4. Робота з інформацією. Поняття про конфіденційну інформацію. Технології захисту конфіденційної інформації.

Ступінь закритості інформації визначається можливим збитком від її розголошення

Проблема пошуку і збору необхідної зовнішньої інформації пов'язана, в першу чергу, із доступністю інформації, тобто з умовами і витратами на одержання тих чи інших відомостей. Ця проблема виникає найчастіше при необхідності збору інформації про конкурентів. Кожна організація, що працює в умовах ринку (читай - і умовах конкуренції), провадить власну розвідку, регулює ступінь відкритості/закритості інформації про свої цілі, плани, умови і результати своєї діяльності. Забезпечується таке регулювання організаційними заходами відкритої і закритої інформації.

Класифікація інформації за ступенем її секретності:

• особливо важлива;

• цілком темна (суворо конфіденційна);

• секретна (конфіденційна);

• для службового користування (не для друку, розсилається за списком);

• несекретна (відкрита).

Ступінь конфіденційності відомостей що складають комерційну таємницю підприємства визначається керівництвом цього підприємства і може бути три-, дво- або однорівнева: суворо конфіденційна, конфіденційна, комерційна таємниця або комерційна таємниця, для службового користування.

Звичайно за ступенем закритості управлінську інформацію підрозділяють на відкриту, службову, конфіденційну й інформацію, що складає комерційну таємницю.

Комерційна таємниця 5%

Конфіденційна інформація 10%

Службова інформація 15%

Відкрита інформація 70%

Якщо конкурент виявить бажання одержа­ти інформацію про ваші таємниці, йому необхідно буде виконати деякі дії, що порушують ваші законні права як підприємця і гро­мадянина. При цьому, якщо в діях конкурента будуть виявлені еле­менти оперативно-розшукової діяльності (Закон України "Про оперативно-розшукову діяльність" від 18 лютого 1992 р., де в ст. 5 вказано, що займатися оперативно-розшуковою діяльністю мають право тільки окремі підрозділи правоохоронних органів), тоді його дії можна характеризувати, як заборонений вид діяльності. Кримі­нальний кодекс України передбачає певну оцінку таких дій:

Стаття 182. Порушення недоторканості приватного життя.

Стаття 231. Незаконне збирання з метою використання або ви­користання відомостей, що становлять комерційну таємницю.

Стаття 232. Розголошення комерційної таємниці.

Стаття 359. Незаконне використання спеціальних технічних засобів негласного отримання інформації.

Стаття 362. Викрадення, привласнення, вимагання комп'ю­терної інформації або заволодіння нею шляхом шахрайства чи зло­вживання службовим становищем.

Таким чином, формальний бік справи можна вважати закри­тим (тобто для підприємців є певні права та обов'язки, гарантовані законодавством).

Аналіз зовнішньої інформації

Причиною багатьох катастроф було не нехтування інформацією, а помилкове її розуміння.

Відповідальною операцією є аналіз інформації, що служить додатковим фільтром, який відкидає непотрібну інформацію. Ця операція полягає у визначенні важливості, вірогідності і значимості інформації, а також перевірці інформації на помилковість.

Важливість (корисність) інформації залежить від того, наскільки вона пов'язана зі сферою діяльності х галізації і створює вигідні умови для ухвалення оперативного рішення. Корисність інформації значною мі­рно залежить від своєчасності її надходження і вірогідності.

Вірогідність (надійність) інформації - об'єктивність і правдивість представлених відомостей. Вірогід­ність інформації можна оцінити за ступенем відповідності її реальному, фактичному стану справ. Зробити це не. завжди легко. Необхідне зазначення джерела, методів збору, обліку й обробки, каналів передачі. Вірогідність інформації прямо пов'язана з корисністю (чи шкідливістю, неповно­цінністю її). Звичайно використовують два критерії визначення вірогідності інформації: оцінка надійності джерела інформації й оцінка надійності самої інформації.

Фахівці рекомендують дуже ретельно підходити до оцінки надійності джерела інформації і пропонують оцінювати його за такими градаціями: "цілком надійне" - "досить надійне" - "не завжди надійне" --ненадійне" - "надійність неможливо визначити".

Оцінка надійності самої інформації також повинна бути скрупульозною. Звичайно надійність інформації класифікують так: "підтверджено іншими джерелами" - "імовірно, відповідає дійсності" - "можливо, відпові­де дійсності" - "сумнівна" - "неймовірна" - "вірогідність не підлягає визначенню".

Причинами виникнення недостовірної інформації найчастіше є: неправильне сприйняття її одержувачем помилкове сприйняття, нестача досвіду або знань) чи навмисне, з визначеною метою, перекручування відомо­стей джерелом (відправником) інформації.

Головним критерієм правдоподібності інформації є підтвердження її з інших джерел інформації, яканні можливо, незалежних.

Інформацію можна вважати достовірною, якщо вона надійшла від стороннього (незацікавленого) джерела.

Значимість інформації. Інформація може бути важливою і точною і в той же час некорисною, оск^; вона неповна і недостатня для розуміння й адекватних дій. її не слід відкидати, а спробувати співвіднести іншою інформацією, щоб визначити її значимість.

Неправдива інформація (дезінформація) - це неточні, неповні, перекручені знання, відомості, повідомлення, що формують у свідомості людини неправильні представлення про дійсність.

Помилкова інформація може виникнути стихійно, а може створюватися навмисно. Все мистецтво брехні полягає у створенні інформації, яка повинна бути близькою до реального стану справ (правдоподібна) і в той же час повинна містити щось віддалене, що не відповідає дійсності, щоб ввести адресата в оману.

ВВМ. За ступенем відповідності повідомлень дійсності помилкова інформація може існувати у вигляді:

• неправди - виражень, висловлень, в основі яких лежить помилка чи неповне знання того, що не ві_ відає дійсності;

• брехні - свідомого перекручування істини, яку насправді знають;

• обману - напівправди, що може провокувати сприймаючу її людину на помилкові висновки, які ються на достовірних фактах.

Ніщо ніде не повинно валятись!

Правила поширення інформації повинні забезпечувати, з одного боку, надання тільки необхідної для ви­конання відповідних функцій інформації, з іншого боку - не відмовляти в необхідній інформації тим, кому вона потрібна.

Зберігати свій секрет мудро, але чекати, що його будуть зберігати інші, - нерозумно.

С.Джонсон

При розробці інформаційних структур організації варто передбачити ефективний доступ до інформації й водночас її надійний захист.

Перш ніж розробляти систему заходів для захисту інформації, варто одержати відповіді на такі питання:

• які відомості не можна ховати, захищати від доступу до них (від кого?);

• які відомості невигідно ховати (чому?);

• які відомості підлягають охороні (ким і від кого?).

Відомості, які не можна захищати від доступу до них. Відповідь на це питання дає постанова Кабінету Міністрів України про перелік відомостей, що не можуть складати комерційну таємницю. Претендувати на ознайомлення з цими відомостями можуть у межах своєї компетенції: прокурор, у випадках, передбачених законом; правоохоронні органи при порушенні кримінальної справи; податкові служби; аудиторські організації (на прохання власників фірм); профспілки; державні установи; екологічні організації; підприємства і приватні особи, що вступають в угоду.

Відомості, які невигідно приховувати самій організації. Насамперед, це рекламна інформація. Однак її поширення має не тільки позитивний, але і негативний бік, оскільки вона допомагає злочинцям вийти на об'єкт майбутнього зазіхання. Реклама також істотно полегшує роботу конкурентів по вивченню супротивника.

Охороні підлягають відомості, що являють собою господарську, комерційну цінність, розголошення яких може завдати шкоди інтересам підприємства, і на них не поширюється законний доступ третіх осіб. Захи­сту підлягає не вся інформація, а тільки та, котра являє цінність для підприємства. При визначенні цінності інформації критерієм служить такий показник, як корисність даних і відомостей.

Громадяни, юридичні особи, які володі­ють інформацією професійного, ділового, виробничого, банківського, комерційного та іншого характеру, одержаною на власні кошти, або такою, яка є предметом їхнього професійного, діло­вого, виробничого, банківського, комерційного та іншого інтересу і не порушує передбаченої законом таємниці, самостійно визнача­ють режим доступу до неї, систему (способи) захисту .

Виняток становить інформація комерційного га банківського характеру, а також інформація, правовий режим якої встановлено Верховною Радою України за поданням Кабінету Міністрів Украї­ни (з питань статистики, екології, банківських операцій, податків тощо) та інформація, приховування якої є загрозою життю та здоров'ю людей.

До таємної інформації належить інформація, що містить відо­мості, які становлять державну або іншу передбачену законом таємницю, розголошення якої завдає шкоди особі, суспільству і державі.

Віднесення інформації до категорії таємних відомостей, які становлять державну таємницю, і доступ до неї громадян здійсню­ється відповідно до Закону „Про інформацію".

Закон України "Про підприємництво в Україні" від 27 березня 1991 р. ст. 30 визначає: "1. Під комерційною таємницею підприємства вважаються відомості, пов'язані з виробництвом, технічною інформацією, керуванням фінансами та іншою діяль­ністю підприємства, які не е державною таємницею, розголошення (передача, виток) якої може нанести шкоду його інтересам. 2. Склад та об'єм відомостей, які складають комерційну таємницю, порядок її захисту, визначається керівництвом підприємства. Ві­домості, які не можуть бути віднесені до комерційної таємниці визначаються Кабінетом Міністрів України. 3. Відповідальність за розголошення відомостей, які віднесені до комерційної таєм­ниці підприємства, та порядок охорони таких відомостей визна­чається законодавчими актами України".

Кабінет Міністрів України в своїй постанові № 611 від 9 серпня 1993 р. "Про перелік відомостей, які не відносяться до комерційної таємниці" визначив такі відомості:

• установчі документи, документи, які дозволяють займатися підприємницькою, чи господарською діяльністю, чи їх окре­мими видами;

• інформація про всі встановлені форми державної звітності;

• відомості, необхідні для перевірки нарахувань, чи виплат податків, чи інших обов'язкових платежів;

• відомості про чисельність і склад працівників, їх заробітної плати, як в цілому, так і за професіями та посадами, а також наявність вільних робочих місць;

• документи про сплату податків та інших обов'язкових пла­тежів;

• інформація про забруднення довкілля, невиконання правил безпеки праці, реалізації продукції, яка спричиняє шкоду здоров'ю, а також про інші порушення законодавства Укра­їни та розміри заподіяної шкоди;

• документ й про платоспроможність;

• відомості про участь посадових осіб підприємства в інших підприємствах, об'єднаннях та інших організаціях, які зай­маються підприємницькою діяльністю;

• відомості, які згідно з діючим законодавством підлягають оголошенню.

Конфіденційна інформація — інформація про фізичну особу (персональні дані) або юридичну особу, доступ та поширення якої можливі лише за згодою її власників (тобто тих, кого ця інформація безпосередньо стосується) та на тих умовах, які вони вкажуть. Відповідно до Ст. 21 ЗУ "Про інформацію" конфіденційна інформація разом із службовою та таємною інформацією належить до інформації з обмеженим доступом.

До конфіденційної інформації про фізичну особу належать, зокрема, дані про її національність, освіту, сімейний стан, релігійні переконання, стан здоров'я, а також адреса, дата і місце народження. Не допускаються збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та захисту прав людини.

Відповідно до Ст. 10 ЗУ "Про доступ до публічної інформації" кожному забезпечується вільний доступ до інформації, яка стосується його особисто. Крім того, кожна особа має право:

знати у період збирання інформації, але до початку її використання, які відомості про неї та з якою метою збираються,

як, ким і з якою метою вони використовуються, передаються чи поширюються;

вимагати виправлення неточної, неповної, застарілої інформації про себе, знищення інформації про себе, збирання,

використання чи зберігання якої здійснюється з порушенням вимог закону.

Розпорядник інформації про особу, тобто той, хто цю інформацію збирає, зберігає і використовує, зобов'язаний:

надавати її безперешкодно і безкоштовно на вимогу осіб, яких вона стосується;

використовувати її лише з метою та у спосіб, визначений законом;

вживати заходів щодо унеможливлення несанкціонованого доступу до неї інших осіб;

виправляти неточну та застарілу інформацію про особу самостійно або на вимогу осіб, яких вона стосується.

Зберігання інформації про особу не повинно тривати довше, ніж це необхідно для досягнення мети, задля якої ця інформація збиралася.

Конфіденційна інформація юридичної особи

Інформація, яка міститься в договорах, контрактах, листах, звітах, аналітичних матеріалах, виписках з бухгалтерських рахунків, схемах, графіках, специфікаціях і інших документах, що фігурують в діяльності юридичної особи. Розголошення даних, що містяться в таких документах, може бути використано конкурентами і , відповідно, завдати економічної та іншої шкоди юридичній особі.

Звичайно до комерційної таємниці належать такі дані і відомості:

• кількісні показники випуску товарів (послуг);

• форми і методи збуту товарів і послуг;

• продуктивність праці і витрати виробництва;

• технологія виробництва і її модифікація;

• цінова і збутова політика;

• порівняльні характеристики власного асортименту і товарів конкурентів;

• виробничі, комерційні і фінансово-кредитні відносини з партнерами;

• плани організації по розширенню, зміні, диверсифікації чи згортанню виробництва;

• факти ведення комерційних переговорів;

• результати і плани науково-дослідних і дослідно-конструкторських робіт;

• перспективні методи управління;

• відомості, які можуть бути використані, щоб зашкодити репутації організації;

• відомості про плинність кадрів, про провідних спеціалістів, про співробітників, що працюють за сумісництвом в інших організаціях;

• відомості про наявність сил, можливостей і умов для захисту комерційної таємниці.

• рівень реальної заробітної плати провідних спеціалістів;

• документи, що відображають стратегічне і тактичне плану­вання діяльності фірми (заплановані зміни в асортименті, цінах, постачальниках, клієнтах і т. ін.);

• документи про спеціальні особливості реалізованої продукції, якщо такі є;

• документи, що характеризують співробітників фірми з того чи іншого боку.

Захист інформації - це комплекс заходів, які проводить власник інформації, по огородженню своїх прав га володіння та розпорядження інформацією, створенню умов, які обмежують її розповсюдження та виключає або суттєво ускладнює несанкціонований, незаконний доступ до засекреченої інформації та її носіям.

Захист інформації — це діяльність власника інформації або уповноваженої ним особи по:

• забезпеченню своїх прав на володіння, розпорядження та управління захищаємою інформацією;

• попередження витоку чи втрати інформації;

• збереженню повноти, достовірності, цілісності захищаємої інформації, її масивів та програм обробки;

• збереженню конфіденційності або таємності захищаємої інформації у відповідності із правилами, встановленими законодавчими чи іншими нормативним актами.

Однак сьогодні інформація має вже не таку "убойну" силу, і задача збереження її в таємниці втратила свою актуальність. Зараз головні умови безпеки інформації - її доступність й цілісність.

Доступність - будь-який файл або ресурс системи повинен бути доступний в будь-який час (при виконанні прав доступу). Якщо якийсь ресурс недоступний, то він безкорисний.

Цілісність - друга задача захисту - забезпечує незмінність інформації під час її зберігання або передачі.

Принцип сучасного захисту інформації можна виразити як - пошук оптимального співвідношення між доступністю та безпекою.

Таким чином, під захищеною інформацією розуміють відомості, на розповсюдження яких введені обмеження їх власником.

Захищена інформація має відмінні риси:

• втаємничують інформацію, тобто обмежувати до неї доступ, може тільки її власник або уповноважені ним на те особи;

• чим важливіша для власника інформація, тим краще він її захищатиме. А для того щоб всі хто зустрічався з цією захищеною інформацією, знали, що одну інформацію потрібно зберігати більш сильно, ніж іншу, власник для неї має різні ступені секретності;

• інформація, яку захищають повинна приносити певну користь її власнику і виправдовувати витрачені на її захист силу та засоби.

Об'єктами захисту інформації виступають:

• документи,

• програми ЕОМ»

• ноу-хау,

• бази даних,

• тексти, на яких зафіксована інформація,

• документами.

В органах державної влади, органах місцевого самоврядування, на підприємствах, в установах і організаціях із значним обсягом робіт, пов'язаних з державною таємницею, вводиться посада заступника керівника з питань режиму, на якого покладаються обов'язки та права керівника режимно-секретні органи РСО.

Допуск громадян до державної таємниці.

Залежно від ступеня секретності інформації встановлюються такі форми допуску до державної таємниці:

форма 1 - для роботи з секретною інформацією, що має ступені секретності "особливої важливості", "цілком таємно" та "таємно";

форма 2 - для роботи з секретною інформацією, що має ступені секретності "цілком таємно" та "таємно";

форма 3 - для роботи з секретною інформацією, що має ступінь секретності "таємно",

а також такі терміни дії допусків:

для форми 1 - 5 років;

для форми 2 - 10 років;

для форми 3 - 15 років.

Допуск до державної таємниці із ступенями секретності "особливої важливості", "цілком таємно" та "таємно" надається дієздатним громадянам України віком від 18 років, які потребують його за умовами своєї службової, виробничої, наукової чи науково-дослідної діяльності або навчання, наказом чи письмовим розпорядженням керівника органу державної влади, органу місцевого самоврядування, підприємства, установи або організації, де працює, перебуває на службі чи навчається громадянин.