Правове регулювання відносин у сфері захисту інформації з обмеженим доступом
Важливе значення, з точки зору інформаційної безпеки, має правове регулювання відносин у сфері захисту інформації з обмеженим доступом. Для підприємницької діяльності важливими питаннями є захист комерційної та банківської таємниці, а також комерційної інформації.
Правову основу комерційної таємниці складають положення Господарського кодексу України, Цивільного кодексу України, Кримінального кодексу України, Кодексу України про адміністративні правопорушення, Законів України «Про захист від недобросовісної конкуренції», «Про інформацію», інших правових актів.
Зокрема, сутність комерційної таємниці як виду інформації з обмеженим доступом, подається у Цивільному кодексі України.
Так, комерційною таємницею є інформація, яка є секретною в тому розумінні, що вона в цілому чи певній формі та сукупності її складових є невід’ємною та не є легкодоступною для осіб, які звичайно мають справу з видом інформації, до якого вона належить і у зв’язку з цим має комерційну цінність та була предметом адекватних існуючим обставинам заходів щодо збереження її секретності, вжитих особою, яка законно контролює цю інформацію.
За змістом комерційною таємницею можуть бути відомості технічного, організаційного, комерційного, виробничого та іншого характеру, за винятком тих, які відповідно до закону не можуть бути віднесені до комерційної таємниці.
Такий вид таємниці як комерційна стосується лише суб’єктів господарювання: юридичних осіб та фізичних осіб зареєстрованих як суб’єкти підприємницької діяльності. Право власності на такий вид інформації вони отримують через створення її власними силами та засобами або іншими особами на договірних засадах з суб’єктами господарювання за їх кошти і на їх користь, придбанням такої інформації у інших осіб.
Окремо регулюється порядок захисту комерційної таємниці суб’єктів господарювання у їх конкурентних відносинах. Так, відповідно до гл. 4 Закону України «Про захист від недобросовісної конкуренції»:
– неправомірним визнається збирання протиправним способом відомостей, що становлять комерційну таємницю за умов коли це завдало чи могло завдати шкоди суб’єкту господарювання;
– неправомірним визнається впровадження у виробництво або врахування під час планування чи здійснення господарської діяльності без дозволу уповноваженої на те особи (неправомірне використання) відомостей, що становлять комерційну таємницю;
– неправомірним визнається розголошення комерційної таємниці, тобто ознайомлення іншої особи без дозволу особи, уповноваженої на те, з відомостями, що відповідно до законодавства України становлять комерційну таємницю, особою, якій ці відомості були довірені або стали відомі у зв’язку з виконанням відповідних обов’язків, якщо це завдало чи
могло завдати шкоди суб’єкту господарювання;
– неправомірним вважається схилення до розголошення комерційної таємниці, тобто спонукання особи, якій були довірені у встановленому порядку або стали відомі у зв’язку з виконанням відповідних обов’язків відомості, що відповідно до законодавства України становлять комерційну таємницю, до розкриття цих відомостей, якщо це завдало чи могло завдати шкоди суб’єкту господарювання.
Такі дії суперечать нормам чинного законодавства і переслідуються у кримінальному, адміністративному чи цивільному (відшкодування шкоди) порядку.
Певну специфіку мають інформаційні відносини, предметом яких є банківська таємниця.
Згідно ст. 60 Закону України «Про банки і банківську діяльність» банківською таємницею є інформація щодо діяльності та фінансового стану клієнтів банку, яка стала відомою банку у процесі обслуговування клієнта та взаємовідносин з ним чи третіми особами при наданні послуг банку.
Тобто, банківська таємниця виникає тоді коли суб’єкти господарювання (підприємництва) стають клієнтами банків. Останні вважаються такими у разі отримання послуг банків. Враховуючи ж, що вказані суб’єкти здійснюючи свою фінансово-господарську діяльність обов’язково вдаються до послуг банків, виникнення в них банківської таємниці є закономірним фактом. В той же час слід зазначити, що статус банківської таємниці діє навіть тоді, коли суб’єкт (клієнт) припиняє відносини з банком. Інформація, що надана банку залишається в банку і закон не передбачає, що втрата відносин клієнта з банком припиняє статус банківської таємниці.
Зміст банківської таємниці конкретизовано у зазначеному законі і він є остаточним аж до поки в закон в установленому порядку не буде внесено відповідних змін. Зокрема вказується, що до складу банківської таємниці віднесено:
– відомості про банківські рахунки клієнтів, в т. ч. кореспондентські рахунки банків у НБУ;
– операції, які були проведені на користь чи за дорученням клієнтів, здійснені ними угоди;
– фінансово-економічний стан клієнтів;
– відомості про системи охорони банку і клієнтів;
– інформація про організаційно-правову структуру юридичної особи клієнтів, їх керівників, напрями діяльності;
– відомості стосовно комерційної діяльності клієнтів чи їх комерційної таємниці, будь-якого проекту, винаходів, зразків продукції та інша комерційна інформація;
– інформація щодо звітності по окремому банку за винятком тієї, що підлягає опублікуванню (ст. 70 ) Закону України «Про банки і банківську діяльність»;
– коди, що використовуються банками для захисту інформації.
Тут слід додати, що у зв’язку з появою законодавства про захист персональних даних, НБУ вніс певні доповнення до змісту банківської таємниці. Відповідно до постанови Правління НБУ від 11.07.2012р. №292 банківською таємницею є відомості або сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована, що стали відомі банку під час обслуговування фізичної особи та взаємовідносин з нею та взаємовідносин з нею чи третіми особами при наданні послуг банку.
Тобто, за своєю суттю і змістом банківська таємниця є єдиною для всіх банків і їх клієнтів, на відміну від комерційної таємниці.
Враховуючи особливий статус та значний обсяг електронної інформації в діяльності суб’єктів підприємництва законодавець передбачив відповідні правові умови відносин у сфері такої інформації. Основним правовим документом тут є Закон України «Про захист інформації в інформаційно-телекомунікаційних системах».
Згідно закону об’єктами захисту виступають:
– інформація, що використовується в інформаційно-телекомунікаційних системах;
– програмне забезпечення, яке використовується для обробки інформації.
Суб’єктами відносин, пов’язаних із захистом інформації в інформаційно-телекомунікаційних системах є:
– володільці інформації;
– власники систем;
– користувачі;
– уповноважений орган виконавчої влади з питань організації спецзв’язку та захисту інформації.
Взаємовідносини суб’єктів здійснюється на договірних засадах.
Порядок доступу до інформації, що оброблюється в системі, перелік користувачів та їх повноваження визначає власник інформації. У випадках коли в системах оброблюється інформація з обмеженим доступом, доступ до неї визначається законодавством. Положеннями закону врегульовано відносини поміж власниками інформації і власниками інформаційно-телекомунікаційних систем, між власниками різних систем, власниками систем і користувачами. Організація захисту інформації, що оброблюється у системах покладається на власників систем. За порушення порядку і правил захисту інформації, що оброблюється в інформаційно-телекомунікаційних системах може наступати адміністративна та кримінальна відповідальність.
Документообіг в електронному інформаційному просторі на сьогоднішній час є одним із елементів документування підприємницької діяльності. Безумовно, що він має бути в правовому плані врегульованим і захищеним. Це питання регулюється двома законодавчими актами: Закони України «Про електронні документи та електронний документообіг» і «Про електронний цифровий підпис», а також Положеннями «Про технічний захист інформації в Україні» і «Про порядок здійснення криптографічного захисту інформації в Україні».
Вказані вище Положення визначають порядок технічного захисту інформації та виконання криптографічного захисту інформації з обмеженим доступом.
Організовуючи забезпечення інформаційної безпеки суб’єктів підприємництва у стосунках з представниками засобів масової інформації необхідно досить грамотно орієнтуватись у законодавстві та правових актах, що регулюють діяльність суб’єктів масової інформації.
Зокрема доцільним буде ознайомлення з положеннями наступних правових актів:
– Закону України «Про порядок висвітлення діяльності органів державної влади та органів місцевого самоврядування в Україні засобами масової інформації»;
– Закону України «Про інформацію»;
– Закону України «Про друковані засоби масової інформації (пресу) в Україні»;
– Закону України «Про телебачення і радіомовлення»;
– Закону України «Про інформаційні агентства»;
– Закону України «Про авторське право і суміжні права»;
– Закону України «Про державну підтримку засобів масової інформації та соціальний захист журналістів»;
– Закону України «Про захист суспільної моралі».
Крім того, не зайвим буде ознайомитись з Кодексом професійної етики українського журналіста.
Враховуючи, що діяльність з забезпечення інформаційної безпеки суб’єктів підприємництва зазвичай передбачає взаємовідносини з правоохоронними та судовими органами, органами контролю та нагляду, які керуються спеціальними законодавчими актами, що регулюють їх діяльність, доцільним також буде ознайомлення з правами таких органів в інформаційній сфері:
– Закону України «Про прокуратуру»;
– Закону України «Про Національну поліцію»;
– Закону України «Про службу безпеки України»;
– Закону України «Про оперативно розшукову діяльність»;
– Закону України «Про організаційні основи боротьби з організованою злочинністю»;
– Закону України «Про судоустрій та статус судів»;
– Закону України «Про адвокатуру та адвокатську діяльність»;
– Закону України «Про Національний банк України»;
– Податкового кодексу України та іншими положеннями правових актів, що регулюють діяльність зазначених органів.
Питання правового регулювання інформаційної безпеки суб’єктів підприємництва не буде повним без нормативно-правових документів самих суб’єктів. Саме такі нормативно-правові документи, базуючись на положеннях законодавчих та підзаконних актів утворюють правові підстави та регулюють діяльність суб’єктів щодо встановлення відповідного інформаційного режиму їх інформаційних відносин з іншими суб’єктами, контрагентами, клієнтами, кредиторами і мають певне значення для взаємостосунків з державними органами. Якраз в таких документах обґрунтовується поведінка суб’єктів підприємництва в їх інформаційному просторі за різних умов.
На жаль на сьогодні, як і взагалі у сфері інформаційної безпеки суб’єктів підприємництва, так і в питаннях правового її регулювання нормативно-правовими документами самих суб’єктів стійкої позиції немає. Беручи до уваги мету, завдання та зміст інформаційної безпеки суб’єктів підприємництва, структуру процесу її організації та напрацьований досвід, можна рекомендувати наступний перелік таких нормативно-правових документів:
– Положення про комерційну таємницю та правила її зберігання на підприємстві;
– Положення про конфіденційну інформацію підприємства;
– Інструкція про порядок підготовки, обліку, зберігання та знищення документів, справ, видань і матеріалів, що містять комерційну таємницю та конфіденційну інформацію підприємства ;
– Положення про захист електронної інформації та електронних документів на підприємстві;
– Інструкція про порядок виконання документів, що надходять до підприємства від правоохоронних органів, судів та інших державних установ;
– Положення про архів і архівну діяльність підприємства;
– Інструкція про проведення службових розслідувань на підприємстві;
– Положення про інформаційно-аналітичну роботу на підприємстві;
– Інструкція з службового діловодства;
– Інструкція з спеціального діловодства;
– Правила використання, поширення та зберігання інформації підприємства у процесі його діяльності;
– Методики розробки інформаційних документів підприємства та надання інформаційних послуг;
– Пам’ятки працівникам підприємства щодо збереження інформації з обмеженим доступом тощо.
Незважаючи на значний перелік документів, всі вони утворюють правове поле суб’єкта підприємництва у сфері забезпечення його інформаційної безпеки, обґрунтовують поведінку суб’єкта у інформаційному середовищі.