Способи і засоби захисту конфіденційності інформації на підприємстві

Згідно Господарського кодексу України, неправомірним збиранням відомостей, що становлять комерційну таємницю, вважається добування протиправним способом зазначених відомостей, якщо це завдало чи могло завдати шкоди суб’єкту господарювання. Неправомірним використанням комерційної таємниці є впровадження у виробництво або врахування під час планування чи здійснення підприємницької діяльності без дозволу уповноваженої на те особи неправомірно здобутих відомостей, що становлять відповідно до закону комерційну таємницю [18].

Розголошенням комерційної таємниці є ознайомлення іншої особи без згоди особи, уповноваженої на те, з відомостями, що відповідно до закону становлять комерційну таємницю, особою, якій ці відомості були довірені у встановленому порядку або стали відомі у зв’язку з виконанням службових обов’язків, якщо це завдало чи могло завдати шкоди суб’єкту господарювання. Схилянням до розголошення комерційної таємниці є спонукання особи до її розкриття.

За неправомірне збирання, розголошення або використання відомостей, що є комерційною таємницею, винні особи несуть відповідальність, встановлену законом.

Особа, яка протиправно використовує комерційну інформацію, що належить суб’єкту господарювання, зобов’язана відшкодувати завдані йому такими діями збитки відповідно до закону. Особа, яка самостійно і добросовісно одержала інформацію, що є комерційною таємницею, має право використовувати цю інформацію на свій розсуд.

Для збереження конфіденційності інформації необхідно визначити потенційні канали втрати інформації, які можна виділити в групи:

- документи, які містять таку інформацію;

- персонал, який має доступ до інформації;

- технічні засоби та системи обробки інформації, в тому числі і лінії зв’язку

Документи, які містять інформацію, як канал її втрати

Як правило, найбільш цінна інформація задокументована, так як згідно законодавству більшість юридичних документів повинно бути складено в письмовій формі, скріплено підписом та печаткою. Неохайне ставлення до документації може привести до втрати цінних відомостей

Секретні відомості можуть попасти до сторонніх осіб в результаті тиражування документів, інформаційних публікацій, реклами, виставочних матеріалів, заявок на винаходи, матеріали, які надаються партнерам по сумісній діяльності. Тут виникає конфлікт між бажанням використання в рекламних цілях найбільш ефективних даних, які відносяться до конфіденційної інформації. На практиці використовують достатньо ефективне правило, яке заважає збору секретної інформації про підприємство. Його сутність в тому, що будь-яку інформацію, яка може бути використана конкурентами, необхідно як найбільше розбивати по авторам, у часі, публікаціям і т.д.

Головним каналом втрати інформації є персонал підприємства.

Недобросовісні робітники, які мають постійний доступ до різної документації підприємства можуть навмисно або ненавмисно, в наслідок недбалості, розкрити секретну інформацію стороннім особам і нанести значні збитки інтересам підприємства. У мотиваційній основі таких вчинків лежить користь (одержання значної суми грошей) чи помста, наприклад, з боку звільненого працівника, що мав доступ до підприємницької інформації.

Несанкціонований доступ до секретної інформації в останній час почав здійснюватись за допомогою технічних засобів. “Збирання” конфіденційної інформації може здійснюватися простим підключенням до телефонної або комп’ютерної мережі, перехопленням радіо відомостей, установленням радіо мікрофонів, використанням лазерної техніки для прочитання коливань віконного скла і т.п. Якщо виходити з закордонного досвіду, то з хвилею комп'ютерних злочинів, поки для нас нових і, не в повному обсязі, поки урегульованих на законодавчому рівні, нам доведеться зштовхнутися в недалекому майбутньому. Суб'єктами цих злочинів, як правило, є високоосвічені фахівці, що мають доступ до секретних програм, шифрів, кодів. У банківських системах, наприклад, відбувається шахрайство (знімаються гроші з рахунків клієнтів вигаданою особою, займаються спекуляцією, використовуючи банківський капітал, на валютних біржах, оплачують власні рахунки і т.д.). Розвитку даного виду злочинів сприяє також і те, що фірми і банки не прагнуть оголошувати факти комп'ютерних крадіжок, щоб не віджахнути клієнтів. Злочинці, знаючи таке положення, шантажують власників банків, загрожують розкрити секретні коди і шифри, що може спричинити мільйони витрат для їх заміни. Тільки на розслідування державними, та приватними службами комп'ютерних помилок банків приходиться витрачати близько 20 млрд. доларів у рік.

Спеціальні заходи, що здійснюються при захисті інформації, можна підрозділити на зовнішні і внутрішні.

До зовнішніх заходів відносяться наступні.

Вивчення партнерів, клієнтів, з якими приходиться вести господарську, комерційну діяльність, збирати інформацію про їх надійність, платоспроможність і інші дані. При необхідності вивчаються зв'язки робітників підприємства з сторонніми особами: з'ясовуються особи, що виявляють інтерес до підприємства, його діяльності, робітників, чи не відносяться вони до конкуруючого фірми чи до злочинної групи. У випадку встановлення, що ці особи допустили які-небудь протизаконні дії, необхідно інформувати відповідний правоохоронний орган. Тим самим припиняється злочинна діяльність. По можливості бажано установити, у чому суть цього інтересу і кому знадобилася та чи інша інформація. Чи не повториться він у майбутньому, тобто що можна чекати від конкурента (не виключено і злочинних елементів).

До внутрішнього механізму захисту комерційної таємниці можна віднести такі заходи:

1. Підбор, перевірка осіб, що бажають влаштуватися на роботу на підприємство. Вивчаються їх анкетні дані, характеристика за місцем проживання і колишньої роботи, особисті і ділові якості, позитивні і негативні сторони досліджуваної особи, міжособистісні відносини. Чи знаходився в конфлікті з законом (судимість, адміністративні затримки, зв'язок зі злочинним світом). У ході аналізу зібраних матеріалів з'ясовується, чи немає яких-небудь у них протиріч. Додатково може проводитися тестування особи для з'ясування моральних чи інших якостей. Звертається увага на можливу роботу в конкуруючій фірмі і причини звільнення. Після цього робиться висновок про придатність кандидата до роботи в даній фірмі. На цьому етапі вивчення співробітника інтерес до нього не закінчується. Періодично в залежності від поводження продовжують вивчатися і аналізуватися його вчинки, що торкаються інтересів (секретів) фірми. Не виключено, що конкурент може спеціально направити своїх людей для влаштування на роботу в цікавляче його підприємство з метою одержання про нього цінних відомостей.

2. Щоб запобігти втрати інформації з ініціативи самих робітників, доцільно звертати увагу на осіб, що у процесі господарської чи іншої діяльності виявляють необґрунтовану цікавість до інформаційних сховищ, передбачуваним угодам і партнерам. При виникненні серйозних підозр про несумлінність співробітника стосовно фірми, переважніше з ним розстатися.

3. Комп'ютеризація підприємницьких структур, накопичення з її допомогою різної інформації залучає як конкурентів, так і злочинців. Найчастіше особи, що бажають скористатися цією інформацією, знаходяться серед обслуговуючого персоналу, а це вже проблема внутрішньої безпеки. Задача служби безпеки вчасно виявити серед обслуговуючого персоналу тих співробітників, що виношують намір використовувати наявні в їх розпорядженні відомості для продажу іншим особам чи використовувати у своїх особистих цілях для одержання вигоди.

4. Підприємства, що володіють цінною інформацією, повинні зберігати її в спеціальних вогнетривких шафах чи сейфах, не допускати втрати ключів від них чи передачі на збереження іншим особам, навіть з числа особливо довірених.

Закордонні фірми, наприклад, використовують для збереження секретної інформації сейфи (шафи), що відкриваються за допомогою спеціальної магнітної карти чи інших складних сигнальних електронних пристроїв. Слід зазначити, що і ця міра значно затрудняє до них доступ. Особливо при наявності комплексу захисних (фізичних і технічних) мір будинку, де розташований сейф, інше сховище.

5. Регламентувати перелік відомостей, які віднесені до комерційної таємниці підприємства. Розробити систему контролю за технічними засобами копіювання та розмноження документів

6. Розробити систему обліку та охорони нових матеріалів та продукції. Встановити порядок захисту комерційної таємниці в засобах зв’язку та обчислювальної техніки. Використовувати шифратори, засоби викриття підслуховую чого обладнання та створення йому перешкод і т.д.

7. Контроль за відвідувачами підприємства, охорона території. Розробити систему мотивації та навчання робітників підприємства способам захисту комерційної таємниці

8. Встановити порядок діловодства з документами, які містять комерційну таємницю

Здійснення спеціальних внутрішніх і зовнішніх мір захисту цінних інформаційних систем повинний спиратися на спеціально підготовлених спеціалістів. У цьому зв'язку, підприємцю доцільно звертатися по допомогу до приватних детективних фірм, що спеціалізується на розшуку й охороні власності. Можуть створюватися і власні служби безпеки. Тут підприємець сам вирішує, що йому вигідніше: миритися з втратами інформації чи залучати приватні служби безпеки до її захисту.

Великі закордонні і заможні фірми вводять у свій штат додаткову посаду - співробітника, що займається протидією розкраданню коштовної інформації. Інші ж фірми постійно чи періодично користуються послугами приватних служб, що спеціалізуються на розшуку й охороні. Штатна чисельність цих служб нараховує десятки тисяч співробітників.

Підводячи підсумки, слід зазначити, що міри захисту залежать від тих способів і прийомів, що застосовують викрадачі. Використання для захисту секретів підприємства самих складних електронних пристроїв дозволяє тільки стримувати їх втрату, але не зупиняти цей вид діяльності, що широко одержав у світовій практиці назву промислове (комерційне) шпигунство. В економічній літературі, що досліджує розвиток підприємницької діяльності, звертається увага на підтримку етики чесної комерційної діяльності. У ході ж конкурентної боротьби як невід'ємного елемента ринкового господарювання використання промислового шпигунства не можна віднести до етичних видів ділових взаємин підприємців. Однак ринково - конкурентна діяльність немислима, як показує закордонна практика, без економічного, виробничого, науково-технічного й іншого видів шпигунства. Самий сприятливий суспільно-економічний клімат для розвитку підприємництва не зможе запобігти банкрутству, якщо в результаті вдалої шпигунської акції будуть викрадені секретні для підприємства (компанії) відомості. Шпигунство - це тінь ринково - конкурентної діяльності, двигун для одних фірм і гальмо для інших.

Але може бути, що незважаючи на всі прийняти заходи якась конфіденційна інформація все одно втрачається. Тому підприємство повинно мати систему санкцій впливу на винних в порушені законодавства про захист комерційної таємниці. До них відносяться: штрафні санкції та використання різних форм карної відповідальності за дії, переслідувані за законом (шахрайство, саботаж, ушкодження ЕОМ); відшкодування фактичних збитків та судових виплат; знищення документів, які безпосередньо містять комерційну таємницю або технічних засобів, які були використані для нелегального одержання цих документів; звільнення з роботи робітників, які винні у втраті конфіденційних відомостей.