ОРГАНІЗАЦІЙНО-ПРАВОВІ ПИТАННЯ ВИЗНАЧЕННЯ СТРУКТУРНО-ФУНКЦІОНАЛЬНИХ СКЛАДОВИХ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ У СКЛАДІ ЗАГАЛЬНОЇ БЕЗПЕКИ ПІДПРИЄМСТВ

У системі законодавства України категорія "інформаційна безпека" має конституційний статус, вона знайшла відображення у ст. 17 Конституції України. У той самий час законодавець дав можливість засновникам підприємств самім формулювати основні структурно-функціональні складові цієї категорії в статутах та положеннях, тим самим створивши широке коло для її розуміння і тлумачення [1].

Складова організаційно-правового регулювання інформаційної безпеки підприємств є стержнем, який зв'язує в одну систему всі інші елементи. Основною проблемою при розробці методів організації систем інформаційної безпеки та їх моделей, є формування регламенту дозвільної (обмежувальної) системи, доступу персоналу до конфіденційних відомостей, документів і баз даних, а головне розмежування повноважень та службових обов'язків всіх суб'єктів цих правовідносин.

Організаційно-правові заходи повинні відображатися в нормативно-методичних документах служби безпеки підприємства. У зв'язку з цим розглядаються дві складові моделей систем інформаційної безпеки підприємств: організаційно-правове регулювання та методологія функціонування [2].

Отже, модель інформаційної безпеки, яка використовується підприємством, є індивідуалізованою сукупністю необхідних складових безпеки, кожний з яких окремо вирішує свої специфічні для даного підприємства завдання і володіє конкретизованим відносно цих завдань змістом.

Загрози документам в документопотоках можуть включати: викрадення, копіювання паперових і електронних документів; випадкове або зловмисне знищення цінних документів і баз даних; маскування під зареєстрованого користувача; витік інформації по технічним [3].

У великих підприємствах з великим об'ємом документів захищеність інформації досягається за рахунок: формування самостійних, ізольованих потоків і, додаткового дроблення їх на ізольовані потоки у відповідності з рівнем конфіденційності (рівнем грифу) документів, що переміщаються; використання централізованої автономної технологічної системи обробки і зберігання конфіденційної інформації, ізольованої від інших систем; організації самостійного підрозділу (служби) конфіденційної документації або аналогічного підрозділу, що входить у склад служби безпеки [4].

В підприємствах з невеликим штатом співробітників та об'ємом опрацьованих документів (наприклад, в малому бізнесі), а також в структурах, основна маса документів в яких є конфіденційною (наприклад, в банках, страхових компаніях), конфіденційні документи можуть не виділятися з загального документопотоку і оброблятися в рамках єдиної технологічної системи [5].

Забезпечення керованості моделі інформаційної безпеки та порівнюваності результатів можливо за рахунок застосування основних принципів системного підходу. Основним із них, залишається принцип адекватності прийнятих мір, можливим витратам на створення моделі, наслідкам та розміру збитків, в разі протиправного втручання. Оцінити останні, не порушуючи даний принцип, можливо лише завдяки реконструкції можливих протиправних подій [6].

Для проведення реконструкції з метою оцінки ефективності системи безпеки, використовують свідчення суб'єктів системи безпеки, тобто учасників процесу захисту інформації на підприємстві [7].

Після завершення всієї підготовчої роботи, слід приступати до виробництва реконструкції. Якщо виникає необхідність, то здійснюються інші варіанти реконструкції відповідно до прийнятих при підготовці рішень.

Сучасні науковці рекомендують мати на увазі наступне:

а) у всіх випадках до початку реконструкції повинен бути проведений огляд місця події та окремих предметів, і зафіксовано їх положення;

б)  потім шляхом опитування свідків (підозрюваного) з'ясовується, які зміни і в силу яких причин вироблені на місці події або в окремих предметах; пояснення фіксуються;

в)  якщо виробництво реконструкції вимагає спеціальних знань, наприклад фахівця радіотехніка або програміста, то запрошується фахівець [7].

Створення моделей інформаційної безпеки має відповідати наступним тактичним умовам: створюються на основі фактичних даних, отриманих дослідженням, які вивчаються і оцінюються;характер модельних ознак залежить від поставлених цілей; для оцінки та вивчення моделей можуть бути запрошені фахівці, які виступають в якості консультантів; хід і результати реконструкції докладно фіксуються;відповідність даних отриманих під час реконструкції зіставляються з фактичними даними, що послужили підставою для моделювання;результати оцінюються з урахуванням всіх варіантів реконструкції, шляхом порівняння із еталонними зразками або моделями [8].

Окремим, та найбільш поширеним способом реконструкції є уявна реконструкція. Слід констатувати, що уявна реконструкція формується для вирішення спеціальних пізнавальних завдань, пов'язаних головним чином з опосередкованим дослідженням об'єктів [8].

Для моделей інформаційної безпеки структурно-функціональними складовими стають: данні про охоронювані об'єкти та інформацію; висновки спеціалістів та експертів; а головне аналіз системи цілей (інтересів)підприємства, та можливих загроз для них, як внутрішніх (персонал, керівництво, ризики ведення комерційної діяльності та інше), так і зовнішніх (конкуренти, економічні ризики ведення діяльності в даному регіоні та інше) [9].

Підводячи висновки, зазначимо, що для оцінки якості моделей інформаційної безпеки підприємств та для проведення службових розслідувань може застосовуватись реконструкція. Реконструкція покликана перевірити якість та надійність моделей відповідно до покладених на них завдань. Основною вимогою до моделей безпеки, досліджуваних під час реконструкції, є їх здатність до вимірювання основних якостей та показників, які досліджуються.

С. О. Лисенко
доцент кафедри управління безпекою та правоохоронною діяльністю Міжрегіональної академії управління персоналом,
кандидат юридичних наук (м. Київ)

ЛІТЕРАТУРА:

1. Цимбалюк В. Інформаційна безпека підприємницької діяльності: визначення сутності та змісту поняття за умов входження України до інформаційного суспільства (глобальні кіберцивілізації) / В. Цимбалюк // Підприємництво, господарство і право. - 2004. - № 3. - C. 88-91.
2. Біленчук П. Д. Комп'ютерна злочинність : навчальний посібник / П. Д. Біленчук, Б. В. Романюк, В. С. Цимбалюк [та ін.]. - Київ : Атіка, 2002. - 240 с.
3. Близнюк І. Інформаційна безпека України та заходи її забезпечення / І. Близнюк // Науковий вісник Національної академії внутрішніх справ України. - 2003. - № 5. - C. 101-214.
4. Цимбалюк В. С. Суб'єкти інформаційного права та інформаційної діяльності / В. С. Цимбалюк // Правова інформатика. - 2010. - № 3 (27). - С. 29-32.
5. Бут В. В. Проблеми безпеки в інформаційній сфері - сутність понять та їх термінологічне тлумачення / В. В. Бут // Науковий вісник Національної академії внутрішніх справ України.-   2003. - № 5. - C. 225-232.
6. Потій О. В., Лєншин А. В. Харківський університет Повітряних Сил ім. І. Кожедуба, Харківський національний університет радіоелектроніки, Харків // Збірник наукових праць Харківського університету Повітряних Сил. - 2010. - Випуск 2(24).
7. Вертузаєв М. С., Попов А. Ф. Проблеми боротьби зі злочинністю в сфері комп'ютерної інформації / М. С. Вертузаєв, А. Ф. Попов // Інформаційні технології та захист інформації.-    1998. - № 1. - Ст. 4-14.
8. Біленчук П. Д. Криміналістична тактика і методика розслідування окремих видів злочинів : навчал. посібник / П. Д. Біленчук, А. П. Гель, Г. С. Семаков. - К. : МАУП, 2007. - 512 с.
9. Гнатцов О. Політико-управлінські аспекти інформаційних ресурсів у системі забезпечення державної безпеки / О. Гнатцов // Вісник Національної академії державного управління при Президентові України. - 2004. - № 3. - C. 485-492.
10. Цимбалюк В. С. Інформаційне право, концептуальні положення : монографія / В. С. Цимбалюк. - К. : Освіта України, 2011. - 426 с.
11. Holovatyi M. (2015). The state and society: The conceptual foundations and social interaction in the context of formation and functioning of states. Economic Annals-XXI, 9-10, 4-8.