Інформаційна безпека і персонал
Вступ
Інформаційні системи в сучасних умовах перетворюються на інструмент підвищення ефективності управління і створення нових конкурентних переваг і тому займають не останнє місце у всіх галузях бізнесу. Багато технологічних процесів виробництва більш менш автоматизовані або знаходяться в процесі автоматизації. Невід’ємною частиною будь-якої організації становляться інформаційні системи, що забезпечують управління виробництвом, фінансами, персоналом, документами і т. д. Все більше критично важливої для підприємства інформації зберігається і обробляється в комп’ютерних системах. Разом з цим поступово підвищується і складність інформаційних систем, що само стає фактором небезпеки.
Дослідження довели, що у процесі безсистемного розвитку інформаційні системи перестають забезпечувати необхідний рівень продуктивності, в цілому не функціонують як єдиний комплекс, оскільки не всі додатки інтегровані, оперативність внесення змін і реалізація нових функцій, що відбивають зміну вимог, значно нижчі за критичну, відсутня єдина система інформаційної безпеки.
Таким чином, однією з найбільш серйозних проблем, що ускладнюють розвиток інформаційної системи організації, є забезпечення інформаційної безпеки. До недавнього часу саме поняття інформаційної безпеки асоціювалося виключно з режимними державними підприємствами, проте експансивний характер автоматизації приватного бізнесу, введення поняття «Комерційна таємниця» і жорстка конкуренція у сфері виробництва примушують керівників підприємств різного масштабу все більше замислюватися над забезпеченням безпечної експлуатації інформаційних ресурсів в умовах їхнього розвитку.
1. Система інформаційної безпеки підприємства та персонал
Основою побудови комплексу інформаційної безпеки підприємства є виявлення суб’єктів інформаційних відносин і їх інтересів, пов’язаних із використанням інформаційних систем. Залежно від категорій суб’єктів вимоги до інформаційної безпеки можуть істотно розрізнятися. Як приклад подібних відмінностей можна навести режимні підприємства Міністерства оборони і навчальні заклади. Крім того, інформаційна безпека не обмежується виключно захистом інформації, вона представляє ширше поняття.
В системі інформаційної безпеки підприємства можна виділити три рівні: адміністративний, процедурний і програмно-технічний [3]. Для побудови захищеної інформаційної системи необхідно опрацювати всі аспекти інформаційної безпеки на всіх її рівнях.
На адміністративному рівні необхідним є створення концепції інформаційної безпеки. Після ознайомлення з правовим і інформаційним полем безпеки керівникові необхідно приступити до створення документа, що є концепцією або політикою інформаційної безпеки підприємства. Під політикою безпеки розуміється сукупність документованих управлінських рішень, направлених на захист інформації і асоційованих з нею ресурсів.
Політика безпеки визначає стратегію організації у сфері інформаційної безпеки, а також ту міру уваги і кількість ресурсів, які керівництво вважає за доцільне виділити.
Розробка політики інформаційної безпеки − питання зовсім не тривіальне. Від ретельності її опрацьовування залежатиме дієвість решти всіх рівнів забезпечення інформаційної безпеки − процедурного і програмно-технічного. Складність розробки цього документа визначається проблематичністю використання чужого досвіду, оскільки політика безпеки ґрунтується на виробничих ресурсах і функціональних залежностях даного підприємства. Крім того, Україна як держава не має подібного типового документа.
Обов’язки співробітників:
- строго дотримуватися вимог установленого на підприємстві порядку захисту комерційної таємниці;
- дбайливо ставитися до носіїв інформації, що містять комерційну таємницю (документам, рукописам, кресленням, дискетам, і т.п.)
Виділяються такі групи заходів, направлених на забезпечення інформаційної безпеки:
- управління персоналом;
- фізичний захист;
- підтримка працездатності;
- реагування на порушення режиму безпеки;
- планування відновних робіт.
На цьому рівні мають бути визначені конкретні заходи і способи підвищення інформаційної безпеки, закріплені у вказівках, посадових інструкціях. Користувачі інформаційних ресурсів підприємства мають проходити необхідне навчання, інструктаж. Відповідальність за порушення режиму інформаційної безпеки має бути строго регламентована і відома користувачам систем.
2. Оформлення допуску персоналу до комерційної таємниці
По оцінках українських і закордонних фахівців головним джерелом витоку конфіденційної інформації, є персонал підприємства. Причому дії його, у переважній більшості випадків, носять свідомий характер. Вони можуть бути обумовлені, наприклад, бажанням помститися за несправедливість із боку керівництва, корисливими мотивами.
Тому для підприємства дуже важливо зафіксувати індивідуальну відповідальність співробітників за довірену їм комерційну таємницю. Здійснюється це шляхом оформлення допуску до комерційної таємниці при прийомі на роботу або переведенні на відповідну посаду.
Усвідомлення співробітником можливості покарання за розголошення комерційної таємниці відіграє важливу роль у профілактиці, її витоку.
В основу системи допуску можуть бути покладені відповідні положення Закону «Про державну таємницю» N 3855 від 21 січня 1994 року, адаптовані до завдань захисти комерційної таємниці.
Нижче наводяться визначення допуску й доступу до державної таємниці, сформульовані в ст. 1 «Визначення термінів» зазначеного Закону:
- допуск до державної таємниці — оформлення права громадянина на доступ до секретної інформації;
- доступ до державної таємниці — надання уповноваженою посадовою особою дозволу громадянинові на ознайомлення з конкретною секретною інформацією й здійснення діяльності, пов’язаної з державною таємницею, цією посадовою особою відповідно до її службових повноважень.
Таким чином, під допуском до комерційної таємниці треба розуміти письмове розпорядження керівника підприємства, що дає конкретному співробітнику право на ознайомлення або роботу з інформацією, яка становить комерційну таємницю.
Відомості, які складають комерційну таємницю, можуть бути диференційовані підприємством за ступенем важливості, із присвоєнням відповідного грифу. Наприклад:
- комерційна таємниця — конфіденційно (КТ-К);
- комерційна таємниця — строго конфіденційно (КТ-СК);
- комерційна таємниця — особливої важливості (КТ-ОВ).
У цьому випадку в допуску необхідно вказувати рівень конфіденційної інформації, з якою може знайомитись або працювати співробітник.
Надання допуску передбачає:
- визначення потреби співробітника в конфіденційній інформації, при виконанні ним службових обов’язків;
- перевірку співробітника у зв’язку з допуском до комерційної таємниці;
- ознайомлення співробітника з мірою відповідальності за порушення законодавства про незаконний збір, використання або розголошення комерційної таємниці;
- оформлення письмового зобов’язання про нерозголошення комерційної таємниці, яка буде йому довірена.
При перевірці співробітника на допуск необхідно враховувати:
- досягнення ним дієздатного віку 18 років;
- наявність судимості за злочини, які пов’язані, насамперед, з розголошенням державної або комерційної таємниці, а також у фінансово-господарській сфері;
- наявність психічних захворювань, схильність до вживання алкоголю й наркотиків;
- факти надання в процесі підготовки матеріалів для оформлення допуску недостовірних відомостей про себе;
- наявність підозрілих зв’язків із співробітниками конкуруючих фірм.
Комплекс використовуваних підприємством перевірочних заходів не повинен порушувати прав і свобод громадянина.
З метою визначення правдивості надаваних співробітником або кандидатом на роботу відомостей все частіше застосовуються тестові методики й поліграфи. Останні демонструють гарні результати й для їхнього застосування немає перешкод у чинному законодавстві України. Перевірка на поліграфі повинна провадитися за згодою співробітника, а її результати повинні бути доведені до його відома.
Згода співробітника прийняти на себе зобов’язання про нерозголошення комерційної таємниці оформляється письмовим зобов’язанням про її нерозголошення.
У той же час, співробітник, що має допуск може бути позбавлений його у зв’язку із грубими порушеннями встановленого порядку захисту комерційної таємниці, на підставі обставин, що відкрилися і які були приховані ним раніше при оформленні допуску, а також у зв’язку з переведенням на іншу роботу, де такий допуск не потрібен.
У випадку звільнення співробітника, допущеного до комерційної таємниці, від нього відбирається попередження — зобов’язання про нерозголошення комерційних секретів підприємства, які стали йому відомі в процесі роботи.
Ціль відбору такого попередження — зобов’язання — профілактика розголошення співробітником, що звільняється, секретної комерційної інформації й створення юридичних підстав для відшкодування збитків у випадку розголошення ним таких відомостей.
Під доступом до комерційної таємниці мається на увазі дозвіл уповноваженої посадової особи на ознайомлення з конкретною конфіденційною інформацією співробітника, який має до неї допуск.
За кількаразове або грубе порушення встановленого на підприємстві порядку захисту комерційної таємниці до працівника можуть застосовуватися дисциплінарні стягнення.
Підставою для їхнього застосування є ст. 147 КЗпП, колективний договір, правила внутрішнього трудового розпорядку, положення про комерційну таємницю інші внутрішні документи.
У відповідності зі статтею 147 КЗпП до порушника трудової дисципліни можуть застосовуватися наступні заходи:
- догана;
- звільнення.
У той же час внутрішніми документами можуть бути передбачені й інші заходи впливу за дані провини, наприклад:
- переведення на іншу роботу, не пов’язану з допуском до комерційної таємниці;
- позбавлення премій за результатами роботи;
- зміна часу надання чергової відпустки.
Висновки
В сучасних розвинених ринкових умовах інформаційні ресурси являються дуже цінним об’єктом і потребують надійного захисту. На практиці компанії до комерційної таємниці зазвичай відносять властиві конкретному підприємству особливості, деталі комерційної діяльності, ділові зв’язки, ринки та умови купівлі сировини й товарів, відомості про методику встановлення цін, фінансову стабільність підприємства тощо. Тому, усвідомлюючи невпинний економічний розвиток, необхідність у досягненні переваги на ринку, потреб у знаннях про джерела загроз, порушників і потенційних збитків, підприємства повинні приділяти увагу створенню системи захисту своїх інформаційних ресурсів. Питання забезпечення безпеки комерційної таємниці стає ще важливішим внаслідок загострення конкурентної боротьби на ринках, яке може призвести до використання конфіденційних відомостей з метою нанесення шкоди інтересам підприємства та завдання матеріальних і моральних збитків.
Сьогодні рівень успішної та ефективної діяльності кожної організації залежить від уміння компанії захистити свою конфіденційну інформацію від її неправомірного використання. Таким чином, зараз існує актуальна потреба в захисті комерційної таємниці суб’єктів підприємницької діяльності, який би був ефективним і відповідав сьогоднішнім та перспективним вимогам ринкового середовища.
Список використаної літератури
- Богуш В. Інформаційна безпека держави: підручник / Володимир Богуш, Олександр Юдін,; Гол. ред. Ю. О. Шпак, 2005. — 432 с.
- Василюк В. Я. Інформаційна безпека держави: Курс лекцій: Для студентів, які навчаються за спеціальностями » Організація захисту інформації з обмеженим доступом», «Правознавство» / В. Я. Василюк, С. О. Климчук, 2008. — 135 с.
- Зацеркляний М. М. Основи економічної безпеки: навчальний посібник / М. М. Зацеркляний, О. Ф. Мельников, 2009. — 337 с.
- Інформаційна політика України: Європейський контекст / Леонід Губерський, Євген Камінський, Євгенія Макаренко и др., 2007. — 358 с.
- Кормич Б. Інформаційна безпека: організаційно-правові основи: Навчальний посібник / Борис Кормич,, 2005008. — 382 с.
- Ліпкан В. А. Інформаційна безпека України в умовах євроінтеграції [Текст] : Навчальний посібник / В. А. Ліпкан, Ю. Є. Максименко, В. М. Желіховський, 2006. — 279 с.
- Основи інформаційної безпеки та захисту інформації у контексті євроатлантичної інтеграції України: Науково-методологічний посібник / А. В. Анісімов, В. А. Заславський, О. М. Фаль ; за заг. ред. : В. П. Горбуліна, 2006. — 103 с.
- Пєвцов Г. Інформаційна безпека регіону: проблема, концепція та шляхи її реалізації / Геннадій Пєвцов, Олександр Черкасов, 2008. — 135 с.