Блоги Юридическая безопасность

Актуальные проблемы правового обеспечения информационной политики предприятия

Юридическая безопасность \\ 15.07.2010 02:00

П. У. Кузнецов , кандидат юридических наук, доцент, заведующий кафедрой информационного права и естественнонаучных дисциплин УрГЮА Влияние информации на многие формы человеческой деятельности в современную эпоху качественно изменилось.

П. У. Кузнецов , кандидат юридических наук, доцент, заведующий кафедрой информационного права и естественнонаучных дисциплин УрГЮА

Влияние информации на многие формы человеческой деятельности в современную эпоху качественно изменилось. Скачкообразное развитие научно-технического прогресса привело к массовому внедрению информационных технологий в экономике, промышленности и быту.

Связанные с этим глобальные изменения в общественных отношениях дают повод исследователям в этой области сделать вывод о свершившейся информационной революции, общий смысл которой ими видится в том, что информационные технологии позволяют преобразовывать человеческое сознание – как индивидуальное, так и общественное. Именно эта качественная черта революционного процесса в современном человеческом обществе делает наиболее выгодным видом деятельности преобразование мировосприятия, миропонимания и мировоззрения в наиболее выгодном русле. Речь идет о навязывании гражданам единой для всех модели восприятия мира, созданной без учета индивидуальных интересов 1 .

Несмотря на то, что выводы авторов концепции информационной революции отличаются наиболее крайними оценками влияния информации на человеческие отношения, их аргументы все же, по меньшей мере, выглядят интересными.

Сегодня для многих очевидны «мягкие» методы использования информационных технологий в финансовой области (особенно в период крупных финансовых катастроф типа «дефолта»), в контроле за производством и качеством товаров, информационном воздействии на граждан во время избирательных кампаний со стороны средств массовой информации и т. д.

Скачкообразность технического прогресса стала для человека почти незаметна, и уже нет удивления новинкам в технике получения, передачи и обработки информации (ноутбук, карманные модификации вычислительных средств, мобильные телефоны, миниатюрные считывающие устройства и др.). Технологические изменения и скорость обновление компьютерной техники стали привычными для современного специалиста любой области человеческой деятельности.

Стремительное развитие информационных технологий (ИТ) в последние годы ошеломляет современников своими масштабами. Темпы роста рынка продуктов ИТ к концу 90-х годов прошлого века достигли 30 % в год, в абсолютных показателях до одного триллиона долларов. По объему продаж информационный сектор экономики США вышел на первое место, обогнав авиационную и автомобильную промышленность. Доля работников, занятых в секторе компьютерной индустрии в развитых странах мира, сегодня почти превышает 50 % 2 . Известно, что список ТОП-100 богатейших людей мира возглавляют Билл Гейтс и Пол Аллен – основатели компании Microsoft, общая стоимость которой составляет более 500 миллиардов долларов (примерно двадцать годовых бюджетов России). По данным журнала «M VOGUE», четверть сотрудников компании Microsoft (7,5 тысячи) стали миллионерами 3 .

Новизна информационных технологий стала побудительным мотивом изменения стиля для многих отраслей управления, даже для самых, казалось бы, консервативных из них: государствоведения и юриспруденции. Электронный документооборот постепенно вытесняет «аналоговый» метод обработки и передачи документа. Многие традиционные сферы государственного управления почти полностью преобразованы в электронную форму представления обмена информации (статистические, налоговые, регистрационные, паспортные и др.).

Федеральной программой «Электронная Россия 2002–2010», принятой Правительством Российской Федерации 25 октября 2001 г., предусмотрено сделать важный шаг на пути движения страны к массовой информатизации – повсеместному внедрению компьютерной техники и использованию информационных технологий во всех областях жизнедеятельности.

По своим масштабам этот процесс сопоставим с такими известными в нашей отечественной истории движениями, как электрификация, индустриализация и коллективизация.

Например, в образовательной деятельности такая цель поставлена федеральной целевой программой «Развитие единой образовательной информационной среды (2001–2005 годы)», утвержденной постановлением Правительства РФ № 630 от 28 августа 2001 г. Предполагается, что к концу 2005 г. будет, в основном, сформирована информационно-технологическая инфраструктура системы образования и использование информационных технологий в учебном процессе.

Однако путь к информационному обществу тернист. Названные информационные процессы требуют к себе пристального внимания со стороны специалистов в области комплексного их обеспечения. Наряду с технологическими системами в последние годы становится актуальной и выдвигается в число ведущих правовая система обеспечение информатизации и формирования информационных ресурсов развития России 4 .

Информационная сфера жизнедеятельности постепенно проходит путь юридического оформления, что уже находит отражение в новой отрасли законодательства.

Вместе с тем бурно начавшийся в начале своего развития процесс формирования информационного законодательства в настоящее время затормозился, информационно-нормативный массив более чем ста законодательных актов в немалой степени противоречив, его понятийный аппарат далек от совершенства. Многие проблемы обеспечения информационной деятельности не всегда находят своего адекватного правового решения, вследствие чего правовые условия общественных отношений в информационной сфере недостаточно прочно гарантируют реализацию прав субъектов таких отношений.

Отсутствие адекватной реакции законодателя на появление новых форм общественных отношений, формирование информационной отрасли экономики и соответствующих ей форм делового оборота привели к возникновению невиданных ранее форм антиобщественного поведения. Скрытный характер совершаемых компьютерных нарушений нередко ставит руководителей организаций в затруднительное положение.

Бурный рост злоупотреблений в информационной сфере привел к высокой степени риска деятельности в этой сфере. Пользуясь технологическими особенностями информационной среды, а также объективным фактором отсутствия жесткого ее регламентирования, злоумышленники препятствуют массовому использованию преимуществ новой высокотехнологической сферы деятельности.

Важным условием преодоления названной ситуации и успешного развития эффективного информационного законодательства является научный анализ его проблем.

В конце 90-х годов усилия общественности способствовали появлению и признанию новой научной юридической специальности «информационное право» в номенклатуре специальностей научных работников. В настоящее время название научной специальности 12.00.14 объединяет: административное право, финансовое право, информационное право.

Легитимность новой научной отрасли юридической науки способствует более глубокому анализу существующих проблем формирования правовых основ общественных отношений в области информатизации, более глубокому пониманию информационных процессов в юридической среде, формированию специалистов в области разработки проектов нормативно-правовых актов информационного характера. Названные обстоятельства способствуют появлению новой комплексной отрасли правовой системы – информационного права 5 .

Процесс формирования новой отрасли правового обеспечения общественных отношений носит двусторонний характер. С одной стороны, он требует глубокого комплексного анализа проблем практической информатики специалистами с расширенным диапазоном информационных знаний, глубоко изучающими информационные процессы сбора, производства, обработки, хранения, защиты, передачи и использования информации. С другой стороны, «внутриотраслевая» научная рефлексия специалистов общей теории права и традиционных отраслей (гражданского, административного, трудового, уголовного, международного, процессуального и др.) позволяет более эффективно исследовать проблемы общественных отношений в информационной сфере человеческой деятельности. Таким образом, комплексные (сочетанные) методы познания и правовой организации хаотично развивающихся информационных процессов дают суммативный методологический эффект принятия правовых решений.

В условиях неопределенности стратегии развития информационного законодательства многие предпринимательские структуры и корпорации ищут неординарные пути и способы защиты своих интересов в информационной сфере. Этому процессу способствуют не только условия жесткой (порой, недобросовестной) конкуренции, но и сам характер предпринимательской деятельности, когда деловая информационная разведка стала обычной практикой бизнес-анализа 6 .

Однако методологический путь каждая из корпораций проходит по-разному. Наиболее крупные предприятия, обладая высоким потенциалом и ресурсами, имеют возможность создавать самостоятельные структурные подразделения, занимающиеся разработкой и реализацией мер защиты собственных информационных ресурсов и систем. Представители среднего и мелкого бизнеса находятся в более уязвимой зоне информационного воздействия со стороны конкурентов, поскольку не могут позволить себе отвлечение весьма существенных объемов своих доходов на эти цели.

Тем не менее все без исключения предприятия сегодня находятся в современной информационной парадигме развития. Информационная сфера предпринимательства является важным условием их деятельности. Она их и объединяет. Сегодня уже никто не может быть деятельным и преуспевающим вне информационно-технологической среды, вне ее пределов. Информационные технологии уже прочно «вросли» в живую ткань деловой жизни и динамично развивающихся бизнес-проектов.

Обобщая опыт информационной деятельности разных по объему выпускаемой продукции и характеру деятельности организаций, можно все же сформулировать общие правила жизни и основные предпосылки успеха в информационной среде деятельности любой компании. Соблюдение таких условий значительно снижает предпринимательский риск.

Информационные формы деятельности требуют, прежде всего, ясного их понимания со стороны руководителей и основного персонала фирм. Работа с информацией в современных условиях отличается не только массивом и многообразием ресурсов, постоянным обновлением технологий ее обработки, повышенным вниманием и контролем за персоналом, но и грамотным уровнем управления фирмой.

Известно, что процесс массового внедрения компьютерной техники и информационных технологий наряду с прогрессивным началом неизбежно создает и дополнительные проблемы. Они связаны с реальными угрозами безопасности предприятий, с потерей стратегически важной информации, а вместе с этим и утратой управляемости компании.

В целях сокращения побочных явлений повсеместного использования новых информационных технологий руководство организаций определяет стратегию своей деятельности в информационной сфере.

Стержневым началом такой стратегии должна быть информационная безопасность, определяемая как состояние защищенности интересов предприятий или организации в информационной сфере.

Все направления деятельности предприятия, в которых прямо или косвенно используются информационные технологии, фокусируются в рамках обеспечения информационной безопасности.

Каждая корпорация или предприниматель в зависимости от их условий деятельности разрабатывает свой вариант системы, определяющей стратегию защиты своих интересов в информационной сфере. На основе разработанного и принятого на предприятии основополагающего документа разрабатываются другие нормативные акты либо технические инструкции.

Например, если разрабатывается Положение об информационной безопасности в организации, в нем могут быть предусмотрены элементы информационной политики, порядок защиты коммерческой тайны, порядок использования линий связи и телекоммуникаций, порядок защиты компьютерной информации, режим использования информационных технологий, кадровая политика в информационной сфере и др.

В соответствии с Положением об информационной безопасности разрабатываются инструкции по отдельным направлениям работы с информацией и использования информационных технологий. Инструкции во всех случаях носят, как правило, отраслевой либо межотраслевой характер (например, инструкция по работе, коммерческой тайной или использованию линий связи).

Ключевым обстоятельством для любой организации с серьезными намерениями и устойчивыми хозяйственными связями является выработка корпоративной политики информационной безопасности, под которой понимается совокупность стратегических управленческих решений, направленных на защиту ее интересов в информационной сфере. Иногда политика информационной безопасности включается в общую информационную политику, разрабатываемую в организации. Нередко руководители корпораций проводят грамотную информационную политику, ограничиваясь только общими условиями информационной безопасности. Все зависит от корпоративных особенностей.

Целью любой информационной политики является создание условий использования деловой информации в соответствии с правилами разграничения доступа, которые бы исключали опасность причинения ущерба организации, обеспечивали ее устойчивость и эффективность, а также конкурентоспособность продукции, товаров либо услуг.

Задачами политики корпорации являются:

1) создание необходимых организационно-правовых условий информационной безопасности;

2) выявление и нейтрализация угроз информационной безопасности;

3) организация системы управления информационными ресурсами, информационными системами и информационной безопасностью;

4) совершенствование документооборота и режима сохранности информации;

5) совершенствование технического и технологического обеспечения работы с информацией.

Корпоративная информационная политика (или информационной безопасности) формируется в соответствии с основными принципами или руководящими началами. Им должны следовать все без исключения работники организации: от первого руководителя до охранника, водителя или технички.

Прежде всего, это взаимозависимость и комплексность всех видов безопасности предприятия. Этот «краеугольный камень» является наиболее общим из всех принципов, он возлагается «во главу угла» не случайно.

Решая вопросы общей безопасности организации, невозможно не учитывать других стратегических условий ее деятельности. Продумывая общую политику, руководитель использует весь комплекс имеющихся у него средств управления: административный ресурс, финансы, кадры и их интеллектуальный потенциал, корпоративную правовую систему, технические условия и др. В зависимости от конкретной ситуации он может использовать все вместе названные рычаги и инструменты, а может только некоторые из них. Умелое использование названного арсенала приводит к наиболее разумному и эффективному менеджменту. Оптимальное соотношение административного и финансового ресурса, помноженное на грамотную кадровую политику, пожалуй, является одним из самых верно выбранных векторов создания благоприятного информационного климата деятельности предпринимателя. Эта формула нередко восполняет отсутствие возможности использовать материальные ресурсы для укрепления информационной безопасности.

Вторым началом является целостность информационной системы и устойчивость функционирования.

Надежность информационных средств обеспечения принятия управленческих решений во многом зависит от сохранения целостности всего информационного комплекса на всех стадиях управленческого цикла. Сбой на одной стадии информационного процесса может повлечь разрушение системы в целом.

При этом необходимо только помнить о том, что излишнее нагромождение организационно-технических и технологических средств защиты может значительно осложнить доступ к информационной системе и нарушить производственный процесс.

Третьим принципом обеспечения информационной политики является разумное соотношение открытости информации и ограничение доступа к информационным ресурсам.

Условия ограничения доступа к корпоративной информации повышенного стратегического значения (коммерческой тайне) должны быть сформулированы и детально регламентированы во внутренних документах таким образом, чтобы была исключена возможность их нарушения.

При этом необходимо соблюдать разумные начала в ограничении доступа к открытой информации и соответствующие пропорции, основанные на экономической целесообразности деятельности фирмы. Причем эти соотношения могут находиться в постоянном обновлении, поскольку жизнь вносит коррективы. Излишняя перестраховка и стремление «закрыть» большие информационные массивы может повредить эффективному ведению бизнеса.

Четвертым условием эффективной информационной политики должно быть постоянное изменение ее режима. Правила пользования информационной системой должны периодически изменяться с целью сокращения риска нарушения ее целостности. Обновлению должны подвергаться не только так называемые «технологические» условия защиты информации, но и общие организационно-правовые правила. Информационная система и вся стратегия информационной работы должна постоянно развиваться и совершенствоваться. Руководители организаций нередко слишком доверяют своим работникам технико-технологических служб, ограничиваются только изменением технологических схем информационной работы и упускают из вида собственные организационно-правовые ресурсы. Они забывают, что простое изменение или дополнение к инструкции порой дает значительно больший эффект воздействия на укрепление защиты информации.

Пятым постулатом является введение контроля за реализацией разработанной политики. Особенно когда речь идет о технологии защиты информации. Пользователь корпоративной информационной системы постоянно должен знать и помнить о том, что любая операция в вычислительной сети фиксируется и контролируется на организационном и технологическом уровне. Тогда будет выработана у него привычка дисциплинированного пользователя информации. Контроль проявляется еще и в постоянной проверке надежности системы защиты. Формы и способы могут быть различными. Современные информационные средства обработки информации стали не только более совершенными, но и намного уязвимее, чем прежде. Сетевая инфраструктура и телекоммуникационный интерфейс создают массу возможностей для быстрого копирования информации и ее передачи незаметно. Поэтому необходимо устанавливать такой регламент работы с информацией, который сводит к минимуму потенциал технических и технологических возможностей 7 .

Для любой организации больным является вопрос об уровне материальных затрат, связанных с финансированием мероприятий по укреплению информационной безопасности. Вопрос действительно непростой. Практика уже выработала свой критерий – оптимальность. Параметры здесь могут быть разные. Все зависит от того, какие задачи ставит перед собой руководство фирмы или промышленного предприятия, создавая и поддерживая на достаточном уровне состояние защиты своих информационных интересов.

Наконец, еще один постулат должен быть положен в основу формирования информационной политики – профессионализм. Весь персонал организации, а также третьи лица, имеющие доступ к корпоративной информационной системе, должны иметь достаточный уровень подготовки и обучения правилам пользования информацией, а также основным навыкам в сфере применения информационных технологий и информационной безопасности. Практически у каждого работника должна быть памятка основных правил соблюдения информационной безопасности.

Корпоративная политика организации информационной безопасности должна быть сфокусирована, в основном, на следующих направлениях:

– организационное обеспечение;

– правовое обеспечение;

– техническое и технологическое обеспечение.

Организационные мероприятия начинаются с планирования этой работы и изучения состояния защищенности в организации.

На первом этапе следует тщательно проанализировать общее состояние защиты информационной системы фирмы.

По результатам анализа необходимо продумать последовательность действий по совершенствованию информационной работы. После этого можно будет приступать к разработке нормативных документов, начав при этом с издания общего приказа руководителя. В приказе должна быть дана оценка состояния информационной безопасности и утвержден план комплексных мероприятий по ее укреплению.

Реализация комплексного плана является по существу вторым этапом. Мероприятия такого плана, как правило, включают в себя правовые, организационные, технологические и технические действия.

В комплекс правовых мероприятий входит разработка и принятие локальных нормативных правовых актов, регламентирующих процесс образования и обеспечения системы защиты интересов организации, ее собственников, партнеров и клиентов в информационной сфере. Издание приказа руководителя организации является первым и самым важным таким нормативным актом.

В том случае, если в организации не были разработаны и приняты концептуальные положения информационной политики, необходимо принять такой документ с тем, чтобы дальнейшая работа по организации и совершенствованию информационной системы велась грамотно и последовательно.

Следующим важным правовым условием является составление должностных инструкций, а также принятие новой редакции трудовых договоров с работниками организации.

Каждый из документов (положения, инструкции, руководства, должностные инструкции, технические требования и т. д.) может содержать нормы-принципы, нормы прямого действия, взятые из федеральных нормативных документов, ссылки на другие документы локального характера.

При составлении инструкций желательно использовать метод «распределения» информации с тем, чтобы документ был адресован не всем работникам, а только тем, кто непосредственно ответственен за ту или иную функцию информационной работы.

Нормы и правила инструкций необходимо формулировать как можно проще с тем, чтобы исключить двойное их толкование.

Еще одно замечание. Желательно, чтобы все пользователи информации, особенно пользователи средств вычислительной техники, имели при себе «памятку», в которой могут быть изложены основные извлечения из правил, прямые запреты и возможные последствия их нарушения. Такие «рецепты на каждый день» помогут создать обстановку привыкания к соблюдению правил информационной работы, а также сведут к минимуму угрозы утраты и утечки важной информации. Знания об условиях обработки информации, о правилах ее хранения и использования, почерпнутые из различных корпоративных документов, сформулированные и сжатые в «памятках», вырабатывают не только навыки информационной работы, но и формируют информационную культуру, то есть новое качественное состояние пользователей информации и информационных систем.

В заключение хочется отметить, что краткий обзор проблем организации правовой защиты не может охватить масштабность задач по укреплению порядка в информационной деятельности. Отдельные ее стороны, например, проблемы выработки правового регламента работы с коммерческой тайной, требуют отдельного самостоятельного анализа. Требуют отдельного дискурсивного анализа проблемы формирования сводных правил информационной деятельности в виде Кодекса корпоративного поведения. К этому, возможно, придется еще вернуться на страницах журнала.

1. Делягин М. Информационная революция, глобализация и кризис мировой экономики. Проблемы теории и практики управления, 22 ноября 2001, № 1.

2. Независимая газета – НАУКА, 2000 г.

3. «M VOGUE», осень, 2002.

4. Информационные ресурсы развития Российской Федерации: Правовые проблемы / Ин-т государства и права. М.: Наука, 2003.

5. Бачило И. Л. Важный шаг в признании легитимности информационного права. – Информационное общество, 2000, вып. 6, С. 58–60; Она же: Информационное право: основы практической информатики. Учебное пособие. М.: 2001, С. 9.

6. Токарев Б. Е. Методы сбора и использования маркетинговой информации: Учебно-практич. пособие. М. : Юристъ, 2001; Баяндин Н. И. Технология безопасности бизнеса: Учебно-практич. пособие. М.: Юристъ, 2002; Доронин А. И. Бизнес-разведка. М.: Изд-во Ось-89, 2002.

7. Защита информации, конфидент, 2003, С. 28–44, № 3.

Журналы

РУБЕЖ

РУБЕЖ

"RUБЕЖ" - это первый в России отраслевой lifestyle-журнал по теме безопасности. Он адресован, прежде всего, интеграторам, поставщикам оборудования, должностным лицам и сотрудникам специализированных служб.

Безопасность зданий и сооружений

Безопасность зданий и сооружений

Журнал-каталог для руководителей и специлистов градосторительного комплекса, ЖКХ, инвесторов, девелоперов, владельцев крупных имущественных комплексов.

Безопасность объектов топливно-энергетического комплекса

Безопасность объектов топливно-энергетического комплекса

Отраслевой специализированный журнал "Безопасность объектов ТЭК"

Интервью

Интервью с региональным менеджером по продажам "HID Global" в России и СНГ Сергеем Гордеевым.

Интервью с региональным менеджером по продажам "HID Global" в России и СНГ Сергеем Гордеевым. \\ 05.04.2017

Многочисленные исследования показывают, что существуют опасения относительно безопасности мобильных устройств, чему противопоставлен растущий спрос на подобные решения.

Участник форума СИИС-2017 – Западно-Сибирское Метеоагентство: «Мы открыты к обсуждению любых проектов и сотрудничеству там, где наш опыт будет полезен»

Участник форума СИИС-2017 – Западно-Сибирское Метеоагентство: «Мы открыты к обсуждению любых проектов и сотрудничеству там, где наш опыт будет полезен» \\ 30.03.2017

Западно-Сибирское Метеоагентство – это некоммерческая организация, которая внедряет современные технологии в области экологии, мониторинга окружающей среды, коммуникации, менеджмента и маркетинга для развития различных видов гидрометеорологической деятельности на территории Западной Сибири

вверх