Інформаційна безпека і персонал
Вступ
Актуальність теми. Революція в науково-технічній сфері призвела до появи нових видів інформаційно-комунікаційних технологій, що стали матеріальним підґрунтям глобалізаційних процесів. Інформатизація усіх сфер життєдіяльності змінила розуміння сутності феномену безпеки, джерел та характер загроз, значення та роль міжнародних інститутів.
Становлення інформаційного суспільства має як безсумнівні позитивні, так і певні негативні наслідки. З одного боку, пришвидшилася передача інформації значного обсягу, прискорилась її обробка та впровадження. З іншого – серйозне занепокоєння викликає поширення фактів протизаконного збору і використання інформації, несанкціонованого доступу до інформаційних ресурсів, незаконного копіювання інформації в електронних системах, викрадення інформації з бібліотек, архівів, банків та баз даних, порушення технологій обробки інформації, запуску програм-вірусів, знищення та модифікація даних у інформаційних системах, перехоплення інформації в технічних каналах її витоку, маніпулювання суспільною та індивідуальною свідомістю тощо.
Перехід суспільства до інформаційного змінив статус інформації. Наразі, вона може бути як засобом забезпечення безпеки, так, у свою чергу, і загрозою та небезпекою.
Одним із головних стратегічних пріоритетів є розвиток інформаційного суспільства та впровадження новітніх інформаційно-комунікаційних технологій в усі сфери суспільного життя і в діяльність органів державної влади. Саме цим зумовлена актуальність забезпечення інформаційної безпеки України з метою задоволення національних інтересів людини (громадянина), суспільства та держави в інформаційній сфері.
Тривалий час розуміння інформаційної безпеки в наукових та нормативно-правових джерелах ототожнювалося тільки з безпекою інформації, що значно звужувало її сутність. Саме тому, з низки питань, присвячених розгляду проблеми забезпечення інформаційної безпеки, найбільш вивченими та дослідженими її аспектами є безпека інформації (інформаційно-технічна безпека, в нашому розумінні).
Проблема теоретико-правових засад забезпечення інформаційної безпеки у вітчизняній науковій літературі достатньо ґрунтовно не досліджувалась. Вона розглядалася лише через висвітлення окремих її аспектів вітчизняними та зарубіжними фахівцями теорії держави та права, інформаційного права, національної безпеки, соціального управління, адміністративного права, кримінального права, міжнародного права та ін. У даному контексті слід згадати наукові розробки таких вчених, як С. Алексєєв, І. Арістова, В. Артемов, І. Бачило, К. Бєляков, В. Білоус, В. Богуш, В. Брижко, В. Голубєв, В. Горобцов, В. Гурковський, М. Гуцалюк, О. Данільян, Д. Дарендорф, О. Дзьобань, О. Дубас, В. Іноземцев, Р. Калюжний, М. Кастельс, А. Колодій, В. Колос, С. Комов, В. Копилов, Г. Ситник, О. Соснін, Е. Тоффлер, Б. Турен, В. Цимбалюк, І. Чиж, М. Швець, Ю. Шемшученко, В. Шилінгов, О. Юдін, О. Ярмиш, В. Ярочкін та інші.
Мета дослідження – визначення теоретичних і правових засад забезпечення інформаційної безпеки підприємства при роботі з персоналом.
Об’єкт дослідження – суспільні відносини у сфері інформаційної безпеки підприємства.
Предмет дослідження – теоретико-правові засади взаємодії інформаційної безпеки на підприємстві та персоналу.
Розділ 1. Теоретичні аспекти інформаційної безпеки на підприємстві
1.1. Поняття та характеристика захисту інформації на підприємстві
До таких заходів захисту можна віднести організаційно-технічні й організаційно-правові заходи, здійснювані в процесі створення й експлуатації системи обробки і передачі дані чи фірми банку з метою забезпечення захисту інформації.
Наскільки важливі організаційно-режимні заходи в загальному арсеналі засобів захисту, говорить уже хоча б той факт, що жодна ІС не може функціонувати без участі обслуговуючого персоналу. Крім того, організаційно-режимні заходи охоплюють усі структурні елементи системи захисту на всіх етапах їхнього життєвого циклу: будівництво приміщень, проектування системи, монтаж і налагодження устаткування, іспити і перевірка в експлуатації апаратури, оргтехніки, засобів обробки і передачі даних.
З одного боку, ці заходи повинні бути спрямовані на забезпечення правильності функціонування механізмів захисту і виконуватися адміністратором безпеки системи. З іншого боку, керівництво фірми повинне регламентувати правила обробки і захисту інформації, а також установити заходів відповідальності за порушення цих правил.
Нижче перерахований ряд дуже простих дій, що можуть значно підвищити ступінь захисту корпоративної мережі без великих фінансових уливань.
- Більш ретельний контроль за персоналом, особливо за самими низькооплачуваними працівниками, наприклад прибиральниками й охоронцями.
- Акуратна непомітна перевірка послужного списку найманого працівника, що допоможе уникнути виникнення проблем у майбутньому.
- Ознайомлення найманого співробітника з документами, що описують політику компанії в області інформаційної безпеки, і одержання від нього відповідної розписки.
- Зміна умісту всіх екранів для входу в систему таким чином, щоб вони відбивали політику компанії в області захисту даних (ця заходів настійно рекомендується Міністерством юстиції США).
- Підвищення рівня фізичного захисту.
- Блокування всіх дисководів гнучких дисків в організаціях, у яких установлена мережа, – це дозволить мінімізувати ризик комп’ютерних крадіжок і зараження вірусами.
- Визнання за співробітниками визначених прав при роботі з комп’ютерами, наприклад організація дощок оголошень, дотримання конфіденційності електронної пошти, дозвіл використовувати визначені комп’ютерні ігри.
Співробітники компанії повинні бути союзниками, а не супротивниками адміністратора системи в боротьбі за безпеку даних.
На підприємство постійно надходять потоки інформації, що розрізняються за джерелами їхнього формування. Заведено відокремлювати:
— відкриту офіційну інформацію;
— вірогідну нетаємну інформацію, одержану через неформальні контакти працівників фірми з носіями такої інформації;
— вірогідну нетаємну інформацію, одержану через неформальні контакти працівників фірми з носіями такої інформації.
Оперативна реалізація заходів з розробки та охорони інформаційної складової економічної безпеки здійснюється послідовним виконанням певного комплексу робіт, ми виділяємо 5 напрямків:
- — Збирання різних видів необхідної інформації;
Б. — Обробка та систематизація одержаної інформації;
- — Аналіз одержаної інформації;
Г. — Захист інформаційного середовища підприємства , що традиційно охоплює:
— заходи для захисту суб’єкта господарювання від промислового шпіонажу з боку конкурентів або інших юридичних і фізичних осіб;
— технічний захист приміщень, транспорту, кореспонденції, переговорів, різної документації від несанкціонованого доступу заінтересованих юридичних і фізичних осіб до закритої інформації;
— збирання інформації про потенційних ініціаторів промислового шпіонажу та проведення необхідних запобіжних дій з метою припинення таких спроб.
Д. — Зовнішня інформаційна діяльність[7, c. 88-89].
Серед сучасних підприємців Заходу панує думка, що, використовуючи всього п’ять основних правил безпеки, можна добитися значних успіхів в бізнесі. До них відносять:
1.) розвідку;
2.) професіоналізм у встановленні контактів — мінімальні витрати часу і сил для пошуку інформації, необхідної для налагодження контакту;
З.) кваліфікацію менеджера — витрати часу тільки на потрібних людей;
4.) уміння долати перешкоди, пошук варіантів і обхідних шляхів для дозволу виникаючих проблем;
5.) уміння завершувати операцію, нехай навіть з негативним результатом — це все ж краще, ніж відсутність якого-небудь результату.
Потреба в інформації варіюється залежно від здійснюваної або планованої діяльності. Компанія може мати довгострокові (стратегічні) плани, тактичні або короткострокові, плани і поточні операції; всі вони вимагають добре вивіреної інформації. У широкому друці іноді намагалися змалювати ділову розвідку про конкурентів як «шпигунство». Можливо, до деякої міри це дійсно так. Проте слід зазначити, що сьогодні переважна маса ділової інформації може бути отримана з відкритих джерел без порушення етичних норм. Список того, що хотіла б знати про конкурента ділова фірма, може бути нескінченним.
Зразковий перелік потрібної інформації може служити ілюстрацією корисності розвідки. Подробиці можуть мінятися від компанії до компанії, але є основні елементи, необхідні для більшості з них.
Інформація про ринок:
- Ціни, знижки, умови договорів, специфікації продукту.
- Об’єм, історія, тенденція і прогноз для даного продукту.
- Частка на ринку і тенденції її зміни.
- Ринкова політика і плани.
- Відносини із споживачами і репутація.
- Чисельність і розміщення торгових агентів.
- Канали, політика і методи збуту.
- Бюджет і план рекламної кампанії.
Інформація про структуру виробництва:
- Оцінка якості і ефективності.
- Номенклатура виробів.
- Технологія і устаткування.
- Рівень витрат.
- Виробничі потужності.
- Розміщення і розмір виробничих підрозділів і складів.
- Спосіб упаковки.
- Доставка.
- Необхідність і можливості проведення НДР.
Інформація про внутрішню організацію і фінансове положення
- Визначення списку осіб, що ухвалюють ключові рішення.
- Філософія і психологічні установки осіб, що ухвалюють ключові рішення.
- Фінансові умови і перспективи.
- Програми інвестицій і кредитування.
- Головні проблеми (можливості).
- Програми НДР.
Подібний список може створювати враження, що розвідка проти конкурентів — просто набір даних. Насправді в цих даних повинна бути відображена поведінка конкурента як в короткостроковій, так і в довгостроковій перспективі.
Який же результат повинен бути продуктом діяльності інформаційно-аналітичного підрозділу фірми? До такого результату відносять виявлення глибинних зв’язків між розрізненими, на перший погляд, подіями, засноване на їх оцінці і тлумаченні з урахуванням всіх зовнішніх (економічних, політичних, соціальних) і внутрішніх чинників впливу на діяльність фірми і визначення їх значення для вирішення конкретних завдань поточної політики фірми.
Такий підхід називається системним. Цим підкреслюється різниця між первинними матеріалами і остаточним продуктом діяльності інформаційно-аналітичного підрозділу[24, c. 71-72].
Для ефективної роботи інформаційного підрозділу фірми керівництвом повинні бути чітко обкреслені його основні цілі. Ці цілі можуть полягати в наступному:
1). Забезпечити своєчасне надходження надійної і всесторонньої інформації про здібності і майбутні можливості кожного з основних конкурентів.
2). Визначити, яким чином дії основних конкурентів можуть зачіпати поточні інтереси фірми.
3). Постійно забезпечувати надійну і обширну інформацію про ті події в конкурентному оточенні і на ринку, які можуть мати значення для інтересів фірми.
4). Добиватися ефективності і виключати дублювання в зборі, аналізі і розповсюдженні інформації про конкурентів.
Працюючи над створенням системи інформаційного забезпечення фірми, важливо відзначити ряд ключових положень, ми виділяємо 8 таких положень:
- Промислова розвідка діяльності конкурентів необхідна для забезпечення успіху в ринковій конкуренції.
- В даний час ситуація на ринку міняється так різко, що формальних засобів спостереження за конкурентами недостатньо.
- Методи «проб і помилок» в отриманні такої інформації зрештою неефективні. Для забезпечення функції розвідки потрібна тотальна система в повному розумінні цього слова.
- Система промислової розвідки повинна бути дуже сильно орієнтована па конкретних осіб, навіть якщо її структура і організація постійні.
- Така система повинна бути орієнтована на дії. Вона не повинна просто видавати звіти і накопичувати дані. Швидше вона повинна забезпечувати керівників такою інформацією, яка указувала на необхідність дій і допомагала ухвалювати правильні управлінські рішення.
- Конфіденційну інформацію можна отримати з різних джерел, багато з яких при поверхневому погляді можуть показатися малозначними або навіть даремними.
- Система розвідки повинна передбачати завдання охорони власних секретів і контррозвідки. Ця рекомендація заснована на припущенні, що у конкурентів є аналогічні системи і що вони можуть удатися до незаконних або неетичних засобів для проникнення у ваші комерційні таємниці.
- Система розвідки повинна бути ефективно організована без звернення до незаконних або неетичних методів збору даних.
Дані для системи розвідки про конкурентів можуть поступати з різноманітних джерел, як державних, так і приватних. Люди, не знайомі з розвідкою, часто думають, що найкорисніша інформація здобуваються з секретних джерел. Вони вважають типовими для розвідки такі явища, як знамениті публікації про секретні операції ЦРУ.
Насправді велика частина розвідувальної діяльності зв’язана з використанням опублікованих відомостей. Це справедливо навіть для військових, прикладом чому може служити заява адмірала Захаріаса (заступника начальника військово-морської розвідки США під час другої світової війни) про те, що 95% інформації військово-морські служби США отримували з опублікованих даних, 4% з напівофіційних даних, і лише 1% — з секретних джерел.
Отже, основна увага повинна концентруватися на організованому вивченні офіційно доступних джерел інформації. Значна частина основної інформації, використовуваної службами планування, може поступати звичайним порядком з численних публікацій про діловий світ в засобах масової інформації, промислових журналах, газетах, урядових виданнях, навчальних посібниках або наукових працях, а також з постійного неформального потоку відомостей від торгових агентів[15, c. 2-3].
1.2. Організація секретного діловодства на підприємстві
Під час роботи з захисту комерційної таємниці необхідно звернути особлива увага на документи фірми, оскільки більшість комерційних структур у нашій країні основні обсяги комерційної інформації, у тому числі конфіденційної, зберігають у документах.
Керівник фірми повинний упорядкувати відповідним чином процеси фіксації секретної інформації в ділових паперах і організувати їхній рух таким чином, щоб викрадення конфіденційних документів було б утруднене настільки, щоб воно ставало економічно невигідним для викрадача.
При роботі з документами, що містять охоронювану фірмою інформацію, слід дотримуватися наступних правил:
— суворий контроль (чи особисто через службу безпеки) за допуском персоналу до секретних документів;
— установлення конкретних облич з керівництва і фірми, що служить, організуючих і контролюючих секретне діловодство фірми; наділення їхній відповідними повноваженнями;
— розробка інструкції (пам’ятки) по роботі із секретними документами, ознайомлення з нею відповідних працівників фірми;
— контроль за прийняттям відповідними службовцями письмових зобов’язань про збереження комерційної таємниці фірми;
— уведення системи матеріального й іншого стимулювання фірми, що служить, що мають доступ до її секретів;
— впровадження в повсякденну практику механізмів і технологій захисту комерційної таємниці фірми;
— особистий контроль з боку керівника фірми служби внутрішньої безпеки і секретного діловодства.
Імовірність витоку секретної інформації з документів особливо велика в процесі їхнього пересилання. Очевидно, що в комерційних структур немає можливостей користатися послугами воєнізованої фельдсвязи. Тому доставку секретних документів і цінностей приходиться здійснювати власними силами з залученням охоронців чи фірми звертатися в спеціальні фірми.
Фірми, що служать, відповідальні за схоронність, використання і своєчасне знищення секретних документів, повинні бути захищені від спокуси торгівлі секретами фірми простим, але радикальним способом — гарною платою за роботу.
У процесі збереження і пересилання секретних документів фірми можуть бути застосовані засоби захисту і сигналізації про несанкціонований доступ до них. Одна з новинок — невидиме світлочутливе покриття, наносимо на документи, що виявляється під впливом світла, указуючи тим самим на факт несанкціонованого ознайомлення з чи документами їхнього фотографування.
Фахівцям з питань захисту комерційної інформації відомі й інші технології і системи охорони конфіденційних документів фірми від несанкціонованого до неї чи доступу можливого витоку охоронюваних зведень. За інформацією з даного питання варто звертатися в організації і служби, що спеціально займаються даною проблемою. Для ведення секретного діловодства повинні залучатися люди, що пройшли спеціальну перевірку, і в чесності яких немає сумнівів. Крім того, ці люди повинні бути відповідним чином підготовлені і навчені, тому що професійні недоліки і відступ від правил у їхній роботі можуть занадто дорого коштувати фірмі.
Приміщення, у яких ведеться робота із секретними документами, повинні добре охоронятися, а доступ туди повинний бути закритий для сторонніх облич. Ці приміщення повинні мати міцні перекриття і стіни, посилену металеві двері, міцні віконні рами з подвійними стеклами і ґратами, щільні штори. Сховище повинне бути обладнане охоронною і пожежною сигналізацією і ретельно охоронятися силами внутрішньої охорони. Доступ у сховище строго обмежений. Не рекомендується розташовувати таке приміщення на першому й останньому поверхах будинку. Секретні документи зберігаються в чи сейфах незгораємих металевих шафах з надійними замками і запорами.
Різні прийоми ведення секретного діловодства спрямовані на запобігання витоку комерційних секретів. Наприклад, документи, що містять комерційну таємницю, підрозділяються по ступені таємності відображеної в них інформації і забезпечуються відповідним грифом таємності.
Навіть ретельно охоронювані таємниці фірми можуть стати надбанням конкурентів зі звичайних публікацій, якщо пустити ця справа на самоплив. Тому один зі службовців фірми обов’язково повинний бути наділений самими широкими владними повноваженнями, щоб займатися попередньою цензурою брошур, що готуються, рекламних объвлений, прес-релізів і інших матеріалів для симпозіумів, виставок, конгресів, а також виступів, наукових і інших публікацій співробітників фірми.
Інтереси охорони секретів фірми найчастіше знаходяться у важко розв’язному протиріччі з особистими амбіціями, самолюбством, академічною незалежністю співробітників фірми, що бажають професійно само затверджуватися в ученому світі, серед своїх колег, у суспільній чи груповій думці.
Не менш легкий для дозволу конфлікт між прагненням зберегти комерційні таємниці фірми і бажанням використовувати в рекламних цілях деякі найбільш вражаючі дані зі строго охоронюваної інформації, особливо ті з них, що, безсумнівно, допомогли б розширити збут вироблених товарів і послуг.
Співробітник, що здійснює цензуру відкритих публікацій рекламного, наукового і популяризаторського характеру, що готуються персоналом чи фірми по її замовленнях, повинний керуватися простим, але ефективним правилом. Суть його в тім, щоб у максимально можливому ступені роздрібнити, роз’єднати за часом, у просторі і по авторах ту строго охоронювану комерційну інформацію, без якого неможливе опублікування згаданих робіт. Звичайно, усе це утрудняє здійснення персоналом фірми науково-дослідних і дослідно-конструкторських робіт, але зате істотно перешкоджає збору секретної інформації про фірму конкурентами і недоброзичливцями.
Цей бар’єр переборний лише за допомогою великих витрат.
Розділ 2. Забезпечення безпеки при роботі з електронними документами
2.1. Особливості забезпечення безпеки персоналу підприємства при роботі з електронними документами
Робота з електронними конфіденційними документами дозволяється тільки при наявності у фірмі сертифікованої системи захисту комп’ютера і локальної мережі.
Суб’єкти електронного документообігу повинні зберігати електронні документи на електронних носіях інформації у формі, що дає змогу перевірити їх цілісність на цих носіях.
Строк зберігання електронних документів на електронних носіях інформації повинен бути неменшим відстроку, встановленого законодавством для відповідних документів на папері.
У разі неможливості зберігання електронних документів на електронних носіях інформації протягом строку, встановленого законодавством для відповідних документів на папері, суб’єкти електронного документообігу повинні вживати заходів щодо дублювання документів на кількох електронних носіях інформації та здійснювати їх періодичне копіювання відповідно до порядку обліку та копіювання документів, встановленого законодавством. Якщо неможливо виконати зазначені вимоги, електронні документи повинні зберігатися у вигляді копії документа на папері (уразі відсутності оригіналу цього документа на папері). При копіюванні електронного документа з електронного носія інформації обов’язково здійснюється перевірка цілісності даних на цьому носії.
При зберіганні електронних документів обов’язкове додержання таких вимог:
1) інформація, що міститься в електронних документах, повинна бути доступною для її подальшого використання;
2) має бути забезпечена можливість відновлення електронного документа у тому форматі, в якому він був створений, відправлений або одержаний;
3) у разі наявності повинна зберігатися інформація, яка дає змогу встановити походження та призначення електронного документа, а також дату і час його відправлення чи одержання.
Суб’єкти електронного документообігу можуть забезпечувати додержання вимог щодо збереження електронних документів шляхом використання послуг посередника, у тому числі архівної установи, якщо така установа додержується вимог цієї статті. Створення архівів електронних документів, подання електронних документів до архівних установ України та їх зберігання в цих установах здійснюється у порядку, визначеному законодавством[1, c. 10-11].
Кожен одержаний адресатом електронний документ перевіряється на цілісність і справжність усіх накладених на нього електронних цифрових підписів, включаючи ті, що накладені (проставлені) згідно із законодавством як аналоги печатки (далі — електронні печатки). При цьому необхідно, щоб:
- кожен електронний цифровий підпис був підтверджений з використанням посиленого сертифіката ключа за допомогою надійних засобів цифрового підпису;
- під час перевірки використовувався посилений сертифікат ключа, чинний на момент накладення електронного цифрового підпису;
- особистий ключ підписувача відповідав відкритому ключу, зазначеному у сертифікаті;
- на час перевірки був чинним посилений сертифікат відкритого ключа акредитованого центру сертифікації ключів та/або посилений сертифікат відкритого ключа відповідного засвідчувального центру.
Однак поряд з цим електронний документ має відмітну особливість у порівнянні з документом на папері: він не має жорсткої прив’язки до носія.
2.2.Вимоги щодо надійності комунікаційних і документаційних систем
Конфіденційність. Ця вимога передбачає захищеність документа від ознайомлення з ним сторонніх осіб — перш за все, під час пересилання. Механізм протидії — кодування електронних документів перед їхнім пересиланням адресату або на сервер для зберігання. Хоча ця технологія передбачає різні ступені захисту, звичайно використовують один алгоритм кодування – той, що забезпечує захист найважливіших документів. Гарантування конфіденційності значною мірою залежить від надійності призначеного для кодування ПЗ і комп’ютерного обладнання, електронних ключів тощо.
Цілісність. Відповідно до цієї вимоги, дані та інформація повинні надійти до зазначеного адресата неушкодженими і без змін . Незалежно від природи несанкціонованих змін запропоновано два механізми протидії: електронний підпис, коди аутентифікації повідомлення (Message Authentication Codes, МАС). За їхньою допомогою на основі даних, шо захищаються, можна утворювати кодовані додатки, що містять відомості про оригінальний документ та у разі його зміни засвідчать цей факт, проте не дадуть змоги ні визначити зміни, які відбулися, ні відновити документ.
Ідентифікація. Ця вимога передбачає ідентифікацію даних і комуніканта. 1. Ідентифікація даних покликана підтвердити, що документ складено або відправлено саме потрібною особою. 2. Ідентифікація комуніканта підтверджує, що партнер у комунікативному акті — дійсно особа, чиї реквізити наведено. Механізми ідентифікації — перевірка електронного підпису і МАС.
Незаперечність. Ця вимога так само, як і попередня, має дві складові: 1) незаперечність походження означає, що відправник електронного документа не зможе заперечити цей факт. Виконання цієї вимоги можливе завдяки електронному підпису; МАС у цьому випадку звичайно не застосовують, оскільки перевірка відповідності цих кодів складніша за перевірку підпису; 2) незаперечність отримання полягає у тому, що адресат не зможе заперечити цей факт після надходження документа. Технології електронного підпису дають змогу засвідчувати такий факт фіксацією часу надходження документа.
Найпоширеніші нині технології захисту електронних документів — кодування та електронний підпис — стикаються з проблемою їхнього практичного застосування при архівації документів: алгоритми у зв’язку з розвитком цифрових технологій мають дуже обмежений «термін надійності» — значно коротший, ніж строк зберігання документів в архіві, і підлягають регулярній перевірці на розкодування та постійній модернізації[6, c. 123-124].
2.3. Вдосконалення законодавства щодо захисту електронного документообігу та безпеки роботи з електронними документами пресоналу
Існуючі державні законопроекти про ЕЦП та електронний документ мають істотні недоліки, які заважають створенню сприятливих умов для розвитку електронної комерції. Необхідність існування законодавства у сфері електронного документообігу пояснюється недостатністю договірного підходу, тому що в цьому випадку сторони не створюють гарантій юридичної чинності електронних документів; крім цього сторони не можуть регулювати діяльність третіх осіб.
Зокрема, необхідно ввести юридичне закріплення того факту, що електронні документи можуть мати оригінали і копії. Останніми визнаються електронні документи, на яких накладені додаткові ЕЦП, крім існуючої ЕЦП укладача електронного документа (наприклад, це необхідне для архівного збереження документів). Також на законодавчому рівні повинна бути чітко визначена структура електронного документа, включаючи його загальну частину (власне зміст документа) і особливу (з вказівкою про можливість використання однієї або декілька ЕЦП).
Крім того вимагають удосконалення норми, які стосуються ЕЦП. Зокрема, існуючий законопроект визнає, що можна використовувати ЕЦП без сертифіката відкритого ключа, однак юридичну чинність мають тільки ті ЕЦП, до яких додається посилений сертифікат ЕЦП. Це позбавляє права сторін створювати закриті системи електронного документообігу.
В даний час складним і неурегульованим є механізм сертифікації засобів створення і перевірки ЕЦП, тому обґрунтовується необхідність його удосконалення. Пропонується, зокрема, не включати в законопроект визначення надійних засобів ЕЦП, яке містить у собі сертифікацію, допущення до експлуатації і позитивний експертний висновок. Різниця між даними трьома дефініціями не проводиться. Додатково не визначається, які правові наслідки несе використання несертифікованих засобів ЕЦП, а також чим держава гарантує свої експертні висновки. Для виправлення вказаних недоліків пропонується введення механізму добровільної сертифікації засобів ЕЦП за винятком тих, котрі будуть використовуватися у відносинах з державними органами.
Сертифікацію засобів ЕЦП повинен проводити Державний Комітет України по стандартизації, метрології і сертифікації, тому що існують спеціальні ГОСТ та ДСТУ, адресовані функціонуванню алгоритмів ЕЦП. Необхідність участі Департаменту спеціальних телекомунікаційних систем і захисту інформації Служби Безпеки України в даному випадку представляється сумнівною[5, c. 213-215].
Необхідно ввести механізми відповідальності учасників електронної комерції. У першу чергу повинні нести фінансову відповідальність центри сертифікації відкритих ключів ЕЦП за негативні наслідки своєї діяльності по підставах, зазначених у законодавстві. Крім того, користувачі електронного документа зобов’язані здійснювати дії по перевірці цілісності використовуваного електронного документа і дійсності сертифіката відкритого ключа ЕЦП. Інакше вони повинні відшкодувати збитки третіх осіб, які виникли внаслідок невиконання або неналежного виконання зазначених дій.
Основний елемент системи електронного документообігу – це інфраструктура сертифікації ключів, куди входять центри сертифікації відкритих ключів ЕЦП, центральний засвідчувальний орган (засвідчувальний центр), контролюючий орган. Законодавство повинно містити чіткі вимоги до функціонування всієї системи сертифікації відкритих ключів ЕЦП, що забезпечить розвиток електронної комерції і зниження правопорушень у даній сфері[8, c. 21].
Розділ 3. Ролі й обов’язки персоналу щодо інформаційної безпеки на підприємстві
3.1. Аналіз і оцінка стану економічної та інформаційної безпеки на підприємствах
Система економічної безпеки кожного підприємства цілком індивідуальна. Її повнота та дієвість залежать від існуючої в державі законодавчої бази, від обсягу матеріально-технічних та фінансових ресурсів, виділених керівниками підприємств, від розуміння кожним з працівників важливості забезпечення безпеки бізнесу, а також від досвіду роботи керівників служб безпеки підприємств.
Надійний захист економічної безпеки підприємства можливий лише при комплексному та системному підході до її організації. Тому в економіці має місце таке поняття як система економічної безпеки підприємства.
Система економічної безпеки підприємства — це комплекс організаційно-управлінських, режимних, технічних, профілактичних и пропагандистських заходів, спрямованих на кількісну реалізацію захисту інтересів підприємства від зовнішніх та внутрішніх загроз.
Для керівників будь-якої системи піклування про її безпеку є найголовнішим обов’язком, тому що у випадку її розпаду керувати буде нічим. Уважно наглядати потрібно не тільки за процесами, які відбуваються у навколишньому середовищі, що можуть принести невиправні наслідки, а й не меншу увагу необхідно приділяти аналізу власне самої системи. Обов’язковим є оперативна оцінка якості роботи, постійна перевірка достовірності вхідної інформації, надійності всіх елементів системи. Будь-яке підприємство, маючи свої локальні й державні цілі розвитку, виконує функції забезпечення відносно споживачів його послуг або продукції. Економічна безпека — це характеристика, що будується на взаємовідношеннях системи і середовища як зовнішнього, так і внутрішнього[14, c. 99].
Економічна безпека підприємства повинна оцінюватись з урахуванням умов, обмежень і критеріїв усіх основних учасників його виробничо-економічної діяльності, а саме: держави, підприємств-конкурентів, споживачів. З усього вишеозначенного можна зробити висновок що для українських підприємств самими значимими проблемами сучасного етапу реформ є: відсутність засобів на технічне переоснащення; неритмічність роботи; відсутність контрактів, замовлення; безробіття; велика дебіторська заборгованість. Можна запропонувати наступні кроки на шляху зміцнення економічної безпеки українських підприємств: у рамках технологічної безпеки — закриття низькорентабельних і збиткових підприємств; зміна системи оплати праці наукових кадрів; створення нових організаційно-виробничих структур; використання лізингу; активна участь у міжнародних виставках, семінарах; у рамках ресурсної безпеки — удосконалювання системи розрахунків; підвищення продуктивності праці; збільшення капіталовкладень у ресурсозбереження; стимулювання «ресурсного» напрямку; у рамках економічної безпеки — застосування принципу дотримання критичних термінів кредитування; створення інформаційного центру, щоб постійно мати зведення про борги підприємства і перекрити канали витоку інформації: створення в структурі інформаційного центру спеціальної групи фінансових робітників, що перевіряла б податкові та інші обов’язкові платежі для виявлення можливої переплати і надавала зведення про маловикористовувані основні виробничі фонди із метою їхнього можливого продажу; використання нових форм партнерських зв’язків; у рамках соціальної безпеки — наближення рівня оплати праці до показників розвитих країн, притягнення робітників до управлінських функцій; підвищення кваліфікації робітників; зацікавленість адміністрації підприємства в працевлаштуванні безробітних; розвиток соціальної інфраструктури підприємства; підвищення матеріальної відповідальності робітників за результати своєї праці[16, c. 70-72].
Серед існуючих засобів забезпечення безпеки підприємства можна виокремити наступні:
1) Технічні засоби. До них відносяться охоронно-пожежні системи, відео-радіоапаратура, засоби виявлення вибухових приладів, бронежилети, огородження тощо.
2) Організаційні засоби. Створення спеціалізованих оргструктурних формувань, що забезпечують безпеку підприємства.
3) Інформаційні засоби. Передусім це друкована і відеопродукція з питань збереження конфіденційної інформації. Крім цього, важлива інформація для прийняття рішень з питань економічної безпеки зберігається на комп’ютерах.
4) Фінансові засоби. Без достатніх фінансових коштів не можливе функціонування системи економічної безпеки підприємства, питання лиш в тому, щоб використати їх ціленаправлено та з високою віддачею.
5) Правові засоби. Підприємство повинне у своїй діяльності керуватися не лише виданими вищестоящими органами влади законами та підзаконними актами, але й розробляти власні локальні правові акти з питань забезпечення економічної безпеки підприємства.
6) Кадрові засоби. Підприємство повинне бути забезпечене кадрами, що займаються питаннями економічної безпеки.
7) Інтелектуальні засоби. Залучення до роботи кваліфікованих спеціалістів, наукових робітників, що дозволяє модернізувати систему безпеки підприємства.
Одночасне впровадження усіх цих засобів неможливе. Воно проходить в кілька етапів:
I етап. Виділення фінансових коштів.
II етап. Формування кадрових і організаційних засобів.
III етап. Розробка системи правових засобів.
IV етап. Залучення технічних, інформаційних та інтелектуальних засобів.
Переведені з статичного в динамічний стан вищевказані засоби перетворюються в методи забезпечення економічної безпеки підприємства. Відповідно можна виділити технічні, інформаційні, фінансові, правові, інтелектуальні методи. Наведемо стислий перелік цих методів
- технічні — спостереження, контроль, ідентифікація;
- інформаційні — складання характеристик на працівників, аналітичні матеріали конфіденційного характеру тощо;
- фінансові — матеріальне стимулювання працівників, що мають досягнення в забезпеченні економічної безпеки підприємства;
- правові — судовий захист законних прав і інтересів, сприяння діям правоохоронних органів;
- кадрові — підбір, навчання кадрів, що забезпечують безпеку підприємства;
- інтелектуальні — патентування, ноу-хау тощо.
Під економічною безпекою треба розумі і й такий стан соціально-технічної системи підприємства, котрий дає змогу уникнути зовнішніх загроз і протистояти внутрішнім чинникам дезорганізації за допомогою наявних ресурсів, підприємницьких здібностей менеджерів, а також структурної організації та зв’язків менеджменту, Зауважимо, шо традиційно термін уживався в юридичній практиці для позначення системи прав зі збереження ресурсів і результатів їх продуктивного використання. Однак з економічного погляду таке трактування поняття, на нашу думку, не є вичерпним, а сам механізм збереження не входить до системи управління підприємством (що зумовлено історичним досвідом ведення бізнесу на постсоціалістичному просторі)[15, c. 220-221].
Головна мета управління економічною безпекою — забезпечення найефективнішого функціонування, найпродуктивнішої роботи операційної системи та економічного використання ресурсів, забезпечення певного рівня трудового життя персоналу та якості господарських процесів підприємства, а також постійного стимулювати нарощування наявного потенціалу та його стабільного розвитку[14, c. 99].
3.2. Характеристика головних обов’язків персоналу підприємства щодо інформаційної безпеки
Потрібно описати відповідальних посадових осіб і їхнього обов’язку у відношенні розробки і впровадження різних аспектів політики. Для такого складного питання, як безпека в Internet, організації може знадобитися увести відповідальних за аналіз безпеки різних архітектур чи за твердження використання тієї чи іншої архітектури.
У «політичний» документ необхідно включити інформацію про посадових осіб, що відповідають за проведення політики безпеки в життя. Наприклад, якщо для використання працівником неофіційного програмного забезпечення потрібно офіційний дозвіл, те повинно бути відомо, у кого і як його варто одержувати. Якщо повинні перевірятися дискети, принесені з інших комп’ютерів, необхідно описати процедуру перевірки. Якщо неофіційне програмне забезпечення використовувати не можна, варто знати, хто стежить за виконанням даного правила.
Перераховані групи людей відповідають за реалізацію сформульованих раніше цілей.
Керівники підрозділів відповідають за доведення положень політики безпеки до користувачів і за контакти з ними.
Адміністратори локальної мережі забезпечують безупинне функціонування мережі і відповідають за реалізацію технічних заходів, необхідних для проведення в життя політики безпеки.
Адміністратори сервісов відповідають за конкретні сервіси і, зокрема, за те, щоб захист був побудований відповідно до загальної політики безпеки.
Користувачі зобов’язані працювати з локальною мережею відповідно до політики безпеки, підкорятися розпорядженням облич, що відповідають за окремі аспекти безпеки, доводити до відома керівництво про всі підозрілі ситуації.
Керівники підрозділів зобов’язані:
Постійно тримати в поле зору питання безпеки. Стежити за тим, щоб те ж робили їхні підлеглі.
Проводити аналіз ризиків, виявляючи активи, що вимагають захисти, і уразливі місця систем, оцінюючи роззаходів можливого збитку від порушення режиму безпеки і вибираючи ефективні засоби захисту.
Організувати навчання персоналу заходам безпеки. Звернути особливу увагу на питання, зв’язані з антивірусним контролем.
Інформувати адміністраторів локальної мережі й адміністраторів сервісів про зміну статусу кожного з підлеглих (перехід на іншу роботу, звільнення і т.п.).
Забезпечити, щоб кожен комп’ютер у їхніх підрозділах мав чи хазяїна системного адміністратора, що відповідає за безпеку і має достатню кваліфікацію для виконання цієї ролі.
Адміністратори локальної мережі зобов’язані (023):
Інформувати керівництво про ефективність існуючої політики безпеки і про технічні заходи, що можуть поліпшити захист.
Забезпечити захист устаткування локальної мережі, у тому числі інтерфейсів з іншими мережами.
Оперативно й ефективно реагувати на події, що таять погрозу. Інформувати адміністраторів сервісів про спроби порушення захисту. Робити допомога у відображенні погрози, виявленні порушників і наданні інформації для їхнього покарання.
Використовувати перевірені засоби аудита і виявлення підозрілих ситуацій.
Щодня аналізувати реєстраційну інформацію, що відноситься до мережі в цілому і до файлових серверів особливо.
Стежити за новинками в області інформаційної безпеки, повідомляти про їх користувачам і керівництву.
Не зловживати даними їм великими повноваженнями. Користувачі мають право на таємницю.
Розробити процедури і підготувати інструкції для захисту локальної мережі від злобливого програмного забезпечення. Робити допомога у виявленні і ліквідації злобливого коду.
Регулярно виконувати резервне копіювання інформації, що зберігається на файлових серверах.
Виконувати всі зміни мережної апаратно-програмної конфігурації.
Гарантувати обов’язковість процедури ідентифікації й аутентификации для доступу до мережних ресурсів.
Виділяти користувачам вхідні імена і початкові паролі тільки після заповнення реєстраційних форм.
Періодично робити перевірку надійності захисту локальної мережі. Не допускати одержання привілеїв неавторизованими користувачами.
Адміністратори сервісів зобов’язані:
Керувати правами доступу користувачів до об’єктів, що обслуговуються.
Оперативно й ефективно реагувати на події, що таять погрозу. Інформувати адміністраторів локальної мережі про спроби порушення захисту. Робити допомога у відображенні погрози, виявленні порушників і наданні інформації для їхнього покарання.
Регулярно виконувати резервне копіювання інформації, оброблюваної сервісом.
Виділяти користувачам вхідні імена і початкові паролі тільки після заповнення реєстраційних форм.
Щодня аналізувати реєстраційну інформацію, що відноситься до сервісу.
Регулярно контролювати сервіс на предмет злобливого програмного забезпечення.
Періодично робити перевірку надійності захисту сервісу. Не допускати одержання привілеїв неавторизованими користувачами.
Користувачі зобов’язані:
Знати і дотримувати закон, правил, політики безпеки, процедур безпеки.
Використовувати доступні захисні механізми для забезпечення конфіденційності і цілісності своєї інформації.
Використовувати механізм захисту файлів і належним образом задавати права доступу.
Вибирати гарні паролі, регулярно змінювати їх. Не записувати паролі на папері, не повідомляти їх іншим обличчям.
Допомагати іншим користувачам дотримувати заходіви безпеки. Указувати їм на виявлені недогляди.
Інформувати чи адміністраторів керівництво про порушення безпеки й інших підозрілих ситуацій.
Не використовувати слабості в захисті сервисов і локальної мережі в цілому.
Не робити неавторизованої роботи з даними, не створювати перешкод іншим користувачам.
Не намагатися працювати від імені інших користувачів.
Забезпечувати резервне копіювання інформації з твердого диска свого комп’ютера.
Знати принципи роботи злобливого програмного забезпечення, шляху його проникнення і поширення, слабості, що при цьому можуть використовуватися.
Знати і дотримувати процедури для попередження проникнення злобливого коду, для його виявлення і знищення.
Знати слабості, що використовуються для неавторизованого доступу.
Знати способи виявлення ненормального поводження конкретних систем, послідовність подальших дій, крапки контакту з відповідальними обличчями.
Знати і дотримувати правила поведінки в екстрених ситуаціях, послідовність дій при ліквідації наслідків аварій.
Висновки
Сьогодні, в умовах формування глобальної кіберцивілізації, визначається міжнародно-правовий аспект теорії інформаційної безпеки: необхідність формування правил поведінки, відносин у так званому глобальному віртуальному чи кіберпросторі. Теорія інформаційної безпеки пов’язана з інформаційним правом та правовою інформатикою щодо правовідносин, ускладнених іноземним елементом (чинником). Щодо формування методик виявлення та розкриття злочинів, які вчиняються за допомогою сучасних інформаційних технологій, теорія інформаційної безпеки формує понятійний апарат такої інституції криміналістики, як криміналістична інформатика. При формуванні системи інформаційної безпеки виникає необхідність застосування методів інтеграції та агрегації складових системи як її підсистем, що можливо при адаптації до предметної сфери теорії алгоритмізації, моделювання, теорії систем тощо.
У контексті перспектив подальших розвідок у напрямі інформаційної безпеки особи, суспільства, держави, світового співтовариства слід зазначити, що: когнітивно-юридичний аналіз нормативно-правових актів у сфері суспільних відносин щодо інформаційної безпеки, з позицій накопичених наукових знань сьогодення, свідчить про те, що в суспільстві вже сформувалося усвідомлення необхідності формування умовно автономної інституції суспільних відносин — інформаційної безпеки: комплексної організації підтримки (збереження, охорони та захисту) життєво важливих прав особи (людини, громадянина), суспільства, держави, світового співтовариства щодо інформації (відомостей, даних, повідомлень, сигналів, знань). Проте рівень ентропії, який існує нині і знайшов відображення у прийнятих нормативно-правових актах у цій сфері суспільних відносин, об’єктивно не дав змоги сформувати їх зміст в обсязі, необхідному практиці. Щодо цього існує необхідність виділення в юридичній когнітології, семіотиці, герменевтиці права такої наукової інституції як герменевтика та когнітологія інформаційної безпеки. Для прикладу, досить звернути увагу на такий тавтологічний вираз як «забезпечення безпеки», що широко використовується не тільки на побутовому рівні, а й у нормативних актах.
Через інтеграцію інформаційного права та правової інформатики з адміністративним, цивільним, кримінальним правом та політологією має відображатися і державна інформаційна політика як складова державної політики національної безпеки. Остання повинна стати базисом для формування концепцій, доктрин, основ, засад, принципів державної політики безпеки особи, суспільства, держави, світового співтовариства у сфері інформаційних правовідносин на основі такого систематизованого законодавчого акта, як Кодекс України про інформацію. У протилежному випадку — при продовженні фрагментарного, ситуативного, хаотичного публічно-правового правотворення (у тому числі законотворення Парламентом нашої країни) можна ставити питання про формування такого соціального явища як загроза правовій безпеці особи (людини, громадянина) та суспільства.
Як узагальнення можна зазначити, що інформаційна безпека — це суспільні відносини щодо створення і підтримання на належному (бажаному, можливому) рівні життєдіяльності відповідної інформаційної системи, у тому числі підприємництва.
Підтримка інформаційної безпеки — це комплекс організаційних, правових та інженерно-технологічних заходів щодо збереження, охорони та захисту життєво важливих інтересів суб’єктів інформаційної діяльності, у тому числі підприємництва.
Особливість безпеки інформаційної діяльності полягає у запобіганні, протидії та подоланні природних (стихійних), техногенних і соціогенних (антропогенних) загроз, здатних порушити (чи припинити) життєдіяльність конкретного суб’єкта (людини, соціальних спільнот, суспільства, держави, світового співтовариства), у тому числі підприємництва.
Поняття та сутність інформаційної безпеки в умовах інформатизації України як соціального явища пропонуємо визначити так:
Інформаційна безпека в умовах інформатизації України (формування інформаційного суспільства, кіберцивілізації) – це суспільні відносини щодо створення та підтримання на усвідомленому, належному рівні функціонування відповідної автоматизованої (комп’ютеризованої) інформаційної системи (у тому числі систем телекомунікації); комплекс організаційних, правових та інженерно-технологічних (технічних і програмно-математичних) заходів щодо підтримки (охорони, захисту зберігання), запобігання та подолання природних, техногенних і соціогенних загроз, здатних порушити життєдіяльність конкретної соціотехнічної інформаційної системи.
Список використаної літератури
- Про науково-технічну інформацію: Закон України від 25.06.1993 р. //Закони України. -К., 1996. -Т.5.
- Про захист інформації в автоматизованих системах: Закон України від 5.07.1994 р. //Закони України. -К., 1997.- Т.7.
- Біленчук П. Д., Романюк Б. В., Цимбалюк В. С. та ін. Комп’ютерна злочинність. Навчальний посібник.- Київ: Атіка, 2002.-240 с.
- Близнюк І. Інформаційна безпека України та заходи її забезпечення //Науковий вісник Національної академії внутрішніх справ України. — 2003. — № 5. — C. 206-214
- Братель О. Поняття та зміст доктрини інформаційної безпеки //Право України. — 2006. — № 5. — С.36-40
- Бут В.В. Проблеми безпеки в інформаційній сфері — сутність понять та їх термінологічне тлумачення //Науковий вісник Національної академії внутрішніх справ України. — 2003. — № 5. — C. 225-232.
- Вертузаєв М.С., Попов А.Ф. Проблеми боротьби зі злочинністю в сфері комп’ютерної інформації // Інформаційні технології та захист інформації. – 1998. – №1. – Ст. 4-14.
- Вступ до інформаційної культури та інформаційного права: Монографія. — Ужгород, 2003. -240 с.
- Гаврилов І. Розвиток інформаційного простору: нові можливості, нові загрози //Національна безпека і оборона. — 2001. — № 1. — C. 77-79
- Гнатцов О. Політико-управлінські аспекти інформаційних ресурсів у системі забезпечення державної безпеки //Вісник Національної академії державного управління при Президентові України. — 2004. — № 3. — C. 485-492
- Горбатюк О.М. Сучасний стан та проблеми інформаційної безпеки України на рубежі століть //Вісник Київського університету імені Т.Шевченка. — 1999. — Вип. 14: Міжнародні відносини. — C. 46-48
- Гуцалюк М. Інформаційна безпека у сучасному суспільстві //Право України. — 2005. — № 7. — С.71-73.
- Гуцалюк М. Інформаційна безпека України: нові загрози //Бизнес и безопасность. — 2003. — № 5. — C. 2-3
- Інформатизація та відкритість влади як засоби демократизації суспільства. Зб. матеріалів «круглого столу» у Національному інституті стратегічних досліджень 17.12.2002 р. — 1С, 2003.
- Інформаційна безпека України: проблеми та шляхи їх вирішення //Національна безпека і оборона. — 2001. — № 1. — C. 60-69
- Інформаційна безпека України: сутність та проблеми // Стратегічна панорама. — 1998. — № 3-4.
- Інформаційна безпека: проблеми боротьби зі злочинами у сфері використання комп’ютерних технологій: Монографія. — Запоріжжя, 2001. — 252 с
- Інформаційне право та інформаційна безпека. — ЕС; Д., 2001.
- Інформаційне право.- Навч.-метод. комплекс. -К., 1998.
- Інформаційне суспільство. Дефініції. — К., 2002. — 220 с
- Інформаційний простір України //Національна безпека і оборона. — 2001. — № 1. — C. 3-15
- Капеев И. Р., Беляев А. В. Информационная безопасность предприятия. — СПб, 2003.
- Карпенко В. Інформаційний простір і національна безпека України //Універсум. — 2002. — № 7-8. — C. 49-52
- Катренко А. Особливості інформаційної безпеки за міжнародними стандартами //Альманах економічної безпеки. — 1999. — № 2. — C. 15-17
- Ковтун В.С. Інформаційні технології — небезпечний засіб поширення тероризму //Безпека життєдіяльності. — 2006. — № 10. — C. 39-44
- Комп’ютерна злочинність: Навч. посіб-ник. — К., 2002.
- Лапо А. Гуманітарні та технічні чинники підвищення інформаційної безпеки //Вісник. — 2007. — № 2. — C. 130-133
- Ліщинська О. Соціально-правові основи інформаційної безпеки: Програма навчального спецкурсу //Соціальна психологія. — 2007. — № 5. — C. 163-178.
- Медвідь Ф. Інформаційна безпека України в контексті становлення стратегії національної безпеки держави //Юридичний Вісник України. — 2008. — № 43. — C. 11
- Михайлюк В.А. Безпека інформаційної сфери — основа стійкого розвитку соціуму //Безпека життєдіяльності. — 2007. — № 6. — C. 15 -16.
- Морозов О.Л. Інформаційна безпека в умовах сучасного стану і перспектив розвитку державності //Віче. — 2007. — № 12. — C. 23-25
- Новые технологии электронного бизнеса и безопасности / Бабенко Л. К. и др. — М., 2001. -376 с.
- Остроухов В. До проблеми забезпечення інформаційної безпеки України //Політичний менеджмент. — 2008. — № 4. — C. 135-141.