ЛЕКЦІЯ 2

6.2. Методи збору даних

Методологічні аспекти організації ефективної системи безпеки

підприємства і управління нею містять у собі забезпечення безпеки ії
ресурсів - фінансових, матеріальних, інформаційних, трудових та
безпеки їх взаємодії з об'єктами, що належать до внутрішнього та
зовнішнього середовищ підприємства.
При цьому особлива увага приділяється інформаційній безпеці,
яка реалізує різні схеми захисту інформації з погляду таких понять -
властивостей інформації - як цілісність, доступність і конфіденційність.
Використання цих понять дозволяють сформулювати безпечні режими
роботи з інформацією і визначають ефективність засобів захищеності
інформаційних ресурсів інформаційної системи, що експлуатується на
підприємстві. При цьому дослідники застосовують відомі моделі
"порушників", а також моделі захисту окремих підсистем (компонент)
інформаційної системи підприємства. Моделі "порушників" включають
як об'єкти загроз, так і їх суб'єкти, що впливають на різні інформаційні
системи, і персонал з метою завдання їм збитку. При цьому рівень
інформаційної безпеки інтерпретується як рівень регламентного
забезпечення безпеки таких об'єктів, як програмні засоби, засоби, що
забезпечують доступ до даних, права користувачів для виконання
робіт, пов'язаних з модифікацією й використанням конфіденційної
інформації, виявлення і протидія витоку інформації стосовно виниклих
загроз, носіями яких виступають певні суб'єкти.
Використання системного підходу до організації процесів
забезпечення інформаційної безпеки підприємства на основі положень
теорії інформації, уточнення поняття інформаційного ресурсу та
визначення інформаційної системи як підтримувальної системи
стосовно інформаційних ресурсів - найважливіше завдання
підвищення ефективності інформаційної безпеки підприємства.
З цієї точки зору під інформацією будемо розуміти множину
даних, кожна підмножина яких характеризується такими
властивостями: об'єктивність, вірогідність, адекватність, своєчасність,
коректність, точність, корисність, цінність. У різних літературних
джерелах із зазначеної множини властивостей виділяють тільки певну
частину з них, керуючись, у першу чергу, винятково практичними
міркуваннями. Так, наприклад, властивості адекватності й вірогідності
об'єднують в одну - вірогідності; об'єктивності й коректності - у
властивість об'єктивності її т. д. Якщо аналізувати решту властивостей
- своєчасність, точність, корисність і цінність, то очевидним є той факт,
що визначально інформація повинна бути корисною та цінною, а це, у
свою чергу, вимагає, щоб вона була точною та своєчасною.
Таким чином, властивість інформації, певною мірою,
характеризує конкретну функцію управління, реалізовану суб'єктом,
який використовує інформацію, що приводить до наступної системи
тверджень.
Утвердження 1. Інформація, що використовується суб'єктом
стосовно якої-небудь дії, повинна реалізувати (виконувати) певну
функцію суб'єкта в системі (структурі) управління підприємством. У
ролі таких функції можна розглядати функції управління
виробництвом, прийняття рішень, планування й т. д.
Унаслідок того, що реалізована функція управління визначається
рівнем управління і відповідних функцій суб'єкта управління, можна
припустити, що потреба в інформації, у першу чергу, визначається
тією її властивістю (або ж сукупністю властивостей), яка вважається
основною у процесі її використання.
Утвердження 2. Для ефективної реалізації своєї управлінської
функції суб'єктові необхідно розвивати кількісні і якісні характеристики
тієї властивості, яка є основною, обов'язковою, такою, що часто
використовується (або ж групи властивостей). Наслідком цього є
твердження Я:
Утвердження 3. Безпека розвитку інформаційних ресурсів
визначається безпекою розвитку тих властивостей інформації, які є
визначальними для суб'єкта, рівнем управління, характером
розв'язуваних завдань, і, як наслідок, змістом посадових інструкцій,
існуючою схемою документообігу.
Наведені твердження припускають використання наступної
концепції інформаційної безпеки, основні положення якої наступні:
1) розвиток інформаційних ресурсів розглядається як сукупність
процесів, процедур, окремих операцій, що забезпечують розвиток
різних властивостей інформації:
2) безліч властивостей інформації визначаються рівнем
управління і, відповідно, тими завданнями, які, в першу чергу,
вирішуються суб'єктом у процесі його діяльності з досягнення цілей;
3) безпека інформаційних ресурсів визначається рівнем
управління й безпекою розвитку тих властивостей інформації, які є
базовими для даного рівня управління підприємством;
4) безпека інформаційної системи визначається безпекою
функціонування її підсистем і компонентів, які забезпечують
конфіденційність, цілісність, доступність інформації на всіх рівнях
управління підприємством;
5) основна функція інформаційної системи - забезпечення
(забезпечувальна підсистема) безпечного розвитку властивостей
інформації на всіх рівнях управління підприємством.
Отже, інформаційна система виступає як інструментальний засіб
(сукупність засобів), який забезпечує безпечний розвиток властивостей
інформаційних ресурсів на всіх рівнях управління підприємством, а її
підсистеми виступають як "демпінговий" засіб від виливу загроз
(небезпек) і забезпечують захист основного об'єкта інформації
підприємства та її властивостей на різних рівнях управління.
Для реалізації цих положень у системі інформаційної безпеки
підприємства необхідно вирішити наступні завдання:
1) оптимально розподілити функції між персоналом, технічними
засобами та адміністраторами підсистем інформаційної системи;
2) розробити інструкції, нормативні матеріали, у яких встановити
гранично припустимі рівні інформаційних небезпек, що відповідають
певному рівню економічної безпеки;
3) визначити мінімально припустиму конфігурацію програмно-
апаратних засобів, які необхідні для функціонування інформаційної
системи та які можуть забезпечити мінімальний рівень потенційних
збитків, що можуть бути завдані підприємству;
4) забезпечити захист самої інформаційної системи.
Запропонована модель інформаційнім безпеки дозволяє
деталізувати її до різних рівнів управління підприємством, внести зміни
в посадові інструкції осіб, які мають відношення до конфіденційної
інформації і спроектувати можливі рівні захисту для різних видів
загроз, що мають місце у зовнішньому і внутрішньому середовищах
підприємства.
Особливого захисту в сучасних умовах потребують відомості, які
складають комерційну таємницю підприємства. Господарський кодекс
України так визначає комерційну таємницю - це відомості, пов'язані з
виробництвом, технологією, управлінням та іншою діяльністю суб'єкта
господарювання, що не є державною таємницею, розголошення яких
може завдати шкоди інтересам цього суб'єкта господарювання.
Обсяги секретної інформації, що є об'єктом державної таємниці,
визначаються Законом України "Про державну таємницю", а їх захист
здійснюється всіма юридичними та фізичними особами, яку мають з
ними справу. Контроль за збереженням державної таємниці
здійснюється Службою безпеки України.
Склад і обсяг відомостей, що становлять комерційну таємницю
та способи їх захисту самостійно визначаються підприємством. З
метою забезпечення законних прав та інтересів підприємства в
ринкових умовах, а також належного рівня економічної безпеки чинне
законодавство України, зокрема ст. 232 Кримінального кодексу,
передбачає кримінальну відповідальність за розголошення
комерційної таємниці для осіб, яким така інформація стала відома у
зв'язку з їх професійною чи службовою діяльністю. Окремі положення
щодо захисту комерційної таємниці містяться також у Господарському
кодексі України, Цивільному кодексі України, у законах "Про
інформацію" та "Про науково-технічну інформацію". Однак прямого
законодавчого акту, такого як, наприклад, "Закон про захист
комерційної таємниці", який існує в США, в Україні сьогодні немає.
Тому право на захист комерційної таємниці повинно бути
закріплене у статуті підприємства. Це дає можливість на правовій
підставі будувати відносини з партнерами, власними працівниками, а
також організовувати режим захисту комерційної таємниці на
підприємстві. Також права підприємства на захист комерційної таємни-
ці повинні бути оформлені у відносинах з трудовим колективом. Отже,
таке право слід закріпити у статтях колективного договору, який
укладається між власником підприємства або уповноваженим органом,
з однієї сторони, та однією або кількома профспілковими чи іншими
уповноваженими на представництво трудовим колективом органами -
з іншої. Бажано щоб у цих статтях були відображені такі положення:
1) що підприємство використовує у своїй діяльності комерційну
таємницю;
2) що колектив підприємства бере на себе зобов'язання зберігати
комерційну таємницю;
3) що кожен працівник несе персональну дисциплінарну та
майнову відповідальність за збереження комерційної таємниці, до якої
він має доступ;
4) що адміністрація зобов'язується створити належні умови на
робочих місцях і ознайомити працівників з правилами збереження
комерційної таємниці підприємства.
Оскільки індивідуальний трудовий договір оформляється, як
правило, лише наказом, то особисті зобов'язання працівника щодо
охорони та захисту комерційної таємниці підприємства оформляються
окремим документом. При цьому, в такому документі бажано
передбачити обов'язки працівника про "розголошення комерційної
таємниці і після розірвання трудових відносин.
Особливу увагу необхідно приділити оформленню правових
відносин зі збереження комерційної таємниці з творчими працівниками:
конструкторами, винахідниками, науковцями. Ці відносини повинні
спиратися на закони про інформацію, про авторське і суміжні права,
про охорону прав на промислову власність. Також на підприємстві
повинні бути розроблені такі нормативні документи, що регламентують
режим збереження комерційної таємниці:
1. Положення про комерційну таємницю підприємства.
2. Положення про захист комерційної таємниці.
3. Номенклатура посадових осіб і працівників, які мають доступ
до комерційної таємниці.
4. Положення про відповідальність за розголошення комерційної
таємниці.
5. Перелік відомостей, що є комерційною таємницею
підприємства. Це може бути:
 в сфері виробництва, технології і науково-дослідних робіт
виробничий потенціал, його потужність, технічний стан (знос),
проведення модернізації; технології, що використовуються для випуску
продукції, напрямки їх розвитку; технічні параметри продукції та
окремих її вузлів; матеріали, що використовуються для виробництва
продукції; програмне забезпечення виробництва; транспортні канали
підприємства, їх стан, перспективи і плани розвитку; науково-дослідні,
проектно-конструкторські та експериментальні роботи, відкриття,
винаходи, патенти, ліцензії, ноу-хау і т. п.; матеріали виробничих нарад
і зібрань;
ділова та комерційна іформація - бізнес-плани та програми
розвитку; організація управління фірмою; відомості про
постачальників, посередників та клієнтів; цінова політка підприємства,
методики розрахунків цін і тарифів; умови угод і контрактів з
партнерами; протоколи переговорів з партнерами; маркетингові
дослідження та рекламна політика;
інформація про фінансовий стан підприємства - показники для
розрахунку якісних показників діяльності підприємства (коефіцієнти
ліквідності, автономії, покриття тощо); прибутковість підприємства та
його окремих виробництв; відомості про експортно-імпортні та валютні
операції; про стан інвестицій та інвестиційну політику;
соціальний стан колективу підприємства - інтелектуальний
потенціал провідних фахівців, їх ділові якості та моральний стан,
біографічні дані, компрометуючі зв'язки;
система матеріальних і моральних стимулів; плани кадрових змін
(просування по службі, відставки, звільнення); конфлікти в колективі;
фінансові проблеми окремих менеджерів та працівників; наявність
намірів в окремих співробітників створити власний бізнес.

Методы сбора информации: беседы со специалистами,

приглашение консультантов; ложные конкурсы и наймы,
использование фондов и обществ, сманивание ведущих
специалистов, использование женской красоты, использование
научных связей, похищение собственности конкурента, похищение и
копирование документов, засылка агентов в структуру конкурента,
вербовка агента, использование технических средств.
 Каналы утечки информации: работники предприятия,
публикации в средствах массовой информации, миграция
специалистов, совместная работа с другими предприятиями, торговые
выставки, рекламные материалы, компьютерная техника и др.