Особливості захисту інформації в бізнесі

Ігнорування проблем інформаційної безпеки може призвести до труднощів або й узагалі унеможливити прийняття найважливіших управлінських рішень

Постановка проблеми

Формування ринку інформаційних продуктів та послуг і забезпечення його ефективного функціонування обумовлюється законодавчою підтримкою та правовим захистом. Законодавче врегулювання процесів розвитку інформаційної сфери охоплює цілий комплекс не лише юридичних, а й економічних та технологічних проблем, тому проблема захисту інформації від зовнішніх і внутрішніх загроз в умовах сучасного інформаційного простору, її правове забезпечення є особливо гострою. Ігнорування проблем інформаційної безпеки може призвести до труднощів або й узагалі унеможливити прийняття найважливіших управлінських рішень.

Аналіз останніх досліджень і публікацій

Інформаційні технології відіграють в управлінні бізнесом роль більш значну, ніж роль звичайного каналу стратегічної інформації; вони готують основу для нових видів стратегії, створюючи зовсім нові джерела конкурентної переваги й сприяючи численним нововведенням у сфері продуктів і послуг. Інформаційні ресурси є об'єктом власності й мають товарну цінність, тому проблема інформаційної безпеки сьогодні набуває особливого значення.

Проблематику захисту інформації, її використання в бізнесі, правову регламентацію інформаційних технологій в економіці досліджували А. П. Колесник [1], О. В. Олійник [2], І. Ф. Рогач [3], Є. В. Савельєв [4], М. А. Сендзюк [3], О. В. Соснін [2; 5], С. І. Чоботар [4], М. Є. Шиманський [2; 5].

На сучасному етапі розвитку суспільства масштаби економічного шпигунства різко зростають. Інформація про результати чужих прикладних і фундаментальних досліджень дозволяє заощадити власні сили та кошти й зосередити всю увагу на виробництві та маркетингу. Подальший розвиток науково-технічного прогресу, збільшення потоку патентів і жорсткість конкуренції як "війни всіх проти всіх" роблять викрадення чужих таємниць особливо прибутковою сферою діяльності.

На жаль, більшість компаній не надто серйозно ставиться до інформаційної загрози з боку конкурентів. Керівництво цих фірм найчастіше ігнорує можливість технічного шпигунства й не цікавиться методами негласного збирання та опрацювання інформації. Безпека дотепер уважається суб'єктом видаткових витрат і не розглядається як об'єкт інвестицій. Коли ж проблема таки виникає, її намагаються вирішити з мінімальними витратами.

Мета дослідження – проаналізувати технологічні й правові аспекти захисту інформації, виокремити основні проблеми захисту інформації, визначити можливі шляхи їх усунення та правового регулювання.

Виклад основного матеріалу

Підприємницька діяльність у всіх сферах нерозривно пов'язана з отриманням і використанням різної інформації. У сучасних умовах інформація є особливим товаром, який має певну цінність. Для підприємця часто найбільш цінною є інформація, яку він використовує для досягнення мети фірми й розголошування якої може позбавити його можливості реалізувати її, тобто створює загрози безпеці підприємницької діяльності.

Інформація, яка використовується в підприємницькій діяльності, різноманітна, її поділяють на два види: промислова (у т. ч. науково-технічна) та комерційна. До промислової належить інформація про технологію та спосіб виробництва, технічні відкриття й винаходи, раціоналізаторські пропозиції "ноу-хау", конструкторська документація, програмне забезпечення тощо. Комерційна інформація – це інформація про фінансово-економічне становище підприємства (бухгалтерська та фінансова звітність), кредити та банківські операції, договори, які укладаються, і контрагентів, структуру капіталів і плани інвестицій, стратегічні плани маркетингу, аналіз конкурентоспроможності власної продукції, клієнтів, плани виробничого розвитку, ділове листування тощо.

Уся ця інформація має цінність для підприємця, і, відповідно, її розголошування призводить до загроз економічній безпеці різного ступеня тяжкості, тому комерційну й технічну інформацію необхідно розділити на три групи:

- інформація для відкритого використання будь-яким споживачем у будь-якій формі;
- інформація обмеженого доступу – лише для органів, які мають відповідні законодавчо встановлені права (міліція, податкова міліція, прокуратура);
- комерційна таємниця – інформація тільки для працівників фірми.

Інформація, яка належить до другої і третьої груп, є конфіденційною й має обмеження в розповсюдженні. Конфіденційна інформація – це документована (тобто зафіксована на матеріальному носії та з реквізитами, що дозволяють її ідентифікувати), інформація, доступ до якої обмежується згідно із чинним законодавством.

У процесі реалізації конфіденційної інформації не завжди є злий намір працівників. Витоки інформації можливі при оформленні результатів наукових досліджень, під час написання наукових праць, у процесі здавання фінансової звітності, під час написання різних довідок тощо.

Зі здобуттям Україною незалежності почав формуватися окремий правовий інститут комерційної таємниці. Згідно зі ст. 505 ЦК України, комерційною таємницею є інформація, яка є таємною в тому розумінні, що вона загалом чи в певній формі та сукупності її складових є невідомою та не є легкодоступною для осіб, які зазвичай мають справу із цим видом інформації, через що має комерційну цінність, є предметом заходів щодо збереження її таємності, ужитих особою, яка законно контролює цю інформацію.

Іншими документами, які регламентують використання інформації, є ст. 55 Конституції України, яка проголошує право кожної особи будь-якими не забороненими законом засобами захищати свої права і свободи від порушень і протиправних посягань; ст. 155 Господарського кодексу України (ГК України) – відносить комерційну таємницю до об'єктів прав інтелектуальної власності; ст. 162 ГК України визначає повноваження суб'єкта господарювання щодо комерційної таємниці; № 611 – визначає перелік інформації, яка не є комерційною таємницею [6].

Для правової регламентації захисту інформації необхідно, щоб економічно важливі відомості мали статус комерційної таємниці, тобто потрібно належним чином їх оформити:

- обумовити існування комерційної таємниці в установчих документах;
- виключити з переліку інформацію, яка є державною таємницею, та ту, що не є комерційною таємницею;
- згрупувати та класифікувати конфіденційну інформацію, яка належить до комерційної таємниці;
- розробити положення про комерційну таємницю, яке є основним правовим захистом інформації;
- розробити договори-контракти для укладення їх із працівниками щодо нерозголошення комерційної таємниці, розробити інструкції та порядок ознайомлення працівників із документами щодо захисту інформації;
- розробити правила внутрішнього розпорядку та посадові інструкції осіб, які мають доступ до таємної інформації;
- розробити інструкцію з дотримання режиму таємності та графік роботи з таємними документами тощо.

Правові засади захисту комерційної таємниці від недоброчесної конкуренції передбачені ст. 36 ГК України й розширені в ст. ст. 16-19 Закону України "Про недоброчесну конкуренцію", а саме: ст. 16 – неправомірне збирання комерційної таємниці; ст. 17 – розголошення комерційної таємниці; ст. 18 – схиляння до розголошення комерційної таємниці; ст. 19 – неправомірне використання комерційної таємниці.

Згідно зі ст. 22 цього Закону, на юридичних осіб, винних у скоєнні актів недоброчесної конкуренції, Антимонопольним комітетом накладаються штрафні санкції в розмірі двох тисяч неоподатковуваних мінімумів доходів громадян [6-10].

Ст. 231 та ст. 232 Кримінального кодексу України визначають кримінальну відповідальність за посягання на комерційну таємницю [9].

Якщо викрадені дані будуть публічно висвітлені в ЗМІ, мережі Інтернет або стане відомий сам факт розкрадання, то фінансові втрати можуть супроводжуватися втратою іміджу компанії або торгової марки, падінням рейтингу компанії або втратою бізнесу загалом.

Усі види інформаційних загроз прийнято розділяти на дві групи:

1) відмови й порушення працездатності програмних і технічних засобів:

- порушення, які виникають унаслідок неумисного пошкодження технічних засобів (через перепади електроенергії, заводський брак тощо);
- порушення фізичної та логічної цілісності збережених в оперативній і зовнішній пам'яті структур даних через старіння чи попередню втрату працездатності їхніх носіїв;
- порушення, які виникають в роботі оперативних засобів через їх старіння чи попереднє зношення;
- порушення, які виникають через неправильне використання програмного забезпечення;
- порушення, які виникають унаслідок неправильної експлуатації технічних засобів;
- помилки в програмних засобах, не виявлені під час перевірок і випробувань;
- порушення, які виникають унаслідок некоректної поводження з комп'ютерними ресурсами;

2) умисні загрози, попередньо заплановані правопорушниками для завдавання шкоди:

- загрози, реалізації яких виконуються з постійною участю людини;
- загрози, реалізації яких після розроблення правопорушником відповідних комп'ютерних програм, виконуються цими програмами без участі людини (запуск певних вірусів, несанкціоноване "скачування" інформації тощо).

Як свідчить практика багатьох країн, зростання комп'ютерної злочинності є однією з характерних і закономірних ознак сучасного стану глобального інформаційного суспільства. Сьогодні кількість інформації про комп'ютерну злочинність набула такої критичної маси, що дозволяє виділити її в окремий аспект кримінологічного дослідження й поставити питання про формування таких понять, як "комп'ютерний злочин" чи "організована комп'ютерна злочинність" та інших категорій, які визначають сутність цих соціальних явищ.

Деякі вчені піддають сумніву поняття "комп'ютерні злочини". Наприклад, В. В. Крилов пропонує альтернативою ширше розуміння – "інформаційні злочини", яке дозволяє абстрагуватися від конкретних технічних засобів [11]. М. Ф. Ахраменко під комп'ютерним злочином розуміє "вчинення суб'єктом суспільно-небезпечного протиправного діяння з використанням інформаційно-обчислювальних систем із впливом на них" [12].

Швейцарські експерти під комп'ютерною злочинністю розуміють "усі умисні та протизаконні дії, які призводять до нанесення шкоди майну й скоєння яких стало можливим завдяки електронній обробці інформації"[13].

У 1973 р. у Швеції приймається закон, згідно з яким встановлена відповідальність за неправомірну зміну, знищення або доступ до записів на комп'ютерних носіях (інформаційні зловживання). Пізніше спеціальні норми про комп'ютерні злочини були прийняті в США, Великобританії, Австрії, Канаді (липень 1985 р.), Данії (грудень 1985 р.), Австралії, Франції, Португалії (1982 р.) й інших країнах.

Метою забезпечення інформаційної безпеки підприємницької діяльності є створення захищених інформаційних систем підприємств, захист інтересів бізнесу та кожного підприємства (зокрема в умовах формування інформаційних мереж), захист економічного потенціалу корпорацій і кожного працівника фірми. Особливе місце займають у цьому спектрі проблеми правового забезпечення інформаційної безпеки.

У грудні 2002 року в Лондоні проходив Перший міжнародний стратегічний конгрес "E-CRIME CONGRESS 2002", присвячений проблемі електронної злочинності. У своїй доповіді віце-президент групи страхових компаній Вільям Барр виклав такі факти:

- 90 % організацій виявляють порушення інформаційних систем щороку;
- 80 % із них підтверджують фінансові збитки;
- тільки один вірус NIMDA спричинив збитків більш ніж на 1,8 млрд. фунтів;
- у жовтні 2002 року кібератака протягом 1 години вивела з ладу 9 із 13 головних комп'ютерів, які керують глобальним рухом у мережі Інтернет;
- щороку викрадається приватної інформації на суму понад 38 млрд. фунтів.

Необхідність видання законів, спеціально орієнтованих на боротьбу з комп'ютерними злочинами, досить швидко була усвідомлена в США на рівні законодавчих органів окремих штатів. На початок 70-х рр. відповідні закони були видані в шести штатах, а робота над законопроектами велася у дванадцяти інших. До 1985 р. такі акти були прийняті в 47 штатах. Наприклад, у штаті Флорида "Закон про комп'ютерні злочини" набув чинності 1 січня 1978 р. і є найбільш ґрунтовним із усіх аналогічних актів інших штатів США. Згідно із цим законом конкретні види комп'ютерних злочинів розподілені на три групи:

- злочини проти інтелектуальної власності, тобто зумисне незаконне внесення змін, знищення або викрадення даних, програм і документації, пов'язаної з комп'ютерами;
- злочини, що завдають шкоди комп'ютерному обладнанню, тобто знищення або пошкодження комп'ютерних систем, приладів тощо;
- злочини проти користувачів комп'ютерів, тобто будь-яке незаконне використання чужого комп'ютера, у тому числі спроба обробити на ньому які-небудь дані, недопущення до користування комп'ютером особи, яка має на це право.

На думку автора, до переліку комп'ютерних злочинів доцільно віднести як злочини у сфері комп'ютерної інформації, так і злочини, які вчиняються з використанням комп'ютерних технологій.

Неефективність систем безпеки більшості українських фірм і підприємств, щиро переконаних у своїй захищеності від промислового шпигунства, пояснюється тим, що вони не організували захисту власної інформації на належному рівні. Люди, які відповідають у них за безпеку, часто погано підготовлені або зовсім не підготовлені до такої роботи, ізольовані від важливих служб, є в очах дирекції тягарем, хоча їхня праця оплачується порівняно низько. Вони, не маючи змоги проаналізувати становище з інформацією на підприємстві, не обізнані зі шляхами її проходження й не мають до того ж ні повноважень, ні коштів, а то й технічних знань, необхідних для унеможливлення несанкціонованих проникнень до інформації.

Безпекою слід займатися на рівні керівництва компаній, а не в кабінеті начальника охорони або людини, якій доручено фрагментарне обстеження. На противагу поширеній думці, спектр завдань конкурентної розвідки не обмежується захистом важливих об'єктів, ресурсів, комунікацій і конфіденційних даних. Сюди входить виявлення загроз політичного, фінансово-економічного, соціального, соціально-психологічного характеру в галузі інтересів компанії; інформаційна оцінка партнерів, клієнтів, конкурентів контрактів, інформаційно-аналітична підтримка процесів підготовки, прийняття й супроводу рішень компанії, систематизація результатів реалізації раніше прийнятих рішень; інформаційний контроль розвитку інфраструктури ринку, конкурентів, їхніх рекламних дій; інформаційний супровід власних активних дій на ринку (публікації, реклама, виставки, дезінформація тощо); забезпечення координації та взаємодії функціональних підрозділів організації на основі взаємного обміну інформацією.

Служба конкурентної розвідки працює над отриманням стратегічної конкурентної переваги на ринку над існуючими й потенційними конкурентами шляхом збору й обробки інформації про них для виявлення можливих ризиків від рішень і дій керівництва й управління цими ризиками. Варто зазначити, що служба конкурентної розвідки зосереджується не тільки на охоронному, а й на детективному, аналітичному, дослідницькому, технічному, оперативному розшуковому, контррозвідувальному напрямах діяльності. Адже безпека підприємства – це, передусім, виживання в конкурентній боротьбі.

Одним із простих та ефективних методів є застосування системи управління доступом до пристроїв входу/виходу інформації на серверах і робочих станціях. Основними завданнями цієї системи є розроблення моделі системи захисту інформації; визначення наказом чи розпорядженням керівника певної кількості осіб, які мають доступ до бази даних; блокування доступу персоналу до пристроїв входу/виходу інформації на основі затвердженої матриці доступу; реєстрація випадків копіювання інформації персоналом, який має відповідні повноваження; авторизація носіїв інформації для запобігання підключення невідомих пристроїв; кодування даних на зовнішніх носіях.

У результаті впровадження такої системи безпеки запроваджуються наступні заходи захисту та контролю: працювати із зовнішніми носіями інформації можуть окремі працівники згідно з функціональними обов'язками; мають бути чітко визначені параметри роботи осіб, які отримали допуск; права доступу працівників до інформації мають бути обмежені у виборі портів.

Зауважимо, що, за прогнозами провідних науковців у галузі інформаційної безпеки, уже найближчими роками можливе стрімке зростання кількості кіберзлочинів. Так, за розрахунками компанії Gartner, уже в кінці 2004 року економічні збитки від них збільшились у десятки разів. Це змушує й уряд США, і європейське співтовариство терміново вжити відповідних заходів як на законодавчому, так і на організаційному рівні. Зокрема, урядом США була прийнята нова Стратегія щодо захисту інформаційних систем в Інтернет (бюджетом планується виділення близько $ 60 млрд.), у Раді Європи створюється спеціальний Комітет "Агентство інформаційної безпеки", відповідні заходи вживаються на рівні ООН. Тому, обравши свій шлях розбудови інформаційного суспільства, Україна також повинна здійснювати відповідні кроки щодо своєї інформаційної безпеки.

Висновки

Ефективний захист інформації в бізнесі може бути забезпечений лише комплексом правових і технічно-економічних заходів, бо кожен із засобів, застосований окремо, не може вирішити основних завдань із запобігання загрозі розкрадання інформації з баз даних. Крім того, з кожним днем з'являються нові загрози інформаційній безпеці, тому захист інформації має бути безперервним процесом, який відповідає на найбільш актуальні загрози. Навіть установлення найсучасніших систем не може дати 100 % гарантії захисту. Але впровадження раціональної комбінації найбільш актуальних засобів захисту, чітко розробленої правової регламентації захисту комерційної таємниці та конфіденційної інформації дозволить захиститися від більшості загроз, ефективно використовуючи наявний бюджет і ресурси підприємства.

Ігнорування комп'ютерної злочинності призведе до виникнення загрози не тільки конкретній людині, приватним і державним структурам, а й національній безпеці окремих держав.

Література:

1. Колесник А. П. Компьютерные системы в управлении финансами / А. П. Колесник. - М. : Финансы и статистика, 1994. - 312 с.
2. Олійник О. В. Політико-правові аспекти формування інформаційного суспільства суверенної і незалежної держави / О. В. Олійник, О. В.Соснін, Л. Є. Шиманський // Держава і право. - 2001. - № 13.
3. Рогач І. Ф. Інформаційні системи у фінансово-кредитних установах. - [2-ге вид., перероб. і доп.] / І. Ф. Рогач, М. А. Сендзюк, В. А. Антонюк. - К. : КНЕУ, 2001. - 239 с.
4. Савельєв Є. В. Новітній маркетинг / [Є. В. Савельєв, С. І. Чоботар, Д. А. Штефанич та ін.]. - К. : Знання, 2008. - 420 с.
5. Соснін О. В. Про правові основи удосконалення системи державного управління інформаційними ресурсами / О. В. Соснін, М. Є. Шиманський // Політологічний вісник : [зб. наук. праць]. - К. : Знання України, 2002. - № 10.
6. Ліга: Закон. - [Електронний ресурс]. - Режим доступу : http://www.ligazakon.ua
7. Цивільний кодекс України від 16.01.2003. № 435-IV. - [Електронний ресурс]. - Режим доступу : http://zakon1.rada.gov.ua
8. Кодекс України про адміністративні порушення від 7.12.1984 № 8073-Х зі змінами і доповненнями від 7.05.2008. - [Електронний ресурс]. - Режим доступу: http://zakon1.rada.gov.ua
9. Кримінальний кодекс України від 05.04.2001 № 2341-III. - [Електронний ресурс]. - Режим доступу : http://zakon1.rada.gov.ua
10. Про захист від недоброчесної конкуренції: Закон України від 7.06.1996 № 236/96-ВР. - [Електронний ресурс]. - Режим доступу : http://zakon1.rada.gov.ua
11. Крылов В. В. Информационные компьютерные преступления / В. В. Крылов. - М. : ИНФРА-М-НОРМА, 1997. - С. 11.
12. Ахраменко М. Ф. Проблемы криминализации общественно-опасного поведения с использованием информационно-вычислительных систем : автореф. дис. на получение науч. степени канд. юрид. наук : спец. 12.00.08 / М. Ф. Ахраменко. - Минск, 1996. - С. 7.
13. Предупреждение компьютерных преступлений // Проблемы преступности в капиталистических странах (По материалам зарубежной печати). - М. : ВНИИ МВД СССР, 1986. - № 4. - С. 4-10.

Світлана Власюк,
здобувач кафедри обліку та аудиту
Луцького національного технічного університету

У статті досліджуються особливості захисту інформації в Україні, зокрема в комп'ютерних системах, і їхній вплив на безпеку держави, фірми. Проаналізовано недоліки законодавчого забезпечення захисту інформації та доступу до відкритої інформації. Визначено роль захисту інформаційних систем з погляду економіко-правових аспектів та чинного законодавства.

Ключові слова: інформація, інформаційні технології, правове регулювання, комерційна таємниця, захист інформації.

Журнал "Схід", № 3 (94) травень 2009 р.