Сутність комерційної таємниці. Перелік відомостей, що не становлять комерційної таємниці
ТЕМА 4
Особливості захисту інформації на підприємстві
4.1. Характеристика інформації з обмеженим доступом
4.2. Сутність комерційної таємниці. Перелік відомостей, що не становлять комерційної таємниці
4.3. Організація захисту комерційної таємниці на підприємстві
4.4. Система захисту інформації на підприємстві
Характеристика інформації з обмеженим доступом
Захист інформації посідає важливе місце у вирішенні проблеми забезпечення інформаційної безпеки будь-якого підприємства. Це пов’язане з недопущенням втрати чи знищення інформації, її модифікації, встановлення безпечного режиму її функціонування у процесі діяльності підприємства.
У діяльності підприємства використовується два види інформації: відкритаітаємна. Таємна – це насамперед банківська і комерційна таємниця, а також конфіденційна інформація. Тому важливим моментом у захисті інформації буде виступати порядок виділення такої інформації як окремого об’єкту захисту.
Відповідно до вітчизняного законодавства громадяни, юридичні особи, які володіють інформацією професійного, ділового, виробничого, банківського, комерційного та іншого характеру, одержаної за власні кошти, або таку, що є предметом їх ділового, виробничого, банківського, комерційного та іншого інтересу і не порушує законом таємниці, самостійно визначають режим доступу до неї, включаючи належність її до категорії конфіденційної та встановлюють до неї систему захисту.
Тобто, право встановлювати відповідний режим доступу до інформації мають особи (юридичні та фізичні), які володіють інформацією. За таких умов суб’єкти підприємництва мають право обмежувати доступ до власної інформації, в тому числі і щодо якої вони стали володільцями в результаті її придбання або, яка не є їх власністю, але є предметом їх інтересу (будь-які відомості отримані підприємством в результаті проведення заходів інформаційного забезпечення його діяльності).
Конфіденційна інформація підприємства як вид інформації з обмеженим доступом може мати подвійний характер. З одного боку, це інформація, власниками якої є суб’єкти підприємництва і яка з тих чи інших причин не отримала категорії таємної та інформація про персонал, яка зберігається в особових справах та документах про оплату праці. Якщо перелік відомостей, що становить конфіденційну інформацію суб’єктів підприємництва визначається в тому ж порядку, що і для комерційної таємниці, то зміст конфіденційної інформації про працівників подається у Законі України «Про інформацію» та забезпечується відповідно до Закону України «Про захист персональних даних». Суб’єкти підприємництва зобов’язані забезпечити конфіденційність таких даних, зібраних на своїх працівників при прийомі на роботу та їх звільненні.
Підприємства, здійснюючи господарську діяльність виробляють свою власну інформацію, що може бути для них досить важливою та цінною. При розробці нових технологій виробництва, нової продукції, плануванні розвитку, створюються насичені різноманітними відомостями інформаційні об’єкти, які вимагають надійного захисту. Тому підприємства повинні захищати такі об’єкти шляхом надання їм категорії комерційної таємниці.
Сутність комерційної таємниці. Перелік відомостей, що не становлять комерційної таємниці
Згідно зі ст. 505 ЦК України комерційною таємницею є інформація, яка є секретною в тому розумінні, що вона в цілому чи в певній формі та сукупності її складових є невідомою і не є легкодоступною для осіб, які звичайно мають справу з видом інформації, до якого вона належить, у зв’язку з цим має комерційну цінність та була предметом адекватних існуючим обставинам заходів щодо збереження її секретності, вжитих особою, яка законно контролює цю інформацію.
Комерційною таємницею можуть бути відомості технічного, організаційного, комерційного, виробничого та іншого характеру, за винятком тих, які відповідно до закону не можуть належати до комерційної таємниці.
Отже, комерційна таємниця – це відомості технічного, організаційного, комерційного, виробничого та іншого характеру, які є об’єктом інтелектуальної власності, мають комерційну цінність, розголошення яких може завдати шкоди інтересам суб’єкта господарювання.
Відповідно до цивільного законодавства основними ознаками комерційної таємниціє:
– комерційна цінність інформації;
– інформація повинна бути невідомою третім особам і до неї немає вільного доступу;
– володілець інформації має вживати відповідних заходів для її охорони і таємності;
– інформація не може бути об’єктом інших таємниць.
Враховуючи, що суб’єкти підприємництва, як власники інформації самостійно визначають зміст своїх таємниць, значення набуває процес формування переліку відомостей, що становлять комерційну таємницю.
З одного боку зазначений перелік повинен надійно захищати цінну для суб’єктів інформацію, а з іншого, не обмежувати їх інформаційну діяльність на ринку.
Склад та обсяг відомостей, які становлять комерційну таємницю підприємства, визначаються його керівником з урахуванням постанови Кабінету Міністрів України «Про перелік відомостей, що не становлять комерційної таємниці» від 9 серпня 1993 р. № 611.
Перелік відомостей, що комерційну таємницю не становлять:
– установчі документи, документи, що дозволяють займатися підприємницькою діяльністю та її окремими видами;
– інформація за всіма встановленими формами державної звітності;
– дані, необхідні для перевірки обчислення і сплати податків та інших обов’язкових платежів;
– відомості про чисельність і склад працівників, їхню заробітну плату в цілому та за професіями й посадами, а також наявність вільних місць;
– документи про сплату податків і обов’язкових платежів;
– інформація про забруднення навколишнього природного середовища, недотримання безпечних умов праці, реалізацію продукції, що завдає шкоди здоров’ю, а також інші порушення законодавства України та розміри заподіяних при цьому збитків;
– документи про платоспроможність;
– відомості про участь посадових осіб підприємства в кооперативах, малих підприємствах, спілках та інших організаціях і об’єднаннях, які займаються підприємницькою діяльністю;
– відомості, що відповідно до чинного законодавства підлягають оголошенню. До такої інформації може бути віднесена, зокрема, інформація про випуск акцій підприємством, що пропонуються для відкритого продажу, яка згідно зі статтею 23 Закону України «Про цінні папери і фондову біржу» від 18 червня 1991 р. № 1201-ХІІ підлягає обов’язковому опублікуванню.
Отже, підприємство може вважати комерційною таємницею практично будь-яку інформацію про свою діяльність та свій персонал і самостійно організовувати її захист.
Усі види інформації, які можуть вважатися комерційною таємницею, можна умовно поділити на дві групи:
1) науково-технічна (технологічна) інформація;
2) ділова (комерційна) інформація.
До першої групи належать незапатентовані науково-технічні розробки, бази даних та інші комп’ютерні програми, створені підприємством, усі види «ноу-хау», технічні проекти, промислові зразки, незапатентовані товарні знаки тощо.
Ділова інформація містить:
– відомості про фінансову сторону діяльності підприємства, крім фінансових звітів (стан розрахунків з клієнтами, заборгованість, кредити та ін.);
– відомості про розмір прибутку, собівартості виробленої продукції тощо;
– плани розвитку підприємства (тактичні і стратегічні);
– плани й обсяги реалізацій продукції (плани маркетингу, дані про характер і обсяг торгових операцій, про рівні цін, наявність то варів);
– аналіз конкурентоспроможності виробленої продукції, ефективність експорту та імпорту, прогнозований час виходу на ринок;
– плани рекламної діяльності;
– списки торгових та інших клієнтів, представників, посередників, конкурентів, відомості про взаємовідносини з ними, їх фінансове положення, проведені операції, умови діючих і нових контрактів та ін.
Інформація підприємства, що становить комерційну таємницю, за важливістю може належати до чотирьох рівнів:
1. Життєво важлива – незамінна інформація, наявність якої стратегічно необхідна для функціонування підприємства. Витік цієї інформації ставить під загрозу функціонування підприємства.
2. Важлива – інформація, процес ліквідації наслідків витоку якої складний або пов’язаний з великими витратами.
3. Корисна – інформація, витік якої завдає матеріальної шкоди підприємству, однак воно може ефективно функціонувати й у разі витоку цієї інформації.
4. Неістотна – інформація, витік якої не завдає матеріального збитку підприємству і не впливає на його функціонування.
Уся ця інформація має різну цінність для підприємця, і розголошування її може призвести (або не призвести) до загроз економічній безпеці різного ступеня важкості. Тому інформацію доцільно поділяти на три групи:
а) інформація для відкритого користування будь-яким споживачем у будь-якій формі;
б) інформація обмеженого доступу – тільки для органів, що мають відповідні законодавчо встановлені права (міліція, податкова поліція, прокуратура);
в) інформація тільки для працівників (або керівників) підприємства. Інформація, що належить до другої і третьої груп, є конфіденційною і має обмеження у розповсюдженні.
4.3. Організація захисту комерційної таємниці на підприємстві
Для безпосереднього визначення переліку відомостей, що становлять комерційну таємницю, на підприємстві відповідним наказом керівника створюється спеціальна комісія, яка займається групуванням і уточненням інформації для цього переліку. Чисельність такої комісії не повинна перевищувати чотирьох-п’яти осіб.
Зазначеним наказом керівники всіх підрозділів і установ суб’єкта підприємництва зобов’язуються виокремити відомості по своїх напрямах роботи, які з їх погляду вимагають обмеження доступу до них шляхом надання їм категорії комерційної таємниці. Пропозиції підрозділів надходять до зазначеної вище комісії, яка їх обробляє, перевіряє щодо відповідності вимогам чинного законодавства, формує і узгоджує в підрозділах остаточний проект переліку таких відомостей. Зазначений перелік надається керівнику суб’єкта підприємництва, який відповідним наказом вводить його в дію. Одночасно в наказі визначаються особи, яким інформація, що складає комерційну таємницю може розкриватись в повному обсязі.
При оформленні переліку відомостей, що становлять комерційну таємницю, у своїй діяльності комісія має керуватися наступним:
– якщо підприємство має у своєму розпорядженні інформацію, яка належить до державної таємниці, її слід виділити в окрему позицію, оскільки цей вид інформації охороняється законодавством України про державну таємницю;
– в окрему позицію також слід виділити ту інформацію, яка не є комерційною таємницею згідно з Постановою № 611;
– обов’язково до комерційної таємниці мають бути віднесені різні види «ноу-хау»; різні договори також повинні вважатися комерційною таємницею, причому як сам текст договору, так і факт їх укладення; мають бути віднесені до комерційної таємниці й відомості про винаходи і рацпропозиції, які не захищені авторським або патентним правом.
Крім затвердження такого переліку на керівника підприємства покладається також обов’язок щодо встановлення порядку захисту комерційної таємниці. Серед методів такого захисту можна виділити:
– розробку положення про комерційну таємницю на підприємстві;
– розробку інструкцій щодо дотримання працівниками режиму нерозголошення комерційної таємниці;
– включення до статуту підприємства розділів, які регламентують захист комерційної таємниці;
– встановлення кола осіб, які мають доступ до такої інформації;
– розробку угоди про нерозголошення комерційної таємниці, що укладається з особами, які мають доступ до цієї інформації;
– встановлення правил роботи з документами, позначеними грифом «КТ».
Перед тим як взяти з працівників підписку про нерозголошення відомостей, що становлять комерційну таємницю, керівництву підприємства необхідно здійснити певні процедури:
– видати наказ по підприємству про встановлення комерційної таємниці;
– затвердити перелік відомостей, що становлять комерційну таємницю;
– затвердити форму зобов’язання (договору) про нерозголошення інформації, що є комерційною таємницею; інколи порядок захисту комерційної таємниці обумовлюється в трудовому контракті з працівником;
Незалежно від обраного підприємством шляху захисту комерційної таємниці працівник, приступаючи до виконання своїх обов’язків, має бути поінформований:
– про порядок і процедуру набуття матеріалами, документами та виробами статусу комерційної таємниці підприємця;
– про правила, пов’язані з доступом до інформації, що є комерційною таємницею;
– про обов’язки й обмеження, що покладаються на виконавців, допущених до відомостей конфіденційного характеру (наприклад, діловодство, облік, збереження, розмноження, обробка інформації тощо);
– про порядок прийому представників інших суб’єктів підприємницької діяльності та передачі їм інформації;
– про відповідальність за розголошення відомостей, що складають комерційну таємницю підприємства, або за порушення встановленого порядку роботи з ними.
Основна мета охорони конфіденційної інформації у тому, щоб вона не потрапила до конкурентів. У ряді випадків потрібна охорона й чужих комерційних таємниць, які можуть бути повідомлені підприємству іншими особами, організаціями. Відсутність такого захисту може позбавити підприємство вигідних партнерів, клієнтів.
Захист КТ передбачає:
1. Визначення правил віднесення інформації до КТ..
2. Розробку і доведення до осіб, які допущені до відомостей, що становлять КТ, інструкцій за дотриманням режиму конфіденційності.
3. Обмеження доступу до носіїв інформації з КТ.
4. Таке ведення діловодства, яке забезпечує виділення, облік і збереження документів з КТ.
5. Використання організаційних, технічних та інших засобів захисту конфіденційності документів.
6. Здійснення контролю за дотриманням режиму охорони КТ.
4.4. Система захисту інформації на підприємстві
З інформаційної точки зору підприємство являє собою комплекс компонентів, пов’язаних між собою єдиною метою, структурними відносинами, технологіями інформаційного обміну. Ці компоненти: персонал, технічні засоби інформатизації, програмне забезпечення, документи можна вважати об’єктами захисту інформації.
Забезпечення інформаційної безпеки має носити системний та комплексний характер. Системність заходів інформаційної безпеки суб’єктів підприємництва має передбачати наступне:
– високий ступінь захищеності їх інформації як головну характеристику її якісного стану;
– заходами безпеки охоплюються всі інформаційні ресурси суб’єктів підприємництва;
– діяльність із забезпечення інформаційної безпеки є безперервною і плановою, на основі єдиної концепції безпеки;
– забезпечення інформаційної безпеки здійснюється у тісній єдності з поточною діяльністю суб’єктів підприємництва.
Комплексний характер системи забезпечує оптимізацію заходів та засобів, що використовуються нею задля створення необхідного балансу вимог і можливостей інформаційної безпеки. Комплексний підхід обумовлюється ще і тим, що загрози інформації суб’єктів підприємництва носять різноманітний характер, перекриття яких вимагає застосування багатьох, різних за призначенням заходів і засобів.
Система захисту інформації підприємства – це організована сукупність об’єктів і суб’єктів захисту інформації, заходів, методів, засобів та технологій, що використовуються для захисту його інформаційних ресурсів.
Основна мета створення системи захисту інформації – забезпечення надійного зберігання і ефективного використання інформації в діяльності підприємства.
Алгоритм роботи щодо організації системи захисту інформації вміщує такі дії:
– визначення вразливості інформації суб’єкта підприємництва (виявлення в інформаційній системі суб’єкта місць, використання зловмисниками яких може нанести шкоди інформаційним ресурсам і в цілому суб’єкту підприємництва);
– визначення мети, завдань та об’єктів захисту інформації;
– вибір форм, способів та засобів захисту інформації;
– формування елементів системи захисту інформації, її сил та засобів;
– створення нормативної бази суб’єкта з питань захисту інформації;
– планування функціонування системи, використання нею сил та засобів захисту інформації у відповідності до особливостей діяльності суб’єкта підприємництва;
– забезпечення взаємодії всіх елементів системи між собою та з іншими компонентами, які згідно політики інформаційної безпеки можуть бути задіяні для захисту інформації;
– забезпечення функціонування системи (матеріальне, фінансове, наукове та ін.);
– контроль стану захищеності інформації, надійності функціонування системи та ефективності заходів, що вживаються нею.
Вразливість інформації є одним із головних показників стану її захищеності. Тому визначення ступеня вразливості інформації у ході організації її захисту має досить суттєве значення.
Результати, отримані в ході визначення вразливості інформації, використовуються для встановлення складу інформації, яка підлягає безпосередньому захисту, тобто об’єктів захисту. Загальний підхід тут полягає у тому, що захисту підлягає вся інформація з обмеженим доступом і найбільш важлива частина відкритої інформації. При цьому інформація з обмеженим доступом повинна захищатись від втрати і несанкціонованого витоку, а відкрита – тільки від втрати.
Враховуючи різноманітність загроз інформації суб’єктів підприємництва та необхідність найбільш ефективного її захисту, система має виконувати відповідний комплекс завдань:
1. Завдання правового характеру:
– регулювання доступу до інформаційних ресурсів підприємства представників державних органів і установ;
– регулювання доступу персоналу до інформаційних ресурсів підприємства.
2. Завдання організаційного характеру:
– категоріювання інформації підприємства;
– встановлення відповідного режиму роботи підприємства;
– організація спеціального діловодства в діяльності підприємства;
– підбір персоналу для роботи з інформацією, що має обмежений доступ;
– профілактична та виховна робота з персоналом;
– здійснення заходів захисту інформації у ході зустрічей, ділових переговорів, конференцій тощо;
– планування дій щодо захисту інформації при стихійних лихах, пожежах, терористичних актах, інших негараздах.
3. Завдання інженерно-технічного характеру:
– спеціальне інженерно-технічне обладнання місць зберігання інформації;
– застосування спеціальних технічних засобів для перекриття різних видів каналів витоку інформації;
– застосування технічних засобів охорони та технічна укріпленість об’єктів.
4. Завдання криптографічного характеру:
– шифрування інформації при передачі її через незахищені засоби зв’язку;
– регламентація доступу до баз даних та електронних документів.
5. Завдання програмно-апаратного характеру:
– застосування спеціальних програмних засобів захисту комп’ютерної інформації;
– застосування антивірусних програм;
– забезпечення безперебійної роботи комп’ютерних систем при аварійних ситуаціях;
– виключення можливості перехоплення електромагнітних випромінювань і наводок;
– створення системи страхового копіювання комп’ютерної інформації.
Особливим об’єктом захисту інформації в діяльності суб’єктів підприємництва є персонал, в пам’яті якого зосереджено величезні масиви інформації, в тому числі і такої, що є цінною для суб’єктів.
У цьому сенсі працівники суб’єктів підприємництва як носії інформації характеризуються з точки зору її захисту позитивними та негативними рисами. Позитивним є те, що без згоди суб’єктів із пам’яті працівників ніяка інформація ні за яких умов не може бути вилучена, працівники можуть об’єктивно оцінювати важливість інформації, якою володіють і відповідно до цього ставитись до неї, а також ранжувати споживачів їхньої інформації, знаючи кому і яку інформацію можна довірити.
Негативним є те, що працівники можуть помилятись в щирості таких споживачів, бути не повністю компетентним у важливості інформації, якою володіють, їх дії багато в чому залежать від емоційного стану, характеру, власних потреб.
За таких умов система захисту інформації щодо об’єкту захисту такого як працівники має вживати заходи регламентування роботи працівників з інформацією, встановлювати відповідні обмеження та заборони, а також певним чином мотивувати поведінку працівників до дотримання встановленого режиму захисту інформації.
Регламентування роботи працівників з інформацією здійснюється шляхом:
– визначення осіб, яким надано право доступу до інформації повному обсязі;
– визначення осіб, яким надано право доступу до інформації суб’єкта підприємництва в частині, що їх стосується;
– встановлення порядку доступу до інформації суб’єкта підприємництва та повноважень осіб щодо її використання;
– визначення порядку та правил використання носіїв інформації в процесі діяльності суб’єкта підприємництва;
– визначення порядку та правил зберігання інформації, вироблення, обліку та пересилання електронних та паперових документів.
Мотивації у забезпеченні захисту інформації, якою володіють працівники формуються через зацікавленість працівників у виконанні ними заходів захисту. Основними методами тут виступають: формування у працівників фірмового патріотизму; матеріальна та кар’єрна вигода дотримання заходів захисту; відповідне відношенні колективу до осіб, що порушують встановлені правила захисту інформації; зручність виконання зазначених заходів тощо.
Захист інтересів суб’єктів підприємництва у взаємовідносинах з персоналом, допущеним до їх таємниць здійснюється шляхом правового закріплення таких взаємовідносин у документах: зобов’язанні про нерозголошення інформації з обмеженим доступом; трудовому договорі (контракті); наказі про призначення на посаду; посадовій інструкції.
У захисті інформації підприємства важливе місце відводиться організації спеціального діловодства. Діловодство розуміється як система заходів по документаційному забезпеченню діяльності суб’єкта підприємництва. Основним правилом в організації діловодства і захисту інформаційних ресурсів є забезпечення розмежування потоків відкритої інформації і інформації з обмеженим доступом. За таких умов в діяльності суб’єктів підприємництва має бути організовано службове діловодство (забезпечення документообігу відкритої інформації) і спеціальне діловодство, яке забезпечує документообіг інформаційних матеріалів таємного та конфіденційного характеру.
Важливу роль у забезпеченні ефективного функціонування системи захисту інформації в діяльності суб’єктів підприємництва відіграє правильне управління такою системою, яка має здійснюватись централізовано на рівні головної установи певного суб’єкта. Насамперед воно передбачає вироблення правил, норм, стандартів захисту інформації, їх деталізації, по силах і засобах, залучених до захисту інформації.
З метою забезпечення цілеспрямованого і організованого впливу на функціонування системи має здійснюватись конкретизація та періодичне уточнення завдань всім підрозділам, установам з питань захисту інформації. Конкретизація завдань має випливати із аналізу ситуації, що складається в той чи інший час. Важливим в управлінні є здійснення контролю в системі захисту інформації, який передбачає проведення різного роду перевірок, періодичне отримання звітів про результати виконання заходів захисту, аналіз показників функціонування системи та оцінку ефективності її в цілому.