2. Потенційні викрадачі комерційної таємниці

Потенційні викрадачі комерційних таємниць: конкуренти; постачальники; особи, які займаються біржовими спекуляціями; незадоволені працівники; особисті вороги керівників; державні органи контролю (правоохоронні, податкові та ін.).

Викрадення, привласнення, вимагання комп'ютерної інформації або заволодіння нею шляхом шахрайства чи зловживання службовою особою своїм службовим становищем - караються штрафом від п'ятдесяти до двохсот неоподатковуваних мінімумів доходів громадян або виправними роботами на строк до двох років.

Проблема захисту комерційної таємниці має багато аспектів, серед яких найважливішими є визначення правового положення комерційної таємниці як соціального ресурсу, юридичне закріплення права на комерційну таємницю та створення правових гарантій реалізації цього права, регулювання відносин, які виникають в сфері обігу комерційної таємниці.

Що стосується використання понять «ділові секрети», «виробничі секрети», «торгівельні секрети» тощо, в Україні законодавцем визначено, що всі ці види секретів можна об’єднати в один узагальнюючий термін – комерційна таємниця, що і знайшло своє закріплення на законодавчому рівні.

Способи одержання інформації:

законні:

— збір і аналіз інформації з офіційно опублікованих джерел;

— відвідування виставок та ярмарок, влаштованих конкурентами;

— придбання і дослідження виробів конкурента (зворотна інженерія);

незаконні:

— вивідування потрібної інформації у спеціалістів конкурента;

— переманювання ведучих спеціалістів з метою одержання потрібної інформації;

— підкуп співробітників із ключових відділів конкурента;

— засилка агентів на фірму чи в близьке оточення ведучих спеціалістів;

— викрадення креслень, документів, зразків виробів;

— негласний контроль за кореспонденцією;

— незаконне одержання інформації в державних чиновників шляхом підкупу;

— одержання інформації з використанням технічних засобів (контроль телефонних розмов, встановлення підслуховуючої апаратури і т. п.);

— обманні переговори і, після одержання інформації, відмова від предмету переговорів (договори, угоди);

— обманне пропонування роботи спеціалістам із фірм суперників з метою заволодіння інформацією.

Інформація, найчастіше, є не тільки набором відомостей про фірму або проект, але й товаром, що продають і купують. У цьому випадку втрата навіть частини такої інформації веде до більших неприємностей, аж до катастрофи бізнесу або банкрутства фірми. Я думаю зрозуміло, чому всіма силами варто піклуватися про інформаційну безпеку компанії або власного бізнесу. Якої ж погрози існують для інформації? Куди і як вона може раптом "витекти" або "випаруватися"?

У першу чергу, погрозу для інформаційної безпеки фірми представляють різного виду, форми й електронної начинки технічні пристрої для прослуховування, підглядання й вилучення різного роду інформативного вмісту. Існує цілий комплекс мер, створений для забезпечення надійного захисту від різного роду "жучків" і "прослушек".

Безпосередню небезпеку для інформаційного простору будь-якої фірми являють собою самі співробітники компанії. Неблагонадійні й надмірно говіркі працівники можуть (іноді навіть не підозрюючи про це) легко видати важливий секрет фірми або коштовну інформацію з телефону або просто в розмові з "товаришем". Тому велике значення має внутріфірмовий контроль над поводженням і розмовами співробітників, а в деяких випадках - і поза стінами фірми. Це може здатися надмірним утиском їхньої особистої волі, але, коли мова заходить про багатомільйонні втрати прибутку або, не дай боже, про штрафні санкції або банкрутство підприємства, тут вже не до сантиментів.

Таким чином, на підприємстві формується досить негативна атмосфера невдоволення. Напевно тому вже сьогодні на деякі підприємства (переважно іноземні) досить складно влаштуватися, якщо там працюють ваші родичі. А у випадку якщо вони займають керівні пости - практично неможливо.

Отже, система захисту інформаційної системи повинна будуватися виходячи з наступних припущень про наступні можливі типи порушників правил безпеки в системі:

1. "Недосвідчений (неуважний) користувач" - співробітник, що може робити спроби виконання заборонених операцій, доступу до недоступним йому ресурсам, які захищаються, інформаційній системі, введенню некоректних даних тощо . дії помилково, некомпетентності або недбалості без злого наміру й що використовує при цьому лише штатні (доступні йому) апаратні й програмні засоби.

2. "Аматор" - співробітник, що намагається перебороти систему захисту без корисливих цілей, з метою самоствердження (з "спортивного інтересу"). Для подолання системи захисту й здійснення заборонених дій він може використовувати різні методи одержання додаткових повноважень доступу до ресурсів (імен, паролів тощо інших користувачів), недоліки в побудові системи захисту й доступні йому штатні (установлені на робочій станції) програми (несанкціоновані дії за допомогою перевищення своїх повноважень на використання дозволених засобів). Крім цього він може намагатися використовувати додатково позаштатні інструментальні й технологічні програмні засоби (отладчики, службові утиліти), самостійно розроблені програми або стандартні додаткові технічні засоби.

3. "Зовнішній порушник (зловмисник)" - стороння особа або співробітник, що діє цілеспрямовано з корисливих інтересів або із цікавості й "спортивного інтересу", можливо в змові з іншими особами.

4. "Внутрішній зловмисник" - співробітник, що діє цілеспрямовано з корисливих інтересів або мести за нанесену образу, можливо в змові з, співробітниками, які не є співробітниками. Він може використовувати весь набір методів і засобів злому системи захисту, включаючи агентурні методи одержання реквізитів доступу, пасивні засоби (технічні засоби перехоплення без модифікації компонентів системи), методи й засоби активної дії (модифікація технічних засобів, підключення до каналів передачі даних, впровадження програмних закладок і використання спеціальних інструментальних і технологічних програм), а також комбінації дій як зсередини, так і ззовні - з мереж загального користування.

Порушник може бути з наступних категорій персоналу:

- зареєстровані користувачі системи (співробітники підрозділів);

- персонал, що обслуговує технічні засоби автоматизованої системи (інженери, техніки);

- співробітники відділів розробки й супроводи програмного забезпечення (прикладні й системні програмісти);

- технічний персонал, що обслуговує будинки (прибиральниці, електрики, сантехніка й інші співробітники, які мають доступ у будинки й приміщення, де розташовані компоненти автоматизованої системи);

- співробітники служби безпеки автоматизованої системи;

- керівники різних рівнів.

Сторонні особи, які можуть бути порушниками:

- клієнти (представники організацій, громадяни);

- відвідувачі (запрошені по якому-небудь приводі) представники конкуруючих організацій (злочинних організацій, іноземних спецслужб) або особи, які діють по їхньому завданню;

- представники організацій, які взаємодіють із питань забезпечення життєдіяльності організації (енерго-, водо-, теплопостачання тощо);

- люди, які випадково або навмисно проникнули в мережі автоматизованої системи із зовнішніх мереж телекомунікації [5, c. 49-52].