Інформаційна безпека в підприємницькій діяльності

Організація інформаційної безпеки суб'єктів підприємництва здійснюється на основі принципу централізованого управління стратегічним розвитком суб'єктів і їх безпеки, як правило, у сукупності заходів, що виконуються ними у сфері забезпечення їх безпеки.

Основними принципами тут виступають:

· законність - заходи, що виконуються в межах організації та здійснення інформаційної безпеки мають вкладатись в межі чинного законодавства, не порушувати права та свободи громадян, законні інтереси інших суб'єктів та держави;

· самостійність та відповідальність - заходи інформаційної безпеки обираються суб'єктами підприємництва самостійно, в межах своїх можливостей і повинні бути адекватними загрозам їх інформаційній безпеці; за результати вжитих заходів відповідальність покладається на суб'єктів підприємництва та уповноважених ними на проведення таких заходів осіб;

· компетентність - виконання заходів інформаційної безпеки має здійснюватись грамотно, на високому професійному рівні, підготовленими для цього фахівцями;

· економічна доцільність - витрати на організацію та виконання заходів інформаційної безпеки повинні бути адекватними її ефективності, не завдавати шкоди економічному стану суб'єктів підприємництва;

· цілеспрямованість - заходи інформаційної безпеки мають здійснюватись у строгій відповідності основним завданням і напрямком діяльності суб'єктів підприємництва;

· конфіденційність - переважна сукупність заходів інформаційної безпеки проводиться на конфіденційній основі, інформування про їх проведення та результати, здійснюється лише обмеженому колу осіб.

Надійність та ефективність інформаційної безпеки суб'єктів підприємництва визначається через її відповідність встановленим вимогам, якими можуть бути:

· безперервність забезпечення інформаційної безпеки - заходи інформаційної безпеки проводяться з початком її організації і продовжуються протягом всього часу існування суб'єкта підприємництва, посилюючись та послаблюючись в окремих ситуаціях, але без їх припинення;

· плановість інформаційної безпеки - встановлення відповідного порядку застосування заходів інформаційної безпеки, який б забезпечував запобіжний характер їх впливу на виникнення небезпек і загроз;

· конкретність інформаційної безпеки - заходами безпеки мають бути охоплені конкретні об'єкти та дії суб'єктів підприємництва; заходи безпеки повинні бути пов'язані з конкретними операціями, угодами, відносинами, які здійснюються на даний час суб'єктами підприємництва;

· активність інформаційної безпеки - в арсеналі заходів інформаційної безпеки повинні бути як такі, що забезпечують захист інформаційного ресурсу та іміджу суб'єктів підприємництва, так і ті, які спрямовуються на протидію заходом негативного впливу та розкриття їх джерел;

· комплексність інформаційної безпеки - передбачає необхідність застосування у забезпеченні безпеки різних форм, методів, засобів, заходів щодо різних видів інформації та інформаційних відносин.

Реалізація принципів і вимог до інформаційної безпеки неможлива без конкретизації самого об'єкта безпеки. Враховуючи багатофункціональність інформації можна бачити її присутність у будь-якому матеріальному чи нематеріальному об'єкті або у будь-якому виду діяльності. Тобто, будь-який об'єкт чи діяльність можна подати інформаційно, зробити уявлення про нього на основі його інформаційних характеристик. Таким чином, беручи за об'єкт інформаційної безпеки інформацію, маємо обов'язково пов'язати її з певним об'єктом (людиною, підприємством, установою, організацією, предметом) або ж з відповідним видом діяльності. Тоді об'єктом буде виступати уже не інформація як така, а інформація про щось (об'єкт чи діяльність). Разом з тим, інформація про щось може бути об'єктом інформаційної безпеки лише тоді коли вона буде мати певну цінність (для підприємництва - комерційну цінність) і щодо неї буде проявлена зацікавленість з боку інших осіб. Враховуючи наведене, інформацію як об'єкт інформаційної безпеки можна подати наступним чином - Рис. 4.2.

Рис. 4.2. Інформація як об'єкт інформаційної безпеки

У практиці забезпечення інформаційної безпеки суттєве значення має визначення її видів. Особливо це необхідно з т. з. організації інформаційної безпеки в діяльності суб'єктів підприємництва.

Аналізуючи практику інформаційних відносин суб'єктів підприємницької діяльності та беручи до уваги роль інформації в такій діяльності, можна говорити, що інформаційна безпека підприємництва включає наступні її види: комп'ютерну безпеку, інформаційно-психологічну безпеку, комунікаційну безпеку та документаційну безпеку.

Комп'ютерна безпека передбачає: захист засобів комп'ютеризації, комп'ютерних технологій і інформації, що знаходиться на електронних носіях; отримання необхідної суб'єктам підприємництва інформації із глобального інформаційного простору (мережі Інтернет) для формування їх інформаційного ресурсу; протидія інформаційним загрозам в середовищі електронної інформації(комп'ютерні віруси, шкідливі програми,комп'ютерний тероризм і т. п.)

Інформаційно-психологічна безпека зосереджує свої зусилля у сфері знанієвої інформації та її носіїв (працівників, клієнтів, споживачів продукції суб'єктів підприємництва). Основними напрямками забезпечення інформаційної безпеки є захист знаннєвої інформації (організація захисту інтелектуальної власності, режиму використання інформації працівниками та іншими особами у процесі інформаційних відносин); збереження інформаційного здоров'я працівників суб'єктів підприємництва в умовах інформатизації виробництва; розробка технологій отримання знаннєвої інформації (наукові дослідження, конференції, семінари, курси, сімпозіуми і т. п.) для формування інформаційного ресурсу суб'єктів підприємництва; протидія технологіям маніпулювання інформацією, індивідуальною та колективною свідомістю.

Комунікаційна безпека включає захист інформації в процесі взаємообміну (електронна пошта, мобільний зв'язок) та ділового спілкування (зустрічі, перемовини); проведення заходів пропаганди, контр-пропаганди та агітації в інформаційному середовищі суб'єктів підприємництва; протидія поширенню негативної інформації засобами масової комунікації.

Документаційна безпека спрямована перш за все на захист документованої інформації та її носіїв, насамперед через запровадження надійної системи загального і спеціального діловодства, розробки нормативних документів з питань інформаційної безпеки; запровадження технологій отримання необхідних даних з різного роду документів (правових актів, звітів, звичайних публікацій, виступів, описів і т. п.) для формування інформаційного ресурсу суб'єктів підприємництва;документальне супроводження протидії інформаційним загрозам та інформаційно-психологічному впливу щодо суб'єктів підприємництва, їх діяльності та персоналу(документування фактів порушення інформаційного режиму, поширення неправдивої інформації чи маніпулювання нею, документальне спростування негативної інформації, документи щодо вимог відшкодування моральної шкоди і т. і.)

Підвалинами успіху інформаційної безпеки є грамотна її організація в діяльності суб'єктів підприємництва. На жаль необхідно констатувати, що саме організація на сьогодні є одним із найбільш слабких місць у забезпеченні інформаційної безпеки підприємницької діяльності. Немає таємниці в тому, що саме грамотно організована інформаційна безпека є запорукою успіху суб'єктів підприємництва у їх інформаційних відносинах і діяльності взагалі. Організація інформаційної безпеки є елементом управління безпекою кожного із суб'єктів підприємництва. Тому цим питанням має опікуватись насамперед їх керівництво. Так, з питань організації інформаційної безпеки керівники установ суб'єктів підприємництва мають визначити мету безпеки, її основні завдання та напрямки зосередження основних зусиль; створити сприятливі умови для діяльності сил інформаційної безпеки відповідно до функцій покладених на неї; забезпечувати контроль ефективності функціонування системи інформаційної безпеки суб'єктів підприємництва. Безпосереднім організатором інформаційної безпеки є керівник підрозділу безпеки суб'єкта підприємництва, а там де він відсутній - сам керівник суб'єкта.

Аналіз практики забезпечення інформаційної безпеки в підприємницькій діяльності показує, що питанням її організації не придається необхідного значення, в більшості випадків керівники підрозділів безпеки ними володіють майже на примітивному рівні. Процес організації практично відсутній у керівництві інформаційною безпекою суб'єктів підприємництва. Здебільшого організація безпеки зводиться до реакції на негаразди, які виникають у інформаційних відносинах суб'єктів підприємництва. Потенціал, закладений у грамотній організації інформаційної безпеки, не сприймається як перевага в інформаційному середовищі, конкурентній боротьбі, ринкових відносинах взагалі.

За результатами узагальнення діяльності суб'єктів підприємництва по забезпеченню їх інформаційної безпеки автором запропоновано відповідну структуру процесу її організації на підприємствах, у банках та інших організаціях( Рис. 4.3).

Процес організації інформаційної безпеки суб'єкта підприємництва виконується на підставі глибокого вивчення умов та змісту діяльності суб'єкта, характеру його взаємовідносин на ринку та поведінки в інформаційному середовищі. Крім того, процесу організації мають передувати вивчення можливостей суб'єкта підприємництва щодо забезпечення відповідного рівня інформаційної безпеки та правових умов в яких здійснює свою діяльність суб'єкт. Процедура та зміст організації інформаційної безпеки обов'язково має бути узгоджена з точкою зору керівника установи суб'єкта підприємництва. Точка зору керівника має бути сформована як його рішення з даного питання.

Важливим в організації інформаційної безпеки суб'єктів підприємництва залишається створення відповідної системи. Остання має розумітись як певна сукупність сил, засобів, заходів і технологій, спрямованих на забезпечення високої стійкості суб'єкта підприємництва до інформаційних загроз та ефективне інформаційне супроводження його діяльності.

Основними принципами побудови системи інформаційної безпеки мають виступати:

· стійкість - система має ефективно протистояти будь-яким діям, спрямованим на її руйнування чи дестабілізацію функціонування;

Рис. 4.3. Структура процесу організації інформаційної безпеки суб'єкта підприємництва

· адаптація - система має оперативно реагувати на будь-які зміни в інформаційному середовищі та інформаційних відносинах суб'єкта підприємництва;

· трансформація - система має працювати з різними видами інформації, в різних інформаційних середовищах, в будь-яких комунікаційних мережах без втрати ефективності забезпечення інформаційної безпеки суб'єкта підприємництва;

· відновлення - система має бути здатною в оптимально короткі терміни відновлювати свою живучість та забезпечувати виконання необхідного обсягу заходів інформаційної безпеки суб'єкта підприємництва обмеженим складом сил і засобів;

· автономність - система має бути максимально незалежною від зовнішніх джерел та суб'єктів, забезпечувати своє функціонування власними силами та засобами.

Таким чином, враховуючи структуру та зміст завдань інформаційної безпеки, обсяг заходів, які покладаються на неї, можна стверджувати, що вона займає одне із провідних місць у забезпеченні безпеки діяльності суб'єктів підприємництва. В той же час, забезпечення інформаційної безпеки це досить складний і трудомісткий процес, який вимагає значних фінансових, матеріальних, інтелектуальних зусиль. Останні ж мають спиратись на грамотні, науково обґрунтовані та підтверджені підприємницькою практикою погляди професіоналів, здатних реалізувати визначену певним суб'єктом підприємництва концепцію інформаційної безпеки.

5. Правові засади інформаційної безпеки суб'єктів підприємництва

Забезпечення інформаційної безпеки підприємницької діяльності здійснюються під впливом різноманітних умов, серед яких провідне місце займають правові умови. Останні, у свою чергу, утворюються чотирма джерелами правових норм: Конституцією України, законодавчими актами, підзаконними актами, нормативно-правовими актами суб'єктів підприємництва. Важливість правових умов у забезпеченні інформаційної безпеки полягає у тому, що без правових актів, які складають такі умови процес організації інформаційної безпеки неможливий взагалі. Саме за допомогою зазначених актів здійснюється регулювання інформаційних відносин та застосування заходів інформаційної безпеки, визначається правомірність тих чи інших дій щодо інформації, формуються підстави для відповідальності за дії в інформаційному просторі. В решті решт правові норми забезпечують захист суб'єктів підприємництва від неправомірного посягання на їх права, інтелектуальну власність, інформацію, що може мати місце у процесі їх діяльності. Положення ст.55 Конституції України надають право будь-якими, не забороненими законом засобами захищати свої права і свободи від порушень і протиправних посягань [39]. Під засобами, серед інших, можна розуміти і правові засоби (норми та положення Конституції та законів України, нормативно-правових актів органів влади, нормативних документів суб'єктів господарювання та інших організацій, рішення та ухвали судів, положення судових органів, Міністерства юстиції України, положення договорів, угод, укладених суб'єктами підприємництва, рішення, приписи, накази органів нагляду та контролю). А права можуть поширюватись і на інформаційну сферу. Зокрема право на інформацію, передбачає можливість вільного одержання, використання, поширення, зберігання та захисту інформації, необхідної для реалізації своїх прав, свобод і законних інтересів [20]. Крім того, Конституцією України гарантується право судового захисту щодо спростування недостовірної інформації, право вимагати вилучення будь-якої інформації, а також право на відшкодування матеріальної і моральної шкоди, завданої збиранням, зберіганням та поширенням недостовірної інформації. Основний закон забороняє збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків визначених законом(ст. 32). Конкретизуючи зміст конфіденційної інформації про особу слід зазначити, що до такої інформації належать, зокрема, дані про національність особи, освіту, сімейний стан, релігійні переконання, стан здоров'я, а також адресу, дату і місце народження [20]. Тобто Конституція України встановлює загальні умови поведінки суб'єктів, і громадян в інформаційному просторі.

Важливим моментом для забезпечення правової поведінки в інформаційному просторі і правомірних інформаційних відносин є регулювання доступу до інформації. Ці питання регулюються положеннями Закону України « Про інформацію» (Рис. 5.1).

Рис. 5.1 Режим доступу до інформації (Закон України «Про інформацію», ст. ст. 20, 21).

Будь-яка інформація є відкритою крім тієї, що віднесена законом до такої, що має обмежений доступ. Важливо знати, що обмеженню підлягає інформація, а не документ в якому вона міститься. Якщо документ містить таку інформацію, то він підлягає ознайомленню в частині, що не містить інформації з обмеженим доступом [40].

Конфіденційною є інформація про фізичну особу, доступ до якої обмежений фізичною чи юридичною особою, крім суб'єктів владних повноважень. Така інформація може поширюватись зазначеними особами за їхнім бажанням (згодою) у визначеному ними порядку відповідно до передбачених ними умов, інших випадках визначених законом. До суб'єктів владних повноважень законодавець відносить - органи державної влади, місцевого самоврядування, інших суб'єктів, що здійснюють владні управлінські функції відповідно до законодавства, в т.ч. і делеговані повноваження.

Важливим є з'ясування особи яка має право обмежувати доступ та надавати інформації категорію конфіденційної. Очевидно, що це може бути сам власник такої інформації, або особа яка отримує право розпоряджатись даною інформацією. У останньому випадку законодавець визначає перелік розпорядників інформації, види інформації, якими вони можуть розпоряджатись, їх обов'язки та функції (Закон України «Про доступ до публічної інформації» ст. ст. 13-18).

Таємною є інформація, доступ до якої обмежується відповідно до вимог ст.6 Закону України «Про доступ до публічної інформації» і розголошення якої може завдати шкоди особі, суспільству і державі. Таємною визнається інформація, яка містить відомості, що складають державну, професійну, банківську, комерційну та інші передбачені законом види таємниць.

До службової інформації належить така, що міститься в документах суб'єктів владних повноважень, а також зібрана в процесі оперативно-розшукової, контррозвідувальної діяльності, у сфері оборони країни, яку не віднесено до державної таємниці.

Доступ до таємної інформації визначається відповідно до чинного законодавства установами, органами, які володіють такою інформацією. Доступ до службової інформації визначається відповідно до Закону України «Про доступ до публічної інформації» в порядку передбаченому внутрішніми документами суб'єкта владних повноважень.

Відносини у сфері доступу до публічної інформації регулюються Законом України «Про доступ до публічної інформації». Зокрема, закон дає визначення поняття «публічна інформація» згідно з яким це відображена та задокументована будь-якими засобами та на будь-яких носіях інформація, що була отримана або створена в процесі виконання суб'єктами владних повноважень своїх обов'язків, передбачених чинним законодавством, або яка знаходиться у володінні таких суб'єктів, інших розпорядників, крім випадків встановлених законом.

Відповідно до зазначеного вище закону, доступ до публічної інформації здійснюється шляхом її оприлюднення у встановленому порядку та шляхом подання запитів до розпорядників інформації. Інформація надається безкоштовно.

Суб'єктами відносин у сфері доступу до публічної інформації є запитувачі інформації, розпорядники інформації, їх структурні підрозділи або відповідальні особи з питань виконання запитів.

Окремо регулюється система відносин щодо доступу до інформації про особу. Тут маємо брати за основу положення Закону України «Про захист персональних даних», Закону України «Про доступ до публічної інформації», Закону України «Про інформацію». Зокрема передбачається, що збирання, зберігання, використання та поширення інформації про особу не можливе без згоди саме особи, крім випадків передбачених законом. Обсяг такої інформації має бути максимально обмеженим і використовуватись лише з метою та у спосіб, визначений законом.

Суб'єктами відносин у сфері доступу до інформації про особу виступають самі особи, володільці та розпорядники баз персональних даних, треті особи (особи яким володільцями чи розпорядниками баз персональних даних здійснюється передача персональних даних відповідно до закону), уповноважений державний орган з питань захисту персональних даних, інші державні органи, органи місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних.

Про збір даних про осіб, включення інформації про них в базу персональних даних особи мають повідомлятись про їх права володільцем, чи розпорядником бази даних протягом 10 днів з дня формування даних. Разом з тим, коли персональні дані збираються з загальнодоступних джерел таке повідомлення не здійснюється[41].

Поширення персональних даних здійснюється лише за згодою особи. Без згоди - у випадках визначених законом і лише в інтересах національної безпеки, економічного добробуту та прав людини. Порядок доступу до персональних даних та відносини суб'єктів з цих питань регулюються положеннями ст.ст. 16-19 Закону України «Про захист персональних даних».

Питання правового регулювання доступу до персональних даних нормами міжнародного права, забезпечуються положеннями Конвенції Ради Європи «Про захист фізичних осіб при автоматизованій обробці персональних даних» від 28.01.1981р. зі змінами внесеними у 1999р., додаткового протоколу до Конвенції «Про захист фізичних осіб при автоматизованій обробці персональних даних щодо органів нагляду і трансграничних потоків даних» від 08.11.2001 року., Директивою Ради Європейського Союзу «Про захист фізичних осіб при автоматизованій обробці персональних даних і про вільний обіг таких даних» (1995р.), а також Директивою «Про обробку персональних даних і захист прав фізичних осіб у телекомунікаційному секторі» (1997р.). Основними принципами захисту персональних даних викладених у зазначених правових актах є: збір і обробка персональних даних мають здійснюватись коректно і законно; використання персональних даних повинно бути адекватним визначеній меті, та обмежуватись за термінами; персональні дані повинні бути точними, оброблюватись лише з дозволу суб'єктів цих даних, бути доступними для них; персональні дані повинні бути надійно захищені [42].

Важливе значення, з точки зору інформаційної безпеки, має правове регулювання відносин у сфері захисту інформації з обмеженим доступом. Для підприємницької діяльності важливими питаннями є захист комерційної та банківської таємниці, а також комерційної інформації.

Правову основу комерційної таємниці складають положення Господарського кодексу України, Цивільного кодексу України, Кримінального кодексу України, Кодексу України про адміністративні правопорушення, Законів України «Про захист від недобросовісної конкуренції», «Про інформацію», інших правових актів. Зокрема, сутність комерційної таємниці як виду інформації з обмеженим доступом подається у Цивільному кодексі України. Так, комерційною таємницею є інформація, яка є секретною в тому розумінні, що вона в цілому чи певній формі та сукупності її складових є невід'ємною та не є легкодоступною для осіб, які звичайно мають справу з видом інформації до якого вона належить і у зв'язку з цим має комерційну цінність та була предметом адекватних існуючим обставинам заходів щодо збереження її секретності, вжитих особою, яка законно контролює цю інформацію. За змістом комерційною таємницею можуть бути відомості технічного, організаційного, комерційного, виробничого та іншого характеру, за винятком тих, які відповідно до закону не не можуть бути віднесені до комерційної таємниці [43]. Перелік відомостей, які можуть становити комерційну таємницю подається у Постанові Кабінету Міністрів України №611 від 09.08.93р.

Відповідно до положень Господарського кодексу України склад і обсяг відомостей, що становлять комерційну таємницю, спосіб їх захисту визначається суб'єктом господарювання [44].

Таким чином, законодавець не дає конкретного змісту комерційної таємниці, подаючи лише вказівки про що мають бути відомості, які становлять таку таємницю. Слід також звернути увагу на те, що такий вид таємниці як комерційна стосується лише суб'єктів господарювання: юридичних осіб та фізичних осіб зареєстрованих як суб'єкти підприємницької діяльності. Право власності на такий вид інформації вони отримують через створення її власними силами та засобами або іншими особами на договірних засадах з суб'єктами господарювання за їх кошти і на їх користь, придбанням такої інформації у інших осіб. Створення інформації, що становить комерційну таємницю іншими особами на користь суб'єктів господарювання стосується зазвичай продуктів інтелектуальної власності. Комерційною таємницею у таких випадках захищаються інформаційні характеристики зазначених продуктів. Право власності включає право володіння, право використання і право розпорядження чи поширення. Враховуючи, що суб'єкти господарювання є власниками своєї комерційної таємниці, вони ж самі визначають умови та способи їх захисту, доступу до неї, в т. ч. і у будь-яких взаємовідносинах з іншими суб'єктами. Згідно з положеннями Цивільного кодексу України (ст. 506) право розкриття комерційної таємниці належить особі, яка володіє майновими правами інтелектуальної власності на комерційну таємницю. Тобто, підстави, умови, способи захисту відомостей, що становлять комерційну таємницю у різних суб'єктів господарювання можуть бути різними, організуються кожним із них, виходячи з особливостей їх діяльності, інформаційних потреб та можливостей. Інформаційні відносини суб'єктів господарювання щодо комерційної таємниці, як правило, будуються на договірних засадах, з врахуванням нормативних документів суб'єктів у сфері їх інформаційної безпеки.

Окремо регулюється порядок захисту комерційної таємниці суб'єктів господарювання у їх конкурентних відносинах. Так, відповідно до гл. 4 Закону України «Про захист від недобросовісної конкуренції» неправомірним визнається збирання протиправним способом відомостей, що становлять комерційну таємницю за умов коли це завдало чи могло завдати шкоди суб'єкту господарювання. Крім того, неправомірним також визнається впровадження у виробництво або врахування під час планування чи здійснення господарської діяльності без дозволу уповноваженої на те особи (неправомірне використання) відомостей, що становлять комерційну таємницю. Неправомірним вважається розголошення чи схилення до розголошення комерційної таємниці [45]. Такі дії є протирічать нормам чинного законодавства і переслідуються у кримінальному, адміністративному чи цивільному (відшкодування шкоди) порядку.

Певну специфіку мають інформаційні відносини предметом яких є банківська таємниця. Згідно ст. 60 Закону України «Про банки і банківську діяльність» банківською таємницею є інформація щодо діяльності та фінансового стану клієнтів банку, яка стала відомою банку у процесі обслуговування клієнта та взаємовідносин з ним чи третіми особами при наданні послуг банку [46]. Тобто, банківська таємниця виникає тоді коли суб'єкти господарювання (підприємництва) стають клієнтами банків. Останні вважаються такими у разі отримання послуг банків. Враховуючи ж, що вказані суб'єкти здійснюючи свою фінансово-господарську діяльність обов'язково вдаються до послуг банків, виникнення в них банківської таємниці є закономірним фактом. В той же час слід зазначити, що статус банківської таємниці діє навіть тоді, коли суб'єкт (клієнт) припиняє відносини з банком. Інформація, що надана банку залишається в банку і закон не передбачає, що втрата відносин клієнта з банком припиняє статус банківської таємниці.

Зміст банківської таємниці конкретизовано у зазначеному законі і він є остаточним аж до поки в закон в установленому порядку не буде внесено відповідних змін. Зокрема вказується, що до складу банківської таємниці віднесено:

- відомості про банківські рахунки клієнтів, в т. ч. кореспондентські рахунки банків у НБУ;

- операції, які були проведені на користь чи за дорученням клієнтів, здійснені ними угоди;

- фінансово-економічний стан клієнтів;

- відомості про системи охорони банку і клієнтів;

- інформація про організаційно-правову структуру юридичної особи клієнтів, їх керівників, напрями діяльності;

- відомості стосовно комерційної діяльності клієнтів чи їх комерційної таємниці, будь-якого проекту, винаходів, зразків продукції та інша комерційна інформація;

- інформація щодо звітності по окремому банку за винятком тієї, що підлягає опублікуванню (ст. 70 ) Закону України «Про банки і банківську діяльність»;

- коди, що використовуються банками для захисту інформації.

Тут слід додати, що у зв'язку з появою законодавства про захист персональних даних, НБУ вніс певні доповнення до змісту банківської таємниці. Відповідно до постанови Правління НБУ від 11.07.2012р. №292 банківською таємницею є відомості або сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована, що стали відомі банку під час обслуговування фізичної особи та взаємовідносин з нею та взаємовідносин з нею чи третіми особами при наданні послуг банку [40].

Тобто, за своєю суттю і змістом банківська таємниця є єдиною для всіх банків і їх клієнтів, на відміну від комерційної таємниці.

Необхідно звернути увагу на те, що перераховані відомості не стають автоматично банківською таємницею з встановленням стосунків з банками. Інформація має стати відомою банку тільки в результаті обслуговування клієнта, що має підтверджуватись відповідною угодою про надання (отримання) банківських послуг. Крім того, фактом, що підтверджує отримання банком відповідної інформації про клієнта мають бути певні документи, які вимагаються банками від їх клієнтів для надання їм тих чи інших послуг. Скажімо, інформація про систему охорони клієнта не є фінансовою інформацією, не стосується послуг банку і тому не може бути відома останньому, а звідси і не може бути банківською таємницею. Тобто, факт надання інформації має бути пов'язано з наданням клієнту послуг банку і засвідчено документально.

Необхідність дотримання такої процедури обумовлюється тим, що інформація, яка становить банківську таємницю залишаючись власністю клієнта захищається банком. Законодавець поклав на банк відповідні обов'язки щодо організації захисту банківської таємниці, зокрема визначив заходи захисту і встановив порядок доступу до неї. У даному випадку порядок доступу до відомостей, що становлять банківську таємницю є єдиним і не залежить від волі чи бажання власника таємниці або банку.

Зокрема, ст. 62 Закону України «Про банки і банківську діяльність» визначає порядок розкриття банківської таємниці.

Банківська таємниця розкривається:

- на письмовий запит або з письмового дозволу власника даної інформації;

- за рішенням суду;

- органам прокуратури, Служби безпеки України, Міністерства внутрішніх справ України, Антимонопольного комітету України - на їх письмову вимогу стосовно операцій за рахунками конкретної юридичної особи або фізичної особи - суб'єкта підприємницької діяльності за конкретний проміжок часу;

- центральному органу виконавчої влади, що реалізує державну податкову політику: на його письмову вимогу щодо наявності банківських рахунків; за рішенням суду щодо відомостей, зазначених у деклараціях про майно, доходи, витрати і зобов'язання фінансового характеру, у зв'язку з проведенням перевірки їх достовірності;

- центральному органу влади, що реалізує державну політику у сфері запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом на його запит щодо фінансових операцій, пов'язаних з фінансовими операціями, що стали об'єктом фінансового моніторингу (аналізу) згідно із законодавством щодо запобігання та протидії легалізації (відмиванню) доходів одержаних злочинним шляхом або фінансового тероризму, а також учасників зазначених операцій;

- органам державної виконавчої служби на їх письмову вимогу з питань виконання рішень судів та рішень, що підлягають примусовому виконанню відповідно до Закону України «Про виконавче провадження» стосовно стану рахунків конкретної юридичної особи або фізичної особи;

- Національній комісії з цінних паперів і фондового ринку у випадках самостійного подання банком інформації про банк як емітент та адміністративних даних відповідно до законодавства про цінні папери і фондовий ринок.

Порядок надання банками інформації, що становить банківську таємницю визначений у Законі України «Про банки і банківську діяльність» і конкретизовано Правилами зберігання, захисту використання та розкриття банківської таємниці, затвердженими постановою Правління НБУ №267 від 14.07.2006р.

Таким чином, доступ до банківської таємниці суворо регламентовано чинним законодавством дотримання якого законодавець поклав на банки та інших суб'єктів предметом відносин яких є саме інформація, що становить банківську таємницю.

Узагальнюючи викладене необхідно вказати, що основними особливостями банківської таємниці як інформації з обмеженим доступом є наступні: зміст банківської таємниці визначено законом, законодавець встановив вичерпний перелік відомостей, які становлять банківську таємницю, зміст банківської таємниці для всіх суб'єктів, які мають до неї відношення є одним і тим же; банківська таємниця не є різновидом інших таємниць, а становить самостійний вид таємної інформації; інформація, що становить банківську таємницю торкається насамперед клієнтів банків, причому режимом таємності охоплюються відомості, які банки отримують від своїх клієнтів офіційно, в процесі безпосереднього здійснення своєї діяльності. Слід також зазначити, що інформацію про клієнта банк може отримати як безпосередньо від нього, так і інших (третіх) осіб, з якими банк вступає у взаємовідносини, при наданні банківських послуг. Інформація, яка становить банківську таємницю може міститись в документах, що характеризують взаємовідносин банку і клієнта, документах, що характеризують самого клієнта і його діяльність, а також документах банку, що характеризують самого клієнта і його діяльність.

За посягання на банківську та комерційну таємницю законодавство України передбачає дисциплінарну, кримінальну, адміністративну та цивільну відповідальність.

Тут слід виділити дві основні групи суб'єктів посягань на таку інформацію. Особи, що незаконно заволоділи інформацією банку та особи, що правомірно отримали таку інформацію, але порушили зобов'язання щодо збереження її в таємниці (працівники, контрагенти, партнери, клієнти, державні службовці).

Кримінальна відповідальність передбачена за умисні дії, які спрямовані на отримання відомостей, що становлять комерційну або банківську таємницю, з метою розголошення чи іншого використання цих відомостей, а також незаконне використання таких відомостей, якщо це спричинило істотну шкоду суб'єкту господарської діяльності.

Крім того, кримінальна відповідальність наступає також за умисне розголошення комерційної або банківської таємниці, без згоди її власника, особою, якій ця таємниця відома, у зв'язку з професійною або службовою діяльністю якщо воно вчинене з корисливих чи інших особистих мотивів і завдало істотної шкоди суб'єкту господарської діяльності.

Адміністративна відповідальність може наступати у разі отримання, використання, розголошення комерційної таємниці, з метою заподіяння шкоди діловій репутації або майну конкурента.

Цивільний кодекс України відносить інформацію до об'єктів цивільних прав і визначає, що суб'єкт відносин у сфері інформації може вимагати усунення порушень його права та відшкодування майнової і моральної шкоди, завданої такими правопорушеннями.

Враховуючи особливий статус та значний обсяг електронної інформації в діяльності суб'єктів підприємництва законодавець передбачив відповідні правові умови відносин у сфері такої інформації. Основним правовим документом тут є Закон України «Про захист інформації в інформаційно-телекомунікаційних системах». Згідно закону основним об'єктом захисту виступають: інформація, що використовується в інформаційно-телекомунікаційних системах та програмне забезпечення, яке використовується для обробки інформації суб'єктами відносин є: власники інформації, власники систем, користувачі, уповноважений орган виконавчої влади з питань організації спецзв'язку та захисту інформації. Взаємовідносини суб'єктів здійснюється на договірних засадах. Порядок доступу до інформації, що оброблюється в системі, перелік користувачів та їх повноваження визначає власник інформації. У випадках коли в системах оброблюється інформація з обмеженим доступом, доступ до неї визначається законодавством. Положеннями закону врегульовано відносини поміж власниками інформації і власниками інформаційно-телекомунікаційних систем, між власниками різних систем, власниками систем і користувачами. Організація захисту інформації, що оброблюється у системах покладається на власників систем. За порушення порядку і правил захисту інформації, що оброблюється в інформаційно-телекомунікаційних системах може наступати адміністративна та кримінальна відповідальність.

Документообіг в електронному інформаційному просторі на сьогоднішній час є одним із елементів документування підприємницької діяльності. Безумовно, що він має бути в правовому плані врегульованим і захищеним. Це питання регулюється двома законодавчими актами: Закони України «Про електронні документи та електронний документообіг» і «Про електронний цифровий підпис», а також Положеннями «Про технічний захист інформації в Україні» і «Про порядок здійснення криптографічного захисту інформації в Україні» [48, 49, 50, 51]. Зазначені правові норми визначають організаційно-правові засади електронного документообігу, використання електронних документів, правовий статус електронного підпису та регулювання відносин, що виникають при його використанні. Зокрема, в законодавчих актах надається поняття електронного документу та наголошується на його юридичному статусі (документ не може бути заперечений через те, що він має електронну форму). Крім того, регулюються питання обігу документів, які містять інформацію з обмеженим доступом та їх особливого захисту в електронних мережах і носіях. Також встановлюється, що електронний підпис є обов'язковим реквізитом електронного документу: за своїм правовим статусом прирівнюється до власноручного підпису (печатки) за умов передбачених Законом України «Про електронний цифровий підпис».

Вказані вище Положення визначають порядок технічного захисту інформації та виконання криптографічного захисту інформації з обмеженим доступом.

Організовуючи забезпечення інформаційної безпеки суб'єктів підприємництва у стосунках з представниками засобів масової інформації необхідно досить грамотно орієнтуватись у законодавстві та правових актах, що регулюють діяльність суб'єктів масової інформації. Зокрема доцільним буде ознайомлення з положеннями наступних правових актів: Законів України «Про порядок висвітлення діяльності органів державної влади та органів місцевого самоврядування в Україні засобами масової інформації», «Про інформацію», «Про друковані засоби масової інформації (пресу) в Україні», «Про телебачення і радіомовлення», «Про інформаційні агентства», «Про авторське право і суміжні права», «Про державну підтримку засобів масової інформації та соціальний захист журналістів», «Про захист суспільної моралі». Крім того, не зайвим буде ознайомитись з Кодексом професійної етики українського журналіста.

Враховуючи, що діяльність з забезпечення інформаційної безпеки суб'єктів підприємництва зазвичай передбачає взаємовідносини з правоохоронними та судовими органами, органами контролю та нагляду, які керуються спеціальними законодавчими актами, що регулюють їх діяльність, доцільним також буде ознайомлення з правами таких органів в інформаційній сфері. Насамперед положеннями Законів України «Про прокуратуру», «Про міліцію», «Про службу безпеки України», «Про оперативно розшукову діяльність», «Про організаційні основи боротьби з організованою злочинністю», «Про судоустрій та статус судів», «Про адвокатуру та адвокатську діяльність», «Про державну контрольно-ревізійну службу в Україні», «Про Національний банк України», «Про заходи протидії незаконному обігу наркотичних засобів, психотропних речовин і прекурсорів та зловживання ними», а також Податкового кодексу України та іншими положеннями правових актів, що регулюють діяльність зазначених органів.

Питання правового регулювання інформаційної безпеки суб'єктів підприємництва не буде повним без нормативно-правових документів самих суб'єктів. Саме такі нормативно-правові документи, базуючись на положеннях законодавчих та підзаконних актів утворюють правові підстави та регулюють діяльність суб'єктів щодо встановлення відповідного інформаційного режиму їх інформаційних відносин з іншими суб'єктами, контрагентами, клієнтами, кредиторами і мають певне значення для взаємостосунків з державними органами. Якраз в таких документах обґрунтовується поведінка суб'єктів підприємництва в їх інформаційному просторі за різних умов. На жаль на сьогодні, як і взагалі у сфері інформаційної безпеки суб'єктів підприємництва, так і в питаннях правового її регулювання нормативно-правовими документами самих суб'єктів стійкої позиції немає. Беручи до уваги мету, завдання та зміст інформаційної безпеки суб'єктів підприємництва, структуру процесу її організації та напрацьований досвід, можна рекомендувати наступний перелік таких нормативно-правових документів: Положення про комерційну таємницю та правила її зберігання на підприємстві (у банку); Положення про конфіденційну інформацію підприємства (банку); Інструкція про порядок підготовки, обліку, зберігання та знищення документів, справ, видань і матеріалів, що містять комерційну таємницю та конфіденційну інформацію підприємства (банку); Положення про захист електронної інформації та електронних документів на підприємстві (у банках питання захисту електронної інформації здійснюється відповідно до нормативно-правових документів НБУ); Інструкція про порядок виконання документів, що надходять до підприємства (банку) від правоохоронних органів, судів та інших державних установ; Положення про архів і архівну діяльність підприємства (банку); Інструкція про проведення службових розслідувань на підприємстві (у банку); Положення про інформаційно-аналітичну роботу на підприємстві (у банку); Інструкція з службового діловодства; Інструкція з спеціального діловодства; Правила використання, поширення та зберігання інформації підприємства (банку) у процесі його діяльності; Методики розробки інформаційних документів підприємства (банку) та надання інформаційних послуг; Пам'ятки працівникам підприємства, банку по збереженню інформації з обмеженим доступом; інші документи [52, 53, 54]. Незважаючи на значний перелік документів, всі вони утворюють правове поле суб'єкта підприємництва у сфері забезпечення його інформаційної безпеки, обґрунтовують поведінку суб'єкта у інформаційному середовищі.

6. Захист інформації в діяльності суб'єктів підприємництва

У вирішенні проблем інформаційної безпеки суб'єктів підприємництва важливе місце займає захист їх інформації. Це питання пов'язане не лише з недопущенням втрати чи знищення інформації або ж її модифікації. Тут важливим є встановлення безпечного режиму її функціонування у процесі діяльності суб'єктів підприємництва, регламентованого доступу до неї. Суттєве значення має налагодження безпечних стосунків з т. з. захисту інформації суб'єктів підприємництва з їх партнерами, контрагентами, клієнтами. Крім того, важливим є захист інформації у процесі офісної роботи особливо цінних виробничих і комерційних інформаційних ресурсів при їх формуванні, обробці, зберіганні і використанні. В останньому аспекті значне місце у захисті інформації займає правильна організація роботи персоналу з інформацією суб'єктів підприємництва і її носіями. Багато фахівців з інформаційної безпеки вважають, що при грамотній організації роботи з персоналом захист інформації забезпечується не менше ніж на 80% [38]. В той же час, захист інформації є складовим елементом інформаційної безпеки суб'єктів підприємництва, ефективне забезпечення якого формує відповідний рівень самої безпеки.

6.1 Інформація з обмеженим доступом в підприємницькій діяльності

Як уже було попередньо розглянуто, в діяльності суб'єктів підприємництва використовується зазвичай два види інформації: відкрита і таємна. Остання - це насамперед банківська і комерційна таємниця, а також конфіденційна інформація. Тому важливим моментом у захисті інформації буде виступати порядок виділення такої інформації як окремого об'єкту захисту. Відповідно до Закону України «Про інформацію» під інформацією розуміються документовані або публічно оголошені відомості про події та явища, що відбуваються у суспільстві, державі та навколишньому природньому середовищі. Цивільний Кодекс України уточнює, що події та явища про які іде мова у визначенні змісту зазначеного поняття повинні обов'язково мати місце (зараз чи в минулому) у суспільстві… і т. д. Водночас дещо відмінене визначення поняття «інформація» дає Закон України «Про захист економічної конкуренції» згідно якого інформація - це відомості в будь-якій формі й вигляді та збережені на будь-яких носіях (у тому числі листування, книги, помітки, ілюстрації (карти, діаграми, малюнки, схеми тощо), фотографії, голограми, кіно-, відео-, мікрофільми, звукові записи, бази даних комп'ютерних систем або повне чи часткове відтворення їх елементів), пояснення осіб та будь-які інші публічно оголошені чи документовані відомості [55]. Тобто, можна бачити, що зазначені правові норми вказують, що інформацією є документовані чи оголошені відомості, які можуть міститись на різноманітних носіях. Таким чином, захисту мають підлягати відомості, які є у розпорядженні суб'єкта підприємництва і які відтворюють (характеризують) події та явища (діяльність), що відбуваються у нього.

Розглядаючи питання обмеження доступу як способу захисту інформації, слід звернути особливу увагу на те, як законодавець регулює право власника інформації на її захист. Як уже зазначалось, відповідно до вітчизняного законодавства громадяни, юридичні особи, які володіють інформацією професійного, ділового, виробничого, банківського, комерційного та іншого характеру, одержаної за власні кошти, або таку, що є предметом їх ділового, виробничого, банківського, комерційного та іншого інтересу і не порушує законом таємниці, самостійно визначають режим доступу до неї, включаючи належність її до категорії конфіденційної та встановлюють до неї систему (способи) захисту. Тобто, право встановлювати відповідний режим доступу до інформації мають особи (юридичні та фізичні), які володіють інформацією. За таких умов суб'єкти підприємництва мають право обмежувати доступ до власної інформації, в тому числі і щодо якої вони стали володільцями в результаті її придбання або, яка не є їх власністю, але є предметом їх інтересу (будь-які відомості отримані суб'єктом підприємництва в результаті проведення заходів інформаційного забезпечення його діяльності).

Безумовно, що головну увагу суб'єкти підприємництва приділяють інформації з обмеженим доступом, тому саме ця інформація в їх діяльності є головним об'єктом захисту.

Найбільш важливе місце в системі захисту інформації займає таємна інформація, а саме банківська та комерційна таємниця. Як було зазначено в розділі 5, законодавець встановив вичерпний зміст та перелік відомостей, що становлять банківську таємницю.

Встановивши такий перелік законодавець разом з тим поклав на банки певні обов'язки щодо організації її захисту. Так, відповідно до ст. 61 Закону України «Про банки і банківську діяльність» банки зобов'язані:

- обмежувати коло осіб, що мають доступ до інформації, яка становить банківську таємницю;

- організовувати спеціальне діловодство з документами, що містять банківську таємницю;

- застосовувати технічні засоби для запобігання несанкціонованому доступу до електронних та інших носіїв інформації;

- застосовувати застереження щодо збереження банківської таємниці та відповідальність за її розголошення у договорах і угодах між банком і клієнтом.

Крім того, керівники та службовці банків зобов'язані не розголошувати та не використовувати з вигодою для себе чи третіх осіб конфіденційну інформацію, яка стала їм відома при виконанні службових обов'язків. Це ж стосується і приватних осіб, які при виконанні своїх функцій або наданні послуг банку отримали доступ до конфіденційної інформації.

Забезпечуючи захист банківської таємниці законодавець встановив і особливий порядок розкриття відомостей, які становлять таку таємницю (про що вже йшла мова у розділі 5.)

Крім того, банк має право надавати інформацію, що становить банківську таємницю, іншим банкам та Національному банку України в обсягах необхідних при наданні кредитів, банківських гарантій; особі (в тому числі яка уповноважена діяти від імені держави), на користь якої відчужуються активи та зобов'язання банку, при виконанні заходів, передбачених програмою фінансового оздоровлення банку, або під час здійснення процедури ліквідації.

Законодавець не поширює обмеження щодо розкриття банківської таємниці на службовців Національного банку України чи уповноважених ними осіб, які здійснюють функції банківського нагляду або валютного контролю. Разом з тим, Національний банк України має право розкривати інформацію, що містить банківську таємницю банків Міністерству фінансів України у разі, коли держава бере участь у капіталізації цих банків.

Розкриття інформації, яка становить банківську таємницю здійснюється виключно за письмовими запитами. Щодо державних органів законодавець встановив, що такий запит має бути оформлено у вигляді письмової вимоги:

- має бути викладена на бланку державного органу встановленої форми;

- бути підписаним керівником державного органу (чи його заступником) та скріплена гербовою печаткою;

- має містити передбачені Законом України «Про банки і банківську діяльність» підстави для отримання інформації;

- має містити посилання на норми закону, відповідно до яких державний орган має право на отримання такої інформації.

Виїмка документів, які містять інформацію, що становить банківську таємницю, проводиться лише за вмотивованою постановою судді в порядку передбаченому Кримінально-процесуальним кодексом України. У цьому випадку банк зобов'язаний виготовити копії документів, які підлягають виїмці. Зазначені копії разом з другим примірником протоколу виїмки залишаються в банку.

Відповідно до вимог Національного банку України банки зобов'язані за погодженням з клієнтом відображати в договорах, що укладаються між ними, застереження щодо збереження банківської таємниці та відповідальності за її незаконне розголошення або використання.

Суб'єкти, які мають доступ до банківської таємниці, в тому числі і банки в своїх нормативних документах повинні встановити особливий порядок реєстрації, використання, зберігання та доступу до документів (в тому чисті і електронних), що містять банківську таємницю.

Характеризуючи інформацію з обмеженим доступом слід звернути увагу на те, що суб'єкти підприємництва як юридичні особи, які здійснюють господарську діяльність виробляють свою власну інформацію, що може бути для них досить важливою та цінною. При розробці нових технологій виробництва, нової продукції, плануванні розвитку, створюються насичені різноманітними відомостями інформаційні об'єкти, які вимагають надійного захисту. Тому суб'єкти підприємництва мають захищати такі об'єкти шляхом надання їм категорії комерційної таємниці.

Тут слід пам'ятати, що відповідно до цивільного законодавства основними ознаками комерційної таємниці є: комерційна цінність інформації, інформація має бути невідомою третім особам і до неї немає вільного доступу, володілець інформації має вживати відповідних заходів для її охорони і таємності, інформація не може бути об'єктом інших таємниць.