Інформаційна безпека в підприємницькій діяльності

Враховуючи, що суб'єкти підприємництва, як власники інформації самостійно визначають зміст своїх таємниць, значення набуває процес формування переліку відомостей, що становлять комерційну таємницю. З одного боку зазначений перелік повинен надійно захищати цінну для суб'єктів інформацію, а з іншого не обмежувати їх інформаційну діяльність на ринку. Вітчизняний досвід діяльності суб'єктів підприємництва має певні приклади організації роботи по визначенню відомостей, що становлять комерційну таємницю, узагальнення якої дало можливість сформувати наступний варіант формування переліку відомостей, що становлять комерційну таємницю підприємництва, фірми, банку.

Відповідним наказом керівника суб'єкта підприємництва визначається комісія на яку покладається завдання складання переліку відомостей, що становлять комерційну таємницю. Разом з тим, зазначеним наказом керівники всіх підрозділів і установ суб'єкта підприємництва зобов'язуються виокремити відомості по своїх напрямках роботи, які з їх погляду вимагають обмеження доступу до них шляхом надання їм категорії комерційної таємниці. Пропозиції підрозділів надходять до зазначеної вище комісії, яка їх обробляє, перевіряє щодо відповідності вимогам чинного законодавства, формує і узгоджує в підрозділах остаточний проект переліку таких відомостей. Зазначений перелік надається керівнику суб'єкта підприємництва, який відповідним наказом вводить його в дію. Одночасно в наказі визначаються особи, яким інформація, що складає комерційну таємницю може розкриватись в повному обсязі. Крім того, цим же наказом визначаються завдання щодо заходів захисту комерційної таємниці.

Конфіденційна інформація суб'єктів підприємництва як вид інформації з обмеженим доступом може мати подвійний характер. З одного боку це інформація власниками якої є суб'єкти підприємництва і яка з тих чи інших причин не отримала категорії таємної та інформація про персонал яка зберігається в особових справах та документах про оплату праці. Якщо перелік відомостей, що становить конфіденційну інформацію суб'єктів підприємництва визначається в тому ж порядку, що і для комерційної таємниці, то зміст конфіденційної інформації про працівників подається у Законі України «Про інформацію» та забезпечується відповідно до Закону України «Про захист персональних даних». Суб'єкти підприємництва зобов'язані забезпечити конфіденційність таких даних, зібраних на своїх працівників при прийомі та у ході їх роботи.

Одним із заходів захисту інформації з обмеженим доступом, яку мають передбачити суб'єкти підприємництва є встановлення дисциплінарної відповідальності їх працівників за порушення правил роботи з такою інформацією. Тут слід зазначити, що притягнення до дисциплінарної відповідальності працівників може відбуватись: а) якщо ними порушено вимоги Посадової інструкції, якою передбачено обов'язок працівника зберігати, не розголошувати, не використовувати на власний розсуд і т. і. певні відомості; б) якщо в нормативних документах, що регулюють відповідні технології виробництва і якими має керуватись працівник, вказано правила поводження з інформацією, а він їх порушує; в) якщо подібні правила передбачено в умовах трудового договору. Так, при укладанні трудового договору згідно ст. 21 Кодексу законів про працю України працівник зобов'язується виконувати умови внутрішнього трудового розпорядку, однією з вимог якого може бути зберігання в таємниці певної інформації. Крім того, може бути передбачено також укладання окремої угоди про конфіденційність. Разом з тим, необхідно зауважити, що притягнення працівників до відповідальності за посягання на інформацію чи порушення правил поводження з нею має здійснюватись за певним порядком. Як правило, прийняттю рішення про притягнення працівника до відповідальності має передувати проведення службового розслідування, метою якого є встановлення обставин, умов і причин виявлення фактів посягання на інформацію суб'єкта підприємництва, встановлення осіб безпосередньо причетних до цього, з вини або за сприяння яких мали місце такі факти, вироблення пропозицій і рекомендацій щодо усунення причин і недоліків у роботі установ суб'єкта підприємництва та пропозицій по відшкодуванню понесених збитків, а також притягнення до відповідальності осіб, які спричинили або сприяли витоку (втраті, знищенню, зміні) інформації.

Службові розслідування проводяться у разі виявлення фактів несанкціонованого витоку інформації з обмеженим доступом суб'єкта підприємництва внаслідок чого йому заподіяно матеріальної шкоди або це вплинуло на погіршення його іміджу.

Рішення про проведення службового розслідування приймається керівником установи суб'єкта підприємництва.

Найчастіше службові розслідування проводяться фахівцями служби безпеки, а при відсутності таких фахівців спеціально призначеними керівником установи особами. Коли для проведення службового розслідування необхідно залучити фахівців інших підрозділів можуть створюватися відповідні комісії.

До участі у проведенні службового розслідування не повинні залучатись посадові особи, якщо мають місце обставини, які можуть викликати їх особисту зацікавленість у результатах розслідування.

При проведенні службових розслідувань особи, які залучені до цього, мають право:

- отримувати від працівників установ суб'єкта підприємництва усні та письмові пояснення щодо факту, який розслідується, а також консультації фахівців суб'єктів з питань службового розслідування;

- вивчати відповідні документи як у паперовому, так і в електронному вигляді, знімати з них копії та отримувати необхідні пояснення по них. У випадках коли документи містять інформацію з обмеженим доступом, справи, що ведуться у зв'язку з службовим розслідуванням, повинні мати гриф не нижче, ніж на документах, з яких отримана інформація;

- збирати з дотриманням вимог законодавства інформацію, необхідну для встановлення об'єктивної суті подій, фактів, випадків, осіб, причетних до них, робити відповідні запити до підрозділів і установ суб'єктів підприємництва

В окремих випадках фахівці або голова комісії можуть отримувати роз'яснення у посадових осіб та керівництва установ суб'єктів.

З дозволу керівника установи фахівцями (комісіями), які проводять службове розслідування, можуть подаватись запити до інших установ, організацій та правоохоронних органів.

Особи, які проводять службове розслідування несуть персональну відповідальність згідно з чинним законодавством за повноту та об'єктивність висновків, зроблених ними за результатами розслідування, розголошення інформації, отриманої у ході розслідування.

Фахівці (члени комісії), які проводять службове розслідування, забезпечуються необхідними для роботи документами, програмно-апаратним, технічними засобами, автотранспортом та іншим обладнанням і технікою.

Працівники суб'єктів підприємництва зобов'язані надавати їм допомогу у встановленні причин та умов виникнення фактів, за якими проводиться службове розслідування, давати пояснення, інформацію та консультації стосовно питань розслідувань.

За результатами службового розслідування складається акт або доповідна записка, де зазначається:

- суть та обставини, що характеризують факти, випадки, за якими проводиться розслідування, учасники та їх дії, у тому числі такі, що суперечать встановленим правилам, посадовим обов'язкам, нормативно-правовим документам, які діють в установах суб'єктів підприємництва умови, що сприяли скоєнню порушень або іншим діям;

- характеристика шкоди, заподіяної суб'єктам підприємництва, прогноз її впливу на їх подальшу діяльність;

- причини, що призвели до таких фактів та особи, з вини яких допущено ці факти;

- заходи щодо відшкодування заподіяної шкоди, захисту честі та гідності посадових осіб, пропозиції щодо усунення причин та умов, що сприяли виникненню фактів, за якими проводиться службове розслідування, покарання винних, рекомендації з профілактики та недопущення подібних випадків.

Посадова особа, яка призначила службове розслідування у 10-денний термін розглядає акт або доповідну записку та приймає відповідне рішення. У разі необхідності така посадова особа може заслухати особу, яка проводила службову розслідування, або членів комісії, а також осіб, з вини яких допущено те чи інше порушення.

Матеріали службового розслідування є підставою для прийняття керівником установи рішення про притягнення винних осіб до дисциплінарної або іншої відповідальності згідно чинного законодавства.

В певних випадках за рішенням керівника може бути ініційовано подання матеріалів до правоохоронних органів, суду, Антимонопольного комітету України тощо.

6.2 Система захисту інформації суб'єктів підприємництва

З інформаційної точки зору суб'єкт підприємництва являє собою комплекс компонентів, пов'язаних між собою єдиною метою, структурними відносинами, технологіями інформаційного обміну. Зазначені компоненти в процесі функціонування суб'єкта можуть змінюватись, на них можуть здійснювати вплив різного роду внутрішні та зовнішні чинники, які складно прогнозувати та оцінювати. Всі компоненти можна сформувати у чотири групи: персонал, технічні засоби інформатизації, програмне забезпечення, документи і вважати як об'єкти захисту інформації. Зазначені групи у своєму функціонуванні зазнають впливу різного роду специфічних факторів і взаємодіючи між собою впливають один на одного, формуючи відповідний стан інформаційної безпеки суб'єкта підприємництва. Як показує практика, робота з кожною з цих груп щодо забезпечення інформаційної безпеки чи зокрема захисту інформації призводить до покращення якостей безпеки по одних параметрах і погіршення по інших, що вимагає комплексного підходу до забезпечення інформаційної безпеки.

Висока інформатизація та автоматизація виробничого процесу суб'єктів підприємництва не виключає звичайних взаємовідносин їх персоналу з контрагентами та клієнтами, а значні обсяги електронних документів аж ніяк не призводять до зменшення документообігу паперових носіїв інформації. Тобто забезпечення інформаційної безпеки і такої її складової як захист інформації неможливо здійснити лише організаційними чи технічними заходами, або скажімо програмними чи криптографічними. Дії по забезпеченню інформаційної безпеки повинні являти собою регулярний процес, що здійснюється на всіх напрямках діяльності суб'єкта підприємництва на основі комплексного застосування всіх заходів і засобів безпеки. При цьому засоби, заходи та методи безпеки найбільш раціональним способом об'єднуються в єдиний цілісний механізм не тільки для захисту від зловмисників, але і від некомпетентних, недобросовісних працівників та різних непередбачуваних ситуацій. Тобто, забезпечення інформаційної безпеки як має носити системний та комплексний характер. Системність заходів інформаційної безпеки суб'єктів підприємництва має передбачати наступне:

- високий ступінь захищеності їх інформації як головну характеристику її якісного стану;

- заходами безпеки охоплюються всі інформаційні ресурси суб'єктів підприємництва;

- діяльність по забезпеченню інформаційної безпеки є безперервною і плановою, на основі єдиної концепції безпеки;

- забезпечення інформаційної безпеки здійснюється у тісній єдності з поточною діяльністю суб'єктів підприємництва.

Комплексний характер системи забезпечує оптимізацію заходів та засобів, що використовуються нею задля створення необхідного балансу вимог і можливостей інформаційної безпеки. Комплексний підхід обумовлюється ще і тим, що загрози інформації суб'єктів підприємництва носять різноманітний характер, перекриття яких вимагає застосування багатьох, різних за призначенням заходів і засобів. Крім того, значний спектр різного роду операцій, велика регіональна розпорошеність установ, специфічність поведінки перcoнaлy, контрагентів, суб'єктів підприємництва тa клієнтів створюють суттєві особливості їх діяльності і вимагають адекватної реакції систем безпеки. Водночас адекватність реакції передбачає узгоджені дії всіх сил та засобів безпеки, що можливо лише при системному підході. Більш того, забезпечення безпеки в сучасних умовах має здійснюватись як на технологічному, так і на логічному рівнях, що має забезпечувати врахування всіх факторів і особливостей, які впливають на безпеку суб'єктів підприємництва, а також всіх компонентів інформаційної роботи: збору, обробки, зберігання, передавання, використання інформації. За таких умов системність та комплексність інформаційної безпеки, в тому числі і у сфері захисту інформації є обов'язковою умовою її високої ефективності.

Система захисту інформації суб'єкта підприємництва -- це організована сукупність об'єктів і суб'єктів захисту інформації, заходів, методів, засобів та технологій, що використовуються для захисту його інформаційних ресурсів. Основна мета створення системи захисту інформації - забезпечення надійного зберігання і ефективного використання інформації в діяльності суб'єктів підприємництва.

Враховуючи складність структури системи захисту інформації та необхідність її функціонування в умовах невизначеності, побудова такої системи має базуватись на відповідних принципах.

Принцип повноти інформації, що захищається обумовлює необхідність захисту не тільки інформації з обмеженим доступом, а і іншої інформації, втрата якої може нанести шкоди суб'єкту підприємництва. Реалізація даного принципу дозволяє забезпечувати захист всіх об'єктів інтелектуальної власності суб'єкта підприємництва.

Відповідно до принципу обґрунтованості захисту інформації визначається доцільність надання відповідного грифу певним відомостям, виявляються економічні та інші наслідки, що можуть наступати від застосування заходів захисту інформації. Це в свою чергу дозволить більш раціонально та продуктивно здійснювати витрати на захист інформації.

Принципи повної участі та персональної відповідальності передбачають поширення обов'язку захищати інформацію на всіх осіб, що працюють з інформаційними продуктами (програмами, документами, характеристиками і т. і.) суб'єкта підприємництва , а також вимагають відповідальності кожного із його працівників чи інших осіб за порушення заходів захисту інформації.

Принцип превентивності передбачає плановість заходів захисту інформації, застосування їх з метою виявлення, перетинання та локалізації загроз інформації суб'єкта підприємництва.

Важливе значення у захисті інформації має політика інформаційної безпеки суб'єкта підприємництва. Політика інформаційної безпеки -- це прийнята у суб'єкта підприємництва сукупність норм, правил, рекомендацій згідно яких будується система його інформаційної безпеки та управління нею. Вона реалізується за допомогою організаційних заходів і програмно-технічних засобів, які визначають архітектуру системи захисту та за допомогою засобів управління механізмами захисту. Для кожного суб'єкта підприємництва політика безпеки є індивідуальною і залежить від особливостей технологій його виробничої та комерційної діяльності, його відносин та умов функціонування на ринку.

Відповідно до прийнятої політики інформаційної безпеки проводяться організаційні заходи по створенню системи захисту інформації. В даний час суб'єктами підприємництва напрацьовано відповідний алгоритм роботи по організації системи захисту інформації, який включає наступні дії:

- визначення вразливості інформації суб'єкта підприємництва (виявлення в інформаційній системі суб'єкта місць, використання зловмисниками яких може нанести шкоди інформаційним ресурсам і в цілому суб'єкту підприємництва);

- визначення мети, завдань та об'єктів захисту інформації;

- вибір форм, способів та засобів захисту інформації;

- формування елементів системи захисту інформації, її сил та засобів;

- створення нормативної бази суб'єкта з питань захисту інформації;

- планування функціонування системи, використання нею сил та засобів захисту інформації у відповідності до особливостей діяльності суб'єкта підприємництва;

- забезпечення взаємодії всіх елементів системи між собою та з іншими компонентами, які згідно політики інформаційної безпеки можуть бути задіяні для захисту інформації;

- забезпечення функціонування системи (матеріальне, фінансове, наукове та ін.);

- контроль стану захищеності інформації, надійності функціонування системи та ефективності заходів, що вживаються нею.

Вразливість інформації є одним із головних показників стану її захищеності. Тому визначення ступеня вразливості інформації у ході організації її захисту має досить суттєве значення. Зміст роботи по визначенню вразливості інформації показано на рис.6.1.

Результати, отримані в ході визначення вразливості інформації, використовуються для встановлення складу інформації, яка підлягає безпосередньому захисту, тобто об'єктів захисту. Загальний підхід тут полягає у тому, що захисту підлягає вся інформація з обмеженим доступом і найбільш важлива частина відкритої інформації. При цьому інформація з обмеженим

доступом повинна захищатись від втрати і несанкціонованого витоку, а відкрита - тільки від втрати.

За деякою практикою суб'єкти підприємництва не передбачають захисту відкритої інформації. Але ж відкритість інформації не лишає її цінності, а цінна інформація безумовно має захищатись, насамперед від втрати її. Захист такої інформації здійснюється шляхом реєстрації її носіїв, обліку, контролю наявності. Разом з тим, захист відкритої інформації не повинен обмежувати її загальнодоступності, але доступ до неї має бути контрольованим, з дотриманням відповідних вимог щодо її збереження. Тобто, відкрита інформація є об'єктом захисту і стосовно неї повинні проводитись певні заходи в системі захисту інформації. Загальною ж основою для вибору об'єкту захисту є цінність інформації

Критеріями цінності можуть бути: необхідність інформації для правового забезпечення діяльності суб'єкта підприємництва; необхідність інформації для здійснення виробничої діяльності; необхідність інформації для ефективного управління діяльністю суб'єкта підприємництва, об'єктивного прийняття управлінських рішень, організації прибуткової його діяльності; необхідність інформації для формування ресурсної бази суб'єкта підприємництва та забезпечення його безпеки. Разом з тим основним і визначальним критерієм у виборі об'єкта захисту інформації є можливість отримання від використання певної інформації переваг за рахунок її невідомості третім особам. Критерій має дві складові: невідомість інформації для третіх осіб і отримання вигоди в силу цієї невідомості.

Водночас система захисту інформації суб'єкта підприємництва у своєму функціонуванні носить конкретний характер і вимагає однозначної конкретизації об'єктів захисту. Інформація, на яку спрямовуються зусилля системи захисту не існує сама по собі, а фіксується (відображається) у відповідних матеріальних об'єктах або пам'яті людей, тобто вона існує на відповідних носіях. Таким чином, обираючи об'єкт захисту ми маємо визначити певний перелік носіїв невідомої третім особам інформації за рахунок якої суб'єкт отримує певні переваги у своїй діяльності. Тобто, це можуть бути відповідні документи, матеріали (в тому числі магнітні, магнітооптичні, оптичні та інші засоби), вироби (засоби відображення, обробки, відновлення, передачі інформації), мережі зв'язку та передачі даних, а також працівники суб'єкта. Захист цих об'єктів має здійснюватись шляхом регулювання доступу до них, встановлення відповідного порядку їх використання (діяльності) та формування умов зберігання. Якраз ці заходи і складають структуру системи захисту інформації.

Зазначені заходи в системі захисту інформації здійснюється за допомогою технічних, програмних та організаційно-правових засобів. До технічних засобів регулювання доступу можна віднести кодовані замки на вході в приміщення де знаходиться відповідна інформація, встановлення засобів та систем пропуску на територію суб'єкта підприємництва, спеціальні прилади та пристрої, що регулюють доступ до інформації, яка зберігається у комп'ютерах. За допомогою програмних засобів розмежовується доступ до інформації в інформаційних комп'ютерних системах і мережах. Правові засоби є загальними, які встановлюють як порядок роботи з інформаційними ресурсами суб'єкта підприємництва, так і умови та правила використання технічних та програмних засобів захисту інформації.

Враховуючи різноманітність загроз інформації суб'єктів підприємництва та необхідність найбільш ефективного її захисту, система має виконувати відповідний комплекс завдань орієнтований на використання всіх можливих засобів. Зміст таких завдань у їх комплексі запропоновано на Рис. 6.2.

Особливим об'єктом захисту інформації в діяльності суб'єктів підприємництва є персонал, в пам'яті якого зосереджено величезні масиви інформації, в тому числі і такої, що є крайнє цінною для суб'єктів.

У цьому сенсі працівники суб'єктів підприємництва як носії інформації характеризуються з точки зору її захисту позитивними та негативними рисами. Позитивним є те, що без згоди суб'єктів із пам'яті працівників ніяка інформація ні за яких умов не може бути вилучена, працівники можуть об'єктивно оцінювати важливість інформації, якою володіють і відповідно до цього ставитись до неї, а також ранжувати споживачів їхньої інформації, знаючи кому і яку інформацію можна довірити.

Рис. 6.2. Зміст завдань системи захисту інформації

Негативним є те, що працівники можуть помилятись в щирості таких споживачів, бути не повністю компетентним у важливості інформації, якою володіють, їх дії багато в чому залежать від емоційного стану, характеру, власних потреб.

За таких умов система захисту інформації щодо об'єкту захисту такого як працівники має вживати заходи регламентування роботи працівників з інформацією, встановлювати відповідні обмеження та заборони, а також певним чином мотивувати поведінку працівників до дотримання встановленого режиму захисту інформації.

Регламентування роботи працівників з інформацією здійснюється шляхом:

- визначення осіб, яким надано право доступу до інформації повному обсязі;

- визначення осіб, яким надано право доступу до інформації суб'єкта підприємництва в частині, що їх стосується;

- встановлення порядку доступу до інформації суб'єкта підприємництва та повноважень осіб щодо її використання;

- визначення порядку та правил використання носіїв інформації в

процесі діяльності суб'єкта підприємництва;

- визначення порядку та правил зберігання інформації, вироблення, обліку та пересилання електронних та паперових документів.

Заборони та обмеження досягаються виключенням фізичної та іншої можливості доступу до інформації, яка згідно повноважень працівника йому не повинна доводитись. Крім того, обмеження доступу здійснюється і шляхом виконання певних завдань чи робіт по окремих частках групою працівників, кожен з якої не обізнаний із змістом інформації, яка повністю характеризує завдання (обсяг роботи).

Мотивації у забезпеченні захисту інформації, якою володіють працівники формуються через зацікавленість працівників у виконанні ними заходів захисту. Основними методами тут виступають: формування у працівників фірмового патріотизму; матеріальна та кар'єрна вигода дотримання заходів захисту; відповідне відношенні колективу до осіб, що порушують встановлені правила захисту інформації; зручність виконання зазначених заходів і т. і.

Важливе значення мають заходи протидії попадання працівників під вплив осіб, зацікавлених в отриманні інформації суб'єктів підприємництва (конкурентів, промислових шпигунів і т. д.). Як правило, підрозділи безпеки суб'єктів підприємництва розробляють відповідні методики роботи з персоналом щодо протидії витоку інформації, якою володіють працівники. Зазвичай до змісту таких методик включаються наступні питання:

- визначення готовності кандидатів на роботу та працівників до зрадництва, легкої наживи, аморальної поведінки;

- формування сприятливих умов роботи кожному із працівників;

- формування умов та можливостей максимального заробітку та кар'єри;

- вжиття заходів гарантованого захисту інформаційних об'єктів та регламентування доступу до джерел інформації;

- встановлення відповідальності за посягання на інформацію суб'єктів підприємництва;

- пропаганда захисту таємниць суб'єктів підприємництва як однієї із умов ефективного їх розвитку та забезпечення добробуту працівників, вжиття заходів з профілактики недобросовісної їх поведінки;

- контроль роботи, поведінки та зв'язків працівників, обізнаних з таємницями суб'єктів підприємництва;

- встановлення в діяльності суб'єктів підприємництва суворого пропускного режиму;

- контроль наявності документів, стану документообігу, в тому числі і в комп'ютерних мережах, переговорів через засоби зв'язку;

- аналіз можливих способів посягання на інформацію суб'єктів підприємництва та методів протидії їм з практики роботи інших суб'єктів.

З питань захисту інформації працівники суб'єктів підприємництва зобов'язані:

- зберігати в таємниці всі службові відомості, з якими вони ознайомлені у зв'язку зі своєю роботою на посаді;

- виконувати встановлений порядок і правила роботи з документами та інформацією, які мають таємний або конфіденційний характер;

- знати кому із працівників і в якому обсязі дозволено працювати з відомостями обмеженого доступу;

- на вимогу працівників підрозділу безпеки надавати документи, матеріали, електронні носії інформації для перевірки;

- не користуватись на робочому місці власними засобами зберігання та передачі інформації, фото- та відеоапаратурою;

- дотримуватись встановлених правил передачі (пересилання, обробки) інформації з службових документів, ведення службових переговорів, в тому числі і по засобах зв'язку;

- негайно доповідати безпосередньому керівнику про втрату документів службового призначення, особливо тих, що мають гриф таємності;

- своєчасно інформувати підрозділи безпеки про спроби сторонніх осіб отримати інформацію таємного чи конфіденційного характеру.

Захист інтересів суб'єктів підприємництва у взаємовідносинах з персоналом, допущеним до їх таємниць здійснюється шляхом правового закріплення таких взаємовідносин у відповідних документах (Рис. 6.3).

При звільненні працівників з роботи захист інформації здійснюється шляхом виконання таких заходів: отримання від працівників, які звільняються всіх матеріалів конфіденційного та таємного характеру, що обліковуються за ними з оформленням відповідного акту; передача працівниками, що звільняються, перепусток, печаток, штампів, ключів, сейфів тощо уповноваженим від суб'єкта підприємництва особам; проведення бесіди з працівниками, які звільняються з роботи, про необхідність збереження в таємниці всіх відомостей таємного та конфіденційного характеру, які були їм відомі під час роботи, підписання зобов'язань про нерозголошення ними цих відомостей; попередження працівників про відповідальність за розголошення чи використання таємних або конфіденційних відомостей, що належать суб'єкту підприємництва. Підписані працівниками зобов'язання зберігаються в їх особових справах протягом всього терміну зберігання справ.

Практика забезпечення безпеки діяльності суб'єктів підприємництва знає приклади коли витік цінної для них інформації здійснювався мимовільно, без злого наміру, в силу недоопрацювання певних питань чи не врахування особливостей ситуації, яка склалась навколо них. Система захисту інформації у зв'язку з цим має поширювати свій вплив і на такі випадки, зокрема щодо пропагандистських, рекламних заходів, публікації звітів, проспектів емісії акцій, оголошень та інших заходів, які проводяться суб'єктами підприємництва, оприлюдненням певної інформації в інформаційному середовищі. Тут інформація має надаватись у так званому диверсифікованому вигляді. Диверсифікація в даному випадку передбачає надання інформації по різних інформаційних каналах, через різних суб'єктів, окремими частками, з перервою у часі.

За певних умов може бути доцільним надання неповної інформації або ж у формі коротких заяв, повідомлень, прес-релізів, без будь-яких коментарів. В окремих випадках може бути необхідним згадати давно забуте слово цензура, особливо для інформації, яка активно поширюється суб'єктом підприємництва в інформаційне середовище. У даному разі заходи цензури будуть передбачати:

Рис. 6.3. Заходи захисту інтересів суб'єктів підприємництва у взаємовідносинах з персоналом, допущеним до роботи з їх інформацією, яка має обмежений доступ.

- аналіз інформації стосовно належності її до такої, що має обмежений доступ;

- перевірку об'єктивності інформації та відповідності її чинному законодавству;

- порівняння змісту інформації, що надається для оприлюднення із змістом попередньо оприлюдненої на предмет суперечності одна одній чи виявлення в сукупності повідомлень ознак конфіденційності;

- аналіз інформації з точки зору її сприйняття інформаційним середовищем;

- узагальнення всієї інформації, що надана в інформаційне середовище та виявлення критичної межі її змісту для врахування у подальшій роботі.

Чинне законодавство передбачає право доступу до інформації суб'єктів підприємництва представникам державних органів. Тут інформація подається за рішенням керівника установи суб'єкта підприємництва в межах повноважень, якими наділений зазначений представник та в порядку, який встановлений суб'єктом.

Представники інших суб'єктів підприємництва, установ та організацій отримують доступ до інформації в межах і в порядку передбаченому відповідними договірними документами. У разі виникнення екстремальних ситуацій доступ до інформації суб'єктів підприємництва представникам правоохоронних органів, органів МНС, іншим особам надається за рішенням керівників установи суб'єкта в межах питань, які стосуються вирішення екстремальних ситуацій.

Однією з особливостей сьогодення є поширене використання різноманітних електронних засобів для отримання інформації з акустичного каналу. За таких умов система захисту інформації суб'єктів підприємництва має передбачати нормативне регулювання питань, пов'язаних з правилами користування технічними засобами накопичення, обробки, зберігання та передачі інформації. Крім того, доцільним є включити в перелік заходів захисту інформації періодичне проведення атестації окремих приміщень установ суб'єктів підприємництва на предмет наявності в них пристроїв електронної розвідки. До заходів протидії витоку інформації через спеціальні електронні пристрої слід включити спеціальне інженерно-технічне обладнання приміщення де зберігається, оброблюється інформація з обмеженим доступом та обговорюються важливі для суб'єкта підприємництва питання. Сюди ж слід додати і використання спеціальних технічних засобів виявлення пристроїв електронної розвідки та періодичний огляд засобів і мереж зв'язку, місць їх розташування. Звичайно, що система захисту інформації повинна забезпечувати технічний захист інформації, яка оприлюднюється у ході переговорів, нарад та інших видів конфіденційного спілкування.

У захисті інформації суб'єктів підприємництва важливе місце відводиться організації спеціального діловодства. Діловодство розуміється як система заходів по документаційному забезпеченню діяльності суб'єкта підприємництва. Основним правилом в організації діловодства і захисту інформаційних ресурсів є забезпечення розмежування потоків відкритої інформації і інформації з обмеженим доступом. За таких умов в діяльності суб'єктів підприємництва має бути організовано службове діловодство (забезпечення документообігу відкритої інформації) і спеціальне діловодство, яке забезпечує документообіг інформаційних матеріалів таємного та конфіденційного характеру. Водночас у ході руху документів конфіденційного та таємного характеру збільшується кількість осіб, обізнаних з цінною інформацією, а з тим і розширюються потенційні можливості втрати конфіденційної та таємної інформації, збільшується ризик розголошення її персоналом, витоку через технічні засоби, зникнення документів. У такому випадку документообіг, як процес руху документованої інформації з обмеженим доступом, також стає об'єктом захисту. Головним у конфіденційному документообігу стає формування спеціальної технології руху документів, яка б забезпечувала необхідну безпеку інформації на будь-якому із етапів її обігу. Тому захищений документообіг має являти собою контролюючий рух документів конфіденційного та таємного характеру по регламентованих пунктах приймання, обробки, розгляду, виконання, використання, зберігання в жорстких умовах організаційного і технологічного забезпечення безпеки як носіїв інформації, так і її самої. У такому разі в доповнення до правил службового документообігу конфіденційний документообіг додатково включає наступні заходи:

- обмеження доступу персоналу до документів справ і баз даних діловою, службовою та виробничою необхідністю;

- персональна відповідальність посадових осіб за надання дозволу на доступ працівників суб'єктів підприємництва до відомостей і документів конфіденційного і таємного характеру;

- жорстка регламентація порядку роботи з документами, справами, базами даних для всього персоналу.

Документообіг, як головна складова діловодства, базується на відповідній систематизації документів якою є номенклатура справ. Згідно з номенклатурою справ всі документи групуються у відповідні групи (справи) і обліковуються та зберігаються по таких групах (справах). Номенклатура справ є єдиною для установи суб'єкта підприємництва. Документообіг здійснюється у відповідності з номенклатурою справ та поділяється на вхідний, вихідний та внутрішній документопотоки. Вхідний документопотік спеціального діловодства включає: приймання, облік і первинну обробку пакетів, конвертів та незаконвертованих документів, що надійшли до установи суб'єкта підприємництва; облік документів і формування довідково-інформаційного банку даних по документах; попередній розгляд і розподіл документів; розгляд документів керівниками і надання їх на ознайомлення з документами виконавців, використання чи виконання.

Вихідний та внутрішній документопотоки включають: вироблення документів (визначення грифу таємності та облік носія майбутнього документу, розробка документу, облік підготовленого документу та його виготовлення; контроль процесу вироблення документів); обробка виданих документів: експедиційна обробка і відправлення їх адресатам, передавання внутрішніх документів відповідним підрозділами суб'єкта підприємництва; систематизація вироблених документів відповідно до номенклатури справ, оформлення їх по справах; підготовка і направлення справ до архіву суб'єкта підприємництва відповідно з встановленим порядком архівації документів. Всі документи, справи і носії інформації повинні мати інвентарний номер.

Спеціальне діловодство є централізованим і забезпечується відповідним підрозділом. Основною особливістю документообігу в спеціальному діловодстві є багатоступеневий облік всіх процедур і операцій, що проводяться з документами. Зміст зазначених процедур і операцій конфіденційного документообігу розкрито в Додатках 1-2.

Важливе місце в організації захисту інформації в діяльності суб'єктів підприємництва є визначення режиму функціонування інформації. Режим, як правило,обирається у залежності від категорії інформації, її цінності для діяльності суб'єкта та зацікавленості в ній інших осіб. Тут можна пропонувати три режими: повністю закритий режим функціонування інформації, частково закритий режим та періодично закритий режим. У першому випадку доступ до інформації надається виключно обмеженому колу осіб і практично ніколи така інформація не розкривається у зв'язку з втратою цінності та її категорії. Документи, в яких міститься подібна інформація з втратою їх значення, як правило, знищується. Частково закритий режим функціонування інформації встановлюється шляхом надання доступу до окремих відомостей певному колу осіб при неможливості їх спілкування між собою з метою узагальнення отриманих відомостей. Періодично закритий режим інформації встановлюється для інформації, яка характеризує нові розробки, види продукції, тривалі відносини або види діяльності, що пов'язані з розвитком бізнесу (проникнення в нові регіон, сегменти ринку, сфери діяльності і т. і.).

В умовах режимного функціонування можуть застосовуватись різні способи захисту інформації, які поділяються на активні, пов'язані з протидією загрозам та пасивні - спрямовані на захист від загроз. Активними можна вважати періодичну атестацію приміщень, в яких зосереджена цінна для суб'єктів підприємництва інформація або проводиться робота з нею, а також періодичне обстеження засобів обробки і передачі інформації. Сюди ж доцільно віднести періодичні перевірки наявності документів та вимірювання електромагнітних випромінювань і наводок. Обов'язковим має бути встановлення контролю персоналу, допущеного до роботи з інформацією обмеженого доступу суб'єктів підприємництва.

У окремих випадках, з метою протидії посяганням на інформацію суб'єктів підприємництва, останні можуть вдаватись до дезінформації осіб, які генерують такі загрози щодо місць знаходження інформації, її важливості, провокувати їх на дії через які вони будуть компрометувати себе.

Серед способів захисту інформації може бути її нормування, розмежування доступу до різної за цінністю інформації, поставлення акустичних, електромагнітних та технічних завад, запровадження пропускного режиму, спеціальна охорона місць зберігання інформації і т. д.

Важливу роль у забезпеченні ефективного функціонування системи захисту інформації в діяльності суб'єктів підприємництва відіграє правильне управління такою системою, яка має здійснюватись централізовано на рівні головної установи певного суб'єкта. Насамперед воно передбачає вироблення правил, норм, стандартів захисту інформації, їх деталізації, по силах і засобах, залучених до захисту інформації. З метою забезпечення цілеспрямованого і організованого впливу на функціонування системи має здійснюватись конкретизація та періодичне уточнення завдань всім підрозділам, установам з питань захисту інформації. Конкретизація завдань має випливати із аналізу ситуації, що складається в той чи інший час. Важливим в управлінні є здійснення контролю в системі захисту інформації, який передбачає проведення різного роду перевірок, періодичне отримання звітів про результати виконання заходів захисту, аналіз показників функціонування системи та оцінку ефективності її в цілому.

6.3 Особливості захисту інформації в комерційній діяльності суб'єктів підприємництва та їх ділових взаємовідносинах

Про необхідність захисту інформації, особливо цінної, для суб'єктів підприємництва безумовно знають всі, більш того, більшість суб'єктів вживають відповідних заходів її захисту. Разом з тим, всі погоджуються, що система отримання чужої інформації, несанкціонованого доступу до неї сьогодні також досить розвинена, у певних випадках навіть більш розвинена ніж система її захисту. В той же час, мабуть не всім відомо, що переважна більшість втраченої чи несанкціоновано розкритої інформації належить до тої, яка використовується в комунікаційній діяльності та діловому спілкуванні. Інформацію, яка зберігається на паперових, електронних чи інших носіях, навіть ту, що являє собою суму знань працівників значно легше захистити, якщо вона знаходиться без руху. Існує достатня кількість методик, засобів, організаційних заходів щодо захисту інформації, яка зберігається в установах суб'єктів підприємництва. Як правило, надійність зберігання інформації, яка знаходиться у статиці є досить високою. Але ж інформація має використовуватись, перетворюватись у певні технології, методики, формуватись у певні характеристики, за допомогою інформації здійснюються необхідні обґрунтування, переконання, приймаються необхідні рішення. За таких умов захист інформації повинен мати суттєві особливості.

Насамперед слід подбати про захист інформації, яка використовується в комерційній діяльності, причому захист має бути спрямовано з одного боку на недопущення несанкціонованого доступу до інформації та протиправного її використання, а з іншого на можливість відшкодування шкоди, завданої неконтрольованим витоком інформації. У першому випадку (недопущення несанкціонованого доступу та використання інформації) основним правилом має бути:

- оптимізація інформації, яка використовується при проведенні відповідних комерційних операцій. Оптимізація передбачає використання відомостей в обсягах, що забезпечують виконання комерційних завдань без втрати вигоди, але не допускають можливості використання відомостей на шкоду суб'єкту підприємництва. Зазвичай ніхто на це не звертає уваги і працівники суб'єктів підприємництва навіть не знають про необхідність такого елементу захисту інформації, а якщо і знають, то не володіють методиками такої оптимізації. Відсутність системного підходу до захисту інформації і інформаційної безпеки взагалі робить технології комерційної діяльності досить уразливими з точки зору швидкого оволодіння ними конкурентами та втрати їх переваг у конкурентній боротьбі;

- обмеження кола осіб, які отримують цінну для суб'єкта підприємництва інформацію для її використання у конкретних операціях. Це можуть бути лише ті особи, які безпосередньо спілкуються з контрагентами, клієнтами, партнерами та опікуються взаємовідносинами з ними. Причому з метою виключення адаптації працівників до умов проведення операції і можливості формування у них спокуси до скоєння порушення через глибоку обізнаність у відповідній інформації періодично може проводитись їх ротація щодо клієнтів, контрагентів, видів продукції та умов проведення операцій;

- диференціація інформації серед працівників, які задіяні у проведенні операцій. Зазвичай до проведення комерційної операції залучається декілька працівників (менеджери з продажу, технологи, бухгалтери, маркетологи та ін..), кожен з них отримує інформацію в межах необхідних йому для виконання покладених на нього обов'язків в тій чи іншій операції. Така ситуація унеможливить змову з клієнтами, контрагентами, партнерами та зробить інформацію, якою володіє кожен з працівників менш привабливою для осіб, що зацікавлені у отриманні повної інформації;

- прийняття сторонами комерційних операцій на себе зобов'язань щодо дотримання в таємниці і нерозголошення відомостей, які визначені певною стороною як конфіденційні чи таємні або сторони самі дійшли згоди про конфіденційність якоїсь інформації у їх взаємовідносинах. Такі зобов'язання обов'язково мають бути легітимізовані положеннями відповідних договорів;

- грамотне формування звітів про результати комерційної діяльності з врахуванням вимог законодавства та необхідності забезпечити прибуткову діяльність суб'єктів підприємництва. Будь-яка лишня інформація у таких звітах, або недостовірність може спровокувати додаткові перевірки з боку фіскальних та правоохоронних органів, а за ними певні санкції до суб'єктів підприємництва;

- оптимізація рекламної інформації. Остання має характеризувати суто продукцію, з неї неможливо зробити висновок про технологію виробництва продукції;

- перевірка надійності партнерів та контрагентів з т. з. їх інтересу до інформації з обмеженим доступом суб'єкта підприємництва.

Разом з тим, такі рекомендації носять загальний характер, у кожному окремому випадку вони можуть доповнюватись додатковими заходами та видозмінюватись. В той же час, як показує практика підприємницької діяльності, необхідність вжиття заходів захисту інформації під час комерційної діяльності є досить актуальною і ні за яких умов не може бути ігнорованою.

У другому випадку - відшкодування шкоди, завданої суб'єктам підприємництва в результаті несанкціонованого доступу до його інформації, насамперед вимагається оцінка вартості такої шкоди. Тому, суб'єкти повинні мати методики оцінки вартості своїх інтелектуальних продуктів. А враховуючи, що відповідно до цивільного законодавства комерційна таємниця є інтелектуальним продуктом і належить відповідному суб'єкту як власнику, вона може захищатися в т. ч. і засобами інтелектуального права. Крім того, однією з ознак комерційної таємниці є її комерційна цінність. Інформація, яка не має такої цінності не може бути комерційною таємницею. У свою чергу, комерційна цінність інформації визначається: вартістю шкоди завданої втратою такої інформації, вартістю вигоди від використання даної інформації, вартістю інформації як товару. Методики визначення комерційної цінності інформації і розрахунки вартості конкретних відомостей будуть підставою для обґрунтування вимог суб'єктів підприємництва у судах по відшкодуванню шкоди нанесеної несанкціонованим доступом до зазначених відомостей. Крім того, суб'єкти підприємництва мають напрацювати механізм захисту своїх прав щодо відшкодування шкоди у випадках несанкціонованого доступу до їх інформації та посягань на неї. Такі питання будуть вимагати від них не лише відповідних заходів і певної системи їх застосування, а і правової та інформаційної культури.

В окремих випадках комерційна діяльність суб'єктів підприємництва може бути заснована на придбанні (продажу) продуктів інтелектуальної власності, які можуть мати конфіденційні інформаційні характеристики. За таких умов договори комерційних угод будуть носити конфіденційний характер, а супроводження виконання таких договорів мають здійснювати особи допущені до даного виду інформації. З боку контрагентів повноваження таких осіб має бути підтверджено відповідними документами. При цьому в розділі договорів де вказується вартість продуктів чи в цілому угоди, окремо можуть вказуватись вартісні характеристики інформації про такі продукти.

Крім того, важливе значення буде мати юридичне закріплення права власності на продукти (об'єкти) інтелектуальної власності, порядок та умови її передачі до нового власника по угоді продажу, придбання.

Зазвичай, суб'єкти підприємництва розробляють відповідні алгоритми здійснення взаємовідносин з придбання (реалізації) продуктів інтелектуальної власності, що мають конфіденційний характер. Будь яке відхилення від такого алгоритму буде вважатись ознакою, яка вказує на порушення умов конфіденційності. Сукупність таких ознак дає підстави для проведення заходів по виявленню дій контрагентів, спрямованих на шкоду суб'єкту підприємництва, отримання інформації для обґрунтування його вимог до контрагентів.

Деякі із суб'єктів підприємництва, особливо із категорії великого бізнесу у своїй комерційній діяльності з метою захисту інформації вдаються до заходів промислової контррозвідки. Остання розуміється ними як комплекс заходів, що виконується з метою протидії актам промислового шпигунства та захисту власних джерел інформації. Основні дії промислової контррозвідки такі суб'єкти зосереджують на прогнозуванні шпигунської діяльності щодо них, виявлені заходів та осіб, що займаються такою діяльністю безпосередньо у структурах суб'єктів підприємництва, вжитті заходів щодо захисту своїх джерел інформації. Для виконання заходів промислової контррозвідки суб'єкти підприємництва залучають необхідних їм фахівців, як правило, з структур правоохоронних органів та взаємодіють з державними органами, сферою діяльності яких є захист вітчизняних об'єктів інтелектуальної власності.

У процесі підприємницької діяльності значну роль відіграють ділові стосунки партнерів, контрагентів, інших осіб, які можуть проводитись у формі зустрічей, переговорів, нарад. Безумовно, що у ході ділового спілкування може використовуватися інформація конфіденційного чи навіть таємного характеру, тому необхідність захисту такого спілкування є очевидною. Порядок проведення спілкування у ході якого санкціоновано розкривається інформація з обмеженим доступом має регламентуватись відповідними нормативними актами в яких насамперед передбачаються заходи захисту вказаної інформації. Основною загрозою такій інформації є розголошення тих відомостей, які не обумовлені необхідністю спілкування. Причинами такого розголошення можуть бути недостатні знання учасниками спілкування складу інформації, що дозволена до розкриття, способів її захисту, умисне невиконання вимог щодо захисту інформації, провокації співрозмовників спрямовані на стимулювання розголошення необхідних їм відомостей. Розкриття у ході ділового спілкування конфіденційної інформації має бути виправдане комерційною необхідністю та доцільністю для конкретних умов і характеру питань по яких проходить спілкування. Основні етапи проведення ділових зустрічей, переговорів, нарад по яких розкривається інформація обмеженого доступу вказані на Рис. 6.4

Рис. 6.4. Етапи проведення конфіденційного спілкування

Дозвіл на проведення конфіденційного спілкування та обсяг конфіденційних відомостей, які можуть бути розкриті у процесі спілкування надає виключно керівник установи суб'єкта підприємництва. Зокрема, керівник визначає дату і місце проведення зустрічі (наради, перемовин), її тему, склад учасників, зміст інформації конфіденційного характеру, яка може бути розкрита у ході спілкування, завдання щодо забезпечення конфіденційності зустрічі (наради, перемовин), заходи з документування процесу спілкування, осіб, відповідальних за проведення таких зустрічей (нарад, перемовин).

У ході підготовки конфіденційних зустрічей (нарад, перемовин) готується перелік конфіденційних даних, які можуть бути розкриті у ході зустрічі та необхідні інформаційні матеріали, проекти рішень, список учасників по кожному з питань порядку денного. Проекти договорів, контрактів, угод передбачені для видачі учасникам спілкування не повинні містити конфіденційних відомостей. Такі відомості можуть вноситись у зазначені документи за результатами спілкування. Доцільно уникати, щоб у документованих та інших матеріалах, що плануються для видачі учасникам спілкування мали місце відомості конфіденційного характеру. Останні можуть повідомлятись усно і подаватись у документах, що складаються за результатами спілкування.

На конфіденційні зустрічі (наради, перемовини) запрошуються лише ті особи без яких такі заходи провести неможливо, незалежно від того чи є ці учасники працівниками суб'єкта підприємництва чи це сторонні особи.

Особливі вимоги існують до приміщень, де проводяться конфіденційні зустрічі (наради, перемовини). Перш за все такі приміщення мають бути у власності або принаймні у розпорядженні установи суб'єкта підприємництва. Напередодні проведення зустрічей (нарад, перемовин) має бути обстежено приміщення на предмет відсутності засобів несанкціонованого отримання інформації. Вікна мають бути закриті, в т. ч. і світло непроникаючими шторами, а двері мати звукоізоляцію. У даному приміщенні не повинно бути стаціонарних телефонів, комп'ютерів, телевізорів, радіо, інших засобів та обладнання, що безпосередньо не використовується у ході спілкування. Допуск до приміщення учасників спілкування здійснюється відповідно затвердженого списку у строго визначений час. Не допускається чекання учасниками інших питань поряд з приміщенням де проходить спілкування. Перед початком спілкування головуючий (представник приймаючої сторони) нагадує присутнім про необхідність збереження у таємниці змісту спілкування та уточнює, які безпосередньо відомості можуть бути цінними для учасників зустрічі (наради, перемовини). Учасники не мають права: