Інформаційна безпека підприємництва в Україні, боротьба з комп´ютерними злочинами

ВСТУП.

РОЗДІЛ І. АКТУАЛЬНІ ПРОБЛЕМИ ЗАХИСТУ ІНФОРМАЦІЇ.

1.1. Сутність отримання інформації та проблеми її захисту у сфері підприємництва.

1.2. Особливі методи отримання та збереження інформації на підприємствах при сучасних технічних засобах.

1.3. Аналіз і оцінка стану економічної та інформаційної безпеки на підприємствах.

РОЗДІЛ ІІ. КАТЕГОРІЇ ІНФОРМАЦІЇ, ЇХ ПРАВОВИЙ РЕЖИМ І ВПЛИВ НА ПРОБЛЕМИ БЕЗПЕКИ У СФЕРІ БІЗНЕСУ.

2.1. Категорії інформації з обмеженим доступом та вплив на проблеми детінізації економіки.

2.2. Конфлікт інтересів між правомірним користувачем і власником інформації.

2.3. Взаємообмін системи інформації в інфраструктурі детінізації економіки.

РОЗДІЛ ІІІ. ОСОБЛИВІ СПОСОБИ ЗАХИСТУ ВІД ЗЛОЧИНІВ У СФЕРІ КОМП'ЮТЕРНОЇ ІНФОРМАЦІЇ.

3.1. Тактичні прийоми вилучення та зберігання інформації як докази, що легалізовані в кримінальній справі.

3.2. Захист осіб у сфері підприємництва від злочинних комп'ютерних посягань.

3.3. Інформаційна безпека комп’ютерних систем у сфері підприємництва.

ВИСНОВКИ.

СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ.

ВСТУП

Актуальність теми. Революція в науково-технічній сфері призвела до появи нових видів інформаційно-комунікаційних технологій, що стали матеріальним підґрунтям глобалізаційних процесів. Інформатизація усіх сфер життєдіяльності змінила розуміння сутності феномену безпеки, джерел та характер загроз, значення та роль міжнародних інститутів.

Становлення інформаційного суспільства має як безсумнівні позитивні, так і певні негативні наслідки. З одного боку, пришвидшилася передача інформації значного обсягу, прискорилась її обробка та впровадження. З іншого – серйозне занепокоєння викликає поширення фактів протизаконного збору і використання інформації, несанкціонованого доступу до інформаційних ресурсів, незаконного копіювання інформації в електронних системах, викрадення інформації з бібліотек, архівів, банків та баз даних, порушення технологій обробки інформації, запуску програм-вірусів, знищення та модифікація даних у інформаційних системах, перехоплення інформації в технічних каналах її витоку, маніпулювання суспільною та індивідуальною свідомістю тощо.

Перехід суспільства до інформаційного змінив статус інформації. Наразі, вона може бути як засобом забезпечення безпеки, так, у свою чергу, і загрозою та небезпекою.

Одним із головних стратегічних пріоритетів є розвиток інформаційного суспільства та впровадження новітніх інформаційно-комунікаційних технологій в усі сфери суспільного життя і в діяльність органів державної влади. Саме цим зумовлена актуальність забезпечення інформаційної безпеки України з метою задоволення національних інтересів людини (громадянина), суспільства та держави в інформаційній сфері.

Тривалий час розуміння інформаційної безпеки в наукових та нормативно-правових джерелах ототожнювалося тільки з безпекою інформації, що значно звужувало її сутність. Саме тому, з низки питань, присвячених розгляду проблеми забезпечення інформаційної безпеки, найбільш вивченими та дослідженими її аспектами є безпека інформації (інформаційно-технічна безпека, в нашому розумінні).

Проблема теоретико-правових засад забезпечення інформаційної безпеки у вітчизняній науковій літературі достатньо ґрунтовно не досліджувалась. Вона розглядалася лише через висвітлення окремих її аспектів вітчизняними та зарубіжними фахівцями теорії держави та права, інформаційного права, національної безпеки, соціального управління, адміністративного права, кримінального права, міжнародного права та ін. Уданому контексті слід згадати наукові розробки таких вчених, як С.Алексєєв, І. Арістова, В.Артемов, І. Бачило, К.Бєляков, В.Білоус, В.Богуш, В. Брижко, В. Голубєв, В. Горобцов, В.Гурковський, М.Гуцалюк, О.Данільян, Д.Дарендорф, О.Дзьобань, О.Дубас, В.Іноземцев, Р. Калюжний, М.Кастельс, А. Колодій, В. Колос, С.Комов, В.Копилов, В.Копєйчиков, Т.Костецька, О.Кохановська, В.Ліпкан, О.Литвиненко, О.Логінов, В. Макаренко, Є.Макаренко, А.Марущак, І.Мащенко, О.Мурашин, Н.Нижник, В.Погорілко, Г.Почепцов, П. Рабінович, М.Рассолов, С.Расторгуєв, А.Селіванов, О. Скакун, Г. Ситник, О. Соснін, Е.Тоффлер, Б. Турен, В.Цимбалюк, І. Чиж, М. Швець, Ю. Шемшученко, В.Шилінгов, О.Юдін, О. Ярмиш, В.Ярочкін та інші.

Мета дослідження– визначення теоретичних і правових засад забезпечення інформаційної безпеки підприємства.

Досягнення поставленої мети передбачає розв’язання таких завдань:

- здійснити системний огляд українських і зарубіжних науково-практичних джерел щодо наукової розробленості теми;

- уточнити особливі методи отримання та збереження інформації на підприємствах при сучасних технічних засобах;

- дослідити категорії інформації з обмеженим доступом та вплив на проблеми детінізації економіки;

- проаналізувати конфлікт інтересів між правомірним користувачем і власником інформації;

- розглянути взаємообмін системи інформації в інфраструктурі детінізації економіки;

- виокремити основні підходи до визначення поняття „інформаційна безпека”, складові інформаційної безпеки в інформаційній сфері;

- розкрити особливості тактичних прийомів вилучення та зберігання інформації як докази, що легалізовані в кримінальній справі;

- охарактеризувати стан захисту осіб у сфері підприємництва від злочинних комп'ютерних посягань.

Об’єкт дослідження – суспільні відносини у сфері інформаційної безпеки підприємства.

Предмет дослідження– теоретико-правові засади забезпечення інформаційної безпеки на підприємстві.

Структура та обсяг роботи. Робота складається зі вступу, трьох розділів, висновків та списку використаних джерел. Загальний обсяг роботи становить 65сторінок, із них список використаних джерел– 4 сторінки (51 найм.).


РОЗДІЛ І. АКТУАЛЬНІ ПРОБЛЕМИ ЗАХИСТУ ІНФОРМАЦІЇ

1.1. Сутність отримання інформації та проблеми її захисту у сфері підприємництва

Інформаційно-аналітична робота - це одна із основних внутрішньовиробничих функціональні складових безпеки підприємства.

Інформаційна складова полягає у здійсненні ефективного інформаційно-аналітичного забезпечення господарської діяльності підприємства.

Належні служби підприємства виконують певні функції, які в сукупності характеризують процес створення та захисту інформаційної складової безпеки підприємства. До таких належать:

- збирання всіх видів інформації, що має відношення до діяльності того чи іншого суб'єкта господарювання;

- аналіз одержуваної інформації з обов'язковим дотриманням загальноприйнятих принципів і методів;

- прогнозування тенденцій розвитку науково-технологічних, економічних і політичних процесів;

- оцінка рівня економічної безпеки за всіма складовими та в цілому, розробка рекомендацій для підвищення цього рівня на конкретному суб'єкті господарювання;

- інші види діяльності з розробки інформаційної складової економічної безпеки.

На підприємство постійно надходять потоки інформації, що розрізняються за джерелами їхнього формування. Заведено відокремлювати:

- відкриту офіційну інформацію;

- вірогідну нетаємну інформацію, одержану через неформальні контакти працівників фірми з носіями такої інформації;

- вірогідну нетаємну інформацію, одержану через неформальні контакти працівників фірми з носіями такої інформації.

Оперативна реалізація заходів з розробки та охорони інформаційної складової економічної безпеки здійснюється послідовним виконанням певного комплексу робіт, ми виділяємо 5 напрямків:

A. - Збирання різних видів необхідної інформації;

Б. - Обробка та систематизація одержаної інформації;

B. - Аналіз одержаної інформації;

Г. - Захист інформаційного середовища підприємства , що традиційно охоплює:

- заходи для захисту суб'єкта господарювання від промислового шпіонажу з боку конкурентів або інших юридичних і фізичних осіб;

- технічний захист приміщень, транспорту, кореспонденції, переговорів, різної документації від несанкціонованого доступу заінтересованих юридичних і фізичних осіб до закритої інформації;

- збирання інформації про потенційних ініціаторів промислового шпіонажу та проведення необхідних запобіжних дій з метою припинення таких спроб.

Д. - Зовнішня інформаційна діяльність[47, c. 88-89].

Серед сучасних підприємців Заходу панує думка, що, використовуючи всього п'ять основних правил безпеки, можна добитися значних успіхів в бізнесі. До них відносять:

1.) розвідку;

2.) професіоналізм у встановленні контактів - мінімальні витрати часу і сил для пошуку інформації, необхідної для налагодження контакту;

З.) кваліфікацію менеджера - витрати часу тільки на потрібних людей;

4.) уміння долати перешкоди, пошук варіантів і обхідних шляхів для дозволу виникаючих проблем;

5.) уміння завершувати операцію, нехай навіть з негативним результатом - це все ж краще, ніж відсутність якого-небудь результату.

Отже, на перше місце ставлять розвідку. Чи випадково це? Тим засобом, за допомогою якого розвідка робить вплив на проведення і розробку політики будь-якої фірми і забезпечення її безпеки, є інформація, що представляється своєчасно в усній або письмовій формі керівництву фірми. Виникає питання, яка ж потрібна керівництву фірми інформація ? Хто і як повинен її готувати? Спробуємо відповісти на ці питання.

Так або інакше, сьогодні всі крупні і процвітаючі комерційні структури розвинених держав мають в своєму штаті підрозділи, які займаються інформаційною діяльністю. У одних фірмах - це інформаційно-аналітичний відділ, в інших - відділ маркетингу, на який керівництво фірми разом з іншими покладає і інформаційно-аналітичні завдання, в третіх - відділ комерційної розвідки. Часто все залежить від рівня розуміння керівництвом фірми ступеня важливості інформаційно-аналітичної роботи для безпеки всіх сторін діяльності будь-якої комерційної структури.

Основне завдання - збір інформації:

- про економічний стан фірми, регіону, своєї країни, країн, в яких є партнери і т.д.;

- про політичну ситуацію в регіоні і країні; про морально-психологічний клімат в колективі;

- про конкурентів і методи конкуренції (добросовісною і недобросовісною);

- про кримінальні структури і можливі терористичні погрози;

- постановка завдань по перевірці потенційних партнерів, клієнтів, конкурентів;

- розробка програм протидії промисловому шпигунству, терористичним погрозам і іншим методам недобросовісної конкуренції;

- розробка програм дезинформації конкурентів:

- через засоби масової інформації;

- через інформаційно-телекомунікаційні канали;

- через постачальників, суміжників, партнерів, клієнтів;

- шляхом організації псевдопросочування конфіденційної інформації;

- розробка програм захисту конфіденційної інформації.

На малюнку №1 показаний зразок структури інформаційно-аналітичного підрозділу(ІАП)[18, c. 71-72].

Завдання - обробка інформації:

Першою і найважливішою операцією є аналіз, який служить додатковим фільтром, що відкидає непотрібне і що є захистом від шуму без підстави. Ця операція полягає перш за все у визначенні важливості, точності і значущості інформації. Інформація є важливою, якщо вона зв'язана, тобто має зв'язок з елементами бази, і якщо вона здатна внести внесок до організації. Коли внесок значимий і безпосередній, інформація вимагає термінових дій.

Інформація, що не має значення, повинна бути виключена щоб уникнути втрати часу і енергії. Не завжди легко встановити, є інформація достовірною або помилковою, особливо якщо вона містить відомості про події, які ще не відбулися.

Допускається два критерії, по яких можна судити про точність інформації, надійність джерела і самої інформації. Головним критерієм правдоподібності є пошук підтвердження за іншими джерелами, якщо можливо - за незалежним.

Інформація може бути важливою і точною і в той же час даремною, оскільки вона недостатня для розуміння і дії. Розвідка в бізнесі відноситься до даних про навколишнє середовище і конкурентів, аналізованим з метою використовувати їх в конкретній ситуації. Ні окрема особа, ні організація не можуть ефективно діяти в умовах конкуренції без глибокого розуміння цього середовища або не маючи в своєму розпорядженні новітньої інформації про те, що в ній відбувається.

Вид потрібної інформації залежить від виду компанії (фірми, її конкурентного середовища і багатьох інших характеристик самої фірми і її оточення. Сьогодні практично весь український бізнес в тому або іншому ступені має тіньові сторони: ухилення від податків, подвійна бухгалтерія, заниження і подальша підміна інвойсів, заховання дійсного об'єму постачань, безготівкові операції через фірми-одноднівки і ін. У такій ситуації фірма може стати заручником кримінальної структури, яка бере фірму під свій контроль (так званий "дах") і може використовувати її для відмивання власних нелегально отриманих коштів. Крім того, як "дах" можуть виступати і різні силові структури. Отже, необхідно постійно володіти інформацією про співвідношення сил і розділення сфер впливу в місті або регіоні, в яких знаходиться фірма, в ніші ринку, яку займає фірма[22, c. 16-17].

Нарешті, практично всі фірми, окрім найдрібніших і фірм-одноднівок, залежать від поточної і майбутньої розстановки політичних сил. Тому правильне прогнозування можливих змін у вищих ешелонах влади (починаючи з розділів міських і обласних адміністрацій) є основоположною умовою виживання фірми і стабільності її бізнесу.

Потреба в інформації варіюється залежно від здійснюваної або планованої діяльності. Компанія може мати довгострокові (стратегічні) плани, тактичні або короткострокові, плани і поточні операції; всі вони вимагають добре вивіреної інформації. У широкому друці іноді намагалися змалювати ділову розвідку про конкурентів як "шпигунство". Можливо, до деякої міри це дійсно так. Проте слід зазначити, що сьогодні переважна маса ділової інформації може бути отримана з відкритих джерел без порушення етичних норм. Список того, що хотіла б знати про конкурента ділова фірма, може бути нескінченним.

Зразковий перелік потрібної інформації може служити ілюстрацією корисності розвідки. Подробиці можуть мінятися від компанії до компанії, але є основні елементи, необхідні для більшості з них.

Інформація про ринок:

1. Ціни, знижки, умови договорів, специфікації продукту.

2. Об'єм, історія, тенденція і прогноз для даного продукту.

3. Частка на ринку і тенденції її зміни.

4. Ринкова політика і плани.

5. Відносини із споживачами і репутація.

6. Чисельність і розміщення торгових агентів.

7. Канали, політика і методи збуту.

8. Бюджет і план рекламної кампанії.

Інформація про структуру виробництва:

1. Оцінка якості і ефективності.

2. Номенклатура виробів.

3. Технологія і устаткування.

4. Рівень витрат.

5. Виробничі потужності.

6. Розміщення і розмір виробничих підрозділів і складів.

7. Спосіб упаковки.

8. Доставка.

9. Необхідність і можливості проведення НДР.

Інформація про внутрішню організацію і фінансове положення

1. Визначення списку осіб, що ухвалюють ключові рішення.

2. Філософія і психологічні установки осіб, що ухвалюють ключові рішення.

3. Фінансові умови і перспективи.

4. Програми інвестицій і кредитування.

5. Головні проблеми (можливості).

6. Програми НДР.

Подібний список може створювати враження, що розвідка проти конкурентів - просто набір даних. Насправді в цих даних повинна бути відображена поведінка конкурента як в короткостроковій, так і в довгостроковій перспективі.

Який же результат повинен бути продуктом діяльності інформаційно-аналітичного підрозділу фірми? До такого результату відносять виявлення глибинних зв'язків між розрізненими, на перший погляд, подіями, засноване на їх оцінці і тлумаченні з урахуванням всіх зовнішніх (економічних, політичних, соціальних) і внутрішніх чинників впливу на діяльність фірми і визначення їх значення для вирішення конкретних завдань поточної політики фірми.

Такий підхід називається системним. Цим підкреслюється різниця між первинними матеріалами і остаточним продуктом діяльності інформаційно-аналітичного підрозділу[24, c. 71-72].

Для ефективної роботи інформаційного підрозділу фірми керівництвом повинні бути чітко обкреслені його основні цілі. Ці цілі можуть полягати в наступному:

1). Забезпечити своєчасне надходження надійної і всесторонньої інформації про здібності і майбутні можливості кожного з основних конкурентів.

2). Визначити, яким чином дії основних конкурентів можуть зачіпати поточні інтереси фірми.

3). Постійно забезпечувати надійну і обширну інформацію про ті події в конкурентному оточенні і на ринку, які можуть мати значення для інтересів фірми.

4). Добиватися ефективності і виключати дублювання в зборі, аналізі і розповсюдженні інформації про конкурентів.

Працюючи над створенням системи інформаційного забезпечення фірми, важливо відзначити ряд ключових положень, ми виділяємо 8 таких положень:

1. Промислова розвідка діяльності конкурентів необхідна для забезпечення успіху в ринковій конкуренції.

2. В даний час ситуація на ринку міняється так різко, що формальних засобів спостереження за конкурентами недостатньо.

3. Методи "проб і помилок" в отриманні такої інформації зрештою неефективні. Для забезпечення функції розвідки потрібна тотальна система в повному розумінні цього слова.

4. Система промислової розвідки повинна бути дуже сильно орієнтована па конкретних осіб, навіть якщо її структура і організація постійні.

5. Така система повинна бути орієнтована на дії. Вона не повинна просто видавати звіти і накопичувати дані. Швидше вона повинна забезпечувати керівників такою інформацією, яка указувала на необхідність дій і допомагала ухвалювати правильні управлінські рішення.

6. Конфіденційну інформацію можна отримати з різних джерел, багато з яких при поверхневому погляді можуть показатися малозначними або навіть даремними.

7. Система розвідки повинна передбачати завдання охорони власних секретів і контррозвідки. Ця рекомендація заснована на припущенні, що у конкурентів є аналогічні системи і що вони можуть удатися до незаконних або неетичних засобів для проникнення у ваші комерційні таємниці.

8. Система розвідки повинна бути ефективно організована без звернення до незаконних або неетичних методів збору даних.

Дані для системи розвідки про конкурентів можуть поступати з різноманітних джерел, як державних, так і приватних. Люди, не знайомі з розвідкою, часто думають, що найкорисніша інформація здобуваються з секретних джерел. Вони вважають типовими для розвідки такі явища, як знамениті публікації про секретні операції ЦРУ.

Насправді велика частина розвідувальної діяльності зв'язана з використанням опублікованих відомостей. Це справедливо навіть для військових, прикладом чому може служити заява адмірала Захаріаса (заступника начальника військово-морської розвідки США під час другої світової війни) про те, що 95% інформації військово-морські служби США отримували з опублікованих даних, 4% з напівофіційних даних, і лише 1% - з секретних джерел.

Отже, основна увага повинна концентруватися на організованому вивченні офіційно доступних джерел інформації. Значна частина основної інформації, використовуваної службами планування, може поступати звичайним порядком з численних публікацій про діловий світ в засобах масової інформації, промислових журналах, газетах, урядових виданнях, навчальних посібниках або наукових працях, а також з постійного неформального потоку відомостей від торгових агентів[19, c. 2-3].

Хоча багато відомостей можна отримати саме таким чином, наприклад, шляхом комп'ютеризованого пошуку через Інтернет і організованих пошуків в промислових бібліотеках, процес розвідки може бути дуже продуктивним і на самому нижчому рівні організації. Цінним складальником інформації може бути простій торговий агент, якому можна доручити відправитися на огляд конкуруючого підприємства і доповісти про свої спостереження відділу збуту. Клерк, що отримав завдання робити вирізки з газет тієї місцевості, де знаходиться конкурент, також виконує важливу розвідувальну функцію.

Як наголошувалося вище, накопичення даних приймає форму безперервного збору базових даних для тотальної розвідки або для ознайомлення з чинниками і силами, що діють в конкуруючих фірмах, і збору особливих відомостей для заповнення інформаційних пропусків в розвідувальних даних або для відповіді на спеціальний запит про конкурентів від певного менеджера - споживача інформації[27, c. 12-13].

1.2. Особливі методи отримання та збереження інформації на підприємствах при сучасних технічних засобах

У контексті постановки проблеми у загальному вигляді та її зв'язку із важливими науковими та практичними завданнями існує необхідність формування методології безпеки підприємництва, пов'язаної з інформаційними правовідносинами. Як приклад актуальності проблематики можна навести експертні свідчення західних фахівців. Витік інформації на рівні 20 % у 60 випадках із 100 призводить до банкрутства комерційної організації (фірми). Жодна, навіть дуже солідна фірма не проіснує більше трьох діб, якщо інформація, яка складає її підприємницьку (комерційну) таємницю, стане відомою конкурентам.

Аналіз останніх досліджень і публікацій, в яких започатковано розв’язання даної проблематики, свідчить, що дуже часто безпека підприємництва зводиться тільки до інвестицій у технічні засоби захисту інформації, нерідко без будь-яких виправдань та обмежень, без чіткого усвідомлення її сутності та змісту як соціального явища. Проте, на жаль, інформаційна безпека підприємництва як складова національної економічної безпеки не зводиться до стану, коли звалюються в одну купу (сукупність) засоби, способи та методи захисту інформаційного середовища вітчизняного підприємництва в умовах формування інформаційного суспільства, основною тенденцією якого є глобалізація.

Наскільки важлива для економіки країни в умовах формування інформаційного суспільства безпека свідчить те, що це знайшло відображення на рівні законодавства України. Відповідно до розд. IV Концепції Національної програми інформатизації створення умов для інтеграції України у світовий інформаційний простір має здійснюватися згідно з сучасними тенденціями інформаційної геополітики, забезпечення обороноздатності та державної безпеки.

Серед невирішених раніше питань загальної проблематики пропонуємо звернути увагу на визначення сутності та змісту категорії «інформаційна безпека підприємництва» та формулювання його поняття виходячи із з'ясування родової категорії - «інформаційна безпека»[30, c. 15-16].

У системі законодавства України категорія «інформаційна безпека» має конституційний статус: вона знайшла відображення у ст. 17 Конституції України. У той самий час законодавець не дав формулювання цієї категорії в Основному законі, тим самим створивши можливість неоднозначного її розуміння, а отже, тлумачення. Так, інформаційну безпеку можна розглядати як захист суверенітету України, забезпечення її безпеки, як найважливішу функцію держави, справу всього українського народу.

Не вирішена проблема формулювання інформаційної безпеки і в Законі України «Про основи національної безпеки України» від 19.06.2003 р. Виходячи з визначення категорії «національна безпека», поданого у ст. 1 цього Закону, можна змоделювати таке формулювання:

Національна інформаційна безпека - захищеність життєво важливих інтересів людини і громадянина, суспільства і держави, за якої забезпечується сталий розвиток суспільства, своєчасне виявлення, запобігання та нейтралізація реальних і потенційних загроз національним інтересам у інформаційній сфері.

Інформаційна безпека в умовах формування інформаційного суспільства (інформатизації) знайшла юридичний вираз на законодавчому рівні в Концепції Національної програми інформатизації, затвердженої Законом України від 04.02.98 р. № 75/98-ВР.

Інформаційна безпека - це комплекс нормативних документів з усіх аспектів використання засобів обчислювальної техніки для обробки та зберігання інформації обмеженого доступу; комплекс державних стандартів із документування, супроводження, використання, сертифікаційних випробувань програмних засобів захисту інформації; банк засобів діагностики, локалізації та профілактики комп'ютерних вірусів, нові технології захисту інформації з використанням спектральних методів, високонадійні криптографічні методи захисту інформації тощо.

Зазначене свідчить про невизначеність на науковому (доктринальному, концептуальному) рівні щодо сутності та змісту категорії «інформаційна безпека». У наведених визначеннях є головна вада: серед розробників законопроектів та народних депутатів були відсутні прихильники теорії права, за якою право не регулює (не визначає, не охороняє, не захищає) ніяких «сукупностей станів» (чи «станів розвитку») або «комплексів». Право (зокрема, законодавство) регулює, охороняє, захищає чи підтримує тільки суспільні відносини (правовідносини), які визначені вже практикою.

Серед альтернативних визначень, які подані у різноманітних науково-практичних джерелах (а всього знайдено 50), усі їх можна привести до наступних коротких, але емких за сутністю та змістом формулювань (понять) у правовому контексті: вид інформаційних правовідносин, вид суспільних процесів, стан захищеності.

З точки зору когнітивного підходу, різні автори, переважно на основі базового освітнього світогляду, по-різному подають визначення інформаційної безпеки, спираючись на ті чи інші критерії (умови, чинники). В умовах формування інформаційного суспільства специфічним означним предметом правовідносин є інформація у формі даних, сигналів в автоматизованих (комп'ютерних) системах, електронних телекомунікаціях, в Інтернеті тощо[35, c. 11].

Наступним контекстом сутності інформаційної безпеки є усвідомлення її як наукової (та відповідно навчальної) дисципліни. Одним із провідних системних завдань інформаційної безпеки як наукової дисципліни є визначення її місця серед уже традиційних наук і деяких нових.

З точки зору теорії гіперсистем права, провідна системна проблема інформаційної безпеки як процесу інформаційної діяльності — це підтримка (збереження, охорона і захист) суспільних інформаційних відносин від негативних впливів (загроз інтересам суб'єктів суспільних відносин): соціальних (соціогенних, антропогенних, у їх складі криміногенних), техногенних та природних (стихійних). Зазначені чинники логічно зумовлюють необхідність визначення інформаційної безпеки як міжгалузевого комплексного наукового інституту. Юридично це визнано Вищою атестаційною комісією (ВАК) України, коли була введена наукова спеціальність у сфері національної безпеки: 21.00.07 - інформаційна безпека (з юридичних та технічних наук).

Враховуючи необхідність, зумовлену часом, щодо формування наукових засад правового регулювання суспільних відносин в умовах входження України до глобального інформаційного суспільства (глобальної кіберцивілізації), на підставі постанови Верховної Ради України від 16.01.2003 p. № 441-IV постановою Президії ВАК України від 21.05.2003 р. № 26-11/5 внесені зміни до паспорта спеціальності 12.00.07. У цій спеціальності, поряд з теорією управління, адміністративним правом і процесом, фінансовим правом, введена нова наукова спеціальність - інформаційне право. З аналізу контексту п. 2.3 паспорта спеціальності (щодо напрямів дослідження інформаційного права) випливає, що сутність інформаційної безпеки як юридичної категорії визначається з ряду проблематики інформаційного права та правової інформатики: правових аспектів формування, розвитку охорони та захисту, а також формування правових основ для законодавчого забезпечення єдиного інформаційного простору України; проблем міжнародного співробітництва в правовому регулюванні та розвитку глобального інформаційного простору[39, c. 145-147].

Однак багатоаспектність та багатофункціональність категорії «інформаційна безпека» дає можливість проводити дослідження й в інших наукових напрямах гуманітарного (у тому числі правового) та технічного спрямування.

Визначним у проблематиці теорії організації інформаційної безпеки як соціо-технічного явища є з'ясування її напрямів на засадах комплексного підходу. Умовно можна визначити такі аспекти: правові, управлінські, інженерно-технологічні. У складі останніх, наприклад, щодо комп'ютерних систем як автономні визначаються програмно-математичні (комп'ютерні програмні) засоби безпеки.

Щодо інформаційної безпеки як наукового напряму існує необхідність виділення двох частин її теорії: загальної частини (фундаментальних, загальних положень) та особливої частини (відносин щодо окремих напрямів, функцій на основі загальних положень). Можливе виділення спеціальної частини, наприклад, інформаційної безпеки підприємництва тощо.

На загальнотеоретичному рівні можна визначитися у наступних ключових для потреб практики, особливих проблемах інформаційної безпеки: 1) щодо організаційного аспекту підтримки функціонування інформаційних систем (їх збереження, охорони та захисту); 2) як міжгалузевого комплексного інституту, що формується на межі соціальної кібернетики (теорії автоматизації управління соціальними системами), інформаційного права та правової інформатики.

До першої групи можна віднести такі проблеми:

• забезпечення доступу до даних (відомостей, повідомлень, сигналів);

• забезпечення цілісності даних щодо загроз, які можуть спричинити порушення життєдіяльності суб'єкта інформаційних правовідносин;

• організації комплексного контролю за потоками сигналів у відповідному середовищі їх функціонування (циркуляції інформаційних ресурсів), відповідно до матеріальних носіїв, а саме: людських (соціальних, антропологічних), людино-машинних (людино-технічних, соціо-технічних) та технологічних;

• організації сумісності систем підтримки (збереження, охорони та захисту) даних, у тому числі в автоматизованих (комп'ютеризованих) системах з іншими системами забезпечення відповідної організаційної структури;

• виявлення можливих каналів несанкціонованого витоку інформації (фізичних, соціо-технічних, соціальних);

• блокування (протидії) несанкціонованого витоку інформації;

• організації виявлення, кваліфікації, документування порушень інформаційної безпеки (як фактів щодо визначеного стану: у визначеному просторі, часі і колі осіб), а також правове формулювання відповідальності, санкцій та організація притягнення винних до відповідальності (дисциплінарної, цивільної, адміністративної, кримінальної) за порушення інформаційної безпеки.

На основі аналізу накопиченого емпіричного матеріалу пропонуємо здійснити узагальнення (висновки) на рівні теоретичних засад (основ) організації інформаційної безпеки як функції.

Організацію безпеки умовно поділено на три рівня. В основу поділу покладено такий метод, як зрізи середовища, в якому знаходиться інформація: а) соціальне (окрема людина, спільноти людей, держава, міжнародне співтовариство); б) інженерно-технічнологічне (машинне, апаратно-програмне, автоматичне); в) соціотехнічне (людино-машинне).

Кожен зазначений рівень щодо середовища об'єктивно доповнює і взаємообумовлює інші рівні, утворюючи в основі триєдину гіперсистему - організація інформаційної безпеки конкретного суб'єкта суспільних відносин.

Важливим елементом організації інформаційної безпеки є поділ заходів на групи. У теорії та практиці виділяють такі три групи: активні засоби захисту (наприклад, розвідка, дезінформація, зашумлення тощо); пасивні (охоронні) засоби (наприклад, встановлення екранів проти несанкціонованого витоку інформації тощо); комплекс засобів підтримки -органічне поєднання попередньо вказаних груп щодо моделювання потенційних (невідомих раніше практиці) загроз.

Ураховуючи міжгалузеву сутність теорії організації інформаційної безпеки в умовах формування глобальної кіберцивілізації, в ній поєднуються методи пізнання традиційних фундаментальних наук: соціології та фізики, які концентруються у такій науці, як кібернетика. Це зумовлено безпосередньо предметом теорії: людино-машинними (соціо-технічними) системами, провідними яких є комп'ютеризовані інформаційні системи, в тому числі телекомунікаційні, та необхідність керування їх діяльності.

Через наявність людського фактору як провідного теорія організації інформаційної безпеки як система знань має предметний гіперзв'язок з такими фундаментальними гуманітарними науками, як соціологія, соціальна психологія, правознавство тощо.

У даному аспекті визначається також напрям теорії щодо оцінки, характеристики зловмисників, які посягають на безпеку інформаційної системи. У цьому аспекті теорія безпеки має зв'язок з кримінологією, в тому числі її складовими вченнями: віктимологією, теорією формування соціально-психологічного портрету зловмисника тощо[45, c. 63-64].

1.3. Аналіз і оцінка стану економічної та інформаційної безпеки на підприємствах

Система економічної безпеки кожного підприємства цілком індивідуальна. Її повнота та дієвість залежать від існуючої в державі законодавчої бази, від обсягу матеріально-технічних та фінансових ресурсів, виділених керівниками підприємств, від розуміння кожним з працівників важливості забезпечення безпеки бізнесу, а також від досвіду роботи керівників служб безпеки підприємств.

Надійний захист економічної безпеки підприємства можливий лише при комплексному та системному підході до її організації. Тому в економіці має місце таке поняття як система економічної безпеки підприємства.

Система економічної безпеки підприємства - це комплекс організаційно-управлінських, режимних, технічних, профілактичних и пропагандистських заходів, спрямованих на кількісну реалізацію захисту інтересів підприємства від зовнішніх та внутрішніх загроз.

Для керівників будь-якої системи піклування про її безпеку є найголовнішим обов'язком, тому що у випадку її розпаду керувати буде нічим. Уважно наглядати потрібно не тільки за процесами, які відбуваються у навколишньому середовищі, що можуть принести невиправні наслідки, а й не меншу увагу необхідно приділяти аналізу власне самої системи. Обов'язковим є оперативна оцінка якості роботи, постійна перевірка достовірності вхідної інформації, надійності всіх елементів системи. Будь-яке підприємство, маючи свої локальні й державні цілі розвитку, виконує функції забезпечення відносно споживачів його послуг або продукції. Економічна безпека - це характеристика, що будується на взаємовідношеннях системи і середовища як зовнішнього, так і внутрішнього[44, c. 99].

Економічна безпека підприємства повинна оцінюватись з урахуванням умов, обмежень і критеріїв усіх основних учасників його виробничо-економічної діяльності, а саме: держави, підприємств-конкурентів, споживачів. З усього вишеозначенного можна зробити висновок що для українських підприємств самими значимими проблемами сучасного етапу реформ є: відсутність засобів на технічне переоснащення; неритмічність роботи; відсутність контрактів, замовлення; безробіття; велика дебіторська заборгованість. Можна запропонувати наступні кроки на шляху зміцнення економічної безпеки українських підприємств: у рамках технологічної безпеки - закриття низькорентабельних і збиткових підприємств; зміна системи оплати праці наукових кадрів; створення нових організаційно-виробничих структур; використання лізингу; активна участь у міжнародних виставках, семінарах; у рамках ресурсної безпеки - удосконалювання системи розрахунків; підвищення продуктивності праці; збільшення капіталовкладень у ресурсозбереження; стимулювання "ресурсного" напрямку; у рамках економічної безпеки - застосування принципу дотримання критичних термінів кредитування; створення інформаційного центру, щоб постійно мати зведення про борги підприємства і перекрити канали витоку інформації: створення в структурі інформаційного центру спеціальної групи фінансових робітників, що перевіряла б податкові та інші обов'язкові платежі для виявлення можливої переплати і надавала зведення про маловикористовувані основні виробничі фонди із метою їхнього можливого продажу; використання нових форм партнерських зв'язків; у рамках соціальної безпеки - наближення рівня оплати праці до показників розвитих країн, притягнення робітників до управлінських функцій; підвищення кваліфікації робітників; зацікавленість адміністрації підприємства в працевлаштуванні безробітних; розвиток соціальної інфраструктури підприємства; підвищення матеріальної відповідальності робітників за результати своєї праці[46, c. 70-72].

Серед існуючих засобів забезпечення безпеки підприємства можна виокремити наступні:

1) Технічні засоби. До них відносяться охоронно-пожежні системи, відео-радіоапаратура, засоби виявлення вибухових приладів, бронежилети, огородження тощо.

2) Організаційні засоби. Створення спеціалізованих оргструктурних формувань, що забезпечують безпеку підприємства.

3) Інформаційні засоби. Передусім це друкована і відеопродукція з питань збереження конфіденційної інформації. Крім цього, важлива інформація для прийняття рішень з питань економічної безпеки зберігається на комп'ютерах.

4) Фінансові засоби. Без достатніх фінансових коштів не можливе функціонування системи економічної безпеки підприємства, питання лиш в тому, щоб використати їх ціленаправлено та з високою віддачею.

5) Правові засоби. Підприємство повинне у своїй діяльності керуватися не лише виданими вищестоящими органами влади законами та підзаконними актами, але й розробляти власні локальні правові акти з питань забезпечення економічної безпеки підприємства.

6) Кадрові засоби. Підприємство повинне бути забезпечене кадрами, що займаються питаннями економічної безпеки.

7) Інтелектуальні засоби. Залучення до роботи кваліфікованих спеціалістів, наукових робітників, що дозволяє модернізувати систему безпеки підприємства.

Одночасне впровадження усіх цих засобів неможливе. Воно проходить в кілька етапів:

I етап. Виділення фінансових коштів.

II етап. Формування кадрових і організаційних засобів.

III етап. Розробка системи правових засобів.

IV етап. Залучення технічних, інформаційних та інтелектуальних засобів.

Переведені з статичного в динамічний стан вищевказані засоби перетворюються в методи забезпечення економічної безпеки підприємства. Відповідно можна виділити технічні, інформаційні, фінансові, правові, інтелектуальні методи. Наведемо стислий перелік цих методів

1. технічні - спостереження, контроль, ідентифікація;

2. інформаційні - складання характеристик на працівників, аналітичні матеріали конфіденційного характеру тощо;

3. фінансові - матеріальне стимулювання працівників, що мають досягнення в забезпеченні економічної безпеки підприємства;

4. правові - судовий захист законних прав і інтересів, сприяння діям правоохоронних органів;

5. кадрові - підбір, навчання кадрів, що забезпечують безпеку підприємства;

6. інтелектуальні - патентування, ноу-хау тощо.

Під економічною безпекою треба розумі і й такий стан соціально-технічної системи підприємства, котрий дає змогу уникнути зовнішніх загроз і протистояти внутрішнім чинникам дезорганізації за допомогою наявних ресурсів, підприємницьких здібностей менеджерів, а також структурної організації та зв'язків менеджменту, Зауважимо, шо традиційно термін уживався в юридичній практиці для позначення системи прав зі збереження ресурсів і результатів їх продуктивного використання. Однак з економічного погляду таке трактування поняття, на нашу думку, не є вичерпним, а сам механізм збереження не входить до системи управління підприємством (що зумовлено історичним досвідом ведення бізнесу на постсоціалістичному просторі)[51, c. 220-221].

Головна мета управління економічною безпекою - забезпечення найефективнішого функціонування, найпродуктивнішої роботи операційної системи та економічного використання ресурсів, забезпечення певного рівня трудового життя персоналу та якості господарських процесів підприємства, а також постійного стимулювати нарощування наявного потенціалу та його стабільного розвитку[44, c. 99].


РОЗДІЛ ІІ. КАТЕГОРІЇ ІНФОРМАЦІЇ, ЇХ ПРАВОВИЙ РЕЖИМ І ВПЛИВ НА ПРОБЛЕМИ БЕЗПЕКИ У СФЕРІ БІЗНЕСУ

2.1. Категорії інформації з обмеженим доступом та вплив на проблеми детінізації економіки

Захист інформації з обмеженим доступом є одним з першочергових завдань забезпечення інформаційної безпеки. Однак його ефективна реалізація, принаймні на правовому рівні, значно ускладнюється відсутністю єдиного розуміння понять "інформація з обмеженим доступом", "конфіденційна інформація", "таємна інформація". Оскільки положення з цього приводу містяться переважно в актах неінформаційного характеру і є доволі суперечливими, для з'ясування суті вищезазначених термінів слід проаналізувати зміст відповідних правових норм.

Згідно ст. 30 "Інформація з обмеженим доступом" Закону України "Про інформацію", інформація з обмеженим доступом за своїм правовим режимом поділяється на конфіденціальну (конфіденційна - це більш вдалий і широко вживаний термін) і таємну.

Конфіденціальна (конфіденційна) інформація - це, відповідно до Закону, відомості, які знаходяться у володінні, користуванні або розпорядженні окремих фізичних чи юридичних осіб і поширюються за їхнім бажанням відповідно до передбачених ними умов. Громадяни, юридичні особи, які володіють інформацією професійного, ділового, виробничого, банківського, комерційного та іншого характеру, одержаною на власні кошти, або такою, яка є предметом їхнього професійного, ділового, виробничого, банківського, комерційного та іншого інтересу і не порушує передбаченої законом таємниці, самостійно визначають режим доступу до неї систем (способів) захисту. Виняток становить інформація комерційного та банківського характеру, а також інформація, правовий режим якої встановлено Верховною Радою України за поданням Кабінету Міністрів України (з питань статистики, екології, банківських операцій, податків тощо), та інформація, приховування якої є загрозою для життя і здоров'я людей. До таємної належить інформація, що містить відомості, які становлять державну або іншу передбачену законом таємницю, розголошення якої завдає шкоди особі, суспільству і державі.

Ч. 2 ст. 30 Закону України "Про інформацію", перераховуючи повноваження, суб'єкт яких може визначати режим доступу до інформації, містить сполучник "або", який вказує на те, що інформація може вважатися конфіденційною не тільки з волі власника (право власності передбачає право володіння, користування та розпорядження), а й з волі особи, якій належить окреме повноваження щодо інформації. Оскільки Закон не містить зауважень відносно опосередкування волі такої особи щодо встановлення режиму доступу до інформації волею власника, у відповідності з нормою статті 30, до категорії конфіденційної інформацію може відносити як особа, не уповноважена на це власником (якщо, наприклад, власник інформації уповноважив таку особу тільки на користування), так і нетитульний володілець. Фактично це є порушенням права власності на інформацію, оскільки власник, від якого інформація фактично не виходить, здійснюючи свої повноваження, порушує режим обмеженого доступу до інформації, встановлений іншою особою згідно ст. 30. Те ж саме слід зазначити і щодо ч. 3 ст. 30. Інформація може бути предметом певного інтересу для будь-якої особи. Цей інтерес може бути і негативним, тобто мати протиправну спрямованість. Протиправний характер інтересу не виключає можливості придбання особою інформації на власні кошти. Таким чином, ч. 3 ст. 30 також не передбачає умовою для встановлення режиму доступу до інформації законність права власності або делегованих власником повноважень.

Відповідно до змісту ч. 2 ст. 30, конфіденційною інформацією з волі вповноваженої особи може бути визнана будь-яка інформація. Однак ч. 4 статті 28 Закону передбачає, що не підлягає необгрунтоване її віднесення до категорії інформації з обмеженим доступом. Оскільки інформація з обмеженим доступом за своїм правовим режимом поділяється на конфіденційну (конфіденціальну) і таємну, згідно ст. 28 не допускається необгрунтоване (чим?) віднесення інформації до конфіденційної, що суперечить ст. 30. Встановлення ж умов обгрунтованого віднесення інформації до категорії конфіденційної, які б зумовили вичерпність переліку видів конфіденційної інформації, навряд чи доцільно у зв'язку зі змістом цього інституту і його відмінності від інституту таємної інформації. Це однак не повинно означати відсутності загальних принципів законності віднесення інформації до категорії конфіденційності (про такі принципи мова буде йти нижче)[50, c. 43-45].

Згідно тексту ч. 4 ст. 30 Закону України "Про інформацію", інформація (будь-яка!) комерційного та банківського характеру не може бути визнана конфіденційною, тому в цій частині ст. 30 потребує коригування.

Ст. 30 Закону України "Про інформацію" фактично не розмежовує конфіденційну та таємну інформацію, що негативно відбивається й на інших нормах чинного інформаційного законодавства.

Ст. 30 у визначенні таємної інформації передбачає, що її розголошення завдає шкоди особі, суспільству і державі. Але власник встановлює для інформації режим обмеженого доступу, відносячи її до категорії конфіденційної також з урахування того, що повідомлення такої інформації третім особам може завдати йому (його інтересам) шкоди. Так само і державні юридичні особи, що володіють інформацією на праві повного господарського відання або оперативного управління (як і іншою державною власністю), тобто титульні володільці згідно змісту ст. 30 можуть відносити таку інформацію до категорії конфіденційної, якщо її розголошення може зашкодити державі. Крім того заподіяння шкоди окремому суб'єкту правовідносин одночасно є заподіянням шкоди правопорядку в цілому, тобто шкода завдається не лише окремій особі, а й суспільству та державі. Таким чином, завдання розголошення інформації шкоди певним інтересам не може вважатися підставою для класифікації інформації. Однак такі підстави мають бути виявлені і зазначені в законі.

Закон охороняє як таємну, так і конфіденційну інформацію, тому неможливо говорити про захист першої за допомогою закону, а іншої - засобами власника. Разом з тим слід зазначити, що суб'єкти встановлення режиму обмеженого доступу для цих категорій інформації є різними. Належність інформації до категорії конфіденційної встановлюють фізичні та юридичні особи з метою захисту власних інтересів (ця інформація за загальним правилом є відкритою, і може такою залишатися, але фізичним та юридичним особам в межах їх компетенції надано право обмежувати доступ до такої інформації), а належність інформації до категорії таємної - держава в публічних інтересах. Для визнання інформації конфіденційною необхідно мати певне право на таку інформацію. Держава ж, визнаючи інформацію таємною, керується своїми повноваженнями щодо захисту публічних інтересів, а не правом на інформацію. Звісно, можна зазначити, що встановлення в законі можливості віднесення інформації до категорії конфіденційної також захищає публічні інтереси, тобто всіх, а не окремої особи. Однак норми щодо віднесення інформації до категорії конфіденційної є диспозитивними (особа може, але не зобов'язана відносити інформацію до категорії конфіденційної навіть тоді, коли в законі зазначений характер відомостей - комерційні або ін.), що ж стосується віднесення інформації до категорії таємної, тут мають місце імперативні норми - держава наказує визнавати таємною інформацію певного характеру. Різним є також момент отримання інформацією рівня захисту згідно режиму обмеженого доступу: таємною інформація визнається з моменту свого виникнення (якщо її визнання таємною вимагає закон), конфіденційною ж - з моменту відповідного рішення власника[37, c. 23-24].

Віднесення інформації до категорії конфіденційної є реалізацією повноважень власника, тобто права власності як абсолютного (ніхто не повинен посягати на власність незалежно від того, чи вжив власник заходів щодо її збереження, а їх вжиття в межах абсолютного права не порушує і не обмежує прав інших осіб). У той же час визнання інформації таємною являє собою безпосереднє виключення з права на інформацію, передбаченого чинним Законом та Конституцією. Виходячи з цього, закон має передбачати вичерпний перелік видів інформації, що становить "іншу, передбачену законом таємницю", оскільки невстановлення в законі та віднесення до компетенції "відповідних державних органів" визначення порядку її обігу та захисту призводить до незаконних обмежень права на інформацію. Такий перелік, як і принципи "обгрунтованого віднесення" до інформації з обмеженим доступом, зокрема до категорії конфіденційної, є необхідним. Що стосується конфіденційної інформації, встановлення вичерпного переліку її видів є неможливим, оскільки власник, згідно закону, уповноважений відносити до категорії конфіденційної будь-яку інформацію, крім встановлених законом обмежень (тобто інформацію, яка за загальним правилом може бути й відкритою).