ОХОРОНА КОМЕРЦІЙНОЇ ТАЄМНИЦІ НА ПІДПРИЄМСТВІ РЕКОМЕНДОВАНА ЛІТЕРАТУРА 1. Конституція України. 2. Закон України «Про банки і банківську діяльність» // ВВР. - 1991.-№25.-с.281. 3. Закон України «Про захист від недобросовісної конкуренції» // ВВР.-1996.-№36.-с.165. 4. Закон України «Про підприємництво» // ВВР. - 1991.- №49. - с.168. 5. Закон України «Про підприємство в Україні» // ВВР. - 1991.- №24.-с.272. 6. Закон України «Про власність» // ВВР. - 1991.- №20. - с.249. 7. Закон України «Про хазяйські товариства» // ВВР. -1991.- №14. -с.683. 8. Закон України «Про інформацію» // ВВР. - 1992.- №26. - с.226. 9. Закон України «Про державну таємницю» // ВВР. - 1994,- №47. -с.254. 10. Закон України «Про захист інформації в інформаційно-телекомунікаційних системах» // ВВР. - 2003.- №25. - с.274. 11. Закон України «Про електронний цифровий підпис» // ВВР. - 2003.- №26.-с. 104. 12. Закон України «Про електронні документи та електронний документообіг» // ВВР. - 2003.- №26. - с.258. 13. Безопасность бизнеса: Справоч. пособие / Под. ред. Ю.И. Когута. -К., 1993. 14. Предпринимательство и зашита информации. Под ред. Долгополова Ю. Б.: в 3-х т. - М.: Универсум, 1991. 15. Герасименко В. А. Защита информации в автоматизированннх системах обработки данннх: В 2-х т.-М.: Знергоатомиздат, 1994. 16. Практическая защита коммерческой тайны в США. Руководство к зашите деловой информации. - М.: Универсум, 1993.-248 с. 17. Давидов Й. Ю. Тайна фирмы. - К.: КоЛиф - 2, - 1993. -168 с. 18. Крысин А. В. Безопасность предпринимательской деятельности. -М.: ФинансьІ й статистика, 1996. - 384 с. 19. Соловьев 3. Я. Коммерческая тайна й ее защита. - М.: ИВФ Антал, 1996. - 64 с. 20. Сидоров Й. Н. Устройства охраны й сигнализации. С.-П.: Лениздат, 1996. 21. Г.К. Шкіфоров, С.С. Нікіфоров. Підприємство та правовий захист комерційної таємниці: Навч.-практ. посіб. для вищих навч. зал. - К.: Олан, 2001.-208с. 22. М.М.Браіловський, В.О.Хорошко, Д.В.Чирков, М.Е Шелест. Захист економічної інформації. Навчальний посібник / За редакцією професора В.ОЛорошка: - К.: НАУ, 2002. - 78 с. Банковская система России. Настольная книга банкира.Безопасность банка. - М.: ТОО Инженерно-консалтинговаякомпания «ДеКа», 1995. -104 с. Винокуров Ю.О., Прутник Е.А. Комерційна таємниця банку таправове забезпечення її функціонування та захисту. - Донецьк:Донбас, 1999.-100с. Лазарєв Г.П., Кльоцкін С.М., Хорошко В.О. Шляхи вирішенняпроблем інформаційної безпеки в Україні // Захист інформації,2000, №2.-с. 4-9. Хант Ч., Зартарьян В. Разведка на службе вашего предприятия. - К.: Укрзакордонвизасервис, 1992. - 158 с. Котовенко И.И. Безопасность кредитной деятельности банка. - К.: КоЛиф, 1997.-164с. Зубок М.І. Безпека банківської діяльності. - К.: Олан, 2002. -168 с. Голубєв В.О., Павловський В.Д., Цимбалюк В.С. Проблеми боротьби зі злочинами у сфері використання комп'ютерних технологій: Навч. посібник /За заг. ред. доктора юридичних наук, професора Р.А. Калюжного. Запоріжжя: ГУ "ЗІДМУ", 2002. - 292 с. Вертузаєв М.С., Юрченко О.М. Захист інформації в комп'ютернихсистемах від несанкціонованого доступу: Навч. посібник / За ред.С.Г. Лаптєва. - К.: Вид-во Європ. ун-ту, 2001. - 321 с. Авраменко В.Ф. та інші. Правові основи охорони інформації. / Заред. проф. В.О. Хорошка. - К.: ТОВ "ПоліграфКонсалтінг", 2003. -176с. Браіловський М.М., Лазарєв Г.П., Хорошко В.О. Захист інформації у банківській діяльності. - К.:.: ТОВ "ПоліграфКонсалтінг", 2003.-158с. Хорошко В.А., Чекатков А.А. Методи й средства защитыинформации. - К.: Издательство Юниор, 2003. - 504 с. Конев Н.Р., Беляев А.В. Информационная безопасностьпредприятия. - Спб.: БХВ-Петербург, 2003. - 752 с. Пиз А. Язык телодвижений. - Спб. Издательский дом Гутенберг.2000.-186с. ВСТУП Після розпаду Радянського Союзу, республіки, що входили до його складу, вступили в період нових економічних перетворень. Тому все більше значення стали набувати питання забезпечення економічної та банківської безпеки, оскільки вони є одними з найбільш важливіших принципів економічного й соціального стану країни. За часів СРСР, підприємства республік не дуже піклувалися про економічну безпеку, тому що в державі із суспільною власністю результат виробництва ставав відразу суспільним надбанням. Стає очевидним, що тут говорити про яку-небудь економічну або банківську таємницю не тільки нема рації, а навпаки, усяке досягнення на локальному рівні відразу ставало надбанням усіх. У свою чергу, весь захист стратегічно важливих технологій, виробництва, зовнішньоекономічних та банківських секретів виконувала єдина система органів Державної безпеки, що здійснювала, як захист своїх таємниць, так і по можливості одержання чужих. На сучасному етапі нових економічних відносин та орієнтації на ринкову економіку, недосконалість існуючого законодавства породила абсолютно нову форму злочинів, що набули великого розмаху та виникають у межах легальної законної діяльності. Такі злочини та порушення дуже важливо викрити, бо вони практично не мають доказів. Коло жертв інформаційних та комп'ютерних злочинів дуже велике і у першу чергу це відноситься до банків. Швидке зростання конкурентної боротьби за ринки збуту товарів, послуг та клієнтів пов'язане з інформацією про об'єкти та суб'єкти, що можуть давати прибуток. У зв'язку з цим слід згадати висловлення Уінстона Черчіля: "Хто володіє інформацією, той володіє світом". Але у наш час більш вдалим є вислів Л. Каханера: "Ми живемо вже не у столітті інформації. Ми живимо у столітті розвідки". Тепер, кожне підприємство прагне стати конкурентоспроможним на ринку виробництва і для цього йому необхідно постійно створювати нововведення. У процесі економічних реформ в Україні крім державних з'явилося і безліч недержавних суб'єктів, що хазяюють - акціонерні товариства, комерційні банки, приватні та спільні підприємства, послідовно розвиваючи власне виробництво продукції та послуг. Навколо них створюються вторинні фінансові і соціальні інфраструктури. При цьому слід враховувати, що однією з найбільш небезпечних загроз для економіки України є порушення в її фінансово-банківській системі. Система, яка склалася, потребує від банківських закладів прийняття першочергових заходів по підвищенню рівня своєї діяльності, поліпшення ефективності кредитування, корінної зміни кадрової політики, попередженню посягань кримінальних елементів на кошти банків та їх клієнтів. У цих умовах значно підвищується значення банківських підрозділів, які займаються забезпеченням безпеки та охорони. Слід враховувати, що недержавні суб'єкти економіки в порівнянні з державними структурами більш уразливі до протиправних позіхань з боку кримінальних структур і окремих конкурентних суб'єктів. Тому, значного поширення набули незаконні методи промислового шпигунства. Згідно зі статистичними даними 94% інформації, на яку існували посягання з боку конкурентів, належать до комерційної таємниці - відомостей, пов'язаних з виробництвом, технологією, керуванням, фінансами та іншою діяльністю підприємства, втрата яких може завдати шкоди його інтересам. Ось чому дуже гостро стоїть проблема захисту інформації та її складових частин. Визнання інформації комерційною таємницею та використання можливостей правового режиму її охорони дозволяє: 1) забезпечити охорону об’єктів виключних прав (результатів інтелектуальної діяльності), які потребують передбаченої законодавством реєстрації, до проведення такої реєстрації. Так, отримання патенту є достатньо тривалим процесом, у ході якого існує необхідність зберегти конфіденційну інформацію у таємниці до того моменту як на неї буде поширено патентну охорону, а також ту інформацію, яка не охоплюється патентним захистом; 2) забезпечити правову охорону тих продуктів інтелектуальної діяльності, які мають комерційну цінність, але не можуть у силу об’єктивних причин отримати охорону відповідно до законодавства про промислову власність або авторські і суміжні права. Деякі такі продукти взагалі є не патентоспроможними, оскільки не мають новизни винаходу (наприклад, списки клієнтів), але мають комерційну цінність і тому можуть отримати охорону в рамках режиму комерційної таємниці; 3) обрати простіший та менш витратний (порівняно, наприклад, із захистом об’єктів промислової власності) спосіб охорони комерційно цінних результатів інтелектуальної діяльності шляхом поширення на відповідну інформацію режиму комерційної таємниці; 4) забезпечити безстрокову охорону конфіденційної інформації. Будь-який патентний режим надає обмежений у часі захист, по завершенні якого будь-хто може використовувати запатентовану інформацію за своїм бажанням. Тоді як охорона комерційної таємниці триває настільки довго, наскільки зберігаються умови існування режиму комерційної таємниці, хоча б і вічно. Комерційна таємниця має таке значення для охорони результатів інтелектуальної діяльності в процесі комерційної діяльності суб’єктів господарювання: – стимулює підвищення ефективності господарської діяльності. Відсутність правової охорони комерційної таємниці гальмує розвиток інновацій, упровадження новаторських рішень, якісний розвиток економічних процесів тощо; – зменшує операційні невиробничі витрати суб’єктів господарювання на фізичний захист цінної інформації у вигляді охоронних засобів – шифрування, матеріальних перешкод та ін. Правові засоби збереження в таємниці комерційної інформації таким чином є дієвішим та менш витратним інструментом охорони порівняно з неправовими, матеріальними засобами; – зменшує ризики ведення бізнесу, пов’язані з ненадійністю трудових контрактів, які не містять застереження про збереження комерційної таємниці, можливістю «викрадення» комерційних секретів конкурентами тощо; – підвищує інвестиційну привабливість національної економіки. Відсутність або неефективність системи охорони комерційної таємниці в національному законодавстві є додатковим стримуючим чинником для надходження іноземних інвестицій. Отже, встановлення правових основ, закріплення дієвих механізмів охорони комерційної таємниці слід розглядати як важливий елемент правового забезпечення підприємницької діяльності в будь-якій країні. Згідно з даними Комісії Конгресу США з міжнародної торгівлі, американські компанії щорічно втрачають більше 70 млрд. доларів через недобросовісну конкуренцію іноземних компаній, у тому числі через промисловий шпіонаж. У 1997 році компанія «Coca-Cola» залишила індійський ринок для того, щоб захистити «секретну формулу» своїх напоїв. Компанія працювала в Індії 25 років і ринок з 550 млн. потенційних споживачів був прибутковим. Проблема виникла, коли в Індії було прийнято закон, що вимагав передачі технологій, якими володіли іноземні компанії, індійським підприємствам. Індійський уряд вимагав, щоб Coca-Cola передала 60% своїх акцій індійській дочірній компанії та розкрила свою технологію (секретну формулу) або припинила діяльність на території Індії. Coca-Cola безуспішно доводила, що її секретна формула була комерційною таємницею, а не технологією. Суперечці було покладено край, коли Coca-Cola покинула свої інвестиції в Індії з величезними для себе втратами, але не розкрила свою комерційну таємницю. Узагалі, формула Coca-Cola є найяскравішим прикладом можливої переваги режиму комерційної таємниці перед патентним захистом, оскільки саме ця таємниця зберігає свою силу вже більше століття, тоді як дія будь-якого патенту давно б уже закінчилась. Поняття, правова природа та ознаки комерційної таємниці «Комерційні таємниці» віднесені Цивільним кодексом України (ст. 420) до об’єктів права інтелектуальної власності. Іншою статтею кодексу (ст. 177) до об’єктів цивільних прав включені «результати інтелектуальної, творчої діяльності, інформація». Якою ж є правова природа комерційної таємниці та інформації, що її становить? Комерційною таємницею, відповідно до статті 505 Цивільного кодексу України (ЦКУ), є «інформація, яка є секретною в тому розумінні, що вона в цілому чи в певній формі та сукупності її складових є невідомою та не є легкодоступною для осіб, які звичайно мають справу з видом інформації, до якого вона належить, у зв’язку з цим має комерційну цінність та була предметом адекватних існуючим обставинам заходів щодо збереження її секретності, вжитих особою, яка законно контролює цю інформацію». Комерційною таємницею можуть бути відомості технічного, організаційного, комерційного, виробничого та іншого характеру, за винятком тих, які відповідно до закону не можуть бути віднесені до комерційної таємниці. Отже, вітчизняним законодавством комерційну таємницю віднесено до інституту т.зв. права інтелектуальної власності, тобто сукупності виключних прав на нематеріальні об’єкти, що є результатом інтелектуальної діяльності, у тому числі творчої, та інших прирівняних до них об’єктів. Права на комерційну таємницю є різновидом прав інтелектуальної власності (виключних прав). При цьому комерційна таємниця ототожнюється із самою інформацію і не розуміється як правовий режим захисту такої конфіденційної інформації. Відповідно, для означення самого правового режиму слід вживати термін «виключні права (права інтелектуальної власності) на комерційну таємницю». У зв’язку з цим слід звернути увагу на типову помилку, властиву застарілому українському інформаційному законодавству, яке відносить інформацію до об’єктів речового права власності. Інститут права власності, що використовується вже кілька тисячоліть, відноситься до речей, обмежених у просторі – природних об’єктів та результатів матеріального виробництва. Право власності закріплює абсолютне право на речі. Цей правовий режим неможливо поширити на нематеріальні об’єкти, оскільки матеріальний об’єкт обмежений в просторі, і його використання пов’язане з фактичним володінням. «Володіння» на нематеріальний об’єкт існувати не може, тому він може бути використаний одночасно необмеженим колом осіб. Розпорядження нематеріальним об’єктом може суміщатись зі збереженням права використання за першоволодільцем (Тут і надалі використовуємо термін «володілець» прав(а) як найбільш адекватний змісту поняття особи, яка має виключне право на нематеріальний об'єкт, наприклад, інформацію. Термін «власник» є недоречним, оскільки відноситься до інституту речового права власності). Юридична конструкція «інтелектуальної власності» виникла у зв’язку з об’єктивною необхідністю закріплення абсолютних прав на нематеріальні результати інтелектуальної діяльності, аналогічних праву власності за функціями, але відмінних за юридичним змістом. Це було обумовлено необхідністю введення результатів інтелектуальної діяльності в комерційний обіг, що викликало потребу в дієвих правових інструментах охорони прав на ці результати. Вдалішим терміном для характеристики особливих прав на нематеріальні результати інтелектуальної діяльності, у тому числі на комерційну таємницю, є «виключні права», що вживається у національному законодавстві та міжнародних актах. Українське законодавство (що властиво й іншим країнам та окремим міжнародним актам) містить положення щодо захисту комерційної таємниці також в нормативно-правових положеннях, що стосуються захисту від недобросовісної конкуренції (Наприклад, Закон України «Про захист від недобросовісної конкуренції» (№236/96-ВР від 07.06.1996 р.), Господарський кодекс України (№436-IV від 16.01.2003). При цьому до дій, що являють собою недобросовісну конкуренції, відноситься «неправомірне збирання, розголошення та використання комерційної таємниці». Але в контексті характеристики правового режиму комерційної таємниці захист від недобросовісної конкуренції слід розглядати лише як один із способів захисту прав на комерційну таємницю, що не змінює її сутності. Ознаки комерційної таємниці Систему характерних рис, ознак комерційної таємниці можна поділити на кілька груп: 1) ті, що стосуються властивостей самого об’єкту; 2) ті, що відносяться до умов його правової охорони; 3) та інші. 1) Нематеріальність: 1. Комерційній таємниці властиві всі ознаки нематеріального об’єкту – можливість одночасного використання необмеженим колом осіб, відсутність фізичної амортизації тощо. 2. Має значення зміст, сутність нематеріального об’єкту, тобто самі відомості, які становлять комерційну таємницю, а не форма їх зовнішнього представлення (на відміну від авторського права). Тобто комерційна таємниця є об’єктом виключних прав, для якого визначальним є сутність результату інтелектуальної діяльності. Відповідно, об’єкт, який має цінність у силу своєї сутності, а не форми, може бути створений повторно, незалежно від першого творця, іншою особою. Тому для встановлення правової охорони необхідні спеціальні заходи з відокремлення об’єкту. Результат інтелектуальної діяльності: від інформації, що становить комерційну таємницю, не вимагається, щоб вона являла собою обов’язково результат творчої діяльності (остання є різновидом інтелектуальної діяльності та передбачає створення якісно нового об’єкту), як це наприклад необхідно для винаходу. Конфіденційність інформації, що становить комерційну таємницю: Інформація, на яку правомірно поширено режим комерційної таємниці, є різновидом конфіденційної інформації. Остання, у свою чергу, протиставляється за режимом доступу відкритій інформації. Слід відзначити невдалу класифікацію, що міститься в Законі України «Про інформацію», та виділяє за режимом доступу відкриту інформацію та інформацію з обмеженим доступом. Інформація з обмеженим доступом «за своїм правовим режимом» поділяється Законом на конфіденційну («відомості, які знаходяться у володінні, користуванні або розпорядженні окремих фізичних чи юридичних осіб і поширюються за їх бажанням відповідно до передбачених ними умов») та таємну інформацію («інформація, що містить відомості, які становлять державну та іншу передбачену законом таємницю, розголошення якої завдає шкоди особі, суспільству і державі»). За цією класифікацією, відомості, що становлять комерційну таємницю, можуть бути віднесені до обох різновидів «інформації з обмеженим доступом». Очевидно, що Закон «Про інформацію» потребує перегляду, зокрема, у частині класифікації видів інформації з обмеженим доступом. 2) Ознаки комерційної таємниці, що властиві їй в силу самої сутності об’єкту, обумовлюють особливі умови надання об’єкту правової охорони. Цими умовами є: відсутність загальновідомості, відсутність загальнодоступності, оборотоздатність, відсутність потреби реєстрації об’єкту. Відсутність загальновідомості полягає в тому, що інформацією володіє обмежене коло осіб, хоча й не обов’язково одна особа. Однією і тією ж інформацією або навіть аналогічною інформацією можуть одночасно володіти декілька осіб – але визначальним є те, щоб коло цих осіб було обмеженим. Ця умова виконує також функцію відокремлення об’єкту, що є необхідним для його економічного обігу. Саме незагальновідомість є вихідною для встановлення охорони змістовного об’єкту, яким є комерційна таємниця, за відсутності його спеціальної реєстрації. Ця ознака вказує також на особливості суб’єктів права на комерційну таємницю. По-перше, оскільки змістовний нематеріальний об’єкт може бути створений незалежно кількома особами і за відсутності реєстраційної системи закріплення права, первинне право на один і той же (або аналогічний) об’єкт може одночасно належати кільком особам. Інакше кажучи можлива множинність правоволодільців на один і той же об’єкт нематеріального характеру (Дозорцев В.А. Интеллектуальные права: Понятие. Система. Задачи кодификации. Сборник статей. – М.: «Статут», 2003. – 253 с.) По-друге, якщо є допустимим закріплення первинного майнового права на об’єкт за кількома особами, то відсутнє право авторства на цей об’єкт. Жоден із суб’єктів не має права авторства, яке як абсолютне право може належати лише одній особі. Відповідно, підставою закріплення первинних майнових прав на об’єкт охорони (права на використання відомостей та розпорядження правом) є не авторство, але належність ресурсів, завдяки яким було отримано результат, тобто ці виключні права закріпляються за суб’єктом, в особисту сферу якого входить цей матеріальний, кадровий, організаційний та інший ресурс. І, по-третє, первинним володільцем майнових прав на комерційну таємницю може бути не лише фізична, але й юридична особа (творчість не є обов’язковою ознакою об’єкту). Розвиває попередню умову ознака відсутності загальнодоступності інформації, яка становить комерційну таємницю. Незагальнодоступність означає відсутність вільного доступу до інформації на законній підставі. Особи, які допущені до таємниці, повинні бути зобов’язані не розголошувати їх. Саме з цією ознакою пов’язують вимогу до правоволодільця (володільця виключних прав на інформацію, яка становить комерційну таємницю) вживати заходів для збереження секретності, незагальновідомості, конфіденційності інформації. Ці заходи можуть мати різний характер: 1) посадові особи та працівники правоволодільця повинні нести обов’язок дотримуватись службової таємниці; особам, які мають доступ до комерційної таємниці, слід повідомити про їхній обов’язок не розголошувати відомості третім особам, про віднесення відомостей до службової таємниці та відповідальність за розголошення; 2) правоволоділець повинен закріплювати в контрактах зі своїми контрагентами, яким він передає конфіденційні відомості, їхній обов’язок утримуватись від передачі цих відомостей третім особам, повідомляти контрагентів, що певні відомості складають комерційну таємницю; 3) правоволоділець повинен вжити заходів для запобігання несанкціонованому доступу третіх осіб до конфіденційної інформації, наприклад перешкоджати промисловому шпіонажу. Оборотоздатність об’єкту передбачає його комерційну цінність, тобто можливість отримання економічної вигоди від введення його в оборот. Іншими словами, оборотоздатність передбачає значимість інформації для положення правоволодільця на ринку, тобто її корисність. Передумовами оборотоздатності є незагальновідомість та незагальнодоступність. Особливість наведених умов або критеріїв охороноздатності комерційної таємниці полягає в тому, що перевірка їх наявності здійснюється не в порядку спеціальної попередньої процедури, а лише тоді, коли право на комерційну таємницю порушується або заперечується. Інформація, яка становить комерційну таємницю, не потребує офіційного визнання її охороноздатності, реєстрації чи дотримання інших формальних процедур для поширення на неї правової охорони. Проте, це не означає повну відсутність потреби фіксації нематеріального результату інтелектуальної діяльності на матеріальному носії для їх ідентифікації, і насамперед для використання в якості засобу доведення при вирішенні суперечок. Адже для охорони комерційної таємниці необхідно мати відомості, достатні для її ідентифікації, тому вони мають бути зафіксовані на матеріальному носії (зразок, електронна форма, відео-, звукозапис та ін.), доступному для сприйняття третіми особами (відповідно, усна форма є недостатньою). 3) Іншою ознакою комерційної таємниці є необмеженість строку її захисту. Право на комерційну таємницю зберігається до того часу, доки зберігається фактична монополія особи на інформацію, що її утворює, а також наявні передбачені законом умови її охорони. Комерційній таємниці властива також універсальність порівняно з іншими об’єктами виключних прав. Якщо під винаходом, промисловим зразком, товарними знаками тощо розуміється цілком визначений результат інтелектуальної діяльності, то під поняття комерційної таємниці можна підвести найрізноманітніші відомості «технічного, організаційного, комерційного, виробничого та іншого характеру». Особа може віднести до комерційної таємниці навіть потенційно патентоспроможні рішення, які правоволоділець не бажає оприлюднювати та патентувати. Хоча держава в окремих винятках має можливість обмежити свободу поширення конфіденційності на інформацію в цілях захисту суспільних інтересів (див., наприклад, постанова Кабінету Міністрів України «Про перелік відомостей, що не становлять комерційної таємниці» від 09.08.1993 р. № 611). Але і в цьому випадку слід розмежовувати інформацію, яку не можна відносити до комерційної таємниці, та інформацію, яку можна визнавати конфіденційною, але доступ до якої на підставі закону мають представники органів державної влади. Права та обов’язки володільця прав на комерційну таємницю. Однією з функцій інституту виключних прав (інтелектуальної власності) є встановлення правового режиму стосовно результатів інтелектуальної діяльності. Ця функція реалізується шляхом закріплення за правоволодільцем виключних прав на об’єкт інтелектуальної власності. З природи комерційної таємниці як об’єкту інтелектуальної власності випливають такі основні правомочності володільця таємниці: - право на використання комерційної таємниці; - право розпорядитися цим правом на використання ("право дозволяти використання комерційної таємниці" згідно зі ст. 506 ЦКУ та право відчуження виключних прав за договором новому володільцю); - право розкрити комерційну таємницю; - право захисту прав на комерційну таємницю (у статті 506 ЦКУ згадується один із способів такого захисту – "право перешкоджати неправомірному розголошенню, збиранню або використанню комерційної таємниці"). Право на використання комерційної таємниці включає ті ж фактичні дії, що встановлені для інших змістовних об’єктів права інтелектуальної власності. Володільцю комерційної таємниці належить виключне право використовувати її будь-яким законним способом, якщо тільки це право не було передано ним іншій особі за договором. Використанням комерційної таємниці слід вважати її застосування у виробничих, технічних, економічних, організаційних та інших цілях, зокрема у товарах, що виробляються, при виробленні товарів, при реалізації економічних та організаційних рішень тощо. Право розпорядитися правом використання комерційної таємниці випливає з особливостей використання виключних прав взагалі, під якими, на відміну від використання об’єктів речового права власності, розуміється не лише використання об’єктів цих прав самим правоволодільцем, але й надання дозволу на вчинення відповідних дій з використання третіми особами. Об’єктом цієї правомочності (на відміну від об’єкту використання) є не сама комерційна таємниця, але саме право на неї. Існують дві форми такого розпорядження: 1) передача права, його відчуження, коли право у попереднього правоволодільця припиняється і виникає у нового володільця; 2) надання права використання, тобто дозвіл використовувати комерційну таємницю, що здійснюється шляхом видачі ліцензії (укладення ліцензійного договору), коли весь обсяг прав, що залишається за межами ліцензії, зберігається у правоволодільця-ліцензіара. Право розкрити комерційну таємницю є третьою правомочністю правоволодільця, яке є унікальним для комерційної таємниці, не властивим іншим об’єктам виключних прав. Це право також реалізується у двох формах: 1) можливість повідомити відомості, що складають комерційну таємницю, обмеженому колу осіб на умовах конфіденційності (комерційна таємниця зберігається та охороняється надалі); 2) можливість поширити ці відомості серед невизначеного кола осіб, розкрити їх, зробити загальнодоступними (комерційна таємниця припиняє свою дію, відомості перетворюються на загальновідомі, отже втрачається одна з умов охорони). Однією з особливостей виключних прав на комерційну таємницю є те, що є можливою множинність правоволодільців. Так, особа, яка стала добросовісно та незалежно від інших володільцем комерційної таємниці, набуває самостійних виключних прав на відповідні відомості. Відповідно, кожен із законних володільців може самостійно та незалежно від інших використовувати та розпоряджатися належними йому правами на комерційну таємницю, у тому числі розкрити її і зробити відомості загальнодоступними (це одночасно припинить права всіх інших аналогічних правоволодільців). Ця особливість спонукала В.Дозорцева назвати виключні права володільця комерційної таємниці квазіабсолютними, які можуть належати одночасно кільком особам Іншим правом володільця прав на комерційну таємницю є право захищати свої виключні права. Виникнення та припинення прав на комерційну таємницю. Правова природа прав на комерційну таємницю добре простежується при характеристиці підстав та порядку виникнення і припинення цих прав. Якщо у сфері матеріальних об’єктів (у силу обмеженості речей в просторі) діє презумпція існування абсолютного права на річ та належності цього права володільцю речі, то у сфері нематеріальних об’єктів діє зворотна презумпція – відсутність абсолютного права на результат духовної діяльності та існування свободи його використання. Якщо для обмеження абсолютного права на матеріальний об’єкт необхідною є спеціальна вказівка закону, то для нематеріальних об’єктів така вказівка необхідна для закріплення абсолютних прав. Оскільки нематеріальні об’єкти необмежені в просторі, їх натуральні властивості, як уже зазначалось, допускають одночасне використання необмеженим колом осіб. Відповідно, свободу такого використання виключають або обмежують спеціальні юридичні конструкції – авторське право, патентне право, правила про дотримання таємниці особистої сфери, режим комерційної таємниці тощо. За відсутності цих винятків діє загальний принцип свободи використання нематеріального об’єкту. Це можна яскраво показати на прикладі саме охорони комерційної таємниці або, інакше кажучи, охорони конфіденційної інформації, на яку поширено режим комерційної таємниці, якщо розглядати режим правової охорони комерційної таємниці з точки зору обмеження гарантованого Конституцією України права на інформацію ("право вільно збирати, зберігати, використовувати і поширювати інформацію усно, письмово або в інший спосіб – на свій вибір" – частина друга статті 34 Конституції). Так, згідно з частиною 3 статті 34 Основного Закону, здійснення права на інформацію може бути обмежене законом, зокрема, "для запобігання розголошенню інформації, одержаної конфіденційно". Ці положення розвиваються Цивільним кодексом України в статті 302, яка вказує, що не допускається збирання інформації, яка є "державною таємницею або конфіденційною інформацією юридичної особи". Іншим прикладом обмеження права на інформацію є заборона збирання, зберігання, використання і поширення інформації про особисте життя фізичної особи без її згоди. Ці особливості визначають порядок закріплення права на комерційну таємницю. На відміну від авторського права, де підставою виникнення права на результати творчої діяльності є право авторства, для комерційної таємниці права авторства не існує. Відповідно до частини другої статті 506 ЦКУ, майнові права інтелектуальної власності на комерційну таємницю належать особі, яка правомірно визначила інформацію комерційною таємницею, якщо інше не встановлено договором. Творці комерційної таємниці не мають права авторства в юридичному сенсі (хоча і є авторами в побутовому розумінні), їх персональний склад узагалі може бути не визначений (наприклад, коли змістом таємниці є досвід та навички), а об’єкт може взагалі не бути результатом творчої діяльності (наприклад, список клієнтів є результатом інтелектуальної, але не творчої, діяльності). Якщо комерційна таємниця створена фізичною особою (не за трудовим або цивільно-правовим договором), то вона і є первинним володільцем прав на неї. Якщо комерційна таємниця створена у зв’язку з виконанням трудового договору, то первинне право належить працедавцю, якому належить ресурс (матеріальний та кадровий), за допомогою якого таємницю було створено. Якщо комерційна таємниця створена на підставі цивільно-правового договору, первинне право на об’єкт належить виконавцю за договором, а право, що передається замовнику, є похідним. При цьому майнові права інтелектуальної власності на комерційну таємницю належать саме замовнику, що випливає зі ст. 506 ЦКУ. Моментом виникнення прав на комерційну таємницю можна вважати момент вжиття особою, яка законно контролює інформацію, заходів для її збереження. При цьому права виникають лише в разі одночасної відповідності інформації та вжитих заходів іншим передбаченим ЦКУ ознакам комерційної таємниці (секретність, комерційна цінність, адекватність вжитих заходів охорони). Оцінка цієї відповідності здійснюється при вирішенні спору щодо наявності прав на комерційну таємницю. Моментом припинення прав на комерційну таємницю слід вважати момент закінчення існування сукупності ознак комерційної таємниці (у нашому випадку, встановлених частиною першою статті 505 ЦКУ). Комерційна таємниця та службова таємниця Комерційна та службова таємниці є різновидами конфіденційної інформації, відповідно мають спільні ознаки, хоча й є різними категоріями. Комерційній та службовій таємницям властиві незагальновідомість і публічна недоступність, що пов’язано із самою сутністю таємної інформації. Але, одночасно, вони належать до різних галузей права за своїм правовим режимом (перша – інститут цивільного права, друга – трудового та/або адміністративного) . Службова таємниця характеризує відносини між організацією та її працівником, що виникають з приводу інформації, яка отримана в службовому порядку (тобто у зв’язку з виконанням працівником своїх службових обов’язків) та відноситься до діяльності організації і її результатів. Службову таємницю складають відомості, які не повинні розголошуватись працівником у силу службових відносин, у тому числі в силу обов’язків, що мають трудовий або адміністративно-правовий характер. Підставою виникнення обов’язку дотримуватись конфіденційності інформації є трудовий договір. Суб’єктом обов’язку дотримуватись службової таємниці є фізична особа – посадова особа або працівник, який уклав трудовий договір з організацією. Порушення службової таємниці тягне за собою дисциплінарну відповідальність, яка також може полягати у відшкодуванні збитків. Комерційна таємниця, у свою чергу, характеризує відносини: 1) між володільцем відомостей, що мають комерційне значення, та його контрагентом за правочином, якому ці відомості передані для використання і який зобов’язується не передавати ці відомості третім особам; 2) між володільцем відомостей та всіма третіми особами, які повинні утримуватись від несанкціонованого отримання цих відомостей, у разі якщо володілець вживає заходів для збереження їхньої конфіденційності. Підставою виникнення обов’язку дотримуватись конфіденційності інформації є цивільно-правовий правочин. Суб’єктом обов’язку дотримуватись комерційної таємниці є особа (фізична або юридична), яка отримала інформацію за цивільно-правовим правочином на умовах збереження її конфіденційності, або особа, яка вчинила делікт (тобто неправомірно отримала у володіння конфіденційну інформацію). Порушення комерційної таємниці тягне за собою цивільно-правову відповідальність особи – договірну або деліктну. Службова таємниця є однією з умов комерційної таємниці, оскільки працівники організації, яка володіє комерційною таємницею, повинні не розголошувати ці відомості, відповідно, повинні дотримуватись службової таємниці. Орган чи посадова особа юридичної особи, які віднесли певні відомості до комерційної таємниці, встановлюють обов’язок своїх працівників не розголошувати ці відомості – але вже в якості службової таємниці. У цьому випадку, одні й ті ж відомості будуть для працівників службовою таємницею, а для третіх осіб – комерційною. З іншого боку, для службової таємниці не є обов’язковою наявність такої риси як комерційна цінність. Отже, комерційна та службова таємниці охоплюються поняттям конфіденційної інформації, але різняться за своїм правовим режимом та можуть мати різні об’єкти (комерційна інформація та службова інформація). Комерційна таємниця та "ноу-хау". Поняття комерційної таємниці є значно ширшим за своїм обсягом ніж "ноу-хау" або "секрети таємниці". Комерційна таємниця включає у себе "ноу-хау" як один з можливих компонентів. Під "ноу-хау" слід розуміти відомості про рішення у будь-яких сферах практичної діяльності (техніці, економіці, організації тощо), що допускає практичне використання та є придатним для участі в економічному обігу в силу невідомості та недоступності невизначеному колу осіб. Пропоноване рішення може являти собою як результат нової розробки, так і вже накопичені з часом знання, досвід, навички. На відміну від інших видів інформації, що можуть становити комерційну таємницю, "ноу-хау" полягає у вирішенні практичної задачі, у рекомендації до дії, воно не має чисто пізнавального або інформаційного характеру, це має бути рішення, що допускає здійснення. Так, наприклад, не можна назвати "ноу-хау" систематизовану інформацію, клієнтську базу, яка проте цілком може бути захищена в якості комерційної таємниці. Одне з найповніших визначень терміну "ноу-хау" було запропоновано в проекті російського Федерального закону "Про комерційну таємницю" (у варіанті, що був схвалений Федеральними зборами та відхилений Президентом РФ у 1999 році): "ноу-хау – охоронювані в режимі комерційної таємниці результати інтелектуальної діяльності, які можуть бути передані іншій особі та використані нею на законній підставі, у тому числі: - неопубліковані науково-технічні результати, технічні рішення, методи, способи використання технологічних процесів та пристроїв, які не забезпечені патентним захистом відповідно до законодавства або за рішенням особи, яка володіє такою інформацією на законній підставі; - знання та досвід в області реалізації продукції і послуг, відомості про кон’юнктуру ринку, результати маркетингових досліджень; - комерційні, методичні або організаційно-управлінські ідеї та рішення.". При цьому, "ноу-хау" чітко визначено як різновид комерційної таємниці, якому властиві також такі загальні ознаки як дійсна чи потенційна комерційна цінність у силу невідомості третім особам, відсутність вільного легального доступу, вживання адекватних заходів охорони. Слід відзначити спірність віднесення до "ноу-хау" відомостей про кон’юнктуру ринку та результати маркетингових досліджень, оскільки вони не є набутими знаннями, навичками чи досвідом, використовуються у практичному плані опосередковано (як база для прийняття економічних рішень) і "споживаються" в процесі ознайомлення, пізнання. Згідно з іншим визначенням, "ноу-хау" – це повністю або частково конфіденційні знання технічного, організаційно-адміністративного, фінансового, економічного, управлінського характеру, які не є загальновідомими та можуть бути практично застосовані у виробничій і господарській діяльності" . У цьому випадку, вузьким місцем запропонованої дефініції є зведення конфіденційних відомостей до знань, відсутність ряду інших істотних ознак "ноу-хау". Основні ознаки "ноу-хау" знаходимо також у законодавстві Європейського Союзу (яке хоча й стосується специфічної сфери трансферу або передачі технологій, у цілому вдало підкреслює особливості "ноу-хау"). Так, Регламентом Комісії ЄС №772/2004 від 27 квітня 2004 щодо застосування частини третьої статті 81 Договору [про заснування Європейського Співтовариства] до категорій угод про передачу технологій "ноу-хау" визначається як "сукупність незапатентованої практичної інформації, що є результатом досвіду або випробувань і яка є: - секретною, тобто не загальновідомою або легко доступною; - значимою, тобто важливою та корисною для виробництва товарів за угодою; - визначеною, тобто описаною у достатньо повний спосіб так, що можна підтвердити, що вона відповідає критеріям секретності та значимості". Термін "ноу-хау", що неодноразово вживається в українському законодавстві (у якому, проте, відсутнє його визначення), походить від англійського виразу "know how" або "знаю як [зробити]" та вдало розкриває суть категорії, чітко визначаючи утилітарну спрямованість пропонованих рішень, їх характер як рекомендацій до дії. Уперше термін "know-how" з’явився у 1916 році в США у рішенні в судовій справі "Дізенд проти Брауна" і з того часу почав широко застосовуватись у всьому світі, став звичним в економічному обігу. Але слід погодитись з критикою застосування цього іноземного словосполучення в якості законодавчого терміну. Адже, вираз "ноу-хау" є професіоналізмом, побутовим жаргоном, що набув повсюдного поширення у зв’язку зі своєю образністю, виразністю. Крім того, "ноу-хау" навіть не є смисловим перекладом, а лише відтворенням фонетичного звучання, звукосполученням, безглуздим для української мови. У наукових працях та іноземному законодавстві (зокрема, російському) паралельно вживаються також такі терміни як "секрети виробництва" та "виробнича таємниця" (рішення у сфері виробництва), "професійні секрети" (в одному з проектів Частини четвертої Цивільного кодексу РФ, що має стосуватись інтелектуальної власності, професійним секретом визнаються "відомості будь-якого характеру (технічні, економічні, організаційні тощо) про способи здійснення професійної діяльності."). Проте, ці варіанти не можна визнати вдалими, оскільки вони не адекватно, не точно окреслюють поняття "ноу-хау". Відомий російський науковець у сфері інтелектуальної власності В.Дозорцев у своїх працях запропонував новий термін – "секрети промислу". При цьому під "промислом" він розуміє професійну діяльність у будь-якій підприємницькій сфері. Отже, пропозиція заміни терміну "ноу-хау" на український відповідник у цілому виглядає достатньо обґрунтованою. Проте, наразі такого адекватного відповідника запропоновано не було. Варіант "секрет промислу", на нашу думку, також не можна визнати абсолютно вдалим, оскільки його використання в цивільному законодавстві може призвести до плутанини, викликати неправильні уявлення, що пов’язано з вживанням терміну "промисел" в окремих чинних актах законодавства України (наприклад, законах "Про народні художні промисли", "Про систему оподаткування", "Про патентування деяких видів підприємницької діяльності" тощо). У міжнародній практиці та актах, а також в законодавстві іноземних країн, найчастіше вживається термін "trade secret", який, як правило, перекладають як "торговий секрет", вказуючи на неадекватність цього терміну для позначення поняття конфіденційної комерційної інформації. Проте, на нашу думку, неадекватним скоріше є вказаний переклад, оскільки іменник та прикметник "trade" у цьому випадку можна і слід перекладати як "комерція" та "комерційний". На користь цього свідчать визначення цього терміну в міжнародних актах (наприклад, угоді TRIPS) та законодавстві окремих країн, насамперед США (див. детальніше в розділі "Комерційна таємниця в законодавстві іноземних країн та міжнародному праві"). Захист прав на комерційну таємницю та відповідальність за порушення режиму комерційної таємниці До сукупності правомочностей володільця прав на комерційну таємницю входить і право захищати свої права. Відповідно до статті 431 ЦКУ, порушення права інтелектуальної власності тягне за собою відповідальність встановлену Цивільним кодексом, іншим законом чи договором. Законодавством, як правило, створюється ціла система засобів захисту прав на комерційну таємницю, у якій можна виділити засоби цивільного, кримінального, адміністративного, трудового права. Цивільно-правовий захист Підставами для цивільно-правової відповідальності може бути порушення договірного зобов’язання або позадоговірні порушення – вчинення цивільно-правових деліктів. Договірні порушення стосуються переважно ліцензійних договорів – на них поширюються всі загальні правила про відповідальність за порушення зобов’язання Глава 51 ЦКУ). Позадоговірний захист прав на комерційну таємницю ґрунтується на загальних положеннях про деліктну відповідальність та особливостях правового режиму комерційної таємниці як об’єкту інтелектуальної власності. Стаття 432 ЦКУ надає кожній особі право звернутися до суду за захистом свого права інтелектуальної власності відповідно до статті 16 Кодексу, якою визначаються можливі способи захисту цивільних прав та інтересів. З особливостей об’єкту захисту комерційної таємниці та її правового режиму випливають характерні риси відповідальності за порушення прав на комерційну таємницю. Для комерційної таємниці як неформалізованого результату інтелектуальної діяльності (на відміну від об’єктів авторського або патентного права) властивий принцип свободи використання і презумпція добросовісності користувача прав на комерційну таємницю, якщо не буде доведеним факт порушення встановленого законом режиму охорони. Тоді як для об’єктів авторського та патентного права діє презумпція недобросовісності їх використання третіми особами (якщо інше прямо не передбачено договором з правоволодільцем) – звідси відповідальність незалежно від вини. Натомість вина є обов’язковою умовою відповідальності за порушення прав на комерційну таємницю. Для комерційної таємниці не можливим є такий спосіб захисту як відновлення становища, яке існувало до порушення. Адже, відомості розголошуються безповоротно, їх не можна вилучити зі свідомості особи, яка незаконно з ними ознайомилася. Відповідно захист може полягати лише у відшкодуванні збитків та забороні продовжувати порушення. Ці способи можуть застосовуватись лише до обмеженого кола фактичних порушників. останніх можна поділити на дві групи: особи, які безпосередньо неправомірно втрутилися у сферу правоволодільця (первинні порушники); та особи, які використали результати первинного порушення (вторинні порушники) / Дозорцев В.А. Интеллектуальные права: Понятие. Система. Задачи кодификации. Сборник статей. – М.: «Статут», 2003. – С. 265./ Первинний порушник у будь-якому випадку повинен нести відповідальність, що полягає у забороні продовжувати використання об’єкта та відшкодуванні збитків. Це ж стосується і вторинного порушника, який є «недобросовісним» користувачем, тобто який знав або повинен був знати про незаконність передачі йому відомостей, які складають комерційну таємницю. Інша ситуація з вторинним порушником – «добросовісним» користувачем, який не може бути притягнений до відповідальності, оскільки в правоволодільця немає абсолютного захисту. Відповідальність перед ним несе лише винна в порушенні особа (отже, відповідальність без вини не можлива). Види порушень. Порушення, яке полягає в неправомірному використанні, що здійснюється порушником, слід розглядати як делікт, наслідком якого є як відшкодування збитків, такі і заборона подальшого використання. Неправомірне розпорядження правом (можливе при неправомірному проникненні в комерційну таємницю або виході за межі умов ліцензійного договору) також являє собою порушення, що тягне відшкодування збитків правоволодільцю. Окремим видом порушення є несанкціоноване проникнення в комерційну таємницю – якщо воно не супроводжувалось іншими порушеннями наслідком буде компенсація лише моральної шкоди. Договірне порушення може бути вчиненим контрагентом, яким отримав відомості за договором на умовах збереження конфіденційності, але розголосив ці відомості. Кримінально-правовий захист Кримінальна відповідальність за діяння, пов’язані з порушенням режиму комерційної таємниці, була введена в українське законодавство в 1994 році, коли Законом №3888-12 від 28.01.2004 Кримінальний кодекс УРСР було доповнено двома статтями 148-6 «Незаконне збирання з метою використання або використання відомостей, що становлять комерційну таємницю» та 148-7 «Розголошення комерційної таємниці». Ці два склади злочини були закріплені й у Кримінальному кодексі України (відповідно, статті 231 та 232). Незаконне збирання з метою використання або використання відомостей, що становлять комерційну таємницю. У статті 231 безпосередньо розшифровано поняття «незаконне збирання відомостей, що становлять комерційну таємницю», яке раніше тлумачилось відповідно до положення статті 16 Закону «Про захист від недобросовісної конкуренції», що було відтвореним з незначними змінами й у статті 36 Господарського кодексу Україні («добування протиправним способом відомостей, що відповідно до законодавства України становлять комерційну таємницю, якщо це завдало чи могло завдати шкоди господарюючому суб’єкту (підприємцю)»). Статтею 231 чинного ККУ, передбачена відповідальність за два окремі склади злочину: 1) незаконне збирання з метою використання відомостей, що становлять комерційну таємницю; 2) незаконне використання відомостей, що становлять комерційну таємницю, якщо це спричинило істотну шкоду суб’єкту господарської діяльності. З конструкції статті 231 ККУ випливає, що злочин у цій формі вважатиметься закінченим з моменту вчинення будь-яких дій, спрямованих на незаконне збирання зазначених відомостей, незалежно від подальшого їх використання, якщо використання таких відомостей може завдати істотної шкоди суб’єкту господарювання. Отже, для наявності закінченого складу цього злочину, не обов’язковим є фактичне використання незаконно одержаних відомостей, так само як не є обов’язковим і заподіяння реальної шкоди (тому важливим є визначення безпосередньо в тексті кримінального закону терміну «незаконне збирання»). Суб’єктивна сторона незаконного збирання характеризується прямим умислом та обов’язковою ознакою – наявністю мети: подальше розголошення або інше використання відомостей (Кодекс УРСР містив лише загальне «використання»). Таким використанням може бути: розголошення з метою заподіяння матеріальної чи іншої шкоди; використання для власних потреб, наприклад, впровадження у виробництво; продаж чи безоплатна передача іншим суб’єктам господарювання; вимагання винагороди чи вчинення певних дій за повернення чи нерозголошення зібраних відомостей (Науково-практичний коментар до Кримінального кодексу України / Відп. ред.: В.Ф.Бойко та інші. – 6-те вид., допов. – К.: А.С.К., 2002. – С. 594.). Термін розголошення слід вживати в розумінні статті 17 Закону «Про захист від недобросовісної конкуренції» (див. далі), положення якої були продубльовані в Господарському кодексі УкраїниВажливим є також те, що новий кодекс поняттям «комерційне шпигунство» охоплює лише перший склад – незаконне збирання з метою використання відомостей, що становлять комерційну таємницю (тоді як за статтею 148-6 Кодексу 1960 року поняттям «підприємницьке шпигунство» охоплювались обидва вказані склади злочинів). Це може мати значення для поширення положень кодексу щодо незаконного використання відомостей, що становлять комерційну таємницю, на осіб, які мали «некомерційні» мету та мотив (тобто не спрямовані на завдання шкоди або отримання прибутку шляхом такого використання). Мотив незаконного збирання може бути як корисливий (отримати прибуток від використання відомостей, що становлять комерційну таємницю), так і іншим – завдати матеріальну та/або моральну шкоди конкуренту, усунути його з ринку тощо. Але в будь-якому разі, за цим мотивом стоятиме певний комерційний інтерес (отримання прямої або опосередкованої вигоди, інструмент конкуренційної боротьби), що випливає як з розташування цього складу злочину (Розділ 7 «Злочини у сфері господарської діяльності» Особливої частини КК), так і його охоплення терміном «комерційне шпигунство». Під незаконним використанням відомостей, що становлять комерційну таємницю, у свою чергу, розуміється (але не обмежується) «впровадження у виробництво або врахування під час планування чи здійснення підприємницької діяльності без дозволу уповноваженої на те особи неправомірно здобутих відомостей, що становлять відповідно до законодавства України комерційну таємницю» (стаття 19 Закону «Про захист від недобросовісної конкуренції»). Обов’язковою ознакою цього складу є наявність наслідків у вигляді «істотної шкоди суб’єкту господарської діяльності». Характерно, що в Кодексі УРСР (для обох статей) такою ознакою була «велика матеріальна шкода», тобто шкода, яка в 50 і більше разів перевищувала встановлений законодавством неоподатко-вуваний мінімум доходів громадян на місяць (17 грн. з 1996 року; тобто 850 і більше грн.). Натомість, Кримінальний кодекс України не містить кількісного визначення терміну «істотна шкода суб’єкту господарської діяльності» стосовно статей 231-232 КК, яка, відповідно, визначатиметься судом у кожному конкретному випадку. Це також означає, що ККУ дозволяє враховувати при встановленні вказаної істотності шкоду, заподіяну діловій репутації суб’єкта. З положень Кодексу 1960 року випливало ж, що нематеріальна шкода могла бути врахованою лише при призначенні покарання. Суб’єктивна сторона складу злочину, який полягає незаконному використанні відомостей, що становлять комерційну таємницю, передбачає наявність лише умисної вини, тобто винна особа повинна усвідомлювати, що вона незаконно використовує відомості, які становлять комерційну таємницю, тобто використовує їх з порушенням законодавства, що регламентує використання комерційної таємниці, чи використовує відомості, здобуті незаконним шляхом. Щодо наслідків незаконного використання зазначених відомостей у вигляді спричинення істотної шкоди суб’єкту господарської діяльності умисел може бути як прямим, так і непрямим. Непрямий умисел має місце, наприклад, у випадку, коли винна особа незаконно використовує відомості, що становлять комерційну таємницю, для модернізації власного виробництва, поліпшення власного фінансово-господарського стану, не бажаючи заподіяння шкоди іншому суб’єкту господарювання, але при цьому усвідомлюючи, що така шкода може бути заподіяна, і свідомо допускає настання таких наслідків (Науково-практичний коментар до Кримінального кодексу України / Відп. ред.: В.Ф.Бойко та інші. – 6-те вид., допов. – К.: А.С.К., 2002. – С. 595.). Злочин, передбачений статтею 231 КК, відноситься до злочинів середньої тяжкості, оскільки найбільшою санкцією (альтернативною до штрафу та обмеження волі) за його вчинення є позбавлення волі строком до 3 років. Розголошення комерційної таємниці Склад злочину, передбачений статтею 232 ККУ, є ідентичним до того, що містився у Кодексі 1960 року. Детальне формулювання статті 232 фактично не дозволяє застосовувати положення іншого законодавства при кваліфікації відповідних діянь. Тоді як відповідно до статті 17 Закону «Про захист від недобросовісної конкуренції» та статті 36 Господарського кодексу Україні під розголошенням комерційної таємниці розуміється «ознайомлення іншої особи без згоди особи, уповноваженої на те, з відомостями, що відповідно до чинного законодавства України становлять комерційну таємницю, особою, якій ці відомості були довірені у встановленому порядку або стали відомі у зв’язку з виконанням службових обов’язків, якщо це завдало чи могло завдати шкоди господарюючому суб’єкту (підприємцю)». Відмінності у визначеннях є незначними, але достатньо важливими для кваліфікації діянь за цим складом злочину. Натомість, конструкція статті 232 передбачає, що закінченим цей злочин вважатиметься лише з моменту фактичного завдання істотної шкоди суб’єкту господарської діяльності. У разі, якщо шкода буде визнана неістотною або взагалі не завдана, але буде встановлено, що в особи був умисел щодо заподіяння істотної шкоди, її дії кваліфікуватимуться як замах на розголошення комерційної таємниці (який також каратиметься за санкцією цієї ж статті). Обов’язковою ознакою, отже, є завдання істотної шкоди суб’єкту господарської діяльності, яка, як уже зазначалось, визначатиметься залежно від конкретних обставин справи і може включати нематеріальну шкоду. Способи розголошення комерційної таємниці можуть бути найрізноманітними: безпосереднє повідомлення іншим особам; надання іншим особам для ознайомлення документів, що містять комерційну таємницю; інше умисне створення умов, що дають можливість ознайомитись з відомостями, що становлять комерційну таємницю; повідомлення цих відомостей за допомогою засобів масової інформації. Суб’єктом цього злочину може бути особа, якій комерційна таємниця відома у зв’язку з професійною або службовою діяльністю. До цих осіб, зокрема, належать працівники органів державної виконавчої влади, правоохоронних органів, банківських установ, які відповідно до законодавства мають право доступу до конфіденційної інформації за характером виконуваних ними професійних чи службових функцій. Так, зокрема, право ознайомлюватись з відомостями, що становлять комерційну таємницю, та одночасно обов’язок дотримуватись режиму цією таємниці, тобто не розголошувати її третім особам, встановлені законами України «Про державну податкову службу в Україні», «Про Антимонопольний комітет України», «Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом», «Про фінансові послуги та державне регулювання ринків фінансових послуг», «Про державну контрольно-ревізійну службу в Україні», «Про міліцію», «Про статус суддів», «Про Службу безпеки України», «Про прокуратуру», «Про зовнішньоекономічну діяльність», «Про природні монополії», Митним кодексом України тощо. Це випадки заборони розголошення комерційної таємниці особами, яким ця таємниця відома у зв’язку зі службовою діяльністю, пов’язаною зі здійсненням владних функцій. Розголошення комерційної таємниці також матиме місце в разі його вчинення особою, яка обіймає постійно чи тимчасово на підприємствах, в установах, організаціях незалежно від форми власності посади, пов’язані з виконанням організаційно-розпорядчих чи адміністративно-господарських обов’язків, або виконують такі обов’язки за спеціальним повноваженням. Один з таких випадків прямо вказаний у статті 23 Закону України «Про господарські товариства»: «Посадові особи повинні зберігати комерційну таємницю та конфіденційну інформацію і несуть за її розголошення відповідальність, передбачену чинним законодавством України та установчими документами товариства». Законодавством також прямо передбачено ряд випадків, коли обов’язок зберігати режим таємності щодо комерційної інформації покладено на осіб, які знайомляться з такою інформацією в силу своїх професійних обов’язків. Такими особами, наприклад, є: управитель іпотеки щодо власників сертифікатів (ст. 34 Закону «Про іпотечне кредитування, операції з консолідованим іпотечним боргом та іпотечні сертифікати»); страховики стосовно страхувальників (ст. 20 Закону «Про страхування»); брокери щодо біржових операцій їхніх клієнтів (ст. 16 Закон «Про товарну біржу»); аудитори і аудиторські фірми (ст. 23 Закону «Про аудиторську діяльність») та ін. Для окреслення кола суб’єктів злочину важливою є згадувана вище різниця між визначенням «розголошення комерційної таємниці» у статті 232 КК та Законі «Про захист від недобросовісної конкуренції» і Господарському кодексі. Так, в останніх двох актах законодавства згадується особа, «якій ці відомості були довірені у встановленому порядку». У Кримінальному кодексі – особа, «якій ця таємниця відома у зв’язку з професійною ... діяльністю». Якщо в першому випадку, необхідною умовою застосування положень про розголошення є передача особі конфіденційної інформації у випадках, передбачених законодавством, то в другому – немає значення порядок та підстави передачі, достатньо лише виконання професійних обов’язків та ознайомлення у ході цього виконання з конфіденційною інформацією. Це, наприклад, може мати наслідком поширення дії статі 232 КК на журналістів. Розголошення комерційної таємниці згідно зі статтею 232 КК характеризується також прямим умислом і спеціальними мотивами: корисливим (наприклад, розголошення за винагороду) чи іншими особистими мотивами (особисті неприязні відносини, помста тощо). Злочин, передбачений статтею 232 КК, відноситься до злочинів невеликої тяжкості, оскільки найбільшою санкцією (альтернативною до штрафу та виправних робіт) за його вчинення є позбавлення волі строком до 2 років. Кримінальний кодекс України (ВВР, 2001 р., № 25-26, ст. 131): «Стаття 231. Незаконне збирання з метою використання або використання відомостей, що становлять комерційну таємницю Умисні дії, спрямовані на отримання відомостей, що становлять комерційну таємницю, з метою розголошення чи іншого використання цих відомостей (комерційне шпигунство), а також незаконне використання таких відомостей, якщо це спричинило істотну шкоду суб’єкту господарської діяльності, караються штрафом від двохсот до тисячі неоподатковуваних мінімумів доходів громадян або обмеженням волі на строк до п’яти років, або позбавленням волі на строк до трьох років.»... «Стаття 232. Розголошення комерційної таємниці Умисне розголошення комерційної таємниці без згоди її власника особою, якій ця таємниця відома у зв’язку з професійною або службовою діяльністю, якщо воно вчинене з корисливих чи інших особистих мотивів і завдало істотної шкоди суб’єкту господарської діяльності, – карається штрафом від двохсот до п’ятисот неоподатковуваних мінімумів доходів громадян з позбавленням права обіймати певні посади чи займатися певною діяльністю на строк до трьох років, або виправними роботами на строк до двох років, або позбавленням волі на той самий строк.». Адміністративно-правовий захист Вчинення дій, визначених Законом «Про захист від недобросовісної конкуренції» як недобросовісна конкуренція, громадянами, які займаються підприємницькою діяльністю без створення юридичної особи, тягне за собою накладення адміністративного стягнення згідно із законодавством (ст. 23 Закону). Кодексом України про адміністративні правопорушення (ст. 164-3) встановлено відповідальність за отримання, використання, розголошення комерційної таємниці з метою заподіяння шкоди діловій репутації або майну іншого підприємця у вигляді накладення штрафу від дев’яти до вісімнадцяти неоподатковуваних мінімумів доходів громадян (17 грн. з 1996 року; тобто штраф у розмірі від 153 до 306 грн.). Вчинення «господарюючими суб’єктами – юридичними особами та їх об’єднаннями» дій, визначених Законом «Про захист від недобросовісної конкуренції» як недобросовісна конкуренція, тягне за собою накладання на них Антимонопольним комітетом України, його територіальними відділеннями штрафів у розмірі до 3% виручки від реалізації товарів, виконання робіт, надання послуг господарюючого суб’єкта за останній звітний рік, що передував року, в якому накладається штраф. У разі якщо обчислення виручки господарюючого суб’єкта неможливе або виручка відсутня, штрафи, зазначені у частині першій цієї статті, накладаються у розмірі до п’яти тисяч неоподатковуваних мінімумів доходів громадян (тобто до 85 тис. грн). Вчинення дій, визначених Законом «Про захист від недобросовісної конкуренції» як недобросовісна конкуренція, «юридичними особами, їх об’єднаннями та об’єднаннями громадян, що не є господарюючими суб’єктами», тягне за собою накладання на них Антимонопольним комітетом України, його територіальними відділеннями штрафів у розмірі до двох тисяч неоподатковуваних мінімумів доходів громадян. РИЗИКИ У ПІДПРИЄМНИЦЬКІЙ ДІЯЛЬНОСТІ Категорію «ризик» звичайно визначають як небезпеку потенційно можливої, ймовірної втрати ресурсів чи недоодержання доходів. Іншими словами, ризик - це імовірність того, що підприємство понесе збитки у вигляді додаткових витрат, чи одержить доходи нижче тих, на які він розраховував, у результаті реалізації ризикової ситуації. На основі даних визначень можна зробити висновок, що поняття «ризик» означає деякий небезпечний фактор і наслідки від його впливу на той чи інший аспект ведення підприємницької діяльності. Однак, насправді, багато підприємств не бачать різниці між поняттями «ризик» і «загроза». Під ризиком будемо розуміти похідне поняття від двох величин: імовірності виникнення загрози і кількісної оцінки можливих наслідків. Загроза сама по собі не несе ніякого збитку для діяльності підприємства: вона існує об'єктивно, потенційно, поза залежністю від нашого знання про її існування. Однак, у деякий момент часу, кожна загроза може перейти з потенційної в реальну, тобто реалізуватися. У цей момент часу підприємство вже має визначений збиток, якщо реалізація даної загрози не була вчасно відвернена, і ми маємо справу з коефіцієнтом збитку від реалізації даної загрози. Класифікація ризиків Розглянемо ризики підприємницької діяльності на прикладі банків, оскільки вони є одними з найпоширеніших та активно діючих підприємств. Ризики, з якими зіштовхуються українські банки у своїй діяльності, дуже різноманітні. Найбільш частими ризиками, що відзначають закордонні і вітчизняні фахівці, є: ризики кредитні, котрі полягають у непогашенні клієнтами отриманих кредитів; ризики неліквідності, тобто ризики нестачі в банку ліквідних засобів для погашення кредиту. Такий ризик, звичайно, виникає із самої діяльності банку і може виникнути в результаті зміни процентних ставок; валютні ризики, пов'язані зі зміною курсу валюти, у якій виданий чи отриманий кредит; майновий ризик. У банках зберігаються не тільки готівка, але і цінності паперової форми, платіжні картки і т.д. Існує ризик утрати цих засобів не тільки в результаті пограбування, але і зловживання з боку службовців банку; адміністративний і бухгалтерський ризики. Вони виникають у силу розмаїтості операцій, щодня здійснюваних банком. Помилка, чи перегляд зловживання можуть не тільки нанести банку великий збиток, але і погіршити його репутацію, дискредитувати його імідж; інформаційний ризик. Ефективність інформації є вирішальним чинником у боротьбі за підвищення рентабельності й адаптації банку до більш складного конкурентного оточення. Тому помилки в розробці концепції і її реалізації, запізнювання впровадження новітньої технології й освоєння усе більш складних інформаційних систем є важливим джерелом ризику, що знижує якість і ефективність банківських послуг; страховий ризик. Має місце при міжнародному кредитуванні, тобто ризик можливої зміни економічної і політичної ситуації в країні, з підприємством якої банк має справи. Крім цих існують ще кілька груп ризиків. Перша група - ризики, пов'язані з загальним економічним становищем у країні. Сюди відносяться: кон'юнктурні ризики, тобто зміна загальної економічної ситуації в країні; ризики поширення банкрутств, обумовлені взаємною заборгованістю підприємств, коли банкрутство боржника може викликати труднощі і навіть банкрутство кредитора; ризики структурних змін у галузі, коли технологічні зміни викликають потрясіння на ринках і вимагають від підприємств швидкого реагування і перебудови. Друга група - це ризики, пов'язані з фінансуванням міжнародних операцій з нерухомістю. Фахівці виділяють тут кілька груп ризиків цієї категорії: ризики, пов'язані з якістю самого проекту. Погано розроблений проект чи проект із зремінного геометрією, коли інвестор змінює зміст первісного проекту, не завжди правильно оцінюючи свої можливості. Проекти, реалізація яких пов'язана з переломом економічної кон'юнктури чи погіршенням положення на ринку нерухомості; адміністративні ризики, що виникають коли втрачає силу адміністративний дозвіл на будівництво, у зв'язку зі значною затримкою реалізації проекту і початку робіт. Фінансуючі проект банки повинні уважно відноситися до цього ризику, оскільки дозвіл на будівництво може і не бути відновлено. Адміністративні ризики можуть виникати також через те, що ті чи інші проекти зв'язані з національним культурним надбанням, тому фахівці рекомендують банкам, що беруть участь чи збирається брати участь у фінансуванні таких проектів, пов'язаних з культурним чи національним надбанням країни, утримуватися від фінансування таких проектів; ризики, пов'язані зі співробітництвом з іноземними банками. Банки, що беруть участь у фінансуванні закордонних проектів, вважають, що вони значно зменшать свої ризики, якщо стануть членами банківського пула, що включає провідні банки країни, у якій реалізується проект. Тут існує небезпека того, що саме на іноземний банк будуть покладені усі витрати, зв'язані з фінансуванням проекту. Тому в даному випадку варто дуже обережно йти на співробітництво з іноземними банками при реалізації проекту в тій чи іншій країні. Тим більше, тут існує небезпека таємних угод, пулів; ринкові ризики, пов'язані з характеристикою і станом ринків, на яких реалізуються проекти. Тут можуть бути наступні фактори збільшення ризику: незначна місткість ринку, у порівнянні з масштабами проекту; проекти, реалізовані на модних ринках, на яких часто виникає швидко минаючий спекулятивний ажіотаж. До числа таких ринків відносяться столиці східноєвропейських країн. Мати такий проект вважається гарним тоном, хоча в більшості випадків ці проекти не приводили до бажаного результату; ризиками володіють також проекти в зростаючих промислових центрах. Фахівці також вважають, що при налагодженні відносин з іноземними інвесторами, що ведуть операції з нерухомістю, варто керуватися такими розуміннями, як: проект не стає менш ризикованим, якщо інвестор залучить до нього ще одного інвестора; банк-кредитор, як правило, вважає, що всі зусилля варто перекладати на плечі банкірів-акціонерів. Мова йде про створення банківських об'єднань для фінансування такого проекту. Як правило, банк, що очолює банківський пул, не захищає чи не цілком захищає інтереси банків-учасників даного пула. Крім названих груп ризиків існують ще ризики, пов'язані з використанням інструментів грошово-кредитного і фінансового ринків, так званих дериватів чи деривативних угод. Ці угоди самі являють собою методи страхування від ризиків. Важливу складову частину перевірки надійності підприємства зробить дослідження його балансу. Тут потрібно враховувати, однак, що причин неспроможності боржника може бути багато. Дуже часто банки роблять помилки, вважаючи, що причиною неспроможності боржника є якась одна причина, а насправді таких причин може бути кілька. На основі досліджень, проведених у Німеччині, можна виділити наступні причини неспроможності боржника: Надмірні витрати на особисті цілі. Відсутність у керівництва здатності до комерційної діяльності. Помилки при веденні рахунків. Занадто високий рівень запасів. Зниження обсягу обороту. Незадовільне фінансове планування. Великий обсяг помилкових інвестицій. Збиток від дебіторської заборгованості. Критеріями для оцінки надійності позичальника, за рекомендацією закордонних експертів, повинні служити: 1. Компетентність і здатність керівного персоналу підприємства. Продукція і послуги підприємства. Фінансове положення підприємства. При оцінці здібностей керівників підприємства слід враховувати їх освіту, досвід, здібності, репутацію, звички, родинний стан, стиль життя. При оцінці продукції підприємства, товарів і послуг слід враховувати його конкурентоспроможність, позицію на ринку, перспективу розвитку даного виду товарів і послуг, структуру споживачів продукції підприємства і т.д. Для оцінки фінансового положення підприємства слід керуватися такими критеріями, як ліквідність підприємства, тобто здатність оплатити свої зобов'язання в термін, можливості самофінансування, доходи, фінансова сила. Найважливішим джерелом для оцінки фінансового положення підприємства є його річний баланс. Однак треба пам'ятати, що за допомогою балансу можна сховати фінансовий стан підприємства, особливо положення з доходами. На основі балансу важко установити співвідношення між термінами надходжень коштів компанії і її платежів, тим часом це співвідношення має важливе значення для оцінки ліквідності компанії. Тому ліквідність компанії варто оцінювати на основі досліджень її фінансового плану. Для розрахунку фінансової сили підприємства, що характеризує здатність підприємства здійснювати інвестиції чи погашати отримані для цієї мети кредити, необхідно аналізувати рух його готівки. Оцінка фінансової сили підприємства виробляється шляхом обчислення готівки у відсотках, або до обороту підприємства, або до земельного капіталу. Результат поділення позикового капіталу на величину готівки показує, скільки років буде потрібно підприємству для погашення своїх зобов'язань. Одержання інформації для оцінки надійності позичальника повинне будуватися на двох принципах: по-перше, потрібно чітко визначити обсяг необхідної інформації, а по-друге, інформацію варто одержувати по можливості з різних і незалежних друг від друга джерел. Аналіз ризиків В даний час технології аналізу ризиків в Україні розвинуті слабко. Основна причина такого стану полягає в тому, що в українських керівних документах недостатньо розглядається аспект ризиків, їхній припустимий рівень і відповідальність за прийняття визначеного рівня ризиків. Питанням аналізу ризиків за кордоном приділяється серйозна увага десятиліттями. Однак і в нас у країні стан починає мінятися. Серед вітчизняних фахівців служб безпеки зріє розуміння необхідності проведення такої роботи. У першу чергу це стосується банків і великих комерційних структур, тобто тих, хто в першу чергу зобов'язаний серйозно піклуватися про безпеку своїх інформаційних ресурсів. Мета аналізу ризиків складається у визначенні характеристик ризиків. При проведенні аналізу ризиків необхідно визначити: уразливі місця в даній системі; сутність загрози, їхній рівень; припустимий рівень загроз; комплекс заходів, що дозволяє знизити ризики до припустимого рівня. По кожному з цих пунктів потрібне проведення спеціального аналізу і досліджень. Режим інформаційної безпеки в банківських системах забезпечується: на процедурному рівні - шляхом розробки і виконання розділів інструкцій для персоналу, присвячених інформаційній безпеці, а такожзасобами фізичного захисту; на програмно-технічному рівні - застосуванням апробованих і сертифікованих рішень, стандартного набору контрзаходів: резервне копіювання, антивірусний захист, парольний захист, міжмережеві екрани, шифрування даних і т.д. При забезпеченні інформаційної безпеки важливо не пропустити яких-небудь істотних аспектів. Це буде гарантувати деякий мінімальний (базовий) рівень інформаційної безпеки, обов'язковий для будь-якої інформаційної технології. У випадку підвищених вимог в області інформаційної безпеки використовується повний варіант аналізу ризиків. На відміну від базового варіанта, виробляється оцінка цінності ресурсів, характеристик ризиків і вразливості. Інструментарій аналітика Застосування яких-небудь інструментальних засобів не є обов'язковим, однак їхнє використання дозволяє зменшити трудомісткість проведення аналізу ризиків і вибору контрзаходів. В даний час на ринку є біля двох десятків програмних продуктів для аналізу ризиків: від найпростіших, орієнтованих на базовий рівень безпеки, до складних і дорогих продуктів, що дозволяють провести повний аналіз ризиків і вибрати комплекс контрзаходів необхідної ефективності. Аналіз ризиків для базового рівня Звичайною областю використання цього рівня є типові проектні рішення. Існує ряд стандартів і специфікацій, у яких розглядається мінімальний (типовий) набір найбільш ймовірних загроз, таких як збої устаткування, віруси, несанкціонований доступ і т.д. Для нейтралізації цих загроз обов'язково повинні бути прийняті контрзаходи незалежно від імовірності їхнього здійснення й уразливості ресурсів. У такий спосіб програмні продукти, призначені для цієї мети, дозволяють сформувати список питань, що стосуються виконання цих вимог. На основі відповідей генерується звіт з рекомендаціями з усунення виявлених загроз. Програмний продукт дозволяє представити вимоги стандартів у виді тематичних питань з окремих аспектів діяльності банку. Цей продукт може використовуватися при проведенні аудиту інформаційної безпеки чи роботи фахівців служб, що відповідають за забезпечення інформаційної безпеки. Ще однією областю застосування є перевірка на відповідність вимогам базового рівня захищеності банку. Мається можливість настроювання на різні області застосування шляхом додавання чи виключення додаткових питань. Крім того, мається калькуляція очікуваних середньорічних втрат, що дозволяє оцінити очікувані втрати по різних видах інформаційних ресурсів. Повний аналіз ризиків Повний варіант аналізу ризиків застосовується у випадку підвищених вимог в області інформаційної безпеки. На відміну від базового варіанту в тому чи іншому виді виробляється оцінка цінності ресурсів, характеристик ризиків і уразливості ресурсів. Як правило, проводиться аналіз вартість\ефективність декількох варіантів захисту. Програмні засоби, що дозволяють провести повний аналіз ризиків, будуються з використанням структурних методів системного аналізу і проектування і являють собою інструментарій для: побудови моделі інформаційної системи з погляду інформаційної безпеки; оцінки цінності ресурсів; складання списку загроз і вразливості, оцінки їхніх характеристик; вибору контрзаходів і аналізу їхньої ефективності; аналізу варіантів побудови захисту; документування (генерація звітів). Обов'язковим елементом цих продуктів є база даних, яка містить інформацію з інцидентів в області інформаційної безпеки, що дозволяє оцінити ризики й уразливості, ефективність різних варіантів контрзаходів у конкретних ситуаціях. Аналіз ризиків містить у собі ідентифікацію й обчислення рівнів ризиків на основі оцінок, привласнених ресурсам, загрозам і вразливості ресурсів. Контроль ризиків складається з ідентифікації і вибору контрзаходів, що дозволяють знизити ризики до прийнятного рівня. Це дозволяє переконатися, що захист охоплює всю систему й існує впевненість у тім, що: усі можливі ризики ідентифіковані;: уразливості ресурсів ідентифіковані і їхні рівні оцінені; загрози ідентифіковані і їхні рівні оцінені; контрзаходи ефективні; Аналіз ризиків проводиться в три етапи. Етап 1: аналізується усе, що стосується ідентифікації і визначення цінності ресурсів системи. Наприкінці цього етапу банк буде знати, чи досить йому існуючої традиційної практики, чи він має потребу в проведенні повного аналізу безпеки. Етап 2: розглядається усе, що відноситься до ідентифікації й оцінки рівнів загроз для груп ресурсів і їх вразливості. Наприкінці другого етапу банк одержує ідентифіковані й оцінені рівні ризиків для своєї банківської системи. Етап 3: пошук адекватних контрзаходів. Власне кажучи, це пошук варіанта системи безпеки, що максимально відповідає вимогам банку. Наприкінці етапу замовник буде знати, як варто модифікувати систему для відхилення від ризику, а також вибору спеціальних заходів протидії, що ведуть до зниження ризиків, що залишилися, до необхідного і припустимого рівня. Розглянемо більш детально кожний з етапів. Етап 1. Ідентифікація ресурсів і побудова моделі інформаційної системи з погляду безпеки Основні кроки: визначення меж дослідження (межі системи); ідентифікація ресурсів (устаткування, дані, програмне забезпечення); побудова моделі з погляду інформаційної безпеки; визначення цінності ресурсів; одержання звіту й обговорення його з керівництвом банку. Визначення меж дослідження. Визначення меж досліджуваної системи починається зі збору наступної інформації: відповідальні за фізичні і програмні ресурси; хто є користувачем і як користувачі будуть використовувати систему; конфігурація системи. Первинна інформація збирається в процесі бесід з менеджером чи іншими співробітниками. Ідентифікація ресурсів і побудова моделі системи з погляду інформаційної безпеки Проводиться ідентифікація ресурсів: фізичних, програмних і інформаційних, що містяться усередині меж системи. Кожен ресурс необхідно віднести до одного з визначених класів. Потім будується модель інформаційної системи з погляду інформаційної безпеки. Для кожного інформаційного процесу, що має самостійне значення з погляду користувача і названого користувальницьким сервісом, будується дерево зв'язків використовуваних ресурсів. Побудована модель дозволяє виділити критичні елементи. Оцінювання цінності ресурсів. Цінність фізичних ресурсів визначається ціною їхнього відновлення у випадку руйнування. Цінність даних і програмного забезпечення визначається в наступних ситуаціях: неприступність ресурсу протягом визначеного періоду часу; руйнування ресурсу - втрата інформації, отриманої з часу останнього резервного копіювання, чи її повне руйнування; порушення конфіденційності у випадку несанкціонованого доступу штатних співробітників чи сторонніх осіб; модифікація розглядається для випадків дрібних помилок персоналу (помилок уведення), програмних помилок, навмисних помилок; помилок, пов'язаних з передачею інформації: відмови від доставки, недоставляння інформації, доставка по невірній адресі. Для оцінки можливого збитку рекомендується використовувати деякі з наступних параметрів: збиток репутації банку; порушення діючого законодавства; збиток для здоров'я персоналу; збиток, пов'язаний з розголошенням персональних даних окремих осіб; фінансові втрати від розголошення інформації; фінансові втрати, зв'язані з відновленням ресурсів; втрати, пов'язані з неможливістю виконання зобов'язань; дезорганізація діяльності. Приведена сукупність параметрів використовується в комерційному варіанті методу. В інших версіях сукупність буде іншою. Так, у версії, використовуваної в урядових закладах, додаються такі області, як національна безпека і міжнародні відносини. Одержання звітів і обговорення їх. На першому етапі може бути підготовлено кілька типів звітів (межі системи, модель, визначення цінності ресурсів). Якщо цінності ресурсів низькі, можна використовувати базовий варіант захисту. У такому випадку дослідник може відразу перейти від етапу 1 до етапу 3. Однак для адекватного обліку потенційного впливу якої-небудь загрози, вразливості, що мають високі рівні, варто використовувати скорочену версію етапу 2. Це дозволяє розробити більш ефективну схему захисту. Етап 2. Аналіз загроз і вразливостей На другому етапі: оцінюється залежність користувальницьких сервісів від визначених груп ресурсів; оцінюється існуючий рівень загроз і вразливостей; обчислюються рівні ризиків; аналізуються результати. Виробляється угруповання ресурсів з погляду загроз і вразливостей. Наприклад, у випадку існування загрози пожежі чи крадіжки як групу ресурсів розумно розглянути всі ресурси, що знаходяться в одному місці, Оцінка рівнів загроз і вразливостей виробляється на основі дослідження непрямих факторів. Програмне забезпечення для кожної групи ресурсів і кожного з типів загроз генерує список питань, що допускають однозначну відповідь. Можливе проведення корекції результатів чи використання інших методів оцінки. На підставі цієї інформації розраховуються рівні ризиків. Отримані рівні загроз, вразливостей і ризиків аналізуються й узгоджуються з замовником. Тільки після цього переходять до третього етапу. Етап 3. Вибір контрзаходів На цьому етапі генеруються кілька варіантів заходів протидії, адекватних виявленим ризикам і їхнім рівням. Умовно їх можна об'єднати в 3 категорії: рекомендації загального плану; конкретні рекомендації; приклади того, як організується захист у даній ситуації. На цій стадії можливо провести порівняльний аналіз ефективності різних варіантів захисту. Методологія аналізів ризиків Одним з можливих підходів до розробки методик аналізу ризиків є нагромадження статистичних даних про події, які відбулись , аналіз і класифікація причин, виявлення факторів ризику. На основі цієї інформації можна оцінити загрози й уразливості в інших інформаційних системах. Практичні складності в реалізації цього підходу наступні: по-перше, повинний бути зібраний дуже великий матеріал про події в цій області; по-друге, застосування цього підходу виправдано далеко не скрізь. Якщо банківська система досить велика (містить багато елементів, розташована на великій території), має давню історію, то подібний підхід виправданий. Якщо порівняно невелика, використовує новітні елементи технології (для якої поки немає достовірної статистики), оцінка ризиків і уразливості може виявитися недостовірною. Альтернативою статистичному підходу є підхід, заснований на аналізі особливостей технології. Утім, цей підхід також не універсальний: темпи технологічного прогресу в області інформаційних технологій такі, що оцінки, що мають, відносяться до застарілих чи застаріваючих технологій, для новітніх технологій таких оцінок поки не існує. Загроза сама по собі не несе ніякого збитку для діяльності банку: вона існує об'єктивно, потенційно, поза залежністю від нашого знання про її існування. Однак у деякий момент часу кожна загроза може перейти з потенційної в реальну, тобто реалізуватися. У цей момент часу банк вже має визначений збиток, якщо реалізація даної загрози не була вчасно відвернена, і банк має справу з коефіцієнтом збитку від реалізації даної загрози. При виконанні методики повного аналізу ризиків приходиться вирішувати ряд складних проблем: Як визначити цінність ресурсів? Як скласти повний список загроз інформаційної безпеки й оцінити їхні параметри? Як правильно вибрати контрзаходи й оцінити їхню ефективність? Відповідно до цього методика оцінювання ризиків містить кілька етапів: ідентифікація ресурсу й оцінювання його кількісних показників чи визначення потенційно негативного впливу на банківську діяльність; оцінювання загроз; оцінювання вразливості; оцінювання існуючих і передбачуваних засобів забезпечення інформаційної безпеки; оцінювання ризиків. Ризик характеризує небезпека, якій може піддаватися банк і інформаційна система, яка використовується банком для своєї діяльності. І при оцінюванні ризиків враховуються потенційний негативний вплив від небажаних подій і показники значимості розглянутих вразливості і загроз для них. Ступінь ризику залежить від: => показників цінності ресурсу; => імовірності реалізації загроз; => простоти використання уразливості при виникненні загроз; => існуючих чи планованих до впровадження засобів забезпечення інформаційної безпеки, скорочують імовірність виникнення загроз і негативних впливів. Визначення цінності ресурсів. Ресурси звичайно підрозділяються на кілька класів, наприклад, фізичні, програмні і дані. Для кожного класу повинна існувати своя методика оцінки цінності елементів. Для оцінки цінності ресурсів вибирається придатна система критеріїв. Критерії повинні дозволяти описати потенційний збиток, пов'язаний з порушенням конфіденційності, цілісності, приступності. Цінність фізичних ресурсів оцінюють з погляду вартості їхньої заміни чи відновлення працездатності. Ці вартісні величини потім перетворяться в якісну шкалу, що використовується також для інформаційних ресурсів. Програмні ресурси оцінюються тим же способом, що і фізичні, на основі визначення витрат на їхнє придбання чи відновлення. Якщо для інформаційного ресурсу існують особливі вимоги до конфіденційності цілісності, то оцінка цього ресурсу виробляється по тій же схемі, тобто у вартісному вираженні. Крім критеріїв, що враховують фінансові втрати, у банках можуть бути присутніми критерії, що відбивають: збиток репутації банку; неприємності, зв'язані з порушенням діючого законодавства; збиток для здоров'я персоналу; збиток, пов'язаний з розголошенням персональних даних окремих осіб; фінансові втрати від розголошення інформації; фінансові втрати, пов'язані з відновленням ресурсів; втрати, пов'язані з неможливістю виконання зобов'язань; збиток від дезорганізації діяльності банку. Можуть використовуватися й інші критерії залежно від профілю банку. Оцінка характеристик факторів ризику. Ресурси повинні бути проаналізовані з погляду оцінки впливу можливих атак (спланованих дій внутрішніх чи зовнішніх зловмисників) і різних небажаних подій природного походження. Також потенційно можливі події називаються загрозами безпеки. Крім того, необхідно ідентифікувати уразливості - слабості в системі захисту, що уможливлюють реалізацію загроз. Для того щоб конкретизувати імовірність реалізації загрози розглядається деякий відрізок часу, протягом якого передбачається захищати ресурс. Імовірність того, що загроза реалізується, визначається наступними факторами: => привабливістю ресурсу (цей показник враховується при розгляді загрози навмисного впливу з боку людини); => можливість використання ресурсу для одержання доходу (показник враховується при розгляді загрози навмисного впливу з боку людини); => простотою використання уразливості при проведенні атаки. В даний час відомо безліч методів оцінювання загроз, більшість з яких побудовані на використанні таблиць. Такі методи порівняно прості у використанні і досить ефективні. Однак не слід говорити про кращий метод, тому що в різних випадках вони будуть різними. Важливо з наявного різноманіття методів вибрати саме той, котрий забезпечив би відтворені результати для даного банку. Ранжування загроз. У матриці чи таблиці можна наочно відбити зв'язок факторів негативного впливу (показників ресурсів) і ймовірностей реалізації загрози з урахуванням показників вразливості (табл.1). На першому кроці оцінюється негативний вплив (показник ресурсу) по заздалегідь визначеній шкалі, наприклад від 1 до 5, для кожного ресурсу, якому загрожує небезпека (стовпчик b у табл.1.) На другому - по заздалегідь заданій шкалі, наприклад від 1 до 5, оцінюється імовірність реалізації кожної загрози. Таблиця..1 Вірогідність реалізації загрози з урахуванням показників вразливості Дисіфиптор загрози (а) Показник негативного впливу (ресурсу) (Ь) Імовірність реалізації загрози (с) Показник ризику (її) Ранг загрози (е)
Загроза А 5 2 10 2
Загроза В 2 4 8 3
Загроза С 3 5 15 1
Загроїа С 1 3 3 5
Загроза Е 4 1 4 4
Загроза Р 2 4 8 3
На третьому кроці обчислюється показник ризику. У найпростішому варіанті методики це робиться шляхом множення (bхс). Однак необхідно пам'ятати, що операція множення визначена для кількісних шкал. Для рангових (якісних) шкал виміру, якими є показник негативного впливу й імовірність реалізації загрози, приміром, зовсім необов'язково показник ризику, що відповідає ситуації b=1, c=3, буде еквівалентний b=3, c=1. Відповідно, повинна бути розроблена методика оцінювання показників ризиків стосовно до конкретного банку. На четвертому кроці загрози ранжуються за значеннями їхнього фактора ризику. Оцінювання рівнів ризику. Розглянемо метод, побудований на використанні таблиць і враховуючий тільки вартісні характеристик ресурсів. Цінність фізичних ресурсів оцінюється з погляду вартості їхньої заміни відновлення працездатності (тобто кількісних показників). Ці вартісні величини потім перетворяться в якісну шкалу, що використовується також для інформаційних ресурсів. Програмні ресурси оцінюються тим же способом, що і фізичні, виходячи з витрат на їхнє придбання чи відновлення. Якщо для інформаційного ресурсу існують особливі вимоги до конфіденційності чи цілісності, то оцінка цього ресурсу виробляється по тій же схемі, тобто у вартісному вираженні. Кількісні показники інформаційних ресурсів оцінюються на підставі опитувань співробітників банку (власників інформації) - тих хто може оцінити цінність інформації, визначити її характеристики і ступінь критичності. На основі результатів опитування виробляється оцінювання показників і ступеня критичності інформаційних ресурсів для найгіршого варіанта розвитку подій. Розглядається потенційний вплив на бізнес-процес при можливому несанкціонованому ознайомленні з інформацією, зміні інформації, відмовленні від виконання обробки інформації, неприступності на різні терміни і руйнуванні. Далі розробляється система показників у бальних шкалах. Таким чином, кількісні показники використовуються там, де це припустимо і виправдано, а якісні - там, де кількісні оцінки неможливі. По кожній групі ресурсів, зв'язаній з даною загрозою, оцінюється рівень останньої (імовірність реалізації) і ступінь уразливості (легкість з якою реалізована загроза здатна привести до негативного впливу). Оцінювання виробляється в якісних шкалах. Поділ ризиків на прийнятні і не прийнятні. Інший спосіб оцінювання ризиків складається в поділі їх тільки на прийнятні і не прийнятні. Підхід грунтується на тому, що кількісні показники ризиків використовуються тільки для їх упорядкування і визначення першочергових дій. Але це можна досягти і з меншими витратами. Матриця, використовувана в даному підході, містить не числа, а тільки символи Д (ризик допустимо) і Н (ризик не допустимо). Кожен рядок у матриці визначається показником ресурсу, а кожен стовпець - ступенем небезпеки загрози й уразливості. Розмір матриці, що враховує кількість ступенів загроз і вразливості, категорій ресурсів, може бути іншим і визначається конкретним банком. Світовий досвід банківської діяльності, узагальнення досвіду роботи прорвідних українських і російських банків показують, що системоутворюючим елементом керування ризиками в бізнесі є інформаційно-аналітична діяльність. Саме на її базі і будується система комплексної безпеки, що покликана виявляти і прогнозувати зовнішні і внутрішні загрози життєво важливим інтересам, а також здійснювати необхідний комплекс дій з їх попередження і нейтралізації. При прогнозуванні і мінімізації ризиків інформаційна підтримка має визначальне, але не виняткове значення. Для рішення проблеми необхідно почати цілий комплекс заходів, спрямований на забезпечення підприємництва й особистості. Штучне вичленовування одного з елементів комплексу (навіть найважливішого) не вирішує задачу цілком. В даний час немає стрункої системи класифікації підприємницьких ризиків. Всі існуючі нині підходи до класифікації ризиків недостатньо повно відбивають розмаїтість ризиків, тому представляється обов'язковим визначення їхніх типів і угруповання по визначених ознаках. Першочерговою задачею є оцінка стану керування ризиками в банку, що припускає проходження наступних етапів: => установлення причин, факторів, джерел ризику в банку; => ідентифікація ризиків банку; => побудова профілю ризику; => інтегральна оцінка ризику банку по профілю; => аналіз використовуваних у банку заходів щодо керування ризиками; => оцінка ефективності застосовуваних заходів. Дослідження стану керування ризиками проводиться при дотриманні наступних принципів: => комплексності, що дозволяє охопити організаційні, інформаційні, виробничо-технічні, соціальні, економічні, юридичні аспекти проблеми; => науковості, що базується на визначенні оптимального варіанта дій для досягнення поставленої задачі; => системності, що представляє об'єкт дослідження у вигляді цілісної єдиної системи; => прогресивності, що полягає у відповідності дослідження передовим методам і методикам вітчизняного і закордонного досвіду. Дослідження організації керування ризиками в банку доцільно проводити в три етапи (рис..1.).
Рис. 1. Схема проведення дослідження організації керуваннями ризиками. ІСТОРІЯ ВИНИКНЕННЯ ТА РОЗВИТОК КОМЕРЦІЙНОЇ ТАЄМНИЦІ Комерційна таємниця є одним з найдавніших способів охорони результатів інтелектуальної діяльності. Давні майстри зберігали секрети своєї професійної діяльності задовго до виникнення перших правових засобів охорони виключних прав. Ці секрети передавались з покоління у покоління, від батька до сина, від майстра до раба. Ймовірно, першим захистом таких секретів виступала загальна влада, яку мав батько над своїм сином, а господар над рабом. Правова охорона комерційній інформації надавалася ще в Давньому Римі, де законом передбачався подвійний штраф за примушення рабів розкривати секрети своїх господарів. Сучасне розуміння комерційної таємниці почало розвиватись в Англії під час промислової революції. У США перше задокументоване судове рішення стосовно комерційної таємниці датується 1837 роком. У Російській Імперії уперше правові норми, спрямовані на захист т.зв. промислової таємниці, були прийняті ще в період царювання Олександра ІІ. Збереження «промислової таємниці» розглядалось як дієвий засіб захисту підприємців від недобросовісної конкуренції. Поняття комерційної таємниці припинило існування з прийняттям радянською владою у 1917 році Декрету «Про робітничий контроль». У радянський період діяло правило про обов'язковість найширшого та безоплатного поширення кожного досягнення, отриманого на окремому підприємстві, про «обмін досвідом» на адміністративній основі. Ще в 1930 році XVI з'їзд ВКП(б) передбачив необхідність боротьби із секретністю. Хоча очевидно, що подібна відкритість обмежувалась сферою цивільної продукції, а таємниця існувала і захищалась адміністративними заходами, хоча й не мала характеру правової категорії. Повернення інституту захисту комерційної таємниці до вітчизняного законодавства відбулось лише наприкінці існування радянської державності. Уперше захист комерційної таємниці був визнаний у Законі СРСР «Про підприємства в СРСР» (№1529-I від 04.06.90), у якому містилася спеціальна стаття, якою визначався термін «комерційна таємниця підприємства» та загальні риси правового її режиму. Під комерційною таємницею підприємства розумілись «пов'язані з виробництвом, технологічною інформацією, управлінням, фінансами та іншою діяльністю підприємства відомості, що не є державними таємницями, розголошення (передача, витік) яких може завдати шкоди його інтересам». Склад і обсяг відомостей, що становлять комерційну таємницю, порядок їх захисту мали визначатися керівником підприємства. Види діяльності підприємств, відомості про які не можуть становити комерційної таємниці, визначалися Радою Міністрів СРСР «з метою запобігання приховуванню підприємством відомостей про забруднення навколишнього середовища та іншу негативну діяльність, яка може завдати шкоди суспільству». Відповідальність за розголошення відомостей, які становлять комерційну таємницю підприємства, і за порушення порядку охорони таких відомостей встановлювалась іншими законодавчими актами СРСР. Крім того, у 1991 році було прийнято Основи цивільного законодавства Союзу РСР і республік. Стаття 151 Основ була спеціально присвячена «секретам виробництва» та встановлювала загальні ознаки цієї категорії, умови надання правового захисту та окремі особливості правового режиму. Включення цієї норми відбулось на виконання міжнародного зобов'язання, взятого на себе СРСР в Угоді про торгові відносини між СРСР та США від 01.06.1990. В Основах було закріплено умови, за яких володілець інформації, яка складала секрет виробництва (ноу-хау), набував права захисту від її незаконного використання третіми особами. Ці умови були запозичені із згаданої Угоди. У свою чергу, відповідне положення Угоди фактично дублювало визначення «комерційної таємниці» із Уніфікованого Закону про комерційну таємницю США. Ці положення були перенесені й у відповідне законодавство тоді ще Української РСР – Закон УРСР «Про підприємства в Українській РСР» (№887-XII від 27.03.1991) та Основи цивільного законодавства УРСР. Так, у Законі «Про підприємства в Українській РСР» (стаття 30) (з жовтня 1992 року – Закон України «Про підприємства в Україні») було дослівно відтворено положення аналогічного Закону СРСР (лише із заміною Ради Міністрів СРСР на Кабінет Міністрів України). Також з'явилася норма (стаття 32) про відповідальність службових осіб організацій та органів, що проводять перевірку підприємства, за розголошення комерційної таємниці підприємства. Закон України «Про підприємства в Україні», у тому числі його положення щодо комерційної таємниці, діяли до 1 січня 2004 року, коли набув чинності Господарський кодекс України (про визначення комерційної таємниці в чинному законодавстві див. розділ «Поняття, ознаки та правова природа комерційної таємниці»).