційною таємницею, а отже, потенційними джерелами витоку, можуть бути:

1. Документація підприємства або просто документи (вхідні-вихідні, накази, бізнес-плани, ділова переписка тощо).

Важливою особливістю документів є те, що вони іноді є єдиним джерелом найважливішої інформації (наприклад контракт, боргова розписка), а отже, їхня втрата, викрадення чи знищення може завдати непоправної шкоди. Розмаїття форм і змісту документів за призначенням, спрямованістю, характером руху і використанням є досить привабливим джерелом для зловмисників, що, природно, привертає їхню увагу до можливості одержання цінної інформації. Важливим напрямом інформаційної безпеки у цьому напрямі буде створення системи секретного та конфіденційного діловодства на підприємстві.

2. Робочий персонал або просто особи (до цього поняття належать усі без винятку працівники підприємства).

Фізичні особи серед джерел конфіденційної інформації посідають особливе місце як активний елемент, здатний виступати не тільки джерелом, а й суб’єктом зловмисних дій. Люди є і власниками, і розповсюджувачами інформації у межах своїх функціональних обов’язків. Крім того, що вони мають інформацію, вони ще здатні її аналізувати, узагальнювати, запам’ятовувати, робити відповідні висновки, а також, за певних умов, ховати, продавати, змінювати тощо.

3. Партнери, контрагенти або клієнти. Всі знають, що відносини між партнерами завжди мають правову форму. Зміст цих документів переважно містить для конкурентів цінну комерційну інформацію. Тому необхідно забезпечити конфіденційність таких документів або ж передбачити відповідальність за протиправне розголошення змісту таких документів третім особам.

Забезпечити комерційну таємницю, що міститься в угодах з партнерами, можна двома шляхами:

1) включити до змісту договору окремі пункти про збереження комерційної таємниці, де передбачити, яка інформація становить комерційну таємницю, які підстави і порядок розголошення цієї інформації третім особам (контролюючим органам, судовим інстанціям, іншим підприємствам тощо), яка відповідальність за несанкціоноване розголошення комерційної таємниці;

2) якщо ж відносини з партнерами і контрагентами мають тривалий і стійкий характер, то доцільним буде окремий договір (угода) про збереження комерційної таємниці, де більш детально буде розроблений режим збереження комерційної таємниці.

4. Продукція підприємства або послуги, що надаються. Продукція є особливим джерелом інформації, за характеристиками якої досить активно полюють конкуренти. Особливої уваги заслуговує нова, що готується до виробництва, продукція. Вважають, що для продукції існують визначені етапи «життєвого циклу»: задум, макет, зразок, іспити, серійне виробництво, експлуатація, модернізація і зняття з виробництва. Кожний із цих етапів супроводжується специфічною інформацією у вигляді різних фізичних ефектів, які можуть розкрити охоронювану інформацію.

5. Технічні засоби забезпечення виробничої діяльності. Технічні засоби як джерела конфіденційної інформації є широкою в інформаційному плані групою джерел. Засоби забезпечення виробничої діяльності можуть бути найрізноманітнішими, такі, зокрема, як телефони і телефонний зв’язок, телевізори і промислові телевізійні установки, радіоприймачі, радіотрансляційні системи, системи гучномовного зв’язку, підсилювальні системи, охоронні й пожежні системи тощо, котрі за своїми параметрами можуть бути джерелами перетворення акустичної інформації на електричні та електромагнітні поля, здатні утворювати електромагнітні канали витоку конфіденційної інформації.

6. Непрямі джерела (сміття, реклама, публікації). Велика частина інформації добувається саме з непрямих джерел. Професійно проведена аналітична робота дає змогу іноді одержати чудовий результат. Крім того, цьому джерелу, звичайно, не надається особливої уваги, а отже, він найбільш доступний. Наприклад, відходи виробництва, що називають непридатним матеріалом, можуть багато чого розповісти про матеріали, що використовуються, їхній склад, особливості виробництва, технології. Тим більше їх одержують майже безпечним шляхом на смітниках, місцях збору металобрухту, у кошиках кабінетів. Вмілий аналіз цих «відходів» може багато чого розповісти про секрети виробництва. Публікації — це інформаційні носії у вигляді найрізноманітніших видань: книги, статті, монографії, огляди, повідомлення, рекламні проспекти, доповіді, тези тощо, в яких ви можете, самі того не бажаючи, розкрити всі секрети.

Джерела конфіденційної інформації дають повні зведення про склад, зміст і напрям діяльності підприємства (організації), що досить цікаво для конкурентів. Природно, що така інформація їм вкрай необхідна, і вони докладуть усіх зусиль, знайдуть необхідні способи, щоб одержати необхідну їм інформацію. Тому грамотна система захисту, розроблена з урахуванням усіх особливостей, дозволить запобігти багатьом проблемам.

Беручи до уваги все викладене вище, забезпечення інформаційної безпеки можна поділити на такі основні напрями:

  • у будь-якій організації необхідно розробляти і вводити просту систему класифікації ступеня конфіденційності інформації, що обробляється (гриф обмеження доступу). Гриф можна присвоїти за допомогою
  • штампів, спеціальних оцінок, а можна і за допомогою кольору (наприклад документи загального користування — білого кольору, документи службового — жовті, а таємні — червоного);
  • обов’язково встановити процедуру передання конфіденційної інформації від одного співробітника іншому, порядок її обробки і збереження залежно від ступеня таємності. (Це неминуче призведе до включення до цієї процедури аспектів забезпечення комп’ютерної безпеки, а також порядку ведення діловодства загалом і встановлення правил роботи з конфіденційними документами.) Краще, якщо робота з контролю за документами буде доручена окремому співробітнику (наприклад інспектору по режиму роботи з документами), в ідеалі цим повинна займатися група режиму служби безпеки підприємства;
  • необхідно постійно проводити з персоналом компанії розмова про правила поводження з конфіденційною інформацією [5, 6].

Таким чином, створення системи інформаційної безпеки є масштабною роботою, яка вимагає серйозних зусиль. Тому фахівці радять, насамперед, найбільш точно визначити ризики, які існують для інформаційної безпеки підприємства, і не вживати додаткових заходів забезпечення безпеки, якщо це реально не відобразиться на зростанні самого бізнесу.

ВИКОРИСТАНІ МАТЕРІАЛИ

  1. Антирейдерский союз предпринимателей Украины. Консультационный центр «Корпоративная безопасность предприятия (фирмы)». — «Информационная безопасность предприятия (фирмы)» : курс лекций. — Библиотека Антирейдера.
  2. Про інформацію : Закон України від 2 жовтня 1992 p. № 2657-XII // Відомості Верховної Ради України. — 1992. — № 48. — Ст. 650 (із змінами, внесеними Законом України від 11 травня 2004 р. № 1703-IV).
  3. Беляков К. І., Мірошник Ю. П. Проблеми законодавчого регулювання у сфері користування інформацією з обмеженим доступом в Україні // Держава і право. — 2001. — № 12. — Ст. 190-197.
  4. Бєліков О. Комерційна таємниця в чинному законодавстві : перспективи розвитку та застосування
  5. Антирейдерский союз предпринимателей Украины. Консультационный центр «Корпоративная безопасность предприятия (фирмы)». — «Коммерческая тайна. Секрет Полишинеля или тайна за семью печатями (зарубежный опыт)» : курс лекций. — Библиотека Антирейдера.
  6. Антирейдерский союз предпринимателей Украины. Консультационный центр «Корпоративная безопасность предприятия (фирмы)». — «Промышленный шпионаж — угроза экономической безопасности предприятия (фирмы)» : курс лекций. — Библиотека Антирейдера.
  7. Цивільний кодекс України від 16 січня 2003 р. № 435 // Відомості Верховної Ради України. — 2003. — № 40-44. — Ст. 356.
  8. Постанова Кабінету Міністрів України : Про перелік відомостей, що не становлять комерційної таємниці від 9 серпня 1993 р. № 611
  9. Об’єднання професіоналів конкурентної розвідки Росії
загрузка...
Top