К вопросу о развитии системы обеспечения информационной безопасности корпораций в Украине

Размещено на http://www.allbest.ru/

УДК 342.9

К вопросу о развитии системы обеспечения информационной безопасности корпораций в Украине

Нашинец-Наумова А.Ю.

Киевский университет имени Бориса Гринченко

В статье рассматривается решение проблемы развития системы информационной безопасности корпораций в Украине. Систему информационной безопасности корпораций автор рассматривает через призму коммерческой и конфиденциальной информации. Анализирует причины недостаточной правовой обеспеченности процесса создания и функционирования системы информационной безопасности корпораций в Украине, а также приводит предложения по вопросам документарного оформления данной системы.

Ключевые слова: информационная безопасность корпораций, система обеспечения информационной безопасности корпораций, коммерческая тайна корпораций. информационный безопасность корпорация правовой

Нашинець-Наумова А.Ю.

Київський університет імені Бориса Грінченка

до ПИТАННЯ про РОЗВИТОК СИСТЕМИ ЗАБЕЗПЕЧЕННЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ КОРПОРАЦІЙ В УКРАЇНІ

У статті розглядається розв'язання проблеми розвитку системи інформаційної безпеки корпорацій в Україні. Систему інформаційної безпеки корпорацій автор розглядає через призму комерційної та конфіденційної інформації. Аналізує причини недостатньої правової забезпеченості процесу створення та функціонування системи інформаційної безпеки корпорацій в Україні, а також наводить пропозиції щодо документарного оформлення згаданої системи.

Ключові слова: інформаційна безпека корпорацій, система забезпечення інформаційної безпеки корпорацій, комерційна таємниця корпорацій.

Nashinets-Naumova A.Y.

Borys Grinchenko Kyiv University

THE DEVELOPMENT OF THE INFORMATION SECURITY SYSTEM CORPORATIONS IN UKRAINE

The article solution of a system of information security of corporations in Ukraine. System information security corporations author considers in the light commercial and confidential information. Analyze the causes of the lack of legal security of the establishment and operation of information security of corporations in Ukraine, and provides suggestions for documentary design this system.

Keywords: informative safety of corporations, system of providing of informative safety of corporations, commercial secret of corporations.

Постановка проблемы. В настоящее время интенсивно развиваются информационные технологии, что так же, как глобализация и становление информационной экономики, относится к числу макротенденций современного мирового хозяйства. За период своего существования, и особенно за последнее десятилетие, в сфере применения информационных технологий произошли коренные перемены. Они принесли бизнесу существенную выгоду, но при этом потребовали более серьезного внимания к сфере безопасности со стороны правительств, корпораций, коммерческих предприятий, иных организаций и частных пользователей, которые разрабатывают информационные системы, владеют ими, предоставляют их в пользование, управляют ими, обслуживают или используют их. Проявляется это состояние еще и обострением проблем информационной безопасности в условиях интенсивного совершенствования технологий и инструментов защиты данных. Об этом свидетельствуют рост нарушений информационной безопасности и усиливающаяся тяжесть их последствий. Так, общее число нарушений в мире ежегодно увеличивается более чем на 100%, а в Украине число выявленных преступлений в сфере компьютерной информации возрастает ежегодно в несколько раз. Статистика свидетельствует также, что если корпорация допускает утечку важной внутренней информации, то она в 60% случаях становится банкротом.

Таким образом, существуют факторы, определяющие необходимость взвешенного подхода к указанной проблеме. К ним, в первую очередь, необходимо отнести постоянно возрастающее количество информационных угроз и рисков, а также недостаточный уровень обеспечения информационной безопасности существующих информационных систем.

Информационные риски реализуются через уязвимости современных информационных систем, поддерживающих различные виды хозяйственной деятельности корпораций. В данной ситуации возникает необходимость обеспечения информационной безопасности социально-экономической системы в целом.

Тенденции развития корпораций Украины показывают, что руководство уже принимает некоторые меры по защите важной информации, однако эти действия не носят системного характера, поскольку направлены на устранение отдельных угроз, оставляющих за собой множество уязвимых мест. Также одной из основных причин проблем корпораций в сфере обеспечения информационной безопасности является отсутствие в данной сфере продуманной и утвержденной политики, базирующейся на организационных, экономических и технических решениях с последующим контролем их реализации и оценкой эффективности. Это определяет необходимость развития системы обеспечения информационной безопасности корпораций.

Анализ последних исследований и публикаций. Проблемам обеспечения информационной безопасности корпораций в Украине посвящены работы таких ученых, как: А. Абросимов, А. Голов, Р. Калюжный, Б. Кормыч, А. Курыло, В. Лазарев, Макарова, А. Марущак, А. Павлов, А. Пастюшков, П. Покровский, В. Савельев, В. Селиванов, Н. Столяров, И. Стрелец, Б. Татарских, Е. Терехова, Ф. Удалов, И. Филиппова, В. Цымбалюк, М. Швец, Ярочкин и др.

Вместе с тем подавляющее большинство работ носит сугубо технический характер и ориентировано, главным образом, на ИТ-персонал. Более того, несмотря на постоянно растущее количество исследований в области информационной безопасности, крайне редко затрагивается вопрос комплексного, системного обеспечения информационной безопасности корпораций на основе учета организационных, технологических, технических, правовых и экономических факторов. Проведенные исследования касаются лишь отдельных аспектов обеспечения информационной безопасности, в то время как комплексность этой проблемы предполагает разработку для ее решения более современных и адекватных методов.

Цель исследования заключается в обосновании теоретических и методических положений развития системы обеспечения информационной безопасности корпораций.

Изложение основного материала исследования. Закон Украины «Об информации» ввел понятие «информация с ограниченным доступом», которую разделил на конфиденциальную и тайную [1]. Согласно ч. 2 ст. 21 вышеупомянутого закона конфиденциальную информацию рассматриваем как определенные сведения, которые находятся во владении, пользовании или распоряжении отдельных физических или юридических лиц и которые, собственно, распространяются по их желанию в соответствии с предусмотренными ими условиями. К секретной информации законодатель отнес информацию, содержащую сведения, составляющие государственную и иную предусмотренную законом тайну, разглашение которой причиняет ущерб лицу, обществу и государству. И хотя в нормах закона четко не указано, что к тайной информации относится коммерческая тайна, по нашему мнению, в понятие «другая предусмотренная законом тайна» законодатель вложил именно этот смысл. Также нам представляется существенным тот факт, что не одним Законом Украины «Об информации» вводится в действие понятие «коммерческая тайна». Следует заметить, что это понятие рассматривается и другими нормативно-правовыми актами. Так, Гражданский кодекс Украины в ст. 505 дает определение коммерческой тайны, но не говорит о конфиденциальной информации. Коммерческой тайной является информация, которая является секретной в том смысле, что она в целом или в определенной форме и в совокупности ее составляющих является неизвестной и не является легкодоступной для лиц, которые обычно имеют дело с видом информации, к которой она принадлежит. Так же эта информация имеет коммерческую ценность и является предметом адекватных существующим обстоятельствам средств относительно сохранения ее секретности. Коммерческой тайной могут быть данные технического, организационного, коммерческого, производственного и другого характера, за исключением тех, которые в соответствии с законом не могут быть отнесены к коммерческой тайне [2]. Согласно ч. 1 ст. 36 Хозяйственного кодекса Украины сведения, связанные с производством, технологией, управлением, финансовой и другой деятельностью субъекта хозяйствования, не являющихся государственной тайной, разглашение которых может причинить ущерб интересам предприятия, могут быть признаны его коммерческой тайной. Состав и объем сведений, составляющих коммерческую тайну, способ их защиты определяются субъектом хозяйствования соответственно закону [3]. Понятие коммерческой тайны было разработано законодателями многих стран, в том числе и в Российской Федерации. Гражданский кодекс Российской Федерации в ст. 139 закрепил определение коммерческой тайны: «Информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности» [4]. Мы видим, что понятие коммерческой тайны, закрепленные в законодательстве Украины и Российской Федерации имеют общие черты, а именно: 1) такая информация имеет коммерческую ценность, 2) она является секретной, т.е. неизвестной третьим лицам, 3) обладатель такой информации признал ее как информацию с ограниченным доступом, 4) обладатель такой информации охраняет ее конфиденциальность путем применения мер защиты, предусмотренных законодательством. Статья 2 федерального закона Российской Федерации «Об информации, информатизации и защите информации» от 25 января 1995 г. дает определение конфиденциальной информации. Под ней понимается документированная информация, доступ к которой ограничен в соответствии с законодательством Российской Федерации [5]. Таким образом, анализируя определение «конфиденциальная информация», закрепленное в законодательстве Украины и Российской Федерации, мы видим, что главным отличием является то, что по законодательству Российской Федерации это только документированная информация, а по законодательству Украины это сведения, которые находятся во владении, пользовании или распоряжении отдельных физических или юридических лиц. Также различным является и правовой режим установки доступа к такой информации: по законодательству Российской Федерации доступ к такой информации ограничивается в соответствии с законодательством Российской Федерации, а по законодательству Украины эти сведения распространяются по желанию отдельных физических или юридических лиц согласно предусмотренным ими условиями. То есть, в отличие от законодателя Российской Федерации, украинский законодатель четко не разграничил понятия «конфиденциальная информация» и «коммерческая тайна» и не ввел разницу по их защите. Говоря в целом, коммерческая тайна и конфиденциальная информация это сведения, которые корпорация имеет право не придавать гласности, а его сотрудники обязаны не разглашать. Имея много общего, понятие и содержание коммерческой тайны и конфиденциальной информации в то же время не являются тождественными [6].

Проведем сравнительный анализ этих двух понятий.

Коммерческая тайна корпорации:

- Это сведения, связанные с производством, технологией, управлением, финансовой и другой деятельностью корпорации, не являются государственной тайной, разглашение которых может нанести ущерб интересам субъекта хозяйствования (ч. 1 ст. 36 Хозяйственного кодекса Украины (далее «ХКУ»));

- Это информация, которая имеет коммерческую ценность, в целом или в определенной форме, и в совокупности ее составляющих является неизвестной и не легкодоступной для лиц, которые обычно имеют дело с видом информации, к которой она принадлежит (ч. 1 ст. 505 Гражданского кодекса Украины (далее «ГКУ»)).

Такое определение помогает отделить конфиденциальную информацию, как любую информацию с ограниченным доступом, в том числе ту, которая касается коммерческой деятельности корпорации и коммерческой тайны то есть информации, которая имеет коммерческую ценность. Состав и объем сведений, составляющих коммерческую тайну, способ их защиты определяются субъектом хозяйствования согласно ст. 36 ХКУ. Сразу заметим, что сегодня в Украине нет специального закона, регулирующего правовой режим и порядок использования коммерческой тайны. Таким образом, указанная норма отсылает и к Гражданскому кодексу Украины, и к Хозяйственному. Согласно ч. 2 ст. 505 ГКУ, коммерческой тайной могут быть сведения технического, организационного, коммерческого, производственного и другого характера, за исключением тех, которые по закону не могут быть отнесены к коммерческой тайне. Как видно из содержания приведенной нормы, перечень сведений, которые могут составлять коммерческую тайну, неисчерпаем и ограничивается только законом.

Рассмотрим сведения, которые не могут составлять коммерческую тайну:

- Учредительные документы, документы, разрешающие заниматься предпринимательской деятельностью и ее отдельными видами;

- Информация по всем установленным формам государственной отчетности;

Сведения о численности и составе работающих, их заработной плате, наличие свободных рабочих мест;

- Документы об уплате налогов и обязательных платежей;

- Информация о загрязнении природной среды, несоблюдении безопасных условий труда, реализации продукции, причиняющей вред здоровью, а также других нарушениях законодательства

Украины и размерах причиненных при этом убытков;

- Документы о платежеспособности;

- Сведения об участии должностных лиц корпорации в союзах, объединениях и других организациях, занимающихся предпринимательской деятельностью;

- Сведения, которые в соответствии с действующим законодательством подлежат объявлению и т.п.

Конфиденциальной является информация о физическом лице, а также информация, доступ к которой ограничен физическим или юридическим лицом, кроме субъектов властных полномочий. Конфиденциальная информация может распространяться по желанию (согласию) соответствующего лица, в определенном ею порядке, в соответствии с предусмотренными условиями (ч. 2 ст. 21 Закона «Об информации»).

Граждане и юридические лица могут самостоятельно относить к конфиденциальной:

- Информацию профессионального, делового, производственного, банковского, коммерческого и другого характера;

- Информацию, которая является предметом их профессионального, делового, производственного, банковского, коммерческого и другого интереса.

Исключение составляет информация:

- Правовой режим, который установлен Верховной Радой по представлению КМУ (по вопросам статистики, экологии, банковских операций, налогов и т.п.);

- Утаивание, которое представляет угрозу жизни и здоровью людей.

Если корпорация использует информацию, которая принадлежит государству, доступ к такой информации может быть ограничен путем распространения на нее статуса конфиденциальной информации.

Не может быть отнесена к конфиденциальной информация, указанная в ч. 4 ст. 21 Закона «Об информации»:

- О состоянии окружающей среды, качестве пищевых продуктов и предметов быта;

- Об авариях, катастрофах, опасных природных явлениях и других чрезвычайных событиях, которые произошли или могут произойти и угрожают безопасности граждан;

- О состоянии здоровья населения, его жизненном уровне, жилье, медицинском обслуживании и социальном обеспечении, а также о социально-демографических показателях, состоянии правопорядка, образования и культуры населения;

- Относительно состояния дел с правами и свободами человека и гражданина, а также фактов их нарушений;

- О незаконных действиях органов государственной власти, органов местного самоуправления, их должностных и служебных лиц;

- Иная информация, доступ к которой в соответствии с законами Украины и международными договорами, согласие на обязательность которых предоставлено Верховной Радой Украины, не может быть ограничено.

Вся информация, согласно Постановлению Кабинета Министров Украины «О перечне сведений, которые не составляют коммерческой тайны» от 09.08.93 г. № 611 не может составлять коммерческую тайну, все же может быть отнесена и к конфиденциальной информации. Поэтому, создать исчерпывающий перечень сведений, которые могут составлять коммерческую тайну или конфденциальную информацию, нереально в результате многообразия субъектов и универсальности объекта правоотношений [7]. Примерный же перечень сведений (за исключением перечисленных в Постановлении Кабинета Министров Украины «О перечне сведений, которые не составляют коммерческой тайны» от 09.08.93 г. № 611), которые могут составлять коммерческую тайну/конфиденциальную информацию, включает:

Коммерческая тайна:

- Оригинальная технологическая, управленческая, маркетинговая, организационная и другая информация, которая составляет тайны производства и других сфер хозяйственной деятельности;

- Сведения о структуре и масштабах производства, производственные мощности, тип и размещение оборудования, запасы сырья, материалов, компонентов и готовой продукции;

- Сведения о содержании изобретения, полезной модели или промышленного образца до официальной публикации информации о них;

- Сведения о подготовке, принятии и исполнении отдельных решений руководства организации;

- Сведения о планах расширения или свертывания производства различных видов продукции и их технико-экономические обоснования, о планах инвестиций, закупок и продаж;

- Сведения о фактах проведения, цель, предмет и результаты совещаний и заседаний органов управления организации и т.п.

Конфиденциальная информация:

- Персональные данные сотрудников/клиентов (сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его лицо) и информация об их личной жизни;

- Сведения, связанные с профессиональной деятельностью (врачебная, нотариальная, адвокатская тайна);

- Сведения, доступ к которым ограничен в соответствии с Конституцией Украины (тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и т.д.);

- Система технической защиты информации (сведения, которые раскрывают систему, средства и методы защиты информации в автоматизированных системах от несанкционированного доступа, значение действующих кодов и паролей и т.д.);

- Режим безопасности корпорации (сведения о порядке и состоянии организации охраны, системы сигнализации, пропускной режим и т.д.);

- Сведения, предоставленные третьими лицами на условиях конфиденциальности (например, об источнике той или иной информации).

Учитывая вышесказанное, можно, как пример, исследовать отдельно взятую корпорацию, чтобы проследить применения Закона Украины «Об информации» на деле. Так, для регулирования информационного поля в корпорации, признание части информации коммерческой тайной, совет корпорации утверждает перечень информации, открытой для ознакомления акционеров. Иногда разрабатываются положения, регулирующие информационные потоки в корпорации. Эти положения часто называются «Об ознакомлении с информацией в корпорации», «О коммерческой тайне корпорации» и другие. Практически во всех обществах документами, открытыми для ознакомления акционеров, является свидетельство о регистрации корпорации, устав с изменениями и дополнениями; договор, лицензии, позволяющие корпорациям заниматься предпринимательской или хозяйственной деятельностью и ее отдельными видами, финансовый отчет и баланс с приложениями по итогам кварталов и года, внутренние нормативные акты. Для регулирования этих отношений разрабатывают и утверждают положение, устанавливающее право акционера на получение информации о деятельности корпорации, обязанности правления и структурных подразделений по предоставлению такой информации акционерам, ограничения доступа к информации. Каждый акционер должен быть уведомлен о том, какая информация является открытой для ознакомления, а также где, когда и на каких условиях он может ознакомиться с ней. Кроме того, следует ознакомить всех акционеров с перечнем данных, составляющих коммерческую тайну [8, с. 176-177]. Перечень информации, которая является коммерческой тайной корпорации, определяется в положении согласно действующему законодательству. Кроме того, в положении могут содержаться некоторые дополнительные пункты по предоставлению информации регистратором. Конечно, содержание такого положения не должно выходить за пределы, установленные действующим законодательством Украины.

С учетом вышесказанного, необходимо отметить, что практическое разделение конфиденциальной информации и коммерческой тайны имеет целью:

1. Очертить пределы ответственности, которая может наступить за разглашение (незаконный сбор) соответствующих сведений.

2. Определить круг вопросов, который корпорация имеет право хранить в тайне от тех или иных лиц. Коммерческая тайна, как общее правило, охраняется от всех третьих лиц. В то же время в рамках конфиденциальной информации, режим которой менее строгий, есть сведения, которые владелец обязан сообщать ряду субъектов. Так, сведения, которые не могут составлять коммерческую тайну и определены в Постановлении Кабинета Министров Украины «О перечне сведений, которые не составляют коммерческой тайны» от 09.08.93 г. № 611 корпорации обязаны предоставлять органам государственной исполнительной власти, контролирующим и правоохранительным органам, другим юридическим лицам в соответствии с действующим законодательством, по их требованию [9]. Сегодня в связи с постоянным ростом роли правовой информации вообще и конфиденциальной в частности, усложнением информационно-правовых отношений, развитием информационно-коммуникационных систем, существует объективная необходимость дальнейшего совершенствования материальных и процессуальных норм о доступе к этой информации.

Список литературы

1. Об информации: Закон Украины от 2 октября 1992 / / Ведомости Верховной Рады Украины (ВВР). 1992. № 48. Ст. 650.

2. Гражданский кодекс Украины // Ведомости Верховной Рады Украины (ВВР). 2003. № № 40-44. Ст. 356.

3. Хозяйственный кодекс Украины // Ведомости Верховной Рады Украины (ВВР). 2003. № 21-22. Ст. 144.

4. Гражданский кодекс Российской Федерации (по состоянию на декабрь 2011 г. № 363-ФЗ от 30.11.2011) [Электронный ресурс] / Режим доступа: http://nbuv.gov.ua/portal/Soc_Gum/Vchnu_ekon/2010_2_2/032-035.

5. Федеральный закон Российской Федерации «Об информации, информатизации и защиту информации» от 25 января 1995 года [Электронный ресурс] / Режим доступа: http://www.warning.dp.ua/kominfo01.htm.

6. Гриджук Г.С. Систематизация методов информационной безопасности предприятия. [Электронный ресурс] / Режим доступа: http://www.nbuv.gov.ua/portal/natural/Vntu/2009_19_1/pdf/64.pdf.

7. Сороковская О.А., Гевко В.Л. Информационная безопасность предприятия: новые угрозы и перспективы [Электронный ресурс] / Режим доступа: http://nbuv.gov.ua/portal/Soc_Gum/Vchnu_ekon/2010_2_2/032-035.pdf.

8. Евтушевский В.А. Основы корпоративного управления / Владимир Андреевич Евтушевский: Учебное пособие. М.: Изд-во, 2011. 317 с.

9. О перечне сведений, которые не составляют коммерческой тайны: Постановление Кабинета Министров Украины от 9 августа 1993 г. № 611 [Электронный ресурс] / Режим доступа: http://zakon2.rada.gov.ua/laws/show/611-93-% D0%BF.

Размещено на Allbest.ru