Економічна безпека інформації
Категорія (предмет): Економічна теорія1. Потенційні викрадачі комерційних секретів.
2. Економічна оцінка можливих наслідків втрати економічної інформації.
Список використаної літератури.
1. Потенційні викрадачі комерційних секретів
Сьогодні в Україні, як і в інших країнах світу, в процесі підприємницької діяльності, при створенні нових технологій, в результаті інтелектуальної праці, виникають насичені найрізноманітнішими відомостями інформаційні об’єкти, що мають комерційну цінність. Це можуть бути методики робіт, перспективні технічні рішення, результати маркетингових досліджень тощо, націлені на досягнення підприємницького успіху.
Потенційні викрадачі комерційних таємниць: конкуренти; постачальники; особи, які займаються біржовими спекуляціями; незадоволені працівники; особисті вороги керівників; державні органи контролю (правоохоронні, податкові та ін.).
Викрадення, привласнення, вимагання комп'ютерної інформації або заволодіння нею шляхом шахрайства чи зловживання службовою особою своїм службовим становищем — караються штрафом від п'ятдесяти до двохсот неоподатковуваних мінімумів доходів громадян або виправними роботами на строк до двох років.
Проблема захисту комерційної таємниці має багато аспектів, серед яких найважливішими є визначення правового положення комерційної таємниці як соціального ресурсу, юридичне закріплення права на комерційну таємницю та створення правових гарантій реалізації цього права, регулювання відносин, які виникають в сфері обігу комерційної таємниці.
Що стосується використання понять «ділові секрети», «виробничі секрети», «торгівельні секрети» тощо, в Україні законодавцем визначено, що всі ці види секретів можна об’єднати в один узагальнюючий термін – комерційна таємниця, що і знайшло своє закріплення на законодавчому рівні.
Способи одержання інформації:
законні:
— збір і аналіз інформації з офіційно опублікованих джерел;
— відвідування виставок та ярмарок, влаштованих конкурентами;
— придбання і дослідження виробів конкурента (зворотна інженерія);
незаконні:
— вивідування потрібної інформації у спеціалістів конкурента;
— переманювання ведучих спеціалістів з метою одержання потрібної інформації;
— підкуп співробітників із ключових відділів конкурента;
— засилка агентів на фірму чи в близьке оточення ведучих спеціалістів;
— викрадення креслень, документів, зразків виробів;
— негласний контроль за кореспонденцією;
— незаконне одержання інформації в державних чиновників шляхом підкупу;
— одержання інформації з використанням технічних засобів (контроль телефонних розмов, встановлення підслуховуючої апаратури і т. п.);
— обманні переговори і, після одержання інформації, відмова від предмету переговорів (договори, угоди);
— обманне пропонування роботи спеціалістам із фірм суперників з метою заволодіння інформацією.
Інформація, найчастіше, є не тільки набором відомостей про фірму або проект, але й товаром, що продають і купують. У цьому випадку втрата навіть частини такої інформації веде до більших неприємностей, аж до катастрофи бізнесу або банкрутства фірми. Я думаю зрозуміло, чому всіма силами варто піклуватися про інформаційну безпеку компанії або власного бізнесу. Якої ж погрози існують для інформації? Куди і як вона може раптом "витекти" або "випаруватися"?[3, c. 384-386]
У першу чергу, погрозу для інформаційної безпеки фірми представляють різного виду, форми й електронної начинки технічні пристрої для прослуховування, підглядання й вилучення різного роду інформативного вмісту. Існує цілий комплекс мер, створений для забезпечення надійного захисту від різного роду "жучків" і "прослушек".
Безпосередню небезпеку для інформаційного простору будь-якої фірми являють собою самі співробітники компанії. Неблагонадійні й надмірно говіркі працівники можуть (іноді навіть не підозрюючи про це) легко видати важливий секрет фірми або коштовну інформацію з телефону або просто в розмові з "товаришем". Тому велике значення має внутріфірмовий контроль над поводженням і розмовами співробітників, а в деяких випадках — і поза стінами фірми. Це може здатися надмірним утиском їхньої особистої волі, але, коли мова заходить про багатомільйонні втрати прибутку або, не дай боже, про штрафні санкції або банкрутство підприємства, тут вже не до сантиментів.
Таким чином, на підприємстві формується досить негативна атмосфера невдоволення. Напевно тому вже сьогодні на деякі підприємства (переважно іноземні) досить складно влаштуватися, якщо там працюють ваші родичі. А у випадку якщо вони займають керівні пости — практично неможливо.
Отже, система захисту інформаційної системи повинна будуватися виходячи з наступних припущень про наступні можливі типи порушників правил безпеки в системі:
1. "Недосвідчений (неуважний) користувач" — співробітник, що може робити спроби виконання заборонених операцій, доступу до недоступним йому ресурсам, які захищаються, інформаційній системі, введенню некоректних даних тощо . дії помилково, некомпетентності або недбалості без злого наміру й що використовує при цьому лише штатні (доступні йому) апаратні й програмні засоби.
2. "Аматор" — співробітник, що намагається перебороти систему захисту без корисливих цілей, з метою самоствердження (з "спортивного інтересу"). Для подолання системи захисту й здійснення заборонених дій він може використовувати різні методи одержання додаткових повноважень доступу до ресурсів (імен, паролів тощо інших користувачів), недоліки в побудові системи захисту й доступні йому штатні (установлені на робочій станції) програми (несанкціоновані дії за допомогою перевищення своїх повноважень на використання дозволених засобів). Крім цього він може намагатися використовувати додатково позаштатні інструментальні й технологічні програмні засоби (отладчики, службові утиліти), самостійно розроблені програми або стандартні додаткові технічні засоби.
3. "Зовнішній порушник (зловмисник)" — стороння особа або співробітник, що діє цілеспрямовано з корисливих інтересів або із цікавості й "спортивного інтересу", можливо в змові з іншими особами. Він може використовувати весь набір методів і засобів злому систем захисту, характерних для мереж загального користування (мереж на основі ІP- Протокола), включаючи віддалене впровадження програмних закладок і використання спеціальних інструментальних і технологічних програм, використовуючи наявні слабості в системі захисту вузлів мережі інформаційної системи.
4. "Внутрішній зловмисник" — співробітник, що діє цілеспрямовано з корисливих інтересів або мести за нанесену образу, можливо в змові з, співробітниками, які не є співробітниками. Він може використовувати весь набір методів і засобів злому системи захисту, включаючи агентурні методи одержання реквізитів доступу, пасивні засоби (технічні засоби перехоплення без модифікації компонентів системи), методи й засоби активної дії (модифікація технічних засобів, підключення до каналів передачі даних, впровадження програмних закладок і використання спеціальних інструментальних і технологічних програм), а також комбінації дій як зсередини, так і ззовні — з мереж загального користування.
Порушник може бути з наступних категорій персоналу:
— зареєстровані користувачі системи (співробітники підрозділів);
— персонал, що обслуговує технічні засоби автоматизованої системи (інженери, техніки);
— співробітники відділів розробки й супроводи програмного забезпечення (прикладні й системні програмісти);
— технічний персонал, що обслуговує будинки (прибиральниці, електрики, сантехніка й інші співробітники, які мають доступ у будинки й приміщення, де розташовані компоненти автоматизованої системи);
— співробітники служби безпеки автоматизованої системи;
— керівники різних рівнів.
Сторонні особи, які можуть бути порушниками:
— клієнти (представники організацій, громадяни);
— відвідувачі (запрошені по якому-небудь приводі) представники конкуруючих організацій (злочинних організацій, іноземних спецслужб) або особи, які діють по їхньому завданню;
— представники організацій, які взаємодіють із питань забезпечення життєдіяльності організації (енерго-, водо-, теплопостачання тощо);
— люди, які випадково або навмисно проникнули в мережі автоматизованої системи із зовнішніх мереж телекомунікації[4, c. 49-52].
2. Економічна оцінка можливих наслідків втрати економічної інформації
Сама економічна безпека має досить складну внутрішню структуру. Можна виділити три її найважливіших елементи:
— економічну незалежність, що в умовах сучасного світового господарства аж ніяк не носить абсолютного характеру. Міжнародний поділ праці робить національні економіки взаємозалежними одну від одної. У цих умовах економічна незалежність означає можливість контролю держави за національними ресурсами, досягнення такого рівня виробництва, ефективності і якості продукції, що забезпечує її конкурентоздатність і дозволяє на рівних брати участь у світовій торгівлі, обміні науково-технічними досягненнями;
— стабільність і стійкість національної економіки, що припускають захист власності у всіх її формах, створення надійних умов і гарантій для підприємницької діяльності, боротьба з кримінальними структурами в економіці, недопущення серйозних розривів у розподілі доходів, що грозять викликати соціальні потрясіння і т.д.;
— здатність до саморозвитку і прогресу, що особливо важливо в сучасному світі, який невпинно розвивається. Створення сприятливого клімату для інвестицій і інновацій, постійна модернізація виробництва, підвищення професійного, освітнього і загальнокультурного рівня працівників стають необхідними й обов'язковими умовами стійкості і самозбереження національної економіки.
Найбільш типовими причинами та умовами, які сприяють розголошенню відомостей, що містять комерційну таємницю, є:
- відсутність персональної відповідальності посадових осіб за збереження цінних відомостей;
- допуск до цінних відомостей невиправдано широкого кола осіб;
- порушення правил спеціального діловодства;
- відсутність умов для підтримання на належному рівні режиму захисту;
- недотримання встановленого порядку проведення особливо важливих нарад, конфіденційних переговорів;
- порушення пропускного режиму та охорони об’єкта;
- незахищеність технічних каналів від витоку цінних відомостей;
- не систематичне і не ґрунтовне проведення із співробітниками профілактичних навчань, спрямованих на попередження порушень режиму захисту;
- недосконалий контроль за додержанням режиму захисту відомостей, що містять комерційну таємницю.
Таким чином, економічна безпека – це сукупність умов і факторів, що забезпечують незалежність національної економіки, її стабільність і стійкість, здатність до постійного відновлення і самовдосконалення.
Охорона інтелектуальної та кадрової складових економічної безпеки охоплює взаємозв'язані і водночас самостійні напрями діяльності того чи того суб'єкта господарювання.
На першій стадії процесу охорони цієї складової економічної безпеки здійснюється оцінка загроз негативних дій і можливої шкоди від таких дій. З-поміж основних негативних впливів на економічну безпеку підприємства виокремлюють недостатню кваліфікацію працівників тих чи тих структурних підрозділів, Їхнє небажання або нездатність приносити максимальну користь своїй фірмі. Це може бути зумовлене низьким рівнем управління персоналом, браком коштів на оплату праці окремих категорій персоналу підприємства чи нераціональним їх витрачанням.
Процес планування та управління персоналом, спрямований на охорону належного рівня економічної безпеки, має охоплювати організацію системи підбору, найму, навчання й мотивації праці необхідних працівників, включаючи матеріальні та моральні стимули, престижність професії, волю до творчості, забезпечення соціальними благами[2, c. 508-510].
Інформація, що містить комерційну таємницю, — науково-технічна, технологічна, виробнича, фінансово-економічна або інша інформація (у тому числі тридцятилітній секрети виробництва (ноу-хау)), що має дійсну або потенційну комерційну цінність у силу невідомості її третім особам, до якої немає вільного доступу на законній підставі й у відношенні якої власником такої інформації уведений режим комерційної таємниці.
Власник інформації має право на гарантуємий законодавством захист своєї комерційної таємниці від незаконного присвоєння, використання й розголошення її іншими організаціями й особами (право на захист від несумлінної конкуренції).
Заходу щодо охорони конфіденційності інформації, прийняті її власником, повинні містити в собі:
визначення переліку інформації, що становить комерційну таємницю;
обмеження доступу до інформації, що становить комерційну таємницю, шляхом установлення порядку обігу із цією інформацією й контролю за дотриманням такого порядку;
облік осіб, що одержали доступ до інформації, що становить комерційну таємницю, і (або) осіб, якою така інформація була надана або передана;
регулювання відносин по використанню інформації, що становить комерційну таємницю, працівниками на підставі трудових договорів, або контрагентами на підставі цивільно-правових договорів;
нанесення на матеріальні носії (документи), що містять інформацію, тридцятилітній комерційну таємницю, грифа "Комерційна таємниця" із вказівкою власника цієї інформації (для юридичних осіб — повне найменування й місце знаходження, для індивідуальних підприємців – П.І.Б. громадянина, що є індивідуальним підприємцем, і місце проживання).
Для забезпечення захисту відомостей, віднесених до інформації з обмеженим доступом, тобто організації робіт в установі, потрібно обраховувати необхідні ресурси й витрати на них, а саме:
— створення підрозділу для забезпечення захисту інформації з обмеженим доступом (чисельність працівників підрозділу залежить від обсягу робіт), а також витрати на підготовку й підвищення кваліфікації працівників;
— організація фізичної охорони, пропускного режиму й інженерно-технічної охорони приміщень для виконання робіт і зберігання матеріальних носіїв інформації з обмеженим доступом;
— витрати, на придбання засобів технічного захисту приміщень, каналів зв'язку, інформаційно-телекомунікаційних систем і технічних засобів обробки інформації;
— розробку внутрішніх нормативних документів (інструкцій, правил, положень, визначних пам'яток тощо ), які регламентують процес діяльності, пов'язаної з виконанням робіт із грифом обмеження доступу (необхідна кількість працівників для їхньої розробки й впровадження);
— забезпечення необхідним інструментом і встаткуванням підрозділів, а також посадових осіб для виконання, покладених на них обов'язків, пов'язаних із захистом інформації з обмеженим доступом.
Витрати на забезпечення схоронності інформації з обмеженим доступом залежать від способу її зберігання. Електронні носії інформації варто зберігати в службових приміщеннях у сховище (сейфі), на окремій полиці, службове приміщення, що надійно закривається й опечатуються. Якщо буде потреба використовується металева шафа обладнаний знімними Т- Образними стрижнями (накладками) з верхніми й нижніми скобами (петлями), привареними до шафи яка закривається за допомогою надійного замка. Другим варіантом може бути сейф або металева шафа, обладнана трьох мовним цифровим замком, що не може бути відкритий сторонньою особою. Два останніх варіанти забезпечують максимальний ступінь захисту від спроб відкриття й ознайомлення з інформацією, що має грифа обмеження доступу.
Результати такої оцінки необхідна дія розробки основної лінії й визначення належних дій і пріоритетів для керуванням захистом інформації з обмеженим доступом, а також для реалізації засобів контролю. Оцінка цих двох аспектів захисту залежить від наступних факторів:
— характеру інформації й інформаційно-телекомунікаційної системи;
— виробничої мети, для якої інформація використовується;
— середовища, у якій система використовується й керується;
— забезпечення контролю.
Оцінка захищеності може виявити порушення, що вимагає додаткових засобів захищеності, чим ті, які застосовуються. Використання таких засобів захищеності інформації необхідно обґрунтувати виходячи з висновків, отриманих у результаті оцінки можливості інформаційної системи забезпечити захист інформації[1, c. 621-623].
Список використаної літератури
1. Економіка підприємства: Навчальний посібник/ П. В. Круш, В. І. Подвігіна, Б. М. Сердюк та ін.. — К.: Ельга-Н: КНТ, 2007. – 777 с.
2. Ковальчук Т. Економічна безпека і політика: Із досвіду професійного аналітика/ Трохим Ковальчук,; Авт.передм. В. П. Горбулін. — К.: Знання, 2004. — 638 с.
3. Шваб Л. Економіка підприємства: Навчальний посібник/ Людмила Шваб,. — 3-є вид.. — К.: Каравела, 2006. — 583 с.
4. Шпинко О. Економічна безпека ієрархічних багаторівневих систем: Регіональний аспект/ Олек-сандр Шпинко,; Ред. Олександр Удод,. — К.: Генеза, 2006. — 284 с.