Юридические и экономические аспекты обеспечения безопасности предпринимательской деятельности

Преступник  получает доступ к охраняемой информации без разрешения ее собственника или  владельца, либо с нарушением установленного порядка доступа. Способы такого неправомерного доступа к компьютерной информации могут быть различными – кража носителя информации, нарушение средств защиты информации, использование чужого имени, изменение кода или адреса технического устройства, представление фиктивных документов на право доступа к информации, установка аппаратуры записи, подключаемой к каналам передачи данных. Причем доступ может быть осуществлен в помещениях фирмы, где хранятся носители, из компьютера на рабочем месте, из локальной сети, из глобальной сети.

Все угрозы на объекты информационной безопасности по способу воздействия могут быть объединены в пять групп (8): собственно информационные, физические, организационно-правовые, программно-математические, радиоэлектронные. Последствия совершенных противоправных действий могут быть различными:

• копирование информации (оригинал при этом сохраняется);
• изменение содержания информации по сравнению с той, которая была ранее;
• блокирование информации – невозможность ее использования при сохранении информации;
• уничтожение информации без возможности ее восстановления;
• нарушение работы ЭВМ, системы ЭВМ или их сети.

Большую опасность  представляют также компьютерные вирусы, то есть программы, которые могут  приводить к несанкционированному воздействию на информацию, либо ЭВМ (системы ЭВМ и их сети), с теми же последствиями.

Правовое  обеспечение безопасности предпринимательской  деятельности от компьютерных преступлений основывается на том, что по российскому  законодательству защите подлежит любая  документированная информация, неправомерное  обращение к которой может нанести ущерб ее собственнику, владельцу, пользователю. Защита осуществляется в целях утечки, хищения, утраты, искажения, подделки информации, а также предотвращения несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращения других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечения правового режима документированной информации как объекта собственности (9). Кроме того, за перечисленные выше противоправные действия предусмотрена уголовная ответственность. И это представляется не случайным, поскольку угрозы компьютерным системам могут привести не только к значительным финансовым потерям, но и к необратимым последствиям – ликвидации самого субъекта предпринимательства.

Угрозы компьютерным системам и компьютерной информации могут быть со стороны следующих  субъектов:

• работники фирмы, использующие свое служебное положение (когда законные права по должности используются для незаконных операций с информацией);
• работники фирмы, не имеющие права в силу своих служебных обязанностей, но, тем не менее, осуществившими несанкционированный доступ к конфиденциальной информации;
• лица, не связанные с фирмой трудовым соглашением (контрактом).

В процессе своей  деятельности предприниматели, неоднократно испытывающие неправомерные действия других субъектов, не всегда обращаются в правоохранительные органы, либо вообще стараются не разглашать случаи посягательств на их компьютерные системы. Это связано с тем, что фирмы, коммерческие банки не хотят "отпугнуть" клиентов, потребителей тем фактом, что их компьютерные системы (а значит и вся информация, содержащаяся в них) недостаточно хорошо защищены. Латентная по своему характеру преступность приносит наибольший вред, поскольку безнаказанность преступников позволяет им продолжать и расширять свою преступную деятельность.

Обеспечение безопасности предпринимательской  деятельности со стороны компьютерных систем представляет собой один из блоков проблемы безопасности вообще. Защита от компьютерных преступлений должна начинаться с разработки концепции информационной безопасности фирмы. На основе вышеназванных принципов – вероятности угрозы, возможности защиты и экономической целесообразности защиты информации разрабатываются конкретные способы защиты.

Способы защиты можно разделить на две группы – организационные и технические. Организационные способы защиты связаны с ограничением возможного несанкционированного физического  доступа к компьютерным системам. Технические способы защиты предполагают использование средств программно-технического характера, направленных, прежде всего, на ограничение доступа пользователя, работающего с компьютерными системами фирмы, к той информации, обращаться к которой он не имеет права (подробнее о программно-технических и технических средствах обеспечения информационной безопасности см. Курушин В.Д., Минаев В.А. Компьютерные преступления и информационная безопасность. Справочник. – М.: Новый Юрист, 1998, с. 189-238). Специалисты-практики выделяют, например, такие основные направления технической защиты компьютерной системы:

• защита информационных ресурсов от несанкционированного доступа и использования – используются средства контроля включения питания и загрузки программного обеспечения, а также методы парольной защиты при входе в систему;
• защита от утечки по побочным каналам электромагнитных излучений и наводок – с помощью экранирования аппаратуры, помещений, применением маскирующих генераторов шумов, дополнительной проверкой аппаратуры на наличие компрометирующих излучений;
• защита информации в каналах связи и узлах коммутации – используются процедуры аутентификации абонентов и сообщений, шифрование и специальные протоколы связи;
• защита юридической значимости электронных документов – при доверительных отношениях двух субъектов предпринимательской деятельности и когда возникает необходимость передачи документов (платежных поручений, контрактов) по компьютерным сетям – для определения истинности отправителя документ дополняется "цифровой подписью" – специальной меткой, неразрывно логически связанной с текстом и формируемой с помощью секретного криптографического ключа;
• защита автоматизированных систем от компьютерных вирусов и незаконной модификации – применяются иммуностойкие программы и механизмы модификации фактов программного обеспечения (10).

Действенным способом ограничения несанкционированного доступа к компьютерным системам является также регулярная смена  паролей, особенно при увольнении работников, обладающих информацией о способах защиты.

Коммерческий  шпионаж

Одним из наиболее опасных для нормального осуществления  предпринимательства видов незаконной деятельности является коммерческий шпионаж. Коммерческий шпионаж – это действия лиц, направленные на незаконное получение  коммерческой информации, находящейся под защитой. Коммерческий шпионаж включает в себя промышленный шпионаж, производственный, научно-технический и т.п. Объектом коммерческого шпионажа является информация, составляющая коммерческую тайну. Как уже отмечалось, к ней относится информация: деловая, научно-техническая, производственная, организационно-управленческая, маркетинговая, финансовая, о персонале фирмы, программное обеспечение. Утечка этой информации может привести к реальным потерям для фирмы, либо к упущенной выгоде или к обоим последствиям сразу. Чаще всего коммерческий шпионаж осуществляется:

• конкурентами,
• криминальными структурами,
• лицами, стремящимися получить доход от перепродажи полученных незаконным путем сведений.

Конкуренты, получив информацию о секретах производства ("ноу-хау"), новейших научных разработках, планах других фирм, могут использовать ее для получения преимуществ в конкурентной борьбе, выпуска аналогичной продукции, либо для непосредственного воздействия на успех деятельности своих "противников" (срыв сделок, недопущение объединения конкурентов и пр.). Криминальные структуры чаще всего используют информацию для шантажа в целях получения незаконных доходов.

В условиях острой конкурентной борьбы каждая фирма, действующая  на рынке, неизбежно сталкивается с  необходимостью решения двух проблем. Первая связана с получением информации о деятельности конкурентов, причем как можно более полной, точной и своевременной. Без наличия такой информации невозможно строить производственную, научно-техническую, финансовую, рыночную стратегии и тактику поведения фирмы. Особенно важна информация, составляющая коммерческую тайну. Зачастую получение такой информации позволяет фирме экономить огромные суммы на научно-исследовательских работах и опытно-конструкторских разработках. Если способы получения информации выходят за разрешенные законом рамки (например, с помощью подкупа сотрудников, незаконного доступа к компьютерной системе), то эта деятельность может считаться коммерческим шпионажем.

Вторая проблема – защита конфиденциальной информации. Как сама фирма стремится узнать секреты других, так и ее конкуренты делают то же самое. Следовательно, каждая фирма может являться одновременно как объектом, так и субъектом коммерческого шпионажа, или, если использовать более "мягкий" термин – экономической разведки.

Субъектом коммерческого  шпионажа в развитых странах все  чаще становятся не сами фирмы-конкуренты, а специализированные коммерческие организации, основной целью деятельности которых как раз и является изъятие или защита конфиденциальной информации. В этих странах даже государственные спецслужбы вынуждены обеспечивать защиту наиболее важной коммерческой информации частных фирм от международного экономического шпионажа, поскольку потери от утраты информации такого рода достигают сотен миллиардов долларов.

Объектом  преступных посягательств являются люди (персонал фирмы), документы, технические  средства. Непосредственным носителем  информации могут быть бумажные документы, планы, отчеты, финансовые документы, чертежи, техническая документация, дискеты, кассеты. Наряду с названными выше используются технические средства коммерческого шпионажа. К ним относятся: направленные микрофоны, минирадиозакладки ("жучки"), звукозаписывающая аппаратура, специальные системы наблюдения, фотоаппаратура, приборы для съема информации с телефонных аппаратов, приборы для съема информации через стекло здания. Борьба с угрозами данного вида может быть эффективной, как правило, на основе:

• во-первых, соблюдения общих требований режима безопасности,
• во-вторых, создания собственной службы безопасности,
• в-третьих, обращения предпринимателей в соответствующие специализированные фирмы, агентства, оказывающие услуги по охране информации,
• в-четвертых, своевременного информирования правоохранительных органов.

Защита  коммерческой информации

Защита коммерческой информации как часть деятельности по обеспечению безопасности предпринимательства  в целом, предполагает, что возможные  противоправные посягательства на коммерческую информацию могут идти по различным  направлениям. В связи с этим эффективная защита информации должна предусматривать целую систему направлений деятельности, каждому из которых соответствует свой способ защиты.

Кроме того, следует учитывать мировой опыт по защите коммерческой информации. В  разных странах существуют различные приоритетные направления защиты коммерческой информации (коммерческой тайны). Так, в Германии преобладают законодательные меры, в США и Франции, наряду с ними, предпочтение отдается организации собственных служб безопасности фирм, для Японии характерен корпоративный дух и долгосрочная занятость в фирме, в Великобритании защита обеспечивается договорными обязательствами (подробнее см.: Шлыков В.В. Комплексное обеспечение экономической безопасности предприятия. – СПб: "Алетейя", 1999, с. 78-82). Принимая во внимание российскую специфику, выделяются следующие основные способы защиты информации, которые могут использоваться предпринимателями:

Законодательный. Основан на соблюдении тех прав предпринимателя на конфиденциальную информацию, которые содержатся в российском законодательстве. При обнаружении нарушения прав предпринимателя как собственника, владельца или пользователя информации должно быть обращение в соответствующие органы (МВД, ФСБ, прокуратуру, суд) для восстановления нарушенных прав, возмещения убытков и т.п.

Физическая  защита – охрана, пропускной режим, специальные карточки для посторонних, использование закрывающихся помещений, сейфов, шкафов и пр.

Организационный. Он включает:

• введение должности или создания службы, ответственной за отнесением определенной информации к категории конфиденциальной, соблюдением правил доступа и пользования этой информацией;
• разделение информации по степени конфиденциальности и организация допуска к конфиденциальной информации только в соответствии с должностью или с разрешения руководства;
• соблюдение правил пользования информацией (не выносить за пределы служебных помещений, не оставлять без присмотра во время обеда, включить сигнализацию при уходе);
• наличие постоянно действующей системы контроля за соблюдением правил доступа и пользования информацией (контроль может быть визуальный, документальный и др.).

Технический. Используются такие средства контроля и защиты как сигнализирующие устройства, видеокамеры, микрофоны, средства идентификации, а также программные средства защиты компьютерных систем от несанкционированного доступа.

Работа  с кадрами. Предполагает активную работу кадровых служб фирмы по набору, проверке, обучению, расстановке, продвижению, стимулированию персонала. Следует регулярно проводить инструктажи персонала о необходимости соблюдения правил пользования конфиденциальной информацией и об ответственности за нарушения.

Часть этих способов предполагает значительные финансовые расходы, в связи с чем использование  всех способов одновременно по средствам только достаточно крупным и платежеспособным фирмам.

Примечания

1. Предпринимательство и безопасность. Т.2.Ч.1. – М.: АНТИ, 1991, с.72.
2. Подробнее – см.: Федеральный Закон от 20 февраля 1995 г. "Об информации, информатизации и защите информации" № 24 – ФЗ.
3. Гражданский кодекс РФ, ст. 139.
4. Постановление Правительства РСФСР "О передаче сведений, которые не могут составлять коммерческую тайну" от 5 декабря 1991 г. № 35.
5. Казакевич О.Ю., Конев Н.В., Максименко В.Г. и др. Предприниматель в опасности: способы защиты. Практическое руководство для предпринимателей и бизнесменов. – М.: Юрфак МГУ, 1992, с. 46-47.
6. Степанов Е. "Кроты" на фирме (персонал и конфиденциальная информация) // Предпринимательское право, 1999, ¹4, с.54.
7. Строго говоря, объектом могут являться и сами компьютеры, как материальные ценности, однако в данном случае этот аспект не рассматривается.
8. Курушин В.Д , Минаев В.А. Компьютерные преступления и информационная безопасность. – М.: Новый юрист, 1998, с.172.
9. Федеральный закон от 20 февраля 1995 г. "Об информации, информатизации и защите информации" № 24-ФЗ, ст.ст. 20, 21.
10. Финансы и безопасность. Интеллектуальный подход. – М.: Центр стратегического планирования, 1994, Р. 5, cю1-2.