Інформаційна безпека підприємництва в Україні, боротьба з комп´ютерними злочинами

Категорія (предмет): Інформатика

Arial

-A A A+

ВСТУП.

РОЗДІЛ І. АКТУАЛЬНІ ПРОБЛЕМИ ЗАХИСТУ ІНФОРМАЦІЇ.

1.1. Сутність отримання інформації та проблеми її захисту у сфері підприємництва.

1.2. Особливі методи отримання та збереження інформації на підприємствах при сучасних технічних засобах.

1.3. Аналіз і оцінка стану економічної та інформаційної безпеки на підприємствах.

РОЗДІЛ ІІ. КАТЕГОРІЇ ІНФОРМАЦІЇ, ЇХ ПРАВОВИЙ РЕЖИМ І ВПЛИВ НА ПРОБЛЕМИ БЕЗПЕКИ У СФЕРІ БІЗНЕСУ.

2.1. Категорії інформації з обмеженим доступом та вплив на проблеми детінізації економіки.

2.2. Конфлікт інтересів між правомірним користувачем і власником інформації.

2.3. Взаємообмін системи інформації в інфраструктурі детінізації економіки.

РОЗДІЛ ІІІ. ОСОБЛИВІ СПОСОБИ ЗАХИСТУ ВІД ЗЛОЧИНІВ У СФЕРІ КОМП'ЮТЕРНОЇ ІНФОРМАЦІЇ.

3.1. Тактичні прийоми вилучення та зберігання інформації як докази, що легалізовані в кримінальній справі.

3.2. Захист осіб у сфері підприємництва від злочинних комп'ютерних посягань.

3.3. Інформаційна безпека комп’ютерних систем у сфері підприємництва.

ВИСНОВКИ.

СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ.

ВСТУП

Актуальність теми. Революція в науково-технічній сфері призвела до появи нових видів інформаційно-комунікаційних технологій, що стали матеріальним підґрунтям глобалізаційних процесів. Інформатизація усіх сфер життєдіяльності змінила розуміння сутності феномену безпеки, джерел та характер загроз, значення та роль міжнародних інститутів.

Становлення інформаційного суспільства має як безсумнівні позитивні, так і певні негативні наслідки. З одного боку, пришвидшилася передача інформації значного обсягу, прискорилась її обробка та впровадження. З іншого – серйозне занепокоєння викликає поширення фактів протизаконного збору і використання інформації, несанкціонованого доступу до інформаційних ресурсів, незаконного копіювання інформації в електронних системах, викрадення інформації з бібліотек, архівів, банків та баз даних, порушення технологій обробки інформації, запуску програм-вірусів, знищення та модифікація даних у інформаційних системах, перехоплення інформації в технічних каналах її витоку, маніпулювання суспільною та індивідуальною свідомістю тощо.

Перехід суспільства до інформаційного змінив статус інформації. Наразі, вона може бути як засобом забезпечення безпеки, так, у свою чергу, і загрозою та небезпекою.

Одним із головних стратегічних пріоритетів є розвиток інформаційного суспільства та впровадження новітніх інформаційно-комунікаційних технологій в усі сфери суспільного життя і в діяльність органів державної влади. Саме цим зумовлена актуальність забезпечення інформаційної безпеки України з метою задоволення національних інтересів людини (громадянина), суспільства та держави в інформаційній сфері.

Тривалий час розуміння інформаційної безпеки в наукових та нормативно-правових джерелах ототожнювалося тільки з безпекою інформації, що значно звужувало її сутність. Саме тому, з низки питань, присвячених розгляду проблеми забезпечення інформаційної безпеки, найбільш вивченими та дослідженими її аспектами є безпека інформації (інформаційно-технічна безпека, в нашому розумінні).

Проблема теоретико-правових засад забезпечення інформаційної безпеки у вітчизняній науковій літературі достатньо ґрунтовно не досліджувалась. Вона розглядалася лише через висвітлення окремих її аспектів вітчизняними та зарубіжними фахівцями теорії держави та права, інформаційного права, національної безпеки, соціального управління, адміністративного права, кримінального права, міжнародного права та ін. Уданому контексті слід згадати наукові розробки таких вчених, як С.Алексєєв, І. Арістова, В.Артемов, І. Бачило, К.Бєляков, В.Білоус, В.Богуш, В. Брижко, В. Голубєв, В. Горобцов, В.Гурковський, М.Гуцалюк, О.Данільян, Д.Дарендорф, О.Дзьобань, О.Дубас, В.Іноземцев, Р. Калюжний, М.Кастельс, А. Колодій, В. Колос, С.Комов, В.Копилов, В.Копєйчиков, Т.Костецька, О.Кохановська, В.Ліпкан, О.Литвиненко, О.Логінов, В. Макаренко, Є.Макаренко, А.Марущак, І.Мащенко, О.Мурашин, Н.Нижник, В.Погорілко, Г.Почепцов, П. Рабінович, М.Рассолов, С.Расторгуєв, А.Селіванов, О. Скакун, Г. Ситник, О. Соснін, Е.Тоффлер, Б. Турен, В.Цимбалюк, І. Чиж, М. Швець, Ю. Шемшученко, В.Шилінгов, О.Юдін, О. Ярмиш, В.Ярочкін та інші.

Мета дослідження– визначення теоретичних і правових засад забезпечення інформаційної безпеки підприємства.

Досягнення поставленої мети передбачає розв’язання таких завдань:

— здійснити системний огляд українських і зарубіжних науково-практичних джерел щодо наукової розробленості теми;

— уточнити особливі методи отримання та збереження інформації на підприємствах при сучасних технічних засобах;

— дослідити категорії інформації з обмеженим доступом та вплив на проблеми детінізації економіки;

— проаналізувати конфлікт інтересів між правомірним користувачем і власником інформації;

— розглянути взаємообмін системи інформації в інфраструктурі детінізації економіки;

— виокремити основні підходи до визначення поняття „інформаційна безпека”, складові інформаційної безпеки в інформаційній сфері;

— розкрити особливості тактичних прийомів вилучення та зберігання інформації як докази, що легалізовані в кримінальній справі;

— охарактеризувати стан захисту осіб у сфері підприємництва від злочинних комп'ютерних посягань.

Об’єкт дослідження – суспільні відносини у сфері інформаційної безпеки підприємства.

Предмет дослідження– теоретико-правові засади забезпечення інформаційної безпеки на підприємстві.

Структура та обсяг роботи. Робота складається зі вступу, трьох розділів, висновків та списку використаних джерел. Загальний обсяг роботи становить 65сторінок, із них список використаних джерел– 4 сторінки (51 найм.).

РОЗДІЛ І. АКТУАЛЬНІ ПРОБЛЕМИ ЗАХИСТУ ІНФОРМАЦІЇ

1.1. Сутність отримання інформації та проблеми її захисту у сфері підприємництва

Інформаційно-аналітична робота — це одна із основних внутрішньовиробничих функціональні складових безпеки підприємства.

Інформаційна складова полягає у здійсненні ефективного інформаційно-аналітичного забезпечення господарської діяльності підприємства.

Належні служби підприємства виконують певні функції, які в сукупності характеризують процес створення та захисту інформаційної складової безпеки підприємства. До таких належать:

— збирання всіх видів інформації, що має відношення до діяльності того чи іншого суб'єкта господарювання;

— аналіз одержуваної інформації з обов'язковим дотриманням загальноприйнятих принципів і методів;

— прогнозування тенденцій розвитку науково-технологічних, економічних і політичних процесів;

— оцінка рівня економічної безпеки за всіма складовими та в цілому, розробка рекомендацій для підвищення цього рівня на конкретному суб'єкті господарювання;

— інші види діяльності з розробки інформаційної складової економічної безпеки.

На підприємство постійно надходять потоки інформації, що розрізняються за джерелами їхнього формування. Заведено відокремлювати:

— відкриту офіційну інформацію;

— вірогідну нетаємну інформацію, одержану через неформальні контакти працівників фірми з носіями такої інформації;

— вірогідну нетаємну інформацію, одержану через неформальні контакти працівників фірми з носіями такої інформації.

Оперативна реалізація заходів з розробки та охорони інформаційної складової економічної безпеки здійснюється послідовним виконанням певного комплексу робіт, ми виділяємо 5 напрямків:

A. — Збирання різних видів необхідної інформації;

Б. — Обробка та систематизація одержаної інформації;

B. — Аналіз одержаної інформації;

Г. — Захист інформаційного середовища підприємства , що традиційно охоплює:

— заходи для захисту суб'єкта господарювання від промислового шпіонажу з боку конкурентів або інших юридичних і фізичних осіб;

— технічний захист приміщень, транспорту, кореспонденції, переговорів, різної документації від несанкціонованого доступу заінтересованих юридичних і фізичних осіб до закритої інформації;

— збирання інформації про потенційних ініціаторів промислового шпіонажу та проведення необхідних запобіжних дій з метою припинення таких спроб.

Д. — Зовнішня інформаційна діяльність[47, c. 88-89].

Серед сучасних підприємців Заходу панує думка, що, використовуючи всього п'ять основних правил безпеки, можна добитися значних успіхів в бізнесі. До них відносять:

1.) розвідку;

2.) професіоналізм у встановленні контактів — мінімальні витрати часу і сил для пошуку інформації, необхідної для налагодження контакту;

З.) кваліфікацію менеджера — витрати часу тільки на потрібних людей;

4.) уміння долати перешкоди, пошук варіантів і обхідних шляхів для дозволу виникаючих проблем;

5.) уміння завершувати операцію, нехай навіть з негативним результатом — це все ж краще, ніж відсутність якого-небудь результату.

Отже, на перше місце ставлять розвідку. Чи випадково це? Тим засобом, за допомогою якого розвідка робить вплив на проведення і розробку політики будь-якої фірми і забезпечення її безпеки, є інформація, що представляється своєчасно в усній або письмовій формі керівництву фірми. Виникає питання, яка ж потрібна керівництву фірми інформація ? Хто і як повинен її готувати? Спробуємо відповісти на ці питання.

Так або інакше, сьогодні всі крупні і процвітаючі комерційні структури розвинених держав мають в своєму штаті підрозділи, які займаються інформаційною діяльністю. У одних фірмах — це інформаційно-аналітичний відділ, в інших — відділ маркетингу, на який керівництво фірми разом з іншими покладає і інформаційно-аналітичні завдання, в третіх — відділ комерційної розвідки. Часто все залежить від рівня розуміння керівництвом фірми ступеня важливості інформаційно-аналітичної роботи для безпеки всіх сторін діяльності будь-якої комерційної структури.

Основне завдання — збір інформації:

— про економічний стан фірми, регіону, своєї країни, країн, в яких є партнери і т.д.;

— про політичну ситуацію в регіоні і країні; про морально-психологічний клімат в колективі;

— про конкурентів і методи конкуренції (добросовісною і недобросовісною);

— про кримінальні структури і можливі терористичні погрози;

— постановка завдань по перевірці потенційних партнерів, клієнтів, конкурентів;

— розробка програм протидії промисловому шпигунству, терористичним погрозам і іншим методам недобросовісної конкуренції;

— розробка програм дезинформації конкурентів:

— через засоби масової інформації;

— через інформаційно-телекомунікаційні канали;

— через постачальників, суміжників, партнерів, клієнтів;

— шляхом організації псевдопросочування конфіденційної інформації;

— розробка програм захисту конфіденційної інформації.

На малюнку №1 показаний зразок структури інформаційно-аналітичного підрозділу(ІАП)[18, c. 71-72].

Завдання — обробка інформації:

Першою і найважливішою операцією є аналіз, який служить додатковим фільтром, що відкидає непотрібне і що є захистом від шуму без підстави. Ця операція полягає перш за все у визначенні важливості, точності і значущості інформації. Інформація є важливою, якщо вона зв'язана, тобто має зв'язок з елементами бази, і якщо вона здатна внести внесок до організації. Коли внесок значимий і безпосередній, інформація вимагає термінових дій.

Інформація, що не має значення, повинна бути виключена щоб уникнути втрати часу і енергії. Не завжди легко встановити, є інформація достовірною або помилковою, особливо якщо вона містить відомості про події, які ще не відбулися.

Допускається два критерії, по яких можна судити про точність інформації, надійність джерела і самої інформації. Головним критерієм правдоподібності є пошук підтвердження за іншими джерелами, якщо можливо — за незалежним.

Інформація може бути важливою і точною і в той же час даремною, оскільки вона недостатня для розуміння і дії. Розвідка в бізнесі відноситься до даних про навколишнє середовище і конкурентів, аналізованим з метою використовувати їх в конкретній ситуації. Ні окрема особа, ні організація не можуть ефективно діяти в умовах конкуренції без глибокого розуміння цього середовища або не маючи в своєму розпорядженні новітньої інформації про те, що в ній відбувається.

Вид потрібної інформації залежить від виду компанії (фірми, її конкурентного середовища і багатьох інших характеристик самої фірми і її оточення. Сьогодні практично весь український бізнес в тому або іншому ступені має тіньові сторони: ухилення від податків, подвійна бухгалтерія, заниження і подальша підміна інвойсів, заховання дійсного об'єму постачань, безготівкові операції через фірми-одноднівки і ін. У такій ситуації фірма може стати заручником кримінальної структури, яка бере фірму під свій контроль (так званий "дах") і може використовувати її для відмивання власних нелегально отриманих коштів. Крім того, як "дах" можуть виступати і різні силові структури. Отже, необхідно постійно володіти інформацією про співвідношення сил і розділення сфер впливу в місті або регіоні, в яких знаходиться фірма, в ніші ринку, яку займає фірма[22, c. 16-17].

Нарешті, практично всі фірми, окрім найдрібніших і фірм-одноднівок, залежать від поточної і майбутньої розстановки політичних сил. Тому правильне прогнозування можливих змін у вищих ешелонах влади (починаючи з розділів міських і обласних адміністрацій) є основоположною умовою виживання фірми і стабільності її бізнесу.

Потреба в інформації варіюється залежно від здійснюваної або планованої діяльності. Компанія може мати довгострокові (стратегічні) плани, тактичні або короткострокові, плани і поточні операції; всі вони вимагають добре вивіреної інформації. У широкому друці іноді намагалися змалювати ділову розвідку про конкурентів як "шпигунство". Можливо, до деякої міри це дійсно так. Проте слід зазначити, що сьогодні переважна маса ділової інформації може бути отримана з відкритих джерел без порушення етичних норм. Список того, що хотіла б знати про конкурента ділова фірма, може бути нескінченним.

Зразковий перелік потрібної інформації може служити ілюстрацією корисності розвідки. Подробиці можуть мінятися від компанії до компанії, але є основні елементи, необхідні для більшості з них.

Інформація про ринок:

1. Ціни, знижки, умови договорів, специфікації продукту.

2. Об'єм, історія, тенденція і прогноз для даного продукту.

3. Частка на ринку і тенденції її зміни.

4. Ринкова політика і плани.

5. Відносини із споживачами і репутація.

6. Чисельність і розміщення торгових агентів.

7. Канали, політика і методи збуту.

8. Бюджет і план рекламної кампанії.

Інформація про структуру виробництва:

1. Оцінка якості і ефективності.

2. Номенклатура виробів.

3. Технологія і устаткування.

4. Рівень витрат.

5. Виробничі потужності.

6. Розміщення і розмір виробничих підрозділів і складів.

7. Спосіб упаковки.

8. Доставка.

9. Необхідність і можливості проведення НДР.

Інформація про внутрішню організацію і фінансове положення

1. Визначення списку осіб, що ухвалюють ключові рішення.

2. Філософія і психологічні установки осіб, що ухвалюють ключові рішення.

3. Фінансові умови і перспективи.

4. Програми інвестицій і кредитування.

5. Головні проблеми (можливості).

6. Програми НДР.

Подібний список може створювати враження, що розвідка проти конкурентів — просто набір даних. Насправді в цих даних повинна бути відображена поведінка конкурента як в короткостроковій, так і в довгостроковій перспективі.

Який же результат повинен бути продуктом діяльності інформаційно-аналітичного підрозділу фірми? До такого результату відносять виявлення глибинних зв'язків між розрізненими, на перший погляд, подіями, засноване на їх оцінці і тлумаченні з урахуванням всіх зовнішніх (економічних, політичних, соціальних) і внутрішніх чинників впливу на діяльність фірми і визначення їх значення для вирішення конкретних завдань поточної політики фірми.

Такий підхід називається системним. Цим підкреслюється різниця між первинними матеріалами і остаточним продуктом діяльності інформаційно-аналітичного підрозділу[24, c. 71-72].

Для ефективної роботи інформаційного підрозділу фірми керівництвом повинні бути чітко обкреслені його основні цілі. Ці цілі можуть полягати в наступному:

1). Забезпечити своєчасне надходження надійної і всесторонньої інформації про здібності і майбутні можливості кожного з основних конкурентів.

2). Визначити, яким чином дії основних конкурентів можуть зачіпати поточні інтереси фірми.

3). Постійно забезпечувати надійну і обширну інформацію про ті події в конкурентному оточенні і на ринку, які можуть мати значення для інтересів фірми.

4). Добиватися ефективності і виключати дублювання в зборі, аналізі і розповсюдженні інформації про конкурентів.

Працюючи над створенням системи інформаційного забезпечення фірми, важливо відзначити ряд ключових положень, ми виділяємо 8 таких положень:

1. Промислова розвідка діяльності конкурентів необхідна для забезпечення успіху в ринковій конкуренції.

2. В даний час ситуація на ринку міняється так різко, що формальних засобів спостереження за конкурентами недостатньо.

3. Методи "проб і помилок" в отриманні такої інформації зрештою неефективні. Для забезпечення функції розвідки потрібна тотальна система в повному розумінні цього слова.

4. Система промислової розвідки повинна бути дуже сильно орієнтована па конкретних осіб, навіть якщо її структура і організація постійні.

5. Така система повинна бути орієнтована на дії. Вона не повинна просто видавати звіти і накопичувати дані. Швидше вона повинна забезпечувати керівників такою інформацією, яка указувала на необхідність дій і допомагала ухвалювати правильні управлінські рішення.

6. Конфіденційну інформацію можна отримати з різних джерел, багато з яких при поверхневому погляді можуть показатися малозначними або навіть даремними.

7. Система розвідки повинна передбачати завдання охорони власних секретів і контррозвідки. Ця рекомендація заснована на припущенні, що у конкурентів є аналогічні системи і що вони можуть удатися до незаконних або неетичних засобів для проникнення у ваші комерційні таємниці.

8. Система розвідки повинна бути ефективно організована без звернення до незаконних або неетичних методів збору даних.

Дані для системи розвідки про конкурентів можуть поступати з різноманітних джерел, як державних, так і приватних. Люди, не знайомі з розвідкою, часто думають, що найкорисніша інформація здобуваються з секретних джерел. Вони вважають типовими для розвідки такі явища, як знамениті публікації про секретні операції ЦРУ.

Насправді велика частина розвідувальної діяльності зв'язана з використанням опублікованих відомостей. Це справедливо навіть для військових, прикладом чому може служити заява адмірала Захаріаса (заступника начальника військово-морської розвідки США під час другої світової війни) про те, що 95% інформації військово-морські служби США отримували з опублікованих даних, 4% з напівофіційних даних, і лише 1% — з секретних джерел.

Отже, основна увага повинна концентруватися на організованому вивченні офіційно доступних джерел інформації. Значна частина основної інформації, використовуваної службами планування, може поступати звичайним порядком з численних публікацій про діловий світ в засобах масової інформації, промислових журналах, газетах, урядових виданнях, навчальних посібниках або наукових працях, а також з постійного неформального потоку відомостей від торгових агентів[19, c. 2-3].

Хоча багато відомостей можна отримати саме таким чином, наприклад, шляхом комп'ютеризованого пошуку через Інтернет і організованих пошуків в промислових бібліотеках, процес розвідки може бути дуже продуктивним і на самому нижчому рівні організації. Цінним складальником інформації може бути простій торговий агент, якому можна доручити відправитися на огляд конкуруючого підприємства і доповісти про свої спостереження відділу збуту. Клерк, що отримав завдання робити вирізки з газет тієї місцевості, де знаходиться конкурент, також виконує важливу розвідувальну функцію.

Як наголошувалося вище, накопичення даних приймає форму безперервного збору базових даних для тотальної розвідки або для ознайомлення з чинниками і силами, що діють в конкуруючих фірмах, і збору особливих відомостей для заповнення інформаційних пропусків в розвідувальних даних або для відповіді на спеціальний запит про конкурентів від певного менеджера — споживача інформації[27, c. 12-13].

1.2. Особливі методи отримання та збереження інформації на підприємствах при сучасних технічних засобах

У контексті постановки проблеми у загальному вигляді та її зв'язку із важливими науковими та практичними завданнями існує необхідність формування методології безпеки підприємництва, пов'язаної з інформаційними правовідносинами. Як приклад актуальності проблематики можна навести експертні свідчення західних фахівців. Витік інформації на рівні 20 % у 60 випадках із 100 призводить до банкрутства комерційної організації (фірми). Жодна, навіть дуже солідна фірма не проіснує більше трьох діб, якщо інформація, яка складає її підприємницьку (комерційну) таємницю, стане відомою конкурентам.

Аналіз останніх досліджень і публікацій, в яких започатковано розв’язання даної проблематики, свідчить, що дуже часто безпека підприємництва зводиться тільки до інвестицій у технічні засоби захисту інформації, нерідко без будь-яких виправдань та обмежень, без чіткого усвідомлення її сутності та змісту як соціального явища. Проте, на жаль, інформаційна безпека підприємництва як складова національної економічної безпеки не зводиться до стану, коли звалюються в одну купу (сукупність) засоби, способи та методи захисту інформаційного середовища вітчизняного підприємництва в умовах формування інформаційного суспільства, основною тенденцією якого є глобалізація.

Наскільки важлива для економіки країни в умовах формування інформаційного суспільства безпека свідчить те, що це знайшло відображення на рівні законодавства України. Відповідно до розд. IV Концепції Національної програми інформатизації створення умов для інтеграції України у світовий інформаційний простір має здійснюватися згідно з сучасними тенденціями інформаційної геополітики, забезпечення обороноздатності та державної безпеки.

Серед невирішених раніше питань загальної проблематики пропонуємо звернути увагу на визначення сутності та змісту категорії «інформаційна безпека підприємництва» та формулювання його поняття виходячи із з'ясування родової категорії — «інформаційна безпека»[30, c. 15-16].

У системі законодавства України категорія «інформаційна безпека» має конституційний статус: вона знайшла відображення у ст. 17 Конституції України. У той самий час законодавець не дав формулювання цієї категорії в Основному законі, тим самим створивши можливість неоднозначного її розуміння, а отже, тлумачення. Так, інформаційну безпеку можна розглядати як захист суверенітету України, забезпечення її безпеки, як найважливішу функцію держави, справу всього українського народу.

Не вирішена проблема формулювання інформаційної безпеки і в Законі України «Про основи національної безпеки України» від 19.06.2003 р. Виходячи з визначення категорії «національна безпека», поданого у ст. 1 цього Закону, можна змоделювати таке формулювання:

Національна інформаційна безпека — захищеність життєво важливих інтересів людини і громадянина, суспільства і держави, за якої забезпечується сталий розвиток суспільства, своєчасне виявлення, запобігання та нейтралізація реальних і потенційних загроз національним інтересам у інформаційній сфері.

Інформаційна безпека в умовах формування інформаційного суспільства (інформатизації) знайшла юридичний вираз на законодавчому рівні в Концепції Національної програми інформатизації, затвердженої Законом України від 04.02.98 р. № 75/98-ВР.

Інформаційна безпека — це комплекс нормативних документів з усіх аспектів використання засобів обчислювальної техніки для обробки та зберігання інформації обмеженого доступу; комплекс державних стандартів із документування, супроводження, використання, сертифікаційних випробувань програмних засобів захисту інформації; банк засобів діагностики, локалізації та профілактики комп'ютерних вірусів, нові технології захисту інформації з використанням спектральних методів, високонадійні криптографічні методи захисту інформації тощо.

Зазначене свідчить про невизначеність на науковому (доктринальному, концептуальному) рівні щодо сутності та змісту категорії «інформаційна безпека». У наведених визначеннях є головна вада: серед розробників законопроектів та народних депутатів були відсутні прихильники теорії права, за якою право не регулює (не визначає, не охороняє, не захищає) ніяких «сукупностей станів» (чи «станів розвитку») або «комплексів». Право (зокрема, законодавство) регулює, охороняє, захищає чи підтримує тільки суспільні відносини (правовідносини), які визначені вже практикою.

Серед альтернативних визначень, які подані у різноманітних науково-практичних джерелах (а всього знайдено 50), усі їх можна привести до наступних коротких, але емких за сутністю та змістом формулювань (понять) у правовому контексті: вид інформаційних правовідносин, вид суспільних процесів, стан захищеності.

З точки зору когнітивного підходу, різні автори, переважно на основі базового освітнього світогляду, по-різному подають визначення інформаційної безпеки, спираючись на ті чи інші критерії (умови, чинники). В умовах формування інформаційного суспільства специфічним означним предметом правовідносин є інформація у формі даних, сигналів в автоматизованих (комп'ютерних) системах, електронних телекомунікаціях, в Інтернеті тощо[35, c. 11].

Наступним контекстом сутності інформаційної безпеки є усвідомлення її як наукової (та відповідно навчальної) дисципліни. Одним із провідних системних завдань інформаційної безпеки як наукової дисципліни є визначення її місця серед уже традиційних наук і деяких нових.

З точки зору теорії гіперсистем права, провідна системна проблема інформаційної безпеки як процесу інформаційної діяльності — це підтримка (збереження, охорона і захист) суспільних інформаційних відносин від негативних впливів (загроз інтересам суб'єктів суспільних відносин): соціальних (соціогенних, антропогенних, у їх складі криміногенних), техногенних та природних (стихійних). Зазначені чинники логічно зумовлюють необхідність визначення інформаційної безпеки як міжгалузевого комплексного наукового інституту. Юридично це визнано Вищою атестаційною комісією (ВАК) України, коли була введена наукова спеціальність у сфері національної безпеки: 21.00.07 — інформаційна безпека (з юридичних та технічних наук).

Враховуючи необхідність, зумовлену часом, щодо формування наукових засад правового регулювання суспільних відносин в умовах входження України до глобального інформаційного суспільства (глобальної кіберцивілізації), на підставі постанови Верховної Ради України від 16.01.2003 p. № 441-IV постановою Президії ВАК України від 21.05.2003 р. № 26-11/5 внесені зміни до паспорта спеціальності 12.00.07. У цій спеціальності, поряд з теорією управління, адміністративним правом і процесом, фінансовим правом, введена нова наукова спеціальність — інформаційне право. З аналізу контексту п. 2.3 паспорта спеціальності (щодо напрямів дослідження інформаційного права) випливає, що сутність інформаційної безпеки як юридичної категорії визначається з ряду проблематики інформаційного права та правової інформатики: правових аспектів формування, розвитку охорони та захисту, а також формування правових основ для законодавчого забезпечення єдиного інформаційного простору України; проблем міжнародного співробітництва в правовому регулюванні та розвитку глобального інформаційного простору[39, c. 145-147].

Однак багатоаспектність та багатофункціональність категорії «інформаційна безпека» дає можливість проводити дослідження й в інших наукових напрямах гуманітарного (у тому числі правового) та технічного спрямування.

Визначним у проблематиці теорії організації інформаційної безпеки як соціо-технічного явища є з'ясування її напрямів на засадах комплексного підходу. Умовно можна визначити такі аспекти: правові, управлінські, інженерно-технологічні. У складі останніх, наприклад, щодо комп'ютерних систем як автономні визначаються програмно-математичні (комп'ютерні програмні) засоби безпеки.

Щодо інформаційної безпеки як наукового напряму існує необхідність виділення двох частин її теорії: загальної частини (фундаментальних, загальних положень) та особливої частини (відносин щодо окремих напрямів, функцій на основі загальних положень). Можливе виділення спеціальної частини, наприклад, інформаційної безпеки підприємництва тощо.

На загальнотеоретичному рівні можна визначитися у наступних ключових для потреб практики, особливих проблемах інформаційної безпеки: 1) щодо організаційного аспекту підтримки функціонування інформаційних систем (їх збереження, охорони та захисту); 2) як міжгалузевого комплексного інституту, що формується на межі соціальної кібернетики (теорії автоматизації управління соціальними системами), інформаційного права та правової інформатики.

До першої групи можна віднести такі проблеми:

• забезпечення доступу до даних (відомостей, повідомлень, сигналів);

• забезпечення цілісності даних щодо загроз, які можуть спричинити порушення життєдіяльності суб'єкта інформаційних правовідносин;

• організації комплексного контролю за потоками сигналів у відповідному середовищі їх функціонування (циркуляції інформаційних ресурсів), відповідно до матеріальних носіїв, а саме: людських (соціальних, антропологічних), людино-машинних (людино-технічних, соціо-технічних) та технологічних;

• організації сумісності систем підтримки (збереження, охорони та захисту) даних, у тому числі в автоматизованих (комп'ютеризованих) системах з іншими системами забезпечення відповідної організаційної структури;

• виявлення можливих каналів несанкціонованого витоку інформації (фізичних, соціо-технічних, соціальних);

• блокування (протидії) несанкціонованого витоку інформації;

• організації виявлення, кваліфікації, документування порушень інформаційної безпеки (як фактів щодо визначеного стану: у визначеному просторі, часі і колі осіб), а також правове формулювання відповідальності, санкцій та організація притягнення винних до відповідальності (дисциплінарної, цивільної, адміністративної, кримінальної) за порушення інформаційної безпеки.

На основі аналізу накопиченого емпіричного матеріалу пропонуємо здійснити узагальнення (висновки) на рівні теоретичних засад (основ) організації інформаційної безпеки як функції.

Організацію безпеки умовно поділено на три рівня. В основу поділу покладено такий метод, як зрізи середовища, в якому знаходиться інформація: а) соціальне (окрема людина, спільноти людей, держава, міжнародне співтовариство); б) інженерно-технічнологічне (машинне, апаратно-програмне, автоматичне); в) соціотехнічне (людино-машинне).

Кожен зазначений рівень щодо середовища об'єктивно доповнює і взаємообумовлює інші рівні, утворюючи в основі триєдину гіперсистему — організація інформаційної безпеки конкретного суб'єкта суспільних відносин.

Важливим елементом організації інформаційної безпеки є поділ заходів на групи. У теорії та практиці виділяють такі три групи: активні засоби захисту (наприклад, розвідка, дезінформація, зашумлення тощо); пасивні (охоронні) засоби (наприклад, встановлення екранів проти несанкціонованого витоку інформації тощо); комплекс засобів підтримки -органічне поєднання попередньо вказаних груп щодо моделювання потенційних (невідомих раніше практиці) загроз.

Ураховуючи міжгалузеву сутність теорії організації інформаційної безпеки в умовах формування глобальної кіберцивілізації, в ній поєднуються методи пізнання традиційних фундаментальних наук: соціології та фізики, які концентруються у такій науці, як кібернетика. Це зумовлено безпосередньо предметом теорії: людино-машинними (соціо-технічними) системами, провідними яких є комп'ютеризовані інформаційні системи, в тому числі телекомунікаційні, та необхідність керування їх діяльності.

Через наявність людського фактору як провідного теорія організації інформаційної безпеки як система знань має предметний гіперзв'язок з такими фундаментальними гуманітарними науками, як соціологія, соціальна психологія, правознавство тощо.

У даному аспекті визначається також напрям теорії щодо оцінки, характеристики зловмисників, які посягають на безпеку інформаційної системи. У цьому аспекті теорія безпеки має зв'язок з кримінологією, в тому числі її складовими вченнями: віктимологією, теорією формування соціально-психологічного портрету зловмисника тощо[45, c. 63-64].

1.3. Аналіз і оцінка стану економічної та інформаційної безпеки на підприємствах

Система економічної безпеки кожного підприємства цілком індивідуальна. Її повнота та дієвість залежать від існуючої в державі законодавчої бази, від обсягу матеріально-технічних та фінансових ресурсів, виділених керівниками підприємств, від розуміння кожним з працівників важливості забезпечення безпеки бізнесу, а також від досвіду роботи керівників служб безпеки підприємств.

Надійний захист економічної безпеки підприємства можливий лише при комплексному та системному підході до її організації. Тому в економіці має місце таке поняття як система економічної безпеки підприємства.

Система економічної безпеки підприємства — це комплекс організаційно-управлінських, режимних, технічних, профілактичних и пропагандистських заходів, спрямованих на кількісну реалізацію захисту інтересів підприємства від зовнішніх та внутрішніх загроз.

Для керівників будь-якої системи піклування про її безпеку є найголовнішим обов'язком, тому що у випадку її розпаду керувати буде нічим. Уважно наглядати потрібно не тільки за процесами, які відбуваються у навколишньому середовищі, що можуть принести невиправні наслідки, а й не меншу увагу необхідно приділяти аналізу власне самої системи. Обов'язковим є оперативна оцінка якості роботи, постійна перевірка достовірності вхідної інформації, надійності всіх елементів системи. Будь-яке підприємство, маючи свої локальні й державні цілі розвитку, виконує функції забезпечення відносно споживачів його послуг або продукції. Економічна безпека — це характеристика, що будується на взаємовідношеннях системи і середовища як зовнішнього, так і внутрішнього[44, c. 99].

Економічна безпека підприємства повинна оцінюватись з урахуванням умов, обмежень і критеріїв усіх основних учасників його виробничо-економічної діяльності, а саме: держави, підприємств-конкурентів, споживачів. З усього вишеозначенного можна зробити висновок що для українських підприємств самими значимими проблемами сучасного етапу реформ є: відсутність засобів на технічне переоснащення; неритмічність роботи; відсутність контрактів, замовлення; безробіття; велика дебіторська заборгованість. Можна запропонувати наступні кроки на шляху зміцнення економічної безпеки українських підприємств: у рамках технологічної безпеки — закриття низькорентабельних і збиткових підприємств; зміна системи оплати праці наукових кадрів; створення нових організаційно-виробничих структур; використання лізингу; активна участь у міжнародних виставках, семінарах; у рамках ресурсної безпеки — удосконалювання системи розрахунків; підвищення продуктивності праці; збільшення капіталовкладень у ресурсозбереження; стимулювання "ресурсного" напрямку; у рамках економічної безпеки — застосування принципу дотримання критичних термінів кредитування; створення інформаційного центру, щоб постійно мати зведення про борги підприємства і перекрити канали витоку інформації: створення в структурі інформаційного центру спеціальної групи фінансових робітників, що перевіряла б податкові та інші обов'язкові платежі для виявлення можливої переплати і надавала зведення про маловикористовувані основні виробничі фонди із метою їхнього можливого продажу; використання нових форм партнерських зв'язків; у рамках соціальної безпеки — наближення рівня оплати праці до показників розвитих країн, притягнення робітників до управлінських функцій; підвищення кваліфікації робітників; зацікавленість адміністрації підприємства в працевлаштуванні безробітних; розвиток соціальної інфраструктури підприємства; підвищення матеріальної відповідальності робітників за результати своєї праці[46, c. 70-72].

Серед існуючих засобів забезпечення безпеки підприємства можна виокремити наступні:

1) Технічні засоби. До них відносяться охоронно-пожежні системи, відео-радіоапаратура, засоби виявлення вибухових приладів, бронежилети, огородження тощо.

2) Організаційні засоби. Створення спеціалізованих оргструктурних формувань, що забезпечують безпеку підприємства.

3) Інформаційні засоби. Передусім це друкована і відеопродукція з питань збереження конфіденційної інформації. Крім цього, важлива інформація для прийняття рішень з питань економічної безпеки зберігається на комп'ютерах.

4) Фінансові засоби. Без достатніх фінансових коштів не можливе функціонування системи економічної безпеки підприємства, питання лиш в тому, щоб використати їх ціленаправлено та з високою віддачею.

5) Правові засоби. Підприємство повинне у своїй діяльності керуватися не лише виданими вищестоящими органами влади законами та підзаконними актами, але й розробляти власні локальні правові акти з питань забезпечення економічної безпеки підприємства.

6) Кадрові засоби. Підприємство повинне бути забезпечене кадрами, що займаються питаннями економічної безпеки.

7) Інтелектуальні засоби. Залучення до роботи кваліфікованих спеціалістів, наукових робітників, що дозволяє модернізувати систему безпеки підприємства.

Одночасне впровадження усіх цих засобів неможливе. Воно проходить в кілька етапів:

I етап. Виділення фінансових коштів.

II етап. Формування кадрових і організаційних засобів.

III етап. Розробка системи правових засобів.

IV етап. Залучення технічних, інформаційних та інтелектуальних засобів.

Переведені з статичного в динамічний стан вищевказані засоби перетворюються в методи забезпечення економічної безпеки підприємства. Відповідно можна виділити технічні, інформаційні, фінансові, правові, інтелектуальні методи. Наведемо стислий перелік цих методів

1. технічні — спостереження, контроль, ідентифікація;

2. інформаційні — складання характеристик на працівників, аналітичні матеріали конфіденційного характеру тощо;

3. фінансові — матеріальне стимулювання працівників, що мають досягнення в забезпеченні економічної безпеки підприємства;

4. правові — судовий захист законних прав і інтересів, сприяння діям правоохоронних органів;

5. кадрові — підбір, навчання кадрів, що забезпечують безпеку підприємства;

6. інтелектуальні — патентування, ноу-хау тощо.

Під економічною безпекою треба розумі і й такий стан соціально-технічної системи підприємства, котрий дає змогу уникнути зовнішніх загроз і протистояти внутрішнім чинникам дезорганізації за допомогою наявних ресурсів, підприємницьких здібностей менеджерів, а також структурної організації та зв'язків менеджменту, Зауважимо, шо традиційно термін уживався в юридичній практиці для позначення системи прав зі збереження ресурсів і результатів їх продуктивного використання. Однак з економічного погляду таке трактування поняття, на нашу думку, не є вичерпним, а сам механізм збереження не входить до системи управління підприємством (що зумовлено історичним досвідом ведення бізнесу на постсоціалістичному просторі)[51, c. 220-221].

Головна мета управління економічною безпекою — забезпечення найефективнішого функціонування, найпродуктивнішої роботи операційної системи та економічного використання ресурсів, забезпечення певного рівня трудового життя персоналу та якості господарських процесів підприємства, а також постійного стимулювати нарощування наявного потенціалу та його стабільного розвитку[44, c. 99].

РОЗДІЛ ІІ. КАТЕГОРІЇ ІНФОРМАЦІЇ, ЇХ ПРАВОВИЙ РЕЖИМ І ВПЛИВ НА ПРОБЛЕМИ БЕЗПЕКИ У СФЕРІ БІЗНЕСУ

2.1. Категорії інформації з обмеженим доступом та вплив на проблеми детінізації економіки

Захист інформації з обмеженим доступом є одним з першочергових завдань забезпечення інформаційної безпеки. Однак його ефективна реалізація, принаймні на правовому рівні, значно ускладнюється відсутністю єдиного розуміння понять "інформація з обмеженим доступом", "конфіденційна інформація", "таємна інформація". Оскільки положення з цього приводу містяться переважно в актах неінформаційного характеру і є доволі суперечливими, для з'ясування суті вищезазначених термінів слід проаналізувати зміст відповідних правових норм.

Згідно ст. 30 "Інформація з обмеженим доступом" Закону України "Про інформацію", інформація з обмеженим доступом за своїм правовим режимом поділяється на конфіденціальну (конфіденційна — це більш вдалий і широко вживаний термін) і таємну.

Конфіденціальна (конфіденційна) інформація — це, відповідно до Закону, відомості, які знаходяться у володінні, користуванні або розпорядженні окремих фізичних чи юридичних осіб і поширюються за їхнім бажанням відповідно до передбачених ними умов. Громадяни, юридичні особи, які володіють інформацією професійного, ділового, виробничого, банківського, комерційного та іншого характеру, одержаною на власні кошти, або такою, яка є предметом їхнього професійного, ділового, виробничого, банківського, комерційного та іншого інтересу і не порушує передбаченої законом таємниці, самостійно визначають режим доступу до неї систем (способів) захисту. Виняток становить інформація комерційного та банківського характеру, а також інформація, правовий режим якої встановлено Верховною Радою України за поданням Кабінету Міністрів України (з питань статистики, екології, банківських операцій, податків тощо), та інформація, приховування якої є загрозою для життя і здоров'я людей. До таємної належить інформація, що містить відомості, які становлять державну або іншу передбачену законом таємницю, розголошення якої завдає шкоди особі, суспільству і державі.

Ч. 2 ст. 30 Закону України "Про інформацію", перераховуючи повноваження, суб'єкт яких може визначати режим доступу до інформації, містить сполучник "або", який вказує на те, що інформація може вважатися конфіденційною не тільки з волі власника (право власності передбачає право володіння, користування та розпорядження), а й з волі особи, якій належить окреме повноваження щодо інформації. Оскільки Закон не містить зауважень відносно опосередкування волі такої особи щодо встановлення режиму доступу до інформації волею власника, у відповідності з нормою статті 30, до категорії конфіденційної інформацію може відносити як особа, не уповноважена на це власником (якщо, наприклад, власник інформації уповноважив таку особу тільки на користування), так і нетитульний володілець. Фактично це є порушенням права власності на інформацію, оскільки власник, від якого інформація фактично не виходить, здійснюючи свої повноваження, порушує режим обмеженого доступу до інформації, встановлений іншою особою згідно ст. 30. Те ж саме слід зазначити і щодо ч. 3 ст. 30. Інформація може бути предметом певного інтересу для будь-якої особи. Цей інтерес може бути і негативним, тобто мати протиправну спрямованість. Протиправний характер інтересу не виключає можливості придбання особою інформації на власні кошти. Таким чином, ч. 3 ст. 30 також не передбачає умовою для встановлення режиму доступу до інформації законність права власності або делегованих власником повноважень.

Відповідно до змісту ч. 2 ст. 30, конфіденційною інформацією з волі вповноваженої особи може бути визнана будь-яка інформація. Однак ч. 4 статті 28 Закону передбачає, що не підлягає необгрунтоване її віднесення до категорії інформації з обмеженим доступом. Оскільки інформація з обмеженим доступом за своїм правовим режимом поділяється на конфіденційну (конфіденціальну) і таємну, згідно ст. 28 не допускається необгрунтоване (чим?) віднесення інформації до конфіденційної, що суперечить ст. 30. Встановлення ж умов обгрунтованого віднесення інформації до категорії конфіденційної, які б зумовили вичерпність переліку видів конфіденційної інформації, навряд чи доцільно у зв'язку зі змістом цього інституту і його відмінності від інституту таємної інформації. Це однак не повинно означати відсутності загальних принципів законності віднесення інформації до категорії конфіденційності (про такі принципи мова буде йти нижче)[50, c. 43-45].

Згідно тексту ч. 4 ст. 30 Закону України "Про інформацію", інформація (будь-яка!) комерційного та банківського характеру не може бути визнана конфіденційною, тому в цій частині ст. 30 потребує коригування.

Ст. 30 Закону України "Про інформацію" фактично не розмежовує конфіденційну та таємну інформацію, що негативно відбивається й на інших нормах чинного інформаційного законодавства.

Ст. 30 у визначенні таємної інформації передбачає, що її розголошення завдає шкоди особі, суспільству і державі. Але власник встановлює для інформації режим обмеженого доступу, відносячи її до категорії конфіденційної також з урахування того, що повідомлення такої інформації третім особам може завдати йому (його інтересам) шкоди. Так само і державні юридичні особи, що володіють інформацією на праві повного господарського відання або оперативного управління (як і іншою державною власністю), тобто титульні володільці згідно змісту ст. 30 можуть відносити таку інформацію до категорії конфіденційної, якщо її розголошення може зашкодити державі. Крім того заподіяння шкоди окремому суб'єкту правовідносин одночасно є заподіянням шкоди правопорядку в цілому, тобто шкода завдається не лише окремій особі, а й суспільству та державі. Таким чином, завдання розголошення інформації шкоди певним інтересам не може вважатися підставою для класифікації інформації. Однак такі підстави мають бути виявлені і зазначені в законі.

Закон охороняє як таємну, так і конфіденційну інформацію, тому неможливо говорити про захист першої за допомогою закону, а іншої — засобами власника. Разом з тим слід зазначити, що суб'єкти встановлення режиму обмеженого доступу для цих категорій інформації є різними. Належність інформації до категорії конфіденційної встановлюють фізичні та юридичні особи з метою захисту власних інтересів (ця інформація за загальним правилом є відкритою, і може такою залишатися, але фізичним та юридичним особам в межах їх компетенції надано право обмежувати доступ до такої інформації), а належність інформації до категорії таємної — держава в публічних інтересах. Для визнання інформації конфіденційною необхідно мати певне право на таку інформацію. Держава ж, визнаючи інформацію таємною, керується своїми повноваженнями щодо захисту публічних інтересів, а не правом на інформацію. Звісно, можна зазначити, що встановлення в законі можливості віднесення інформації до категорії конфіденційної також захищає публічні інтереси, тобто всіх, а не окремої особи. Однак норми щодо віднесення інформації до категорії конфіденційної є диспозитивними (особа може, але не зобов'язана відносити інформацію до категорії конфіденційної навіть тоді, коли в законі зазначений характер відомостей — комерційні або ін.), що ж стосується віднесення інформації до категорії таємної, тут мають місце імперативні норми — держава наказує визнавати таємною інформацію певного характеру. Різним є також момент отримання інформацією рівня захисту згідно режиму обмеженого доступу: таємною інформація визнається з моменту свого виникнення (якщо її визнання таємною вимагає закон), конфіденційною ж — з моменту відповідного рішення власника[37, c. 23-24].

Віднесення інформації до категорії конфіденційної є реалізацією повноважень власника, тобто права власності як абсолютного (ніхто не повинен посягати на власність незалежно від того, чи вжив власник заходів щодо її збереження, а їх вжиття в межах абсолютного права не порушує і не обмежує прав інших осіб). У той же час визнання інформації таємною являє собою безпосереднє виключення з права на інформацію, передбаченого чинним Законом та Конституцією. Виходячи з цього, закон має передбачати вичерпний перелік видів інформації, що становить "іншу, передбачену законом таємницю", оскільки невстановлення в законі та віднесення до компетенції "відповідних державних органів" визначення порядку її обігу та захисту призводить до незаконних обмежень права на інформацію. Такий перелік, як і принципи "обгрунтованого віднесення" до інформації з обмеженим доступом, зокрема до категорії конфіденційної, є необхідним. Що стосується конфіденційної інформації, встановлення вичерпного переліку її видів є неможливим, оскільки власник, згідно закону, уповноважений відносити до категорії конфіденційної будь-яку інформацію, крім встановлених законом обмежень (тобто інформацію, яка за загальним правилом може бути й відкритою). Але якщо закон встановить окремі види конфіденційної інформації та характер відомостей, що до них належать (наприклад, комерційна таємниця), з метою визначення порядку її обігу та функціонування, це не означатиме вичерпності видів такої інформації та порушення диспозитивності норми (наприклад, якщо інформація не відповідає визначенню комерційної таємниці, це не означає, що вона не може бути визнана конфіденційною взагалі). До того ж неможливою є конфіденційність а priori, тобто вимога держави на рівні закону щодо обов'язковості визнання певної інформації конфіденційною.

Щодо співвідношення інформації, яка захищається за допомогою законодавства про інтелектуальну власність, та конфіденційної інформації, то воно виглядає наступним чином: конфіденційна інформація не обов'язково є об'єктом інтелектуальної власності, однак інформація, яка захищається за допомогою законодавства про інтелектуальну власність, може бути визнана конфіденційною. Таке визнання і відповідне застосування норм законодавства щодо інформації з обмеженим доступом не є перешкодою до застосування відповідних норм законодавства щодо інтелектуальної власності. В окремих випадках норми законодавства щодо інформації з обмеженим доступом є єдиним правовим засобом захисту вищезазначеної інформації в Україні (наприклад, ноу-хау). Що ж до таємної інформації, то норми законодавства щодо інформації з обмеженим доступом мають перевагу у застосуванні порівняно з нормами законодавства про інтелектуальну власність[29, c. 49-50].

Разом з тим, стаття 46 закону України "Про інформацію", визначаючи, яка інформація не підлягає розголошенню, відмежовує державну та "іншу передбачену законом таємницю" від лікарської таємниці, таємниці грошових вкладів, прибутків від підприємницької діяльності, усиновлення, листування, телефонних розмов і телеграфних повідомлень, очевидно, не вважаючи зазначені "таємниці" таємною інформацією. Ці непорозуміння мають бути ліквідовані шляхом чіткого окреслення меж та критеріїв різних категорій інформації з обмеженим доступом.

Також необхідно встановити, до якої категорії інформації з обмеженим доступом належать персональні дані (відповідно до Конституції — інформація про особу). Крім того, необхідно визначити власника таких відомостей — особу, якої стосуються такі відомості, або відповідні органи (останніх доречніше вважати володільцями, а не власниками), визначити кількість інформації про громадян, яка може бути одержана законним шляхом.

2.2. Конфлікт інтересів між правомірним користувачем і власником інформації

Конфлікт інтересів між правомірним користувачем і власником інформації знижує ефективність заходів локалізації джерел підпільного (криміногенного) сектора тіньової економіки і не створює конкретної організаційно-правової інфраструктури детінізації економіки.

Розмежовуючи поняття банківської, комерційної таємниці та конфіденційної інформації, законодавець встановлює різний правовий режим її використання.

Основоположний для банків Закон України “Про банки і банківську діяльність” дає відносно повний перелік інформації, що складає банківську таємницю, а також тих органів і організацій, яким вона може бути передана.

Відповідно до ст. 52 цього Закону “довідки про операції і рахунки юридичних осіб та інших організацій видаються самим організаціям, державним податковим інспекціям з питань оподаткування, а також у випадках, передбачених законодавством, на письмову вимогу судам, органам прокуратури, служби безпеки, внутрішніх справ, Антимонопольного комітету України, державної контрольно-ревізійної служби, арбітражному суду та аудиторським організаціям.

Довідки про рахунки і вклади громадян видаються, крім самих клієнтів та їх представників, також судам, органам прокуратури, служби безпеки, внутрішніх справ у справах, що знаходяться в їх провадженні”.

У ході аналізу наведених норм Закону потрібно звернути увагу на такі суперечності.

Державним податковим інспекціям можуть видаватися лише довідки про операції і рахунки юридичних осіб та інших організацій. Надання їм інформації по рахунках і вкладах громадян законодавець не згадує. У переліку органів і організацій, яким видаються довідки про рахунки і вклади громадян, відсутні також арбітражний суд, органи державної контрольно-ревізійної служби, аудиторські організації, хоча нормативні акти, що регулюють їх діяльність, надають їм право звертатися до банку з питань видачі їм такої інформації[33, c. 130-131].

Якщо для одержання інформації про рахунки і вклади громадян обов’язковою є наявність у провадженні правоохоронного органу відповідної справи, то для одержання довідки про операції і рахунки організацій ця умова не передбачається, однак робиться застереження про те, що відомості можуть бути надані лише у випадках, передбачених законодавством.

Практично нічого не згадується в законі про порядок надання банками відомостей один одному та іншим суб’єктам підприємництва. Між іншим, обмін інформацією між банками вкрай необхідний для зниження ризику неповернення кредитів, оскільки за кредитом юридичні особи-позичальники звертаються найчастіше всього в такий банк, де їх платоспроможність та імідж можуть бути невідомі. Аналогічна ситуація існує при наданні комерційних кредитів, коли підприємства передають товари, надають послуги під вексель з відстрочкою платежу чи роблять передоплату з відстрочкою одержання товарів і виконання послуг.

Ще більше протиріч у правовому регулюванні режиму комерційної таємниці. У пункті 2 ст. 30 Закону України “Про підприємства в Україні” визначено: “Склад і обсяг відомостей, що становлять комерційну таємницю, порядок їх захисту визначаються керівником підприємства”.

Виняток (відповідно до Закону України “Про інформацію”) складають відомості, правовий режим яких встановлюється Верховною Радою України. Слід відзначити, що будь-які винятки, не вказані чітко в законі, і такі, що не враховують всю нормативну інфраструктуру правового регулювання конкретного питання (в тому числі і безмежні права власника інформації, зазначені у статтях 30 Законів “Про інформацію” і “Про підприємства”), не тільки створюють серйозні суперечності в питаннях забезпечення захисту конфіденційної інформації, але й знижують економічну безпеку (через відсутність інформації про надійність позичальника кредитів чи партнерів з інших видів угод). У цьому зв’язку слід ще раз відзначити, що відносини між суб’єктами підприємництва з приводу обміну інформацією про надійність партнерів за фінансово-господарськими угодами закон майже не регулює. Можливе лише тлумачення тієї чи іншої норми стосовно конкретної ситуації. Але при такому підході комплексний і ефективний механізм взаємодії та обміну інформацією створений бути не може.

Суттєві суперечності має нормативна база, що регулює надання тих чи інших відомостей правоохоронним, судовим та іншим контролюючим органам. Наприклад, інформаційні відносини банків з органами внутрішніх справ, крім Закону “Про банки і банківську діяльність”, регулюють ще п’ять нормативних актів, а відповідно і ст. 22 Закону України “Про внесення змін до Закону України “Про державну податкову службу в Україні”, і органами податкової міліції[12, c. 226-227].

Відповідно до п. 17 ст. 11 Закону України “Про міліцію” органам міліції надається право: “одержувати безперешкодно і безплатно від підприємств, установ і організацій незалежно від форм власності та об’єднань громадян на письмовий запит відомості (у тому числі й ті, що становлять комерційну та банківську таємниці), необхідні у справах про злочини, що знаходяться у провадженні міліції”.

Ця норма кореспондується з положеннями Закону “Про банки і банківську діяльність” і коментарю не потребує. В інших нормативних актах права органів внутрішніх справ на одержання закритої інформації трактуються суперечливо, що не сприяє виконанню ними своїх службових обов’язків.

Так, у п. 5 Положення про Державну службу боротьби з економічною злочинністю, затвердженого постановою Кабінету Міністрів України від 05.07.93 № 510, вказано, що працівники цієї служби “… при наявності даних про порушення законодавства, що регулює фінансову, господарську та іншу підприємницьку діяльність, які тягнуть за собою кримінальну відповідальність…”, мають право:

пп. 3 – “вилучати необхідні матеріали про кредитні та фінансові операції… у встановленому законодавством порядку”;

пп. 7 – “одержувати безкоштовно від підприємств, установ, організацій і громадян інформацію, за винятком випадків, коли законом встановлений спеціальний порядок її одержання”;

п. 11 – “одержувати в установленому порядку від Національного банку та його установ, комерційних банків та інших кредитних установ необхідні відомості, копії документів, довідки про банківські операції і залишки коштів на рахунках об’єктів, що перевіряються…”.

Із редакції ст. 5 Положення витікає, що викладених досить широких прав зазначена служба МВС набуває незалежно від того, порушено кримінальну справу чи ні, з моменту одержання даних про правопорушення. Проте слід мати на увазі, що в усіх трьох наведених пунктах цієї статті міститься застереження про те, що дані права реалізуються у встановленому законодавством порядку або коли законом установлено спеціальний порядок одержання інформації. Такий порядок визначений Законами “Про банки і банківську діяльність” і “Про міліцію”, де вказано, що конфіденційна інформація може бути передана тільки при наявності справи і за письмовим запитом. Відомо, що в разі розбіжностей у правових нормах повинен спрацьовувати принцип верховенства закону над підзаконним актом. Таким чином, “широкі” права цієї служби зводяться нанівець, оскільки під “справою” власники інформації розуміють кримінальну справу, але, перш ніж порушити її, необхідно мати не тільки оперативну інформацію, а й конкретні документи. Останні ж можна одержати після порушення кримінальної справи. Створюється замкнуте коло[10, c. 208-210].

Відповідно до ст. 12 Закону України “Про органiзаційно-правові основи боротьби з організованою злочинністю” підрозділам з боротьби із такими проявами надаються повноваження:

– п. 2 “б” – “на письмову вимогу керівників відповідних спеціальних підрозділів з боротьби із організованою злочинністю одержувати від банків, а також кредитних, митних, фінансових та інших установ, підприємств, організацій (незалежно від форм власності) інформацію і документи про операції, рахунки, вклади, внутрішні та зовнішні економічні угоди фізичних і юридичних осіб. Документи та інформація повинні бути надані негайно, а якщо це неможливо – не пізніше ніж протягом 10 діб”;

– п. 2 “д” – “у разі одержання фактичних даних про організовану злочинну діяльність для їх перевірки витребувати та одержувати від… підприємств, установ, організацій (незалежно від форм власності) інформацію і документи. Витребувані документи та інформація повинні бути надані негайно або не пізніше ніж протягом 10 діб”.

Наведені норми дещо відрізняються від викладених раніше. Слід звернути увагу на те, що тут не ставиться умова наявності справи. Більше того, у п. 2 “д” вказано, що підрозділи з боротьби із організованою злочинністю набувають право витребувати конфіденційну інформацію “при одержанні фактичних даних про організовану злочинну діяльність”. Поряд із цим, жоден законодавчий акт не дає поняття “фактичні дані”.

Крім того, існують суперечності між положеннями статті 12 Закону, що аналізується, і положеннями статті 33 Закону України “Про інформацію”, у якій вказується: “Термін вивчення запиту на предмет можливості його задоволення не повинен перевищувати десяти календарних днів. Протягом вказаного терміну державна установа письмово доводить до відома запитувача, що його запит буде задоволено або що запитуваний документ не підлягає наданню для ознайомлення. Задоволення запиту здійснюється протягом місяця, якщо інше не передбачено законом”. Відповідно до ст. 8 Закону України “Про оперативно-розшукову діяльність” оперативним підрозділам органів внутрішніх справ (як і інших правоохоронних органів) при наявності до того підстав надається право:

– п. 4 – “витребувати, збирати і вивчати документи і дані, що характеризують діяльність підприємств, закладів, організацій, а також спосіб життя окремих осіб, які підозрюються в підготовці та вчиненні злочину, джерело і розміри їх прибутку”;

– п. 14 – “одержувати від юридичних і фізичних осіб безкоштовно чи за винагороду інформацію про злочини, що готуються, або скоєні злочини і загрозу безпеці суспільства і держави”‘.

Самі по собі ці права ніяких сумнівів у їх правомірності і необхідності не викликають. Питання лише в тому, які підстави породжують зазначені права. У статті 6 цього ж Закону до переліку підстав для проведення оперативно-розшукової діяльності (у тому числі і витребування необхідних відомостей) включені:

– п. 1 – наявність достатньої інформації про:

а) злочини, які готуються або вчинені невстановленими особами;

б) осіб, які готують або які вчинили злочин;

в) осіб, які переховуються від органів розслідування чи які ухиляються від відбування кримінального покарання;

г) осіб, які пропали безвісти;

д) розвідувально-підривну діяльність спецслужб іноземних держав, організацій і окремих осіб проти України;

– п. 2 – запити повноважних державних органів, установ та організацій про перевірку осіб у зв’язку з їх допуском до державної, військової та службової таємниці;

– п. 3 – потреба в одержанні розвідувальної інформації в інтересах безпеки суспільства і держави[23, c. 68-70].

Відповідно до статті 66 Кримінально-процесуального кодексу України: “Особа, яка провадить дізнання, слідчий, у тому числі і податкової міліції, прокурор і суд у справах, які знаходяться в їх провадженні, мають право… вимагати від підприємств, установ, організацій, посадових осіб і громадян пред’явлення предметів і документів, які можуть встановити необхідні у справі фактичні дані… Виконання цих вимог є обов’язковим для всіх громадян, підприємств, установ і організацій”.

Щодо аналізу наведених витягів із законодавчих актів, слід відзначити такі обставини: по-перше – закон надає право витребування відомостей і документів за кримінальними справами; по-друге – просто за справами, що знаходяться у провадженні; по-третє – при наявності інформації про злочини; по-четверте – при наявності потреби одержання розвідувальної інформації в інтересах держави і суспільства. Статус усіх перелічених підстав доступу правоохоронних органів до інформації, що містить банківську, комерційну таємницю та інші конфіденційні відомості, не тільки суперечливий, але й обумовлює цілком різні процесуальні дії відповідних посадових осіб, детермінує конфліктну ситуацію між ними і власниками цієї інформації. Така розбіжність щодо підстав для витребування інформації не може сприяти ні боротьбі зі злочинністю, ні захисту банківської і комерційної таємниць, ні підвищенню рівня економічної безпеки суб’єктів підприємництва в процесі здійснення фінансово-господарської діяльності.

Які причини становища, що склалося? По-перше, всі ці норми опрацьовувалися в різний час і в різних соціально-економічних і політичних умовах. По-друге, розробники деяких актів намагалися вирішити якісь вузьковідомчі поточні завдання без урахування інтересів усіх учасників, які працюють у полі інформаційних відносин.

Розв’язати зазначені суперечності можна тільки при комплексному підході до даної проблеми, ставлячи перед собою основне завдання – утворення ефективного механізму економічної безпеки всіх учасників інформаційно-правового простору у сфері фінансово-господарських відносин, у тому числі і держави.

Те ж саме можна сказати з приводу термінів надання документів. Вони коливаються від “негайно”, “десять днів” і до місяця. При цьому обґрунтування, від чого такі терміни залежать (від кількості запитуваних документів чи ще якихось чинників), не дається.

Інформаційні відносини банків з органами служби безпеки, як і з органами внутрішніх справ, регулюються великою кількістю нормативних актів. Крім Законів, що уже згадувалися (“Про інформацію”, “Про банки і банківську діяльність”, “Про оперативно-розшукову діяльність“, “Організаційно-правові основи боротьби з організованою злочинністю” і ст. 66 КПК України), повноваження органів служби безпеки щодо витребування конфіденційної інформації закріплені в ст. 25 Закону України “Про службу безпеки України”, де вказано, що її органи і співробітники мають право: “одержувати на письмовий запит керівника відповідного органу… від підприємств, установ, організацій дані та відомості, необхідні для забезпечення державної безпеки України, а також користуватися з цією метою службовими документами і звітністю”. Тут закладені всі перелічені вище суперечності. Причини їх ті ж[40, c. 149-151].

Повноваження органів прокуратури, викладені у ст. 66 КПК України, вже наводилися. Вони також відображені у ст. 20 Закону України “Про прокуратуру”, де вказано, що при здійсненні нагляду прокурор має право:

– п. 1 – “… мати доступ до документів і матеріалів, необхідних для проведення перевірки, в тому числі за письмовою вимогою й тих, що містять комерційну чи банківську таємниці або конфіденційну інформацію. Письмово вимагати надання в прокуратуру для перевірки зазначених документів та матеріалів, видачі необхідних довідок, у тому числі про операції і рахунки юридичних осіб та інших організацій, для вирішення питань, пов’язаних з перевіркою”;

– п. 2 – “вимагати для перевірки рішення, розпорядження, інструкції накази та інші акти і документи, одержувати інформацію про стан законності і заходи щодо її забезпечення”.

Відповідно до ст. 8 цього Закону “вимоги прокурора, які відповідають чинному законодавству, є обов’язковими для всіх органів, підприємств, установ, організацій, посадових осіб та громадян і виконуються невідкладно або у передбачені законом чи визначені прокурором строки”. У Законах “Про інформацію”, “Про банки і банківську діяльність” та інших про такі повноваження не згадується. Оскільки закони за своїм статусом рівні, то прокурор виконує вимоги “свого закону”, а банкір – “свого”. Виграє той, хто наполегливіший. Але це знаходиться дуже далеко від так званих “цивілізованих” і тим більш правових відносин.

Заслуговує на увагу нормативне регулювання прав суду. Наведений вище правовий аналіз ст. 66 КПК України був би неповним без урахування положень ст. ст. 47 і 143 Цивільно-процесуального кодексу України.

Відповідно до ст. 143 ЦПК України при підготовці справи до судового розгляду суддя “вимагає від державних підприємств, установ, організацій, колгоспів, інших кооперативних організацій, їх об’єднань, інших громадських організацій, а також від громадян письмові і речові докази або надає особам, які беруть участь у справі, повноваження на право одержання цих доказів для подачі їх до суду…”

У ст. 47 ЦПК України зазначено, що “письмові докази, що витребувалися судом чи суддею від державних підприємств, установ, організацій.., направляються безпосередньо до суду”.

Суд або суддя може також уповноважити зацікавлену сторону чи іншу особу, яка бере участь у справі, одержати письмовий доказ для представлення його суду”.

Таким чином, якщо під установами чи підприємствами розуміти і банки, то вони зобов’язані надавати на вимогу суду документи та інформацію як самому суду, так і уповноваженим ним особам, що не узгоджується з Законом України “Про банки і банківську діяльність”.

Для більш повної картини стану нормативного регулювання інформаційних відносин між банками, установами та організаціями слід навести окремі норми, що містяться і в інших законодавчих актах.

Ст. 10 Закону України “Про Державну контрольно-ревізійну службу в Україні” надає право відповідним органам “одержувати від Національного банку України та його установ, комерційних банків та інших кредитних установ необхідні відомості, копії документів, довідки про банківські операції та залишки коштів на рахунках об’єктів, що ревізуються або перевіряються…”

У ст. 65 Арбітражного процесуального кодексу України зазначається, що при підготовці справи до розгляду арбітр “зобов’язує сторони, інші підприємства, установи, організації, державні та інші органи, їх посадових осіб виконати певні дії (звірити розрахунки, провести огляд доказів у місці їх знаходження тощо); витребовує від них документи, відомості, висновки, необхідні для вирішення спору, чи знайомиться з такими матеріалами безпосередньо в місці їх знаходження”[41, c. 79-80].

Закон України “Про адвокатуру” у ст. 6 надає адвокатові право “збирати відомості про факти, які можуть бути використані як докази у цивільних, господарських, кримінальних справах і справах про адміністративні правопорушення, зокрема:

– запитувати і отримувати документи чи їх копії від підприємств, установ, організацій, об’єднань…;

– ознайомлюватись на підприємствах, в установах і організаціях із необхідними для виконання доручення документами і матеріалами, за винятком тих, таємниця яких охороняється законом”.

Відповідно до статті 4 Закону України “Про нотаріат” нотаріус має право “витребувати від підприємств, установ і організацій відомості і документи, необхідні для вчинення нотаріальних дій”. Відповідно до Указу Президента України від 18.06.93 № 218/93 “Про Координаційний комітет з питань боротьби зі злочинністю” цьому комітету надані права (ст. 3):

– “доручати відповідним державним органам чи створюваним Координаційним комітетом комісіям проведення перевірок додержання органами державної виконавчої влади, підприємствами, установами і організаціями усіх форм власності фінансово-кредитної дисципліни, встановленого порядку бухгалтерського обліку, сплати податків та внесення інших платежів до бюджету;

– …вимагати від… підприємств, установ, організацій усіх форм власності інформацію щодо виконання ними рішень і рекомендацій Координаційного комітету;

– …безперешкодного відвідування (як членами Координаційного комітету, так і уповноваженими ним особами) підприємств, установ і організацій усіх форм власності, знайомитися в установленому порядку і в межах своїх повноважень з відповідними документами”.

Відповідно до ст. 2 Закону України “Про аудиторську діяльність” аудиторські фірми і аудитори мають право:

– п. 2 – “отримувати необхідні документи, які мають відношення до предмета перевірки і знаходяться як у замовника, так і у третіх осіб.

Треті особи, що мають у своєму розпорядженні документи стосовно предмета перевірки, зобов’язані надати їх на вимогу аудитора (аудиторської фірми). Зазначена вимога повинна бути офіційно засвідчена замовником”.

Права Національного банку України визначені Законом України “Про банки і банківську діяльність”. У ст. 16 Закону вказано, що ”Національний банк видає нормативні акти з питань, що входять до його повноважень. Нормативні акти Національного банку, прийняті в межах його повноважень, є обов’язковими для всіх юридичних та фізичних осіб і набирають чинності у визначений ним термін”.

У ст. 48 Закону міститься таке положення: “Національний банк здійснює контроль за додержанням юридичними особами банківського законодавства та власних нормативних актів”.

Відповідно до ст. 24 Закону України “Про страхування” у разі необхідності страховик може робити запити про відомості, пов’язані із страховим випадком, до правоохоронних органів, банків, медичних закладів та інших підприємств, установ і організацій, що володіють інформацією про обставини страхового випадку.

Підприємства, установи і організації зобов’язані надсилати відповідь страховикам на запит про відомості, пов’язані із страховим випадком, у тому числі й дані, що є комерційною таємницею. При цьому страховик несе відповідальність за їх розголошення в будь-якій формі, за винятком випадків, передбачених законодавством України[43, c. 27-28].

2.3. Взаємообмін системи інформації в інфраструктурі детінізації економіки

Перед тим, як перейти до висвітлення організаційних та правових основ створення системи взаємодії між суб’єктами підприємницької діяльності, відповідними державними органами необхідно здійснити аналіз об’єктивних і суб’єктивних факторів, що гальмують таку взаємодію.

Об’єктивні фактори виражаються насамперед у тому, що структура та зміст ринкових відносин передбачає конкуренцію між суб’єктами фінансово-господарської діяльності. У конкурентному середовищі ринкових відносин різноманітна конфіденційна інформація стає об’єктом економічного шпигунства, підкупу, шантажу та інших протиправних засобів, спрямованих на заволодіння нею з метою використання для придушення конкурентів, а також для неправомірного заволодіння грошовими коштами, іншими цінностями учасників підприємницької діяльності. Виходячи з цього, захист від розголошення ділової економічної та іншої конфіденційної інформації в умовах зростання корупції, організованої злочинності та різкого загострення оперативної обстановки є серйозним і часто важко здійсненим завданням служб економічної безпеки.

Поряд з цим, юридичний аналіз відповідних законодавчих актів свідчить, що нечіткість формулювання норм, які регулюють дану проблему, обумовлює суб’єктивний підхід при віднесенні інформації до категорії конфіденційної. Це певною мірою гальмує взаємодію суб’єктів фінансово-господарської діяльності у сфері економічної безпеки.

Зроблена спроба конкретизувати досить широке визначення комерційної таємниці в розглянутих законах у постанові Кабінету Міністрів України від 9 серпня 1993 року № 611 “Про перелік відомостей, що не становлять комерційної таємниці”. Кабінетом Міністрів України установлено, що комерційну таємницю не становлять:

– установчі документи, що дозволяють займатися підприємницькою діяльністю та її окремими видами;

— інформація за всіма встановленими формами державної звітності;

— дані, необхідні для перевірки, перерахування та сплати податків та інших обов’язкових платежів;

— відомості про чисельність та склад працюючих, їх заробітну плату в цілому, за фахом та посадами, а також наявність вільних робочих місць;

— документи про сплату податків та обов’язкових платежів;

— інформація про забруднення навколишнього природного середовища, недотримання безпечних умов праці, про реалізацію продукції, що завдає збитки здоров’ю, а також про інші порушення законодавства України і розміри завданих при цьому збитків;

— документи про платоспроможність;

— відомості про участь посадових осіб підприємства в кооперативах, малих підприємствах, спілках та інших організаціях, які займаються підприємницькою діяльністю;

— відомості, що відповідно до діючого законодавства підлягають оголошенню[40, c. 193-194].

Оскільки згадана постанова Кабінету Міністрів у правовій ієрархії стоїть нижче Закону і не може його обмежувати, то на практиці при виконанні цих та інших нормативних актів, що регулюють доступ до тієї чи іншої інформації, дуже часто виникає конфліктна ситуація. Це неминуче, коли таку проблему регулює біля тридцяти законів і підзаконних актів. Різні інтереси суб’єктів інколи були поштовхом для ініціативної розробки і прийняття тієї чи іншої норми, що й призвело до протиріч, які гальмують сумісну скоординовану роботу зацікавлених сторін щодо створення комплексної інфраструктури системи економічної безпеки у сфері фінансово-господарської діяльності.

Юридичний аналіз розглянутих вище нормативних актів показує, що суперечливість інтересів і неконкретність норм дають можливість тлумачити Закон кожній стороні так, як їй вигідно в тій чи іншій ситуації. Все залежить лише від того, наскільки той чи інший учасник цих відносин володіє нормативною базою. Наприклад, відповідно до ст. 52 Закону України “Про банки та банківську діяльність” відомості щодо операцій, рахунків і вкладів клієнтів і кореспондентів банків складають банківську таємницю. Але при прийнятті рішення про надання кредиту платоспроможність клієнта більш повно і вірогідно можна перевірити, набувши відомості про рахунки і операції позичальника кредитних коштів. Банк-кредитор зацікавлений в одержанні такої інформації. У той же час банк, що обслуговує позичальника коштів, не завжди бажає її надати. Внаслідок таких колізій запобігання кредитним ризикам, пов’язаних із неплатоспроможністю позичальників коштів, стає дуже проблематичним.

Між іншим, у викладеній ситуації стикаються різні інтереси суб’єктів однієї й тієї ж (банківської) системи, де є почуття солідарності та розуміння необхідності встановлення контактів для вирішення своїх аналогічних проблем у майбутньому. При цих чинниках запит служби безпеки банка-кредитора має певні перспективи щодо його виконання. У взаємовідносинах інших суб’єктів фінансово-господарських відносин такі чинники відсутні.

Коли ми говоримо про доступність до тієї чи іншої інформації, не йдеться про безмежний допуск до неї всіх, кому це забажається. Наприклад, суворо конфіденційною повинна бути така банківська інформація, внаслідок втрати якої може бути викликане ажіотажне зняття клієнтами коштів з рахунків. З іншого боку, при вкладенні в банк коштів клієнт повинен мати право на об’єктивну інформацію щодо надійності банківської установи. Подолати ці суперечності можливо тільки усвідомивши необхідність створення колективної системи економічної безпеки учасників фінансово-господарських відносин. Практично це можна здійснити, якщо перейти від епізодичного, договірного обміну інформацією до системного рівня взаємодії на підставі централізованого поповнення певних баз даних[47, c. 89-90].

Враховуючи ключові позиції банківської системи у сфері підприємництва, а також те, що найбільш істотні збитки найчастіше завдаються банкам, до розуміння цих завдань повинні прийти насамперед відповідні посадові особи банківських установ, створивши на часткових (пайових) засадах міжбанківську службу безпеки, делегувавши їй щоденний централізований збір інформації з таких основних напрямів:

про неплатоспроможні підприємства, банкрутів, псевдобанкрутів, небажаних партнерів (як внутрішньодержавних, так і зарубіжних, визнаних комітетом валютного контролю);

– про підприємства, які припустили нанесення збитків партнерам, у тому числі що не повернули кредит, які ухилялись від сплати податків шляхом здійснення угод і оборудок поза балансом підприємства, неправомірними діями призвели до настання страхових випадків тощо;

— про підприємства, що припустили опротестування векселів, псевдогарантів, розтратників предметів застави;

— про осіб, що очолюють або раніше очолювали перелічені чи інші ненадійні підприємницькі структури.

Це основні бази даних. При необхідності їх можна доповнити відомостями про інших потенційних порушників, що можуть створити загрозу нанесення збитків партнерам. При цьому треба пам’ятати, що в цих умовах банк, який передав таку інформацію про клієнтів, ризикує втратити не тільки клієнтів-порушників, але й платоспроможних клієнтів, які з різних причин також не бажають розголошення інформації про стан своєї фінансово-господарської діяльності. Коли дане питання буде вирішуватися на загальних законних засадах у всій банківській системі, це не стане причиною відтоку клієнтів від одного банку до іншого, оскільки вимоги про надання таких відомостей у централізовану базу даних будуть обов’язковими для всіх.

Такий підхід підвищить захист конфіденційної інформації законослухняних суб’єктів підприємницької діяльності та забезпечить економічну безпеку всіх учасників фінансово-господарських відносин від посягань несумлінних партнерів.

Наявність таких баз даних стане основою для більш високого рівня взаємодії української та зарубіжної міжбанківських служб економічної безпеки. При цьому з’являються широкі можливості для укладання контрактів щодо взаємного інформаційного обслуговування на взаємовигідних засадах, що дуже складно досягнути при епізодичному обміні інформацією[49, c. 67-68].

При створенні системи інфраструктури економічної безпеки, що пропонується, змінюється також тип і рівень взаємодії з правоохоронними і судовими органами. Служби економічної безпеки (СЕБ) перестають бути прохачами щодо перевірки несумлінного позичальника або іншого учасника кредитної угоди. Володіючи у повному обсязі зазначеними даними, вони можуть попередити угоду, що може завдати збитків, на стадії її укладання. У випадку, коли рекомендації СЕБ не виконані і угода укладена, можна оперативно зібрати повні дані про подібні угоди як на позичальника, так і на банківського службовця, який проігнорував рекомендації СЕБ. Це дасть можливість аргументовано ставити питання про розслідування обставин укладання угоди та причини неповернення позичених коштів. Оперативність і повнота зібраних матеріалів підвищить також рівень арбітражного чи судового відшкодування збитків.

У контексті наведеного необхідно порушити також питання вдосконалення взаємодії СЕБ з іншими підрозділами банку. Якість, оперативність і повнота інформації, що надається внутрішньобанківськими службами економічної безпеки, підвищить їх роль в управлінні кредитними й іншими фінансовими ризиками. Вивільнений час, що раніше витрачався на різноманітні пошукові заходи та перевірку “випадково” здобутої та не завжди достовірної інформації, можна буде використати на вивчення й оцінку ступеня і типу концентрації ризиків кредитного портфеля, вироблення рекомендацій щодо їх диверсифікацiї, вибір менш небезпечного виду кредитної операції, визначення всього спектра можливих фінансових ризиків з урахуванням оперативних обставин у будь-якому сегменті ринку банківських послуг. На цій підставі СЕБ зможе рекомендувати відповідним підрозділам банку оптимальне рішення за конкретною фінансово-господарською операцією. Безсумнівно, усунення протиріч у законодавстві, створення запропонованих баз даних полегшить отримання документів і збір інформації правоохоронними органами щодо скоєних зловживань, висвітить тенденції з питань тінізації економіки, підвищить економічну безпеку фінансово-господарських відносин у цілому і стане інструментом профілактики і попередження корисливих злочинів на ранній стадії укладання підприємницьких угод.

У той же час, слід відзначити, що запропоновані заходи не є простими і не можуть бути реалізовані достатньо швидко. На першому етапі вирішення нагальних проблем щодо протидії поглибленню тінізації економіки регулювання порядку отримання правоохоронними органами інформації від суб’єктів господарювання можливе шляхом внесення змін і доповнень до деяких нормативних актів[40, c. 214-215].

Зокрема, на нашу думку, ефективним заходом щодо протидії тінізації економіки України на мікрорівні може бути встановлення адміністративної, а в певних випадках і кримінальної відповідальності за злісне ухилення від ведення та порушення строків зберігання фінансово-господарських документів. Тобто в поле правового впливу необхідно включити діяння щодо здійснення угод з використанням готівкових розрахунків за межами їх балансового врахування суб’єктом підприємницької діяльності.

Така відповідальність, з одного боку, може стати запобіжним заходом протидії тінізації економіки, з іншого – засобом викриття і розслідування вже скоєних фактів відмивання доходів, здобутих злочинним шляхом. Ці два питання, на наш погляд, не можна розглядати окремо одне від одного.

РОЗДІЛ ІІІ. ОСОБЛИВІ СПОСОБИ ЗАХИСТУ ВІД ЗЛОЧИНІВ У СФЕРІ КОМП'ЮТЕРНОЇ ІНФОРМАЦІЇ

3.1. Тактичні прийоми вилучення та зберігання інформації як докази, що легалізовані в кримінальній справі

Процес доказування в інформаційному плані — це рух інформації і підлягає певним закономірностям інформатики. Останні відображають суть руху інформації у будь-якій пізнавальній діяльності, в тому числі правоохоронній, при доказуванні у кримінальних справах. Цей процес охоплює виникнення, пошук, фіксацію, зберігання, обробку та передачу інформації адресату. У кримінальному процесі, стосовно процесу доказування, прийнято розрізняти такі етапи: збирання, дослідження, оцінювання та використання доказів.

Збирання доказів, як діяльність, складається з таких процедур:

а) пошуку джерела інформації, тобто таких об'єктів, які "були присутні" на місці події і причинно пов'язані з подією злочину. Джерелами ідеальних відображень є люди, а матеріальних — усі тверді, сипучі, рідинно- та газоподібні тіла;

б) фіксації джерел інформації, тобто застосування технічних і тактичних прийомів для отримання відбитка джерела інформації у формі, доступної для його сприйняття об'єктами доказування;

в) вилучення джерела інформації з матеріального середовища, його індивідуалізації і процесуальної фіксації в протоколі слідчої дії;

г) зберігання джерела інформації, тобто застосування заходів і технічних засобів для створення штучних умов, за яких усуваються природні фактори, що руйнують структуру матеріального джерела.

Заходові шляхи вилучення інформації можуть бути перекриті за допомогою технічних засобів охоронної сигналізації та використання централізованої охорони цих приміщень. При цьому повинні реєструватися усі проникнення – як санкціоновані, так і несанкціоновані, до приміщень оперативних підрозділів, де розташовуються засоби обчислювальної техніки.

Беззаходові заходи вилучення інформації потребують ретельного вивчення можливих (із перерахованих вище) шляхів витікання інформації. При цьому враховується наявність у даному приміщенні телефонних ліній зв’язку, трансляційних ліній, ліній електроживлення, інженерних споруд, вікон та дверей, суміжних приміщень з іншими установами та підрозділами, які не мають відношення до інформації, що обробляється.

Аналізуючи всі вищеназвані беззаходові шляхи вилучення інформації та можливі заходи її захисту, можна надати такі рекомендації з використання технічних засобів, які підвищать надійність зберігання інформації.

Так, захист інформації від зняття з технічних засобів, які мають побічне електромагнітне випромінювання (монітори, принтери), акустичного просочення інформації та «комп’ютерних закладок», виконується шляхом екранування приміщення, де знаходяться засоби обчислювальної техніки. Крім цього, від акустичного просочення інформації, якщо немає змоги екранувати приміщення, використовують засоби, що створюють активні перешкоди у вигляді акустичних, віброакустичних та електромагнітних випромінювань, які придушують засоби зняття інформації (радіомікрофони, телефонні та комп’ютерні закладки) в цьому діапазоні[40, c. 228-229].

Мережа електроживлення відтворює електричний канал просочення інформації, джерелами якої можуть бути електромагнітні випромінювання від засобів обчислювальної техніки, а також від закладових пристроїв, які встановлені в мережах живлення. Захист мереж електроживлення може проводитись пасивними або активними засобами. Пасивні засоби захисту засновані на послаблені інформаційних сигналів в електричній мережі. Цей принцип реалізується фільтрами, які виробляються серійно. Активні засоби захисту засновані на створенні штучних сигналів, які маскують інформаційний сигнал. Цей принцип реалізується генераторами шумів, які спроможні вирішувати завдання як просторового, так і лінійного зашумлення електричної мережі. Але повний та гарантований захист електричної мережі від закладових пристроїв може бути реалізований при комплексному використанні цих двох принципів.

Телефонні абонентські лінії можуть використовуватися для вилучення кодів та інших ідентифікуючих шифрів законних користувачів з метою несанкціонованного доступу до інформації, яка зберігається у комп’ютері. Це досягається при прослуховуванні телефонних ліній зв’язку.

Маючи на увазі велику кількість каналів вилучення інформації, яка має обіг в обчислювальних системах оперативних підрозділів ОВС, ми бачимо розв’язання цієї проблеми, по-перше, обладнанням приміщень, де знаходиться апаратура обчислювальної техніки, засобами сигналізації та використання централізованої охорони цих приміщень, по-друге, використанням пристроїв, які забезпечують комплексний захист інформації. Використання пристроїв комплексного захисту приміщень насамперед полегшує процес монтування засобів захисту, спрощує їх експлуатацію та виключає можливий негативний взаємний вплив засобів, які перекривають різні канали вилучення інформації[50, c. 56-57].

3.2. Захист осіб у сфері підприємництва від злочинних комп'ютерних посягань

Приблизно з середини ХХ століття у світі з’явилося нове масове соціально-технічне явище, яке знайшло вираз у категорії "комп`ютеризація" та "інформатизація" і, майже одночасно з ними, виникли нові кримінологічні категорії: "комп’ютерні злочини", "комп’ютерна злочинність", "організована комп`ютерна злочинність". В основі сутності останніх категорій полягає практика використання електронно-обчислювальної (комп`ютерної) техніки та заснованих на ній технологій в різних сферах суспільного життя в антисоціальних цілях.

Комп`ютеризація, на сучасному рівні розвитку, ставить перед суспільством та державою, в тому числі перед правоохоронними органами нові, нетрадиційні проблеми. Серед них особливе місце займають проблеми зростання протиправних проявів у сфері використання комп’ютерних технологій в глобальних комп`ютерних мережах.

Як свідчить історія розвитку світового науково-технічного прогресу, будь-яка технічна новація, зокрема щодо засобів комунікації, завжди, неминуче притягувала до себе людей, які намагалися і намагаються використати її для вчинення злочинів.

Сьогодні у злочинному світі спостерігається нова тенденція: організовані злочинні формування активно освоюють "кіберпростір", відчувши тиск правоохоронних органів на "традиційні" сфери злочинного бізнесу. За оцінками експертів, нині комп’ютерна злочинність набуває такого розвію, що при її ігноруванні в подальшому виникає проблема, щодо загрози окремим інтересам не тільки якоїсь конкретної людини, соціальним приватним та державним структурам, а й національній безпеці окремих держав і безпеці людства в цілому.

Слід зазначити проблему державного статистичного забезпечення досліджень комп`ютерної злочинності в Україні. Взагалі прояви комп`ютерної злочинності в нашій країні розпорошені, приховані переважно в статистиці економічної злочинності, що не дає змоги дослідження динаміки комп`ютерної злочинності, як специфічного соціального явища у державі.

При дослідженні проблематики не заперечується значимість технічного захисту комп`ютерних систем, технічний захист потрібний без сумніву. Поряд з цим, нагадаємо народну мудрість: замки роблять для порядних людей, злочинцю вони надають тільки додаткового клопоту для досягнення злочинної мети[48, c. 169-170].

Дослідження в Україні свідчать, що широкий загал фахівців, діяльність яких пов`язана з комп`ютерними технологіями, не мають не тільки відповідних навичок, але й правових знань: як правильно документувати дії порушника; в які правоохоронні органи слід звертатися в разі виявлення порушення; як діяти до втручання у справу правоохоронців, тощо.

Це зумовлено тим, що в більшості технічних вузів юридична підготовка, як правило, обмежується єдиною юридичною навчальною дисципліною — «Основи права», на вивчення якої відводиться приблизно до 20 аудиторних годин. До того ж у багатьох технічних вузах ця навчальна дисципліна не містить тем, які б розкривали сутність та особливості змісту комп`ютерних правопорушень, зокрема таких що визначаються як злочини. З цим пов`язана ще одна проблема — відсутність широкого кола серед фахівців — юристів, таких, хто міг би кваліфіковано комплексно донести до студентів проблематику комп`ютерної злочинності та правових засобів протидії їй.

Ефективність здійснення заходів стосовно протидії “комп’ютерним” злочинам залежить від умілого врахування всіх аспектів проблеми: правового, організаційного і технічного.

Розвиток правового аспекту, по-перше, потребує законодавчого закріплення визначень об’єктів та суб’єктів “комп’ютерних” злочинів, складів означених злочинів, ознак вини, мотивів та мети злочинних дій. По-друге, виникає питання щодо створення організаційних структур, які будуть практично виявляти, попереджувати та розслідувати “комп’ютерні” злочини. Паралельно потребує розробки, створення та удосконалення система організаційно-технічних заходів захисту (насамперед, з боку органів державної влади) від зазначеного виду злочинів.

До найбільш характерних особливостей “комп’ютерних” злочинів можна віднести такі: складність визначення розміру заподіяних збитків, значні фінансові витрати на проведення розслідування. До зазначеного слід додати невелику кількість фахівців, які мають необхідні для їх розкриття навички та кваліфікацію, а також неврегульованість законом багатьох питань, що виникають як під час збору і документування інформації про “комп’ютерні” злочини, так і у процесі проведення слідчих дій (обшук комп’ютера, пошук слідів у комп’ютері, порядок зняття копій з машинних носіїв даних, отримання роздруку інформації і т.ін.)[9, c. 114-115].

В залежності від виду правопорушення особи, винні у вчиненні “комп’ютерних” злочинів, несуть кримінальну, адміністративну, цивільно-правову, дисциплінарну або матеріальну відповідальність. З урахуванням набуття чинності новим Кримінальним кодексом України особливу зацікавленість як у теоретичному, так і у практичному плані викликає питання щодо встановлення кримінальної відповідальності за такі правопорушення, створення організаційно-правових засад їх виявлення, припинення та розслідування, тому далі вважаємо за необхідне розглянути деякі аспекти саме цієї проблеми.

Чинній донедавна Кримінальний кодекс України (КК) від 28.12.1960 р. не містив визначення поняття “комп’ютерні злочини”. Єдина “комп’ютерна” стаття 1981 – Порушення роботи автоматизованих систем, – що входила до нього, не перекривала всього спектру і майже не застосовувалася на практиці. Це саме стосувалося й інших статей “старого” КК України, які можна було віднести до таких, що встановлювали відповідальність за “комп’ютерні” злочини (наприклад, за порушення авторського права на комп’ютерні програми ст. 136 КК України – Порушення авторських прав – не передбачала конфіскації контрафактів (продуктів, виготовлених з порушенням вимог законодавства про авторське право), позбавлення волі, а розміри штрафів встановлювалися неадекватно – були надто мінімальними порівняно із завданими збитками.

Ситуація кардинально змінилася на краще з прийняттям нового Кримінального кодексу України 5 квітня 2001р., який набув чинності з 1 вересня 2001 р. Новий Кримінальний кодекс містить окремий розділ (розділ XVI – “Злочини у сфері використання електронно-обчислювальних машин (комп’ютерів), систем та комп’ютерних мереж”, – повністю присвячений класифікації та встановленню відповідальності за вчинення комп’ютерних злочинів. До розділу входять три статті: ст. 361 – Незаконне втручання в роботу електронно-обчислювальних машин (комп’ютерів), систем та комп’ютерних мереж, ст. 362 – Викрадення, привласнення, вимагання комп’ютерної інформації або заволодіння нею шляхом шахрайства чи зловживання службовим становищем і ст. 363 – Порушення правил експлуатації автоматизованих електронно-обчислювальних систем[13, c. 12-14].

Зазначена редакція статей представляється доцільною та обґрунтованою. Порівняно з Проектом Кримінального кодексу України, прийнятим у другому читанні Верховною Радою України, назви розділу та статей, що входять до нього, зазнали істотних змін, зокрема, з точки зору розширеного визначення предмету злочину, попередня редакція визначала за предмет злочину автоматизовану електронно-обчислювальну систему, у той час як у затвердженому КК України за предмет злочину визначається електронно-обчислювальна машина (комп’ютер), їх система та комп’ютерна мережа. Зазначене визначення, на наш погляд, є найбільш повним з точки зору типологізації архітектури сучасних комп’ютерних систем і мереж, і відповідає всім відомими на сьогодні різновидам “комп’ютерних” злочинів. Крім цього, принципово новим виявляється ще один предмет злочину, передбачений ст. 361–363, – комп’ютерна інформація.

З огляду на все зазначене можливо визначити поняття “комп’ютерний злочин”: це передбачена законом суспільно небезпечна дія, що посягає на встановлений в суспільстві порядок інформаційних відносин та скоюється з використанням електронно-обчислювальних машин (комп’ютерів), систем та комп’ютерних мереж. Тобто, об’єктом злочину виступають інформаційні відносини у суспільстві, що охороняються законом, а предметом – електронно-обчислювальні машини (комп’ютери), системи та комп’ютерні мережі, а також комп’ютерна інформація, що обробляється за їх допомогою.

Інше визначення “комп’ютерних” злочинів – “злочини у сфері комп’ютерної інформації” – дали російські законодавці у ст. 272–274 Кримінального кодексу Російської Федерації. Тобто, класифікуючою ознакою таких злочинів вважається не використання електронно-обчислювальних машин, систем чи комп’ютерних мереж (засобів обробки комп’ютерної інформації), а завдання шкоди безпосередньо комп’ютерній інформації. Це пояснюється, на наш погляд, існуванням у Цивільному кодексі РФ норми, що визначає інформацію як один з об’єктів права власності. Тому інформації, а точніше одному з її видів – комп’ютерній інформації, присвячено окремий розділ Кримінального кодексу РФ. Назва ж розділу ХVI у КК України свідчить про більш традиційний погляд на проблему протидії “комп’ютерним” злочинам.

Аналіз складів злочинів (за відповідними статтями кримінальних кодексів Росії та України) дає підстави зробити висновок про те, що склади “комп’ютерних” злочинів врешті-решт набувають чіткого визначення та певним чином однаково тлумачаться законодавцями зазначених країн, навіть не зважаючи на різні “стартові” роздуми[32, c. 87-88].

Необхідно підкреслити наявність певних не вирішених на сьогодні проблем стосовно визначення “комп’ютерні злочини”, їх класифікації у чинному законодавстві.

Аналіз складів злочинів, що визначаються зазначеними статтями КК України, а також порівняння їх з відповідними рекомендаціями Ради Європи, метою яких є гармонізація європейського законодавства у сфері протидії “комп’ютерним” злочинам, дає змогу дійти до висновку стосовно неповного врахування останніх.

Так, у чинному КК України чітко не виписано такі правопорушення:

а) виробництво, продаж, постачання, імпорт, розповсюдження або оприлюднення у будь-який інший спосіб:

пристроїв, включаючи комп’ютерні програми, що розроблені або адаптовані (повністю, переважно або частково) з метою здійснення неправомірного доступу до комп’ютерних систем, неправомірного перехоплення та модифікації даних або втручання в роботу комп’ютерних систем;

комп’ютерних паролів, кодів доступу або аналогічних даних, які надають можливість неправомірного доступу до всієї комп’ютерної системи або будь-якої її частини з наміром використання їх для скоєння правопорушень;

б) володіння зазначеними у п. “а” атрибутами з наміром використання їх у подальшому для неправомірного доступу до комп’ютерних систем або неправомірного перехоплення даних.

З огляду на перелічене вище, необхідно зауважити, що класифікація зазначених правопорушень згідно зі ст. 359 КК України – Незаконне використання спеціальних технічних засобів негласного отримання інформації – утруднена, тому що комп’ютерні програми не є технічними засобами[40, c. 226-227].

3.3. Інформаційна безпека комп’ютерних систем у сфері підприємництва

Елемент організаційного захисту є стержнем, який зв'язує в одну систему всі інші елементи. Центральною проблемою при розробці методів організаційного захисту інформації є формування дозвільної (обмежувальної) систем і доступу персоналу до конфіденційних відомостей, документів і баз даних. Важливо чітко і однозначно встановити: хто, кого, до яких, відомостей, коли, на який період і як допускає.

Дозвільна система доступу вирішує наступні задачі: забезпечення співробітників всіма необхідними для роботи документами і інформацією; обмеження кола осіб, які допускаються до конфіденційних документів; виключення несанкціонованого ознайомлення з документу Ієрархічна послідовність доступу реалізується по принципу "чим вища цінність конфіденційних відомостей, тим менша чисельність співробітників можуть їх знати". У відповідності з цією послідовністю визначається необхідний ступінь посилення захисних мір, структура рубежів (ешелонів) захисту інформації.

Доступ співробітника до конфіденційних відомостей, який здійснюється у відповідності з дозвільною системою, називається санкціонованим. Дозвіл (санкція) на доступ до цих відомостей завжди є строго персоніфікованим і видається керівником в письмовому вигляді: наказом, що затверджує схему посадового чи іменного доступу до інформації, резолюцією на документі, списком-дозволом в карточці видачі справи або на обложці справи ознайомлення з документом.

Організаційні міри захисту відображаються в нормативно-методичних документах служби безпеки фірми. У зв'язку з цим часто використовується єдина назва двох розглянутих вище елементів системи захисту — елемент організаційно-правового захисту інформації. Елемент технічного захисту включає: засоби захисту технічних каналів витоку інформації, що виникають під час роботи ЕОМ, засобів зв'язку, копіювальних апаратів, принтерів, факсів та інших приладів і обладнання; засоби захисту приміщень від візуальних та акустичних способів технічної розвідки; засоби охорони будівель і приміщень від проникнення сторонніх осіб (засоби спостереження, сповіщення, сигналізації, інформування і ідентифікації, інженерні споруди); засоби протипожежної охорони; засоби виявлення приладів і пристроїв технічної розвідки (підслуховувальних та передавальних пристроїв,звукозаписувальної та телевізійної апаратури і т.д.)[36, c. 15-16].

Елемент програмно-математичного захисту інформації включає: регламентацію доступу до електронних документів персональними паролями, що ідентифікуються командами та іншими найпростішими методами захисту; регламентацію спеціальних засобів і продуктів програмного захисту; регламентацію криптографічних методів засобів захисту інформації в ЕОМ та мережах, криптографування (шифрування) тексту під час передачі їх по каналам звичайного та факсимільного зв'язку, під час пересилки поштою. В кожному елементі захисту можуть бути реалізовані на практиці тільки окремі складові частини[7, c. 17-18].

Наприклад, в організаційному захисті можна регламентувати тільки прийоми обробки конфіденційних документів і систему доступу до них персоналу. Методи і засоби захисту інформації в рамках системи захисту повинні регулярно змінюватись з метою попередження їх розкриття зловмисником. Конкретна система захисту інформації фірмі завжди є строго конфіденційною. Спеціалісти, які розробляли що систему, ніколи не повинні бути її користувачами.

Отже, система захисту конфіденційної інформації, яка використовується фірмою, є індивідуалізованою сукупністю необхідних елементів захисту, кожний з яких окремо вирішує свої специфічні для даної фірми задачі і володіє конкретизованим відносно цих задач змістом. В комплексі ці елементи формують багатограничний захист секретів фірми і дають відносну гарантію безпеки підприємницької діяльності фірми.

Документообіг як об'єкт захисту представляє собою сукупність (мережу) каналів розповсюдження документованої конфіденційної інформації по споживачам у процесі управлінської та виробничої діяльності.

Рух документованої інформації не можна розпродати тільки як механічне переміщення документів по інстанціям, як функцію поштової доставки кореспонденції адресатам. Основною характеристикою такого руху є його технологічна комплексність, тобто з'єднання в єдине ціле управлінських, діловодних та поштових задач, що визначають в сукупності зміст переміщення документів.

При русі документів (в тому числі електронних) по інстанціях створюються потенційні можливості втрати цієї інформації за рахунок розширення числа джерел, що володіють цінною інформацією. Загрози документам в документопотоках включають в себе: викрадення, копіювання паперових і електронних документів, фото-, відео-, аудіодокументів і баз даних; підміну документів, носіїв і їх окремих частин з метою фальсифікації або приховування факту загублення, викрадення; таємне чи дозволене ознайомлення з документами і базами даних, запам'ятовування і переказ інформації зловмиснику; дистанційний перегляд документів і зображення дисплея за допомогою спеціальних технічних засобів; помилкові дії персоналу під час роботи з документами (порушення дозвільної системи, порядку обробки документів, правил роботи з документами і т.д.); випадкове або зловмисне знищення цінних документів і баз даних, їх несанкціонована модифікація, спотворення і фальсифікація, зчитування даних в чужих масивах за рахунок роботи з залишковою інформацією на копіювальній стрічці, папері, дискам ЕОМ; маскування під зареєстрованого користувача; витік інформації по технічним каналам під час обговорення і диктування тексту документа, виготовлення документів[14, c. 109-111].

Головним напрямом захисту документованої інформації (документів) від всіх видів загроз є формування захищеного документообігу і використання в обробці і зберіганні, документів технологічної системи, що забезпечує безпеку інформації на любому типі носія. За рахунок цього досягається можливість контролю конфіденційної інформації в її джерелах і каналах розповсюдження.

Окрім загальних для документообігу принципів захищений документообіг базується на ряді додаткових принципів: персональної відповідальності співробітників за збереження носія і таємницю інформації; обмеженні ділової необхідності доступу персоналу до документів, справ і базам даних; операційному обліку документів і контролю за їх збереженням у процесі руху, розгляду, виконання і використання; жорсткій регламентації порядку роботи з документами, справами і базами даних для всіх категорій персоналу. В великих підприємницьких структурах з великим об'ємом документів в потоках захищеність документообігу досягається за рахунок: формування самостійних, ізольованих потоків конфіденційних (грифованих) документів і, часто, додаткового дроблення їх на ізольовані потоки у відповідності з рівнем конфіденційності (рівнем грифу) документів, що переміщаються; використання централізованої автономної технологічної системи обробки і зберігання конфіденційних документів, ізольованої від системи обробки інших документів; організації самостійного підрозділу (служби) конфіденційної документації або аналогічного підрозділу, що входить у склад служби безпеки, аналітичної служби фірми.

В підприємницьких структурах з невеликим складом штатних співробітників та об'ємом опрацьованих документів (наприклад, в малому бізнесі), а також в структурах, основна маса документів в яких є конфіденційною (наприклад, в банках, страхових компаніях), конфіденційні документи можуть не виділятися з загального документопотоку і оброблятися в рамках єдиної технологічної системи. Підрозділ конфіденційної документації в таких підприємницьких структурах зазвичай не створюється. Функції централізованої обробки і зберігання конфіденційних документів покладаються на керуючого справами, референта або інколи досвідченого секретаря-референта фірми. При любому варіанті побудови захищеного документообігу вжиті для безпеки інформації міри не повинні збільшувати терміни руху та виконання документів[15, c. 77-78].

Однією з найважливіших вимог до захищеного документообігу є вибірковість у доставці і використання персоналом цінної інформації. Вибірковість призначена не тільки для забезпечення оперативності в отримання користувачем цінної інформації, але й обмеження у доставці йому тієї інформації, робота з якою йому дозволена у відповідності з його функціональними обов'язками.

В основі вибірковості в доставці і використанні конфіденційних документів лежить діюча у фірмі дозвільна (розмежувальна) система доступу персоналу до конфіденційної інформації, документам, справам і базам даних. Система в даному випадку передбачає цілеспрямоване дроблення конфіденційної інформації між співробітниками на складові елементи, кожний з яких окремо значної цінності не представляє. Захист документованої інформації в потоках досягається одночасним використанням як дозвільних (розмежувальних) мір, так і комплексом технологічних процедур і операцій, які входять в систему обробки і зберігання документів, що забезпечує розгляд, виконання, використання і рух документів. В захищеному документообігу у більшості випадків використовується традиційна (ручна, діловодна) технологічна, система обробки і зберігання конфіденційних документів. В окремих випадках автоматизуються (при збереженні традиційного обліку документів) довідкові та пошукові завдання, контроль виконання. Технологічна система набуває змішаного характеру.

Робота з електронними конфіденційними документами дозволяється тільки при наявності у фірмі сертифікованої системи захисту комп'ютера і локальної мережі.

Суб'єкти електронного документообігу повинні зберігати електронні документи на електронних носіях інформації у формі, що дає змогу перевірити їх цілісність на цих носіях.

Строк зберігання електронних документів на електронних носіях інформації повинен бути неменшим відстроку, встановленого законодавством для відповідних документів на папері.

У разі неможливості зберігання електронних документів на електронних носіях інформації протягом строку, встановленого законодавством для відповідних документів на папері, суб'єкти електронного документообігу повинні вживати заходів щодо дублювання документів на кількох електронних носіях інформації та здійснювати їх періодичне копіювання відповідно до порядку обліку та копіювання документів, встановленого законодавством. Якщо неможливо виконати зазначені вимоги, електронні документи повинні зберігатися у вигляді копії документа на папері (уразі відсутності оригіналу цього документа на папері). При копіюванні електронного документа з електронного носія інформації обов'язково здійснюється перевірка цілісності даних на цьому носії.

При зберіганні електронних документів обов'язкове додержання таких вимог:

1) інформація, що міститься в електронних документах, повинна бути доступною для її подальшого використання;

2) має бути забезпечена можливість відновлення електронного документа у тому форматі, в якому він був створений, відправлений або одержаний;

3) у разі наявності повинна зберігатися інформація, яка дає змогу встановити походження та призначення електронного документа, а також дату і час його відправлення чи одержання.

Суб'єкти електронного документообігу можуть забезпечувати додержання вимог щодо збереження електронних документів шляхом використання послуг посередника, у тому числі архівної установи, якщо така установа додержується вимог цієї статті. Створення архівів електронних документів, подання електронних документів до архівних установ України та їх зберігання в цих установах здійснюється у порядку, визначеному законодавством[7, c. 10-11].

Найпоширеніші нині технології захисту електронних документів — кодування та електронний підпис — стикаються з проблемою їхнього практичного застосування при архівації документів: алгоритми у зв'язку з розвитком цифрових технологій мають дуже обмежений «термін надійності» — значно коротший, ніж строк зберігання документів в архіві, і підлягають регулярній перевірці на розкодування та постійній модернізації[23, c. 123].

ВИСНОВКИ

Сьогодні, в умовах формування глобальної кіберцивілізації, визначається міжнародно-правовий аспект теорії інформаційної безпеки: необхідність формування правил поведінки, відносин у так званому глобальному віртуальному чи кіберпросторі. Теорія інформаційної безпеки пов'язана з інформаційним правом та правовою інформатикою щодо правовідносин, ускладнених іноземним елементом (чинником). Щодо формування методик виявлення та розкриття злочинів, які вчиняються за допомогою сучасних інформаційних технологій, теорія інформаційної безпеки формує понятійний апарат такої інституції криміналістики, як криміналістична інформатика. При формуванні системи інформаційної безпеки виникає необхідність застосування методів інтеграції та агрегації складових системи як її підсистем, що можливо при адаптації до предметної сфери теорії алгоритмізації, моделювання, теорії систем тощо.

У контексті перспектив подальших розвідок у напрямі інформаційної безпеки особи, суспільства, держави, світового співтовариства слід зазначити, що: когнітивно-юридичний аналіз нормативно-правових актів у сфері суспільних відносин щодо інформаційної безпеки, з позицій накопичених наукових знань сьогодення, свідчить про те, що в суспільстві вже сформувалося усвідомлення необхідності формування умовно автономної інституції суспільних відносин — інформаційної безпеки: комплексної організації підтримки (збереження, охорони та захисту) життєво важливих прав особи (людини, громадянина), суспільства, держави, світового співтовариства щодо інформації (відомостей, даних, повідомлень, сигналів, знань). Проте рівень ентропії, який існує нині і знайшов відображення у прийнятих нормативно-правових актах у цій сфері суспільних відносин, об'єктивно не дав змоги сформувати їх зміст в обсязі, необхідному практиці. Щодо цього існує необхідність виділення в юридичній когнітології, семіотиці, герменевтиці права такої наукової інституції як герменевтика та когнітологія інформаційної безпеки. Для прикладу, досить звернути увагу на такий тавтологічний вираз як «забезпечення безпеки», що широко використовується не тільки на побутовому рівні, а й у нормативних актах.

Через інтеграцію інформаційного права та правової інформатики з адміністративним, цивільним, кримінальним правом та політологією має відображатися і державна інформаційна політика як складова державної політики національної безпеки. Остання повинна стати базисом для формування концепцій, доктрин, основ, засад, принципів державної політики безпеки особи, суспільства, держави, світового співтовариства у сфері інформаційних правовідносин на основі такого систематизованого законодавчого акта, як Кодекс України про інформацію. У протилежному випадку — при продовженні фрагментарного, ситуативного, хаотичного публічно-правового правотворення (у тому числі законотворення Парламентом нашої країни) можна ставити питання про формування такого соціального явища як загроза правовій безпеці особи (людини, громадянина) та суспільства.

Як узагальнення можна зазначити, що інформаційна безпека — це суспільні відносини щодо створення і підтримання на належному (бажаному, можливому) рівні життєдіяльності відповідної інформаційної системи, у тому числі підприємництва.

Підтримка інформаційної безпеки — це комплекс організаційних, правових та інженерно-технологічних заходів щодо збереження, охорони та захисту життєво важливих інтересів суб'єктів інформаційної діяльності, у тому числі підприємництва.

Особливість безпеки інформаційної діяльності полягає у запобіганні, протидії та подоланні природних (стихійних), техногенних і соціогенних (антропогенних) загроз, здатних порушити (чи припинити) життєдіяльність конкретного суб'єкта (людини, соціальних спільнот, суспільства, держави, світового співтовариства), у тому числі підприємництва.

Поняття та сутність інформаційної безпеки в умовах інформатизації України як соціального явища пропонуємо визначити так:

Інформаційна безпека в умовах інформатизації України (формування інформаційного суспільства, кіберцивілізації) – це суспільні відносини щодо створення та підтримання на усвідомленому, належному рівні функціонування відповідної автоматизованої (комп'ютеризованої) інформаційної системи (у тому числі систем телекомунікації); комплекс організаційних, правових та інженерно-технологічних (технічних і програмно-математичних) заходів щодо підтримки (охорони, захисту зберігання), запобігання та подолання природних, техногенних і соціогенних загроз, здатних порушити життєдіяльність конкретної соціотехнічної інформаційної системи.

Відповідно, зазначені формулювання можуть адаптуватися до конкретної (спеціальної) сфери суспільних відносин, у тому числі підприємницької діяльності.

СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ

1. Конституція України // Закони України. — К., 1997. -Т.10.

2. Про банки та банківську діяльність: Закон України від 20.03.1991 р.// Закони України.-К., 1996. -Т.1.

3. Про підприємства в Українi: Закон України від 27.03.1991 р.// Закони України. -К., 1996. -Т.1.

4. Про інформацію: Закон України від 02.10.1992 р. // Закони України. -К., 1996. Т.4.

5. Основі законодавства України про охорону здоров'я: Закон України від 19.11.1992 р. // Закони України. -К., 1996. -Т.4.

6. Про адвокатуру: Закон України від 19.12.1992 р. //Закони України. -К., 1996. -Т.4.

7. Про науково-технічну інформацію: Закон України від 25.06.1993 р. //Закони України. -К., 1996. -Т.5.

8. Про захист інформації в автоматизованих системах: Закон України від 5.07.1994 р. //Закони України. -К., 1997.- Т.7.

9. Біленчук П. Д., Романюк Б. В., Цимбалюк В. С. та ін. Комп'ютерна злочинність. Навчальний посібник.- Київ: Атіка, 2002.-240 с.

10. Близнюк І. Інформаційна безпека України та заходи її забезпечення //Науковий вісник Національної академії внутрішніх справ України. — 2003. — № 5. — C. 206-214

11. Братель О. Поняття та зміст доктрини інформаційної безпеки //Право України. — 2006. — № 5. — С.36-40

12. Бут В.В. Проблеми безпеки в інформаційній сфері — сутність понять та їх термінологічне тлумачення //Науковий вісник Національної академії внутрішніх справ України. — 2003. — № 5. — C. 225-232.

13. Вертузаєв М.С., Попов А.Ф. Проблеми боротьби зі злочинністю в сфері комп’ютерної інформації // Інформаційні технології та захист інформації. – 1998. – №1. – Ст. 4-14.

14. Вступ до інформаційної культури та інформаційного права: Монографія. — Ужгород, 2003. -240 с.

15. Гаврилов І. Розвиток інформаційного простору: нові можливості, нові загрози //Національна безпека і оборона. — 2001. — № 1. — C. 77-79

16. Гнатцов О. Політико-управлінські аспекти інформаційних ресурсів у системі забезпечення державної безпеки //Вісник Національної академії державного управління при Президентові України. — 2004. — № 3. — C. 485-492

17. Горбатюк О.М. Сучасний стан та проблеми інформаційної безпеки України на рубежі століть //Вісник Київського університету імені Т.Шевченка. — 1999. — Вип. 14: Міжнародні відносини. — C. 46-48

18. Гуцалюк М. Інформаційна безпека у сучасному суспільстві //Право України. — 2005. — № 7. — С.71-73.

19. Гуцалюк М. Інформаційна безпека України: нові загрози //Бизнес и безопасность. — 2003. — № 5. — C. 2-3

20. Інформатизація та відкритість влади як засоби демократизації суспільства. Зб. матеріалів «круглого столу» у Національному інституті стратегічних досліджень 17.12.2002 р. — 1С, 2003.

21. Інформаційна безпека України: проблеми та шляхи їх вирішення //Національна безпека і оборона. — 2001. — № 1. — C. 60-69

22. Інформаційна безпека України: сутність та проблеми // Стратегічна панорама. — 1998. — № 3-4.

23. Інформаційна безпека: проблеми боротьби зі злочинами у сфері використання комп'ютерних технологій: Монографія. — Запоріжжя, 2001. — 252 с

24. Інформаційне право та інформаційна безпека. — ЕС; Д., 2001.

25. Інформаційне право.- Навч.-метод. комплекс. -К., 1998.

26. Інформаційне суспільство. Дефініції. — К., 2002. — 220 с

27. Інформаційний простір України //Національна безпека і оборона. — 2001. — № 1. — C. 3-15

28. Капеев И. Р., Беляев А. В. Информационная безопасность предприятия. — СПб, 2003.

29. Карпенко В. Інформаційний простір і національна безпека України //Універсум. — 2002. — № 7-8. — C. 49-52

30. Катренко А. Особливості інформаційної безпеки за міжнародними стандартами //Альманах економічної безпеки. — 1999. — № 2. — C. 15-17

31. Ковтун В.С. Інформаційні технології — небезпечний засіб поширення тероризму //Безпека життєдіяльності. — 2006. — № 10. — C. 39-44

32. Комп'ютерна злочинність: Навч. посіб-ник. — К., 2002.

33. Лапо А. Гуманітарні та технічні чинники підвищення інформаційної безпеки //Вісник. — 2007. — № 2. — C. 130-133

34. Ліщинська О. Соціально-правові основи інформаційної безпеки: Програма навчального спецкурсу //Соціальна психологія. — 2007. — № 5. — C. 163-178.

35. Медвідь Ф. Інформаційна безпека України в контексті становлення стратегії національної безпеки держави //Юридичний Вісник України. — 2008. — № 43. — C. 11

36. Михайлюк В.А. Безпека інформаційної сфери — основа стійкого розвитку соціуму //Безпека життєдіяльності. — 2007. — № 6. — C. 15 -16.

37. Морозов О.Л. Інформаційна безпека в умовах сучасного стану і перспектив розвитку державності //Віче. — 2007. — № 12. — C. 23-25

38. Новые технологии электронного бизнеса и безопасности / Бабенко Л. К. и др. — М., 2001. -376 с.

39. Остроухов В. До проблеми забезпечення інформаційної безпеки України //Політичний менеджмент. — 2008. — № 4. — C. 135-141.

40. Попович В.М. Економіко-кримінологічна теорія детінізації економіки: Монографія. – Ірпінь: Академія державної податкової служби України, 2001. – 546 с.

41. Проблеми боротьби зі злочинами у сфері використання комп'ютерних технологій. Навч. посібник. — Запоріжжя, 2002. — 292 с

42. Сапєгін С. Ефективне управління паливним ринком потребує інформаційно-аналітичного забезпечення //Національна безпека і оборона. — 2006. — № 3. — C. 45-48

43. Система забезпечення інформаційної безпеки України //Національна безпека і оборона. — 2001. — № 1. — C. 16-28

44. Столбовський А. О. Нові інформаційні технології та економічна безпека України //Актуальні проблеми економіки. — 2004. — № 8. — C. 99 — 104.

45. Теплицький І. Інформаційна безпека як нова складова інформаційної культури //Рідна школа. — 2006. — № 2. — C. 63-64.

46. Хлевицький В. Інформаційна безпека як одна із основних складових національної безпеки України //Євроатлантикінформ. — 2006. — № 1. — C. 70-72

47. Цимбалюк В. Інформаційна безпека підприємницької діяльності: визначення сутності та змісту поняття за умов входження України до інформаційного суспільства (глобальні кіберцивілізації) //Підприємництво, господарство і право. — 2004. — № 3. — C. 88-91

48. Цимбалюк В. С. Категорія «безпека» у новому Кримінальному кодексі України // Новий Кримінальний кодекс України: питання застосування і вивчення. Матеріали міжнар. паук.-практ. конф. 25-26 жовтня 2001 р. — X.; К., 2002. — С 167-170

49. Чубарук Т. Прорблеми законодавчого забезпечення інформаційної безпеки в Україні //Право України. — 2007 . — № 9 . — С. 67 – 69

50. Шилан Н.Н., Кривонос Ю.М., Бирюков М.Г. Компьютерные преступления и проблемы защиты информации: Учебное пособие. – Луганск, 1999.

51. Щербина В. М. Інформаційне забезпечення економічної безпеки підприємств та установ //Актуальні проблеми економіки. — 2006. — № 10. — C. 220 — 225.