коммерческая информация:
приоритеты и безопасность
А. е. СУГЛОБОВ,
заслуженный экономист РФ,
доктор экономических наук, профессор
С. В. МИХАЙЛОВ
Московский университет МВд России
В статье рассматриваются вопросы механизма обеспечения сохранности коммерческой информации, выделяются основные способы и методы защиты указанной информации. Актуальность темы определяется тем, что разглашение информации нередко может лишить субъект экономики возможностей реализовать поставленные цели, т. е. создает угрозы безопасности предпринимательской деятельности. Рассматриваются три группы информации, среди которых первая - для открытого пользования, две других - конфиденциального характера.
Ключевые слова: коммерция, безопасность, информация, доступ, защита, компьютер, эффективность.
В мировой экономике информационные технологии в настоящее время являются средством взаимосвязи и взаимодействия различных субъектов экономических отношений. Предпринимательская деятельность во всех сферах неразрывно связана с получением и использованием различного рода информации. В современных условиях информация представляет собой особого рода товар, имеющий определенную ценность [3]. Для субъектов экономики зачастую наиболее ценной является информация, которую они используют для достижения целей организации, предприятия и разглашение которой может лишить их возможностей реализовать эти цели, т. е. создает угрозы безопасности предпринимательской деятельности. Конечно, не вся информация может, в случае ее разглашения, создавать эти угрозы, однако существует определенная ее часть, которая нуждается в защите. Информация, используемая в предпринимательской деятельности, весьма разнообразна. Ее можно разделить на два вида: промышленная и коммерческая. К промышленной относится информация о технологии и способе производства, технических открытиях и изобретениях, «ноу-хау», конструкторская документация, программное
56 -
обеспечение и т. п. Коммерческая информация — о финансово-экономическом положении предприятия (бухгалтерская отчетность), кредитах и банковских операциях, о заключаемых договорах и контрагентах, структуре капиталов и планах инвестиций, стратегических планах маркетинга, анализе конкурентоспособности собственной продукции, клиентах, планах производственного развития, деловой переписке и пр. Именно коммерческая информация представляет наибольшую ценность для самого субъекта, так как именно ее разглашение может привести к угрозам экономической безопасности. Информация, составляющая коммерческую тайну, может существовать как в бумажной форме, так и на дискетах и лазерных дисках, на «жестком» диске компьютера [2]. Информацию следует разделить на 3 группы:
1) информация для открытого пользования в любой форме;
2) информация ограниченного доступа — для органов, имеющих соответствующие законодательно установленные права (милиция, прокуратура и т. д.);
3) информация только для работников (либо руководителей) предприятия. Информация второй и третьей групп является
конфиденциальной и имеет ограничения в распространении. Конфиденциальная информация — это документированная (т. е. зафиксированная на материальном носителе и с реквизитами, позволяющими ее идентифицировать) информация, доступ к которой ограничивается в соответствии с законодательством РФ. Часть этой коммерческой информации составляет особый блок и может быть отнесена к коммерческой тайне.
Коммерческая тайна. В соответствии с гражданским законодательством РФ это информация,
которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании, и обладатель принимает меры к охране ее конфиденциальности. Следовательно, коммерческая тайна не может быть общеизвестной и общедоступной информацией, открытое ее использование несет угрозу экономической безопасности предпринимательской деятельности, в связи с чем предприниматель осуществляет меры по сохранению ее конфиденциальности и защите от незаконного использования [5].
Следует отметить, что не вся информация, которой располагает предприниматель, может быть отнесена к категории коммерческой тайны. Существует официально утвержденный перечень сведений, которые не могут составлять коммерческую тайну в РФ. К ним относятся:
• учредительные документы (устав, учредительный договор);
• документы, дающие право заниматься предпринимательской деятельностью (регистрационное удостоверение, свидетельство о регистрации, лицензии, сертификаты, патенты);
• сведения по установленным формам отчетности о финансово-хозяйственной деятельности, необходимые для проверки правильности исчисления и уплаты налогов и других обязательных платежей в государственную бюджетную систему РФ);
документы о платежеспособности; сведения о численности работающих, их составе, заработной плате, наличии свободных рабочих мест;
документы об уплате налогов и обязательных платежей;
сведения о соблюдении установленных правил охраны труда;
сведения о соблюдении установленных норм охраны окружающей среды; сведения о нарушении антимонопольного законодательства;
сведения о реализации продукции, причинившей вред здоровью населения; сведения об участии должностных лиц предприятия в кооперативах, малых предприятиях, акционерных обществах и других организациях, занимающихся предпринимательской деятельностью.
Эти сведения не предназначены для открытого доступа. Например, сведения о заработной плате работников предприятия, финансовая отчетность могут быть предоставлены только по требованию
органов власти, управления, контролирующих и правоохранительных органов, а также других юридических лиц, имеющих на это право в соответствии с действующим законодательством РФ. В то же самое время клиенты фирмы вправе ознакомиться с ее уставом, свидетельством о регистрации, лицензией, сертификатами, патентами.
Получить информацию о деятельности фирмы можно двумя способами: законным и незаконным. Законный способ — это получение информации из средств массовой информации, рекламных проспектов фирмы, статей о фирме, с выставок, пресс-конференций. Эта информация специально готовится работниками фирмы для открытого пользования всеми заинтересованными лицами. Незаконный способ — это получение информации, не предназначенной для внешних пользователей, без согласия руководства предприятия, с нарушением действующего законодательства и приводящее к прямым экономическим потерям для фирмы либо к упущенной выгоде.
Наиболее ценной в этом плане является информация, представляющая коммерческую тайну. Она важна прежде всего для конкурентов данной фирмы, а также для криминальных структур. Интересно, что в мировой практике в течение последних нескольких десятков лет 80—90 % информации, интересующей конкурентов, получается последними из открытых источников — из газет, специальных журналов, на выставках и пр. Для этого многие фирмы даже используют специалистов, изучающих всю открытую информацию, «просеивающих» ее и выбирающих нужные сведения [6].
В деле защиты предпринимательской деятельности от различного вида угроз значительное место занимает персонал предприятия, который может стать как объектом, так и субъектом таких угроз. Этот процесс предполагает проведение превентивных и текущих мер, направленных на работу с кадрами. Важность работы с персоналом определяется тем, что в случае желания сотрудника разгласить сведения (в силу корыстных или других мотивов), являющиеся коммерческой тайной, воспрепятствовать этому не смогут никакие, даже дорогостоящие средства защиты. Западные специалисты по обеспечению экономической безопасности считают, что сохранность конфиденциальной информации на 80 % зависит от правильного подбора, расстановки и тренинга персонала.
Динамика статистики по преступлениям, связанным с неправомерным доступом к компьютерной информации с 1997 по 2006 гг. показывает, что темпы их прироста каждый год составляют 39 %
- 57
в год. Неправомерный доступ к компьютерным и телекоммуникационным системам ранее воспринимался как некая разновидность хулиганства, сегодня же данный вид преступления указан в ст. 272 УК РФ. Под понятием «неправомерный доступ к компьютерной информации» понимается деяние, повлекшее уничтожение, блокирование, модификацию либо копирование информации, содержащейся на машинном носителе, в ЭВМ, в системе ЭВМ или их сети [7].
Статистика свидетельствует также, что если коммерческая организация допускает утечку более 20 % важной внутренней информации, то она в 60 % случаях банкротится (6).
С развитием научно-технического прогресса усложняется и перечень задач, решаемых с помощью устройств, использующих информационные технологии, что требует усложнения и приводит к удорожанию программного обеспечения, которое обеспечивает работоспособность. Применяются все более совершенные способы защиты своей интеллектуальной собственности с целью минимизации ущерба от ее несанкционированного использования третьими лицами. На сегодняшний день информационные системы, стоимость которых превышает 3 000 руб., как правило, комплектуются машинными носителями информации, предназначенными для защиты от несанкционированного использования. Ранее таковыми в основном являлись ключевые дискеты, в настоящее время все чаще используются более совершенные и устойчивые к «взлому» аппаратные ключи и смарт-карты. Первые, как правило, используются для защиты программных продуктов, а последние — для защиты информационно-телекоммуникационных систем.
Усложнение систем защиты и удорожание компьютерной информации стимулировали мотивацию в форме соответственно самоутверждения и корысти у злоумышленников, пожелавших ею завладеть. При этом наиболее действенным способом снижения подобной мотивации может служить неотвратимость наказания — задача, решение которой в наибольшей степени зависит от сотрудников подразделений по борьбе с преступлениями в сфере информационных технологий.
Неправомерный доступ к компьютерной информации может осуществляться при помощи различных методов. К ним относятся:
• компьютерные вирусы («троянский конь») и «логические бомбы»;
• различные инструментальные средства «взлома» и копирования информации, в том числе кодов доступа, банковских реквизитов и т. п.;
58 -
• различного рода ошибки, сознательно вводимые преступниками в программное обеспечение ЭВМ и их сетей и т. п. Регулирование отношений, связанных с использованием конфиденциальной информации должно начинаться с основного документа — устава, в котором дается понятие коммерческой тайны и устанавливается ответственность за ее несоблюдение.
Для более эффективной организации работы по защите коммерческой информации весьма целесообразно разработать и утвердить Положение о коммерческой тайне на предприятии (фирме). Этот документ основывается на действующем законодательстве и отражает специфику данного субъекта предпринимательства. Он включает перечень сведений, составляющих коммерческую тайну, степень конфиденциальности информации, порядок доступа к информации и круг работников предприятия, допущенных к информации той или иной степени конфиденциальности.
Мы считаем, что следует учитывать мировой опыт по защите коммерческой информации. В разных странах существуют различные приоритетные направления защиты коммерческой информации (коммерческой тайны). Так, в Германии преобладают законодательные меры, в США и Франции, наряду с ними, предпочтение отдается организации собственных служб безопасности фирм, для Японии характерен корпоративный дух и долгосрочная занятость в фирме, в Великобритании защита обеспечивается договорными обязательствами. Принимая во внимание российскую специфику, мы выделяем следующие основные способы защиты информации, которые могут использоваться предпринимателями:
1) законодательный — основан на соблюдении тех прав предпринимателя на конфиденциальную информацию, которые содержатся в российском законодательстве. При обнаружении нарушения прав предпринимателя как собственника, владельца или пользователя информации он обращается в соответствующие органы (МВД, ФСБ, прокуратуру, суд) для восстановления нарушенных прав, возмещения убытков и т. п.;
2) физическая защита — охрана, пропускной режим, специальные карточки для посторонних, использование закрывающихся помещений, сейфов, шкафов и пр.;
3) организационный, который включает:
• введение должности или создание службы, ответственной за отнесение определенной информации к категории конфиденциаль-
ной, соблюдение правил доступа и пользования этой информацией;
• разделение информации по степени конфиденциальности и организация допуска к конфиденциальной информации только в соответствии с занимаемой должностью или с разрешения руководства;
• соблюдение правил пользования информацией (не выносить за пределы служебных помещений, не оставлять без присмотра во время обеда, включать сигнализацию при уходе);
• наличие постоянно действующей системы контроля за соблюдением правил доступа и пользования информацией (контроль может быть визуальный, документальный и др.);
4) технический — используются такие средства контроля и защиты как сигнализирующие устройства, видеокамеры, микрофоны, средства идентификации, а также программные средства защиты компьютерных систем от несанкционированного доступа;
5) работа с кадрами — предполагает активную работу кадровых служб фирмы по набору, проверке, обучению, расстановке, продвижению, стимулированию персонала. Следует регулярно проводить инструктажи персонала о необходимости соблюдения правил пользования конфиденциальной информацией и об ответственности за нарушения.
Часть этих способов предполагает значительные финансовые расходы, в связи с чем использование всех способов одновременно по средствам только достаточно крупным и платежеспособным фирмам.
В рамках международного сотрудничества ООН регулярно проводятся симпозиумы по профилактике и пресечению компьютерной преступности, целью которых является поиск адекватных путей противодействия на международном уровне. Кроме того, вырабатываются контрмеры против этого вида преступлений и универсально применимые стандарты и нормы, гарантирующие надежное использование компьютерных систем и средств
телекоммуникаций. Признано, что для выработки всесторонней стратегии по профилактике и борьбе с компьютерной преступностью необходим единый согласованный план действий, включающий неправительственные мероприятия, под которыми подразумевается программа инициатив по внедрению принципов ответственности в экономике и промышленности, стандартов профессиональной квалификации, технических и процедурных норм, а также межправительственные меры и международное сотрудничество, направленные на унификацию законодательных актов, развитие международных стандартов и координацию действий органов уголовной юстиции [4].
Самые современные аппаратные, программные и любые другие научные методы не могут гарантировать абсолютной надежности и компьютерной безопасности. В то же время свести риск потерь к минимуму возможно лишь при комплексном правовом и экономическом подходе к вопросам защиты компьютерной безопасности.
СПИСОК ЛИТЕРАТУРЫ
1. Копылов В. А. Информация как объект правоотношений в системах частного и публичного права. — НТИ. Организация и методика информационной работы. 2007. № 9. — С. 27.
2. Белецкий В. М. Безопасность предпринимательства: служебная и коммерческая тайна. Уч. пособие. — Сыктывкар: СГУ. 1998.
3. Северин В. А. Коммерческая тайна в России. — М.: Зерцало-М. 2007.
4. Северин В. А. Комплексная защита информации на предприятии. Уч. пособие. — М.: Городец. 2008.
5. Ястребов Д. А. Неправомерный доступ к компьютерной информации. — М. : Прима-Пресс. 2007.
6. Баутов А. Эффективность защиты информации. — Открытые системы, 2003. № 7, 8.
7. Резолюция AGN/64/P. RES/19 Генеральной ассамблеи Интерпола. По вопросу: компьютерно-ориентированная преступность.