Доклад безопасность электронной коммерции. Контрольная работа Электронная коммерция: безопасность и риски Проблемы защиты информации в электронной коммерции

В результате изучения материала данной главы студент должен: знать

  • правовые основы информационной безопасности;
  • стандарты безопасности платежей пластиковыми картами;
  • правила работы с электронными счетами-фактурами; уметь
  • произвести безопасный платеж с использованием пластиковой карты;
  • осуществлять безопасные покупки с использованием пластиковых карт; владеть
  • знаниями по современным информационным атакам и классификации АРТ- атак;
  • знаниями по повышению безопасности ЭДО и электронных платежей.

Безопасность предприятий электронной коммерции

Под безопасностью предприятия ЭК понимают состояние защищенности его от внешних и внутренних угроз. Понятие безопасности предприятия включает:

  • правовую защиту безопасности;
  • защиту персональных данных;
  • физическую безопасность;
  • экономическую и финансовую безопасность;
  • информационную безопасность.

Наиболее распространенными киберпреступлениями в 2014 г. и начале 2015 г. были целенаправленные атаки на информационные системы предприятий (APT - advanced persistent threat), попытки использования уязвимостей в приложениях с открытым кодом, динамические техники обхода защиты (АЕТ - advanced evasion techniques), угрозы в финансовой сфере, сфере мобильных платежей, дистанционном банковском обслуживании, онлайн-банкинге. К вредоносному банковскому ПО относятся банкеры, клавиатурные шпионы, программы для кражи виртуальных кошельков. Банкер (bankers) - особый вид системных ставок в букмекерских конторах, где выбирается одно (или несколько) событий с предполагаемым успешным исходом. В 2014 г. экспертами зафиксировано 16 млн заражений Windows-компьютеров вредоносным банковским ПО, обнаружено 12 тыс. мобильных банковских троянцев.

К угрозам физической безопасности относятся посягательства на жизнь и личные интересы сотрудников предприятия, такие действия в отношении сотрудников предприятия, как психологический террор, запугивание, вымогательства, грабеж с целью завладения материальными ценностями или документами, похищение сотрудников, угроза жизни, кражи, а также пожар и стихийные бедствия.

К экономической и финансовой безопасности относятся защита экономических и финансовых интересов предприятия и субъектов предприятия. Угрозами экономической и финансовой безопасности являются неплатежеспособность предприятия, компрометация и подрыв доверия к предприятию, использование фальшивых документов, утечка коммерческой информации, подделка финансовых документов для получения кредита, нарушение сроков платежей, разглашение конфиденциальной финансовой информации, условий предоставления кредитов, подделка товаров и их торговых марок и др.

Правовая защита достигается путем соблюдения каждым субъектом электронной торговли законодательства РФ, нормативных и правовых актов, соглашений сторон электронных сделок, прав и обязанностей в соответствии с правовым статусом субъекта, прав и обязательств по порядку оформления электронной сделки. Участниками электронных сделок являются субъекты и посредники электронной торговли. Они обязаны предпринимать действия по снижению рисков, предотвращению угроз и конфликтов в процессах электронной торговли. Для этого им следует использовать средства профилактики и предупреждения правонарушений, мониторинг правового обеспечения своей деятельности. В модельном Законе "Об электронной торговле", принятом Постановлением Межпарламентской Ассамблеи государств - участников СНГ № 31-12 от 2008 г. прописаны основные мероприятия по обеспечению безопасности электронной торговли.

При ведении ЭК важно соблюдение положений Федерального закона от 29 июля 2004 г. № 98-ФЗ "О коммерческой тайне". Закон дает следующее определение: "Коммерческая тайна - режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду".

В соответствии с п. 2 ст. 3 Закона "О коммерческой тайне", информация, составляющая коммерческую тайну - это сведения любого характера, которые имеют действительную или потенциальную коммерческую ценность. Она неизвестна третьим лицам на законном основании либо к ней обладателем сведений введен режим коммерческой тайны. Информация может носить производственный, технический, экономический, организационный и другой характер. Статья 15 ч. 1 ГК РФ, предусматривает возмещение убытков, нанесенных нарушением режима коммерческой тайны. Под убытками понимаются расходы, необходимые для восстановления нарушенного права. Их несет лицо, чьи права были нарушены.

Для обеспечения режима сохранности коммерческой тайны на предприятии работодатель обязан издать "Положение об использовании корпоративной электронной почты" и "Приказ о вводе режима коммерческой тайны". В приказе оговаривается информация, которая на данном предприятии представляет коммерческую тайну. Положение и Приказ доводятся до сведения всех сотрудников предприятия под личную подпись. Обладатель информации, составляющей коммерческую тайну, вправе применять при необходимости средства и методы технической защиты этой информации. Также он может применять другие, не противоречащие законодательству РФ, меры защиты. Это следует из ст. 34 п. 1 Конституции РФ.

Примечание. Соблюдение положений Закона "О коммерческой тайне" необходимо студентам, проходящим производственную практику на государственных или коммерческих предприятиях. Сведения, помещаемые в отчеты о прохождении практики и выпускные квалификационные работы, не должны раскрывать коммерческую тайну этих предприятий.

Безопасность - состояние защищенности от возможного нанесения ущерба, способность к сдерживанию или парированию опасных воздействий, а также к быстрой компенсации нанесенного ущерба. Безопасность означает сохранение системой стабильности, устойчивости и возможности саморазвития. Одной из популярнейших тем для обсуждения является безопасность электронной коммерции.

Но до сих пор, несмотря на все ценные мнения и высказывания, не существует практичного, "земного" пособия к тому, что же все-таки является предметом безопасности электронной коммерции. В этой статье приводятся некоторые точки зрения на этот вопрос, и делается попытка отделить мифы от реальной действительности. Давайте попробуем ответить на некоторые базовые вопросы, очевидные для специалистов.

Системы можно сделать защищенными. Системы могут быть защищены только от известных угроз, с уменьшением количества связанных с ними рисков до приемлемого уровня. Только вы сами можете определить правильный баланс между желаемым уровнем снижения рисков и стоимостью решения. Безопасность вообще представляет собой один из аспектов риск-менеджмента. А информационная безопасность является совокупностью здравого смысла, риск-менеджмента бизнеса и базовых технических навыков под управлением достойного менеджмента, разумного использования специализированных продуктов, возможностей и экспертиз и правильных технологий разработки. При этом web-cайт - это всего лишь средство доставки информации потребителю.

Безопасность сайтов - это исключительно технический вопрос. Слишком часто безопасность в большей степени относится к области соответствующего контроля процесса разработки, правильного управления конфигурацией операционной системы и в целом последовательного управления сайтом. Настоящая безопасность находится под вашим прямым контролем - то, что приемлемо при разработке внутренних систем, может оказаться неподходящим для сервисов, к которым предоставляется полный общий доступ. Неполадки в системах, затрагивающие внутри предприятия только нескольких доверенных сотрудников, становятся очевидными при перемещении в среды общего доступа.

СМИ регулярно сообщают обо всех слабых местах и рисках в области безопасности. Часто СМИ сообщают только о тех неполадках, которые могут привлечь всеобщее внимание и не требуют специальных навыков для понимания заложенной в них проблемы. Такие сообщения редко отражают реальные угрозы бизнесу с точки зрения безопасности и часто вообще не связаны с безопасностью.

Информация по кредитным карточкам в Интернет не защищена. На самом деле, информация по кредитным карточкам гораздо меньше подвержена хищениям при передаче по Интернет, чем в близлежащем магазине или ресторане. В несанкционированном использовании такой информации может быть заинтересован недобросовестный бизнес, а как вы с ним работаете - через Интернет или нет - уже не столь важно. Повысить же безопасность собственно передаваемой информации можно с помощью использования защищенных каналов передачи и надежных сайтов. Существенной составляющей множества систем электронной коммерции является потребность в надежной идентификации потребителей. Способ идентификации непосредственно влияет не только на степень риска, но даже на вид уголовного преследования.

Пароли идентифицируют людей. Пароли обеспечивают только базовую проверку - что подключается некто авторизованный для использования конкретной системы. Люди склонны не слишком скрывать свои пароли от других - особенно от близких родственников и коллег. Более сложная технология аутентификации может оказаться гораздо рентабельнее. Используемый уровень аутентификации должен отражать риск доступа к информации случайных лиц, независимо от согласия на это ее действительного владельца.

Однажды сконфигурированное и установленное решение по безопасности остается надежным с течением времени. Предприятия не всегда устанавливают системы как полагается, бизнес меняется, как и угрозы. Необходимо убедиться, что системы ведут профайлы безопасности, и что ваш профайл постоянно переоценивается с точки зрения развития бизнеса и внешней среды. Не менее важна и технология, однако она должна рассматриваться как составная часть более широкого спектра средств для контроля безопасности. Обычно в качестве решения для защиты содержимого электронно-коммерческих сайтов называют брандмауэры, однако даже они имеют свои слабые места.

Брандмауэры непроницаемы. Реализовав брандмауэр, можно почивать на лаврах в уверенности, что злоумышленники никогда не проникнут через него. Проблема в том, что их необходимо конфигурировать так, чтобы через них все же шел некий трафик, причем в обоих направлениях. Необходимо тщательно обдумать, что вы пытаетесь защитить. Предотвращение атаки на главную страницу вашего сайта существенно отличается от предотвращения использования вашего web-сервера в качестве пути к вашим серверным системам, и требования к брандмауэру в обоих случая сильно отличаются. Многие системы нуждаются в сложной многослойной защите для обеспечения доступа к более чувствительным данным только авторизованных пользователей. Ключевую роль на любом электронно-коммерческом сайте играет, как правило, электронная почта. Тем не менее, она привносит с собой ряд проблем в области безопасности, игнорировать которые недопустимо.Эти проблемы распадаются на две основные категории:
Защита содержимого электронной почты - оно может быть искажено или прочитано.
Защита вашей системы от атак через входящую электронную почту.
Если предполагается работа с конфиденциальной или чувствительной к целостности почтовой информацией, существует масса продуктов для ее защиты.

Вирусы больше не являются проблемой. Вирусы до сих пор представляют серьезную опасность. Последнее увлечение создателей вирусов - вложенные в письма файлы, при открытии выполняющие макрос, производящий несанкционированные получателем действия. Но разрабатываются и другие средства распространения вирусов - например, через HTML web-страниц. Необходимо убедиться, что ваши антивирусные продукты сохраняют актуальность. Если они были предназначены для поиска вирусов, может оказаться, что они способны только выявлять вирусы, но не устранять их.

Компания, имеющая сертификат на открытый ключ от уважаемого Certification Authority (CA), сама по себе уже заслуживает доверия. Сертификат просто подразумевает нечто вроде: "На момент запроса сертификата, я, CA, произвел известные действия для проверки идентичности этой компании. Вас это может удовлетворить, а может и нет. Я не знаком с этой компанией и не знаю, можно ли ей доверять, и даже - в чем именно состоит ее бизнес. До тех пор, пока меня не известят, что открытый ключ дискредитирован, я даже не узнаю, что он, например, украден или передан кому-то еще, и это ваше дело - проверять, не аннулирован ли он. Моя ответственность ограничивается положениями документа, описывающего политику моей компании (Policy Statement), которое вам следует прочитать прежде, чем использовать ключи, связанные с данной компанией".

Цифровые подписи являются электронным эквивалентом рукописных. Некоторое сходство имеется, однако есть множество очень существенных различий, поэтому неразумно считать эти два вида подписи равноценными. Их надежность также зависит от того, насколько строго установлено, чтобы закрытый ключ находился действительно в индивидуальном пользовании. Ключевые различия заключаются также в том, что:
- Рукописные подписи находятся полностью под контролем подписывающего лица, цифровые же создаются с использованием компьютера и программного обеспечения, которые могут работать, а могут и не работать так, чтобы выполняемым ими действиям можно было доверять.
- Рукописные подписи, в отличие от цифровых, имеют оригинал, который можно копировать.
- Рукописные подписи не слишком тесно связаны с тем, что ими подписывается, содержание подписанных бумаг может быть изменено после подписания. Цифровые подписи сложным образом связаны с конкретным содержимым данных, которые ими подписаны.
- Способность выполнять рукописную подпись не может быть предметом хищения, в отличие от закрытого ключа.
- Рукописные подписи могут копироваться с разной долей сходства, а копии цифровых подписей могут создаваться только путем использования похищенных ключей и имеют при этом стопроцентную идентичность подписи реального владельца ключа.
- Некоторые протоколы аутентификации требуют подписи данных цифровой подписью от вашего имени, и при этом вы никогда не узнаете, что именно было подписано. Вас могут заставить подписывать цифровой подписью практически что угодно.

Продукты в области безопасности можно оценивать согласно их функциональности, как и бизнес-пакеты. Они требуют также оценки безопасности их реализации и тех угроз, от которых они не могут защитить (которые могут быть и не задокументированы). В целом бизнес-приложения выбираются исходя из их функциональных возможностей и простоты использования. Часто считается само собой разумеющимся, что функции выполняются как полагается (например, пакет для исчисления налогообложения верно рассчитывает налоги). Но это несправедливо в отношении продуктов, обеспечивающих безопасность. Самым большим вопросом здесь становится то, как реализованы в них функции защиты. Например, пакет может предлагать мощную парольную аутентификацию пользователей, но при этом хранить пароли в простом текстовом файле, который может прочитать практически кто угодно. И это было бы совсем не очевидно и могло бы создать ложное чувство защищенности.

Продукты в области безопасности легко устанавливаются. Большинство продуктов поставляются с заданными по умолчанию установочными параметрами. Однако, организации имеют различную политику и безопасности и конфигурации всех систем и рабочих станций редко соответствуют друг другу. На практике, установка должна быть подстроена под политику безопасности организации и каждую из специфических конфигураций платформ. Проверка механизмов обслуживания быстро растущего числа пользователей и других атрибутов создания защищенной среды для сотен имеющихся пользователей может оказаться весьма сложным и длительным процессом.

PKI-продукты защищают электронную коммерцию без дополнительной настройки. PKI-продукты представляют собой базовый инструментарий, помогающий реализовывать решения в области безопасности, однако только как часть всего пакета, включающего также юридические, процедурные, а также прочие технические элементы. На практике это часто гораздо сложнее и дороже, чем установка базовой PKI.

Консультанты по безопасности заслуживают абсолютного доверия. Помните, что консультанты по безопасности будут иметь доступ ко всем вашим наиболее чувствительным процессам и данным. Если приглашаемые консультанты не работают в какой-либо пользующейся уважением фирме, необходимо получить сведения из незаинтересованного источника об их компетентности и опыте - например, поговорить с их прежними заказчиками. Существует масса консультантов, заявляющих о себе как о профессионалах в области информационной безопасности, но на самом деле практически не имеющих представления о том, что это такое. Они могут даже создать ложное чувство безопасности, убеждая вас, что ваши системы более защищены, чем на самом деле.

Выводы.

Таким образом, прежде чем листать самые современные брошюры по вопросам безопасности, разложите по полочкам основное:
- Тщательно рассчитайте типы рисков, угрожающих вашему электронно-коммерческому бизнесу и во что они вам обошлись бы, и не тратьте на защиту больше, чем эта предполагаемая цена риска.
- Соблюдайте баланс между процедурными и техническими средствами контроля безопасности.
- Разработайте полностью проект, в котором безопасность была бы одним из основополагающих компонентов, а не вносилась бы пост-фактум, после некоторых раздумий.
- Выберите продукты безопасности, соответствующие этому проекту.

Понятие “безопасность” в русском языке трактуется как состояние, при котором отсутствует опасность, есть защита от нее. С точки зрения языка, понятие “безопасность” является антонимом понятия “опасность”. Оно характеризует определенное состояние какой-либо системы (социальной, технической или любой другой), процесса или явления.

Безопасность - это состояние, при котором отсутствует возможность причинения ущерба потребностям и интересам субъектов отношений.

Угроза, согласно словарю русского языка, определяется как непосредственная опасность. Опасность носит общий, потенциальный характер, но так как противоречия между субъектами отношений возникают постоянно, то и опасность интересам может существовать постоянно.

Одним из принятых определений является следующее: угроза безопасности - это совокупность условий и факторов, создающих опасность жизненно важным интересам, т. е. угроза представляется некой совокупностью обстоятельств (условий) и причин (факторов).

С юридической точки зрения понятие “угроза” определяется как намерение нанести зло (ущерб).

Таким образом, угрозу безопасности можно обозначить как “деятельность, которая рассматривается в качестве враждебной по отношению к интересам”.

При всем многообразии видов угроз все они взаимосвязаны и воздействуют на интересы, как правило, комплексно. Поэтому для их ослабления, нейтрализации и парирования создается система обеспечения безопасности.

Понятие “защита” (“защищенность”) означает ограждение субъекта отношений от угроз.

Обеспечение безопасности - это особым образом организованная деятельность, направленная на сохранение внутренней устойчивости объекта, его способности противостоять разрушительному, агрессивному воздействию различных факторов, а также на активное противодействие существующим видам угроз.

Система безопасности предназначена для выявления угроз интересам, поддержания в готовности сил и средств обеспечения безопасности и управления ими, организации нормального функционирования объектов безопасности.

Применительно к электронной коммерции определение безопасности можно сформулировать так.

Безопасность электронной коммерции - это состояние защищенности интересов субъектов отношений, совершающих коммерческие операции (сделки) с помощью технологий электронной коммерции, от угроз материальных и иных потерь.

Обеспечение безопасности независимо от форм собственности необходимо для любых предприятий и учреждений, начиная от государственных организаций и заканчивая маленькой палаткой, занимающейся розничной торговлей. Различия будут состоять лишь в том, какие средства и методы и в каком объеме требуются для обеспечения их безопасности.

Рыночные отношения с их неотъемлемой частью - конкуренцией основаны на принципе “выживания” и потому обязательно требуют обеспечения защиты от угроз.

По сложившейся международной практике безопасности объектами защиты с учетом их приоритетов являются:

  • - человек;
  • - информация;
  • -- материальные ценности.

Опираясь на понятие безопасности и перечисленные выше объекты защиты, можно сказать, что понятие “безопасность” любою предприятия или организации включает в себя (рис. 120):

  • ? физическую безопасность, под которой понимается обеспечение защиты от посягательств на жизнь и личные интересы сотрудников;
  • ? экономическую безопасность, под которой понимается защита экономических интересов субъектов отношений. В рамках экономической безопасности также рассматриваются вопросы обеспечения защиты материальных ценностей от пожара, стихийных бедствий, краж и других посягательств;
  • ? информационную безопасность, под которой понимается защита информации от модификации (искажения, уничтожения) и несанкционированного использования.

Повседневная практика показывает, что к основным угрозам физической безопасности относятся:

  • - психологический террор, запугивание, вымогательство, шантаж;
  • - грабеж с целью завладения материальными ценностями или документами;
  • - похищение сотрудников фирмы или членов их семей;
  • - убийство сотрудника фирмы.

Рис. 120.

В настоящее время ни один человек не может чувствовать себя в безопасности. Не затрагивая специфических вопросов обеспечения физической безопасности, можно сказать, что для совершения преступления преступники предварительно собирают информацию о жертве, изучают ее “слабые места”. Без необходимой информации об объекте нападения степень риска для преступников значительно увеличивается. Поэтому одним из главных принципов обеспечения физической безопасности является сокрытие любой информации о сотрудниках фирмы, которой преступники могут воспользоваться для подготовки преступления. В общем случае можно сформулировать следующие виды угроз экономической безопасности:

  • - общая неплатежеспособность;
  • - утрата средств по операциям с фальшивыми документами;
  • - подрыв доверия к фирме.

Практика показывает, что наличие этих угроз обусловлено в первую очередь следующими основными причинами:

  • - утечкой, уничтожением или модификацией (например, искажением) коммерческой информации;
  • - отсутствием полной и объективной информации о сотрудниках, партнерах и клиентах фирмы;
  • - распространением конкурентами необъективной, компрометирующей фирму информации.

Обеспечение информационной безопасности является одним из ключевых моментов обеспечения безопасности фирмы.

Как считают западные специалисты, утечка 20% коммерческой информации в шестидесяти случаях из ста приводит к банкротству фирмы. Потому физическая, экономическая и информационная безопасность очень тесно взаимосвязаны.

Коммерческая информация имеет разные формы представления. Это может быть и информация, переданная устно, и документированная информация, зафиксированная на различных материальных носителях (например, на бумаге или на дискете), и информация, передаваемая по различным линиям связи или компьютерным сетям.

Злоумышленниками в информационной сфере используются разные методы добывания информации. Сюда входят “классические” методы шпионажа (шантаж, подкуп и др.), методы промышленного шпионажа, несанкционированное использование средств вычислительной техники, аналитические методы. Поэтому спектр угроз информационной безопасности чрезвычайно широк.

Новую область для промышленного шпионажа и различных других правонарушений открывает широкое использование средств вычислительной техники и технологий электронной коммерции.

С помощью технических средств промышленного шпионажа не только различными способами подслушивают или подсматривают за действиями конкурентов, но и получают информацию, непосредственно обрабатываемую в средствах вычислительной техники. Наибольшую опасность здесь представляет непосредственное использование злоумышленниками средств вычислительной техники, что породило новый вид преступлений - компьютерные преступления, т. е. несанкционированный доступ к информации, обрабатываемой в ЭВМ, в том числе и с помощью технологий электронной коммерции.

Противодействовать компьютерной преступности сложно, что главным образом объясняется:

  • ? новизной и сложностью проблемы;
  • ? сложностью своевременного выявления компьютерного преступления и идентификации злоумышленника;
  • ? возможностью выполнения преступления с использованием средств удаленного доступа, т. е. злоумышленника может вообще не быть на месте преступления;
  • ? трудностями сбора и юридического оформления доказательств компьютерного преступления.

Обобщая вышеприведенные виды угроз безопасности, можно выделить три составляющие проблемы обеспечения безопасности:

  • - правовую защиту;
  • - организационную защиту;
  • - инженерно-техническую защиту.

Смысл правового обеспечения защиты вытекает из самого названия.

Организационная защита включает в себя организацию охраны и режима работы объекта.

Под инженерно-технической защитой понимается совокупность инженерных, программных и других средств, направленных на исключение угрозы безопасности.

Принципы создания и функционирования систем обеспечения безопасности можно разбить на три основные блока: общие принципы обеспечения защиты, организационные принципы, принципы реализации системы защиты (рис. 121).

1. Общие принципы обеспечения защиты

Принцип неопределенности обусловлен тем, что при обеспечении защиты неизвестно, кто, когда, где и каким образом попытается нарушить безопасность объекта защиты.


Рис. 121.

Принцип невозможности создания идеальной системы защиты. Этот принцип следует из принципа неопределенности и ограниченности ресурсов, которыми, как правило, располагает система безопасности.

Принцип минимального риска заключается в том, что при создании системы защиты необходимо выбирать минимальную степень риска, исходя из особенностей угроз безопасности, доступных ресурсов и конкретных условий, в которых находится объект защиты в любой момент времени.

Принцип защиты всех от всех. Данный принцип предполагает необходимость защиты всех субъектов отношений против всех видов угроз.

2. Организационные принципы

Принцип законности. Важность соблюдения этого очевидного принципа трудно переоценить. Однако с возникновением новых правоотношений в российском законодательстве наряду с хорошо знакомыми объектами права, такими как “государственная собственность”, “государственная тайна”, появились новые - “частная собственность”, “собственность предприятия”, “интеллектуальная собственность”, “коммерческая тайна”, “конфиденциальная информация”, “информация с ограниченным доступом”. Нормативная правовая база, регламентирующая вопросы обеспечения безопасности, пока несовершенна.

Принцип персональной ответственности. Каждый сотрудник предприятия, фирмы или их клиент несет персональную ответственность за обеспечение режима безопасности в рамках своих полномочий или соответствующих инструкций. Ответственность за нарушение режима безопасности должна быть заранее конкретизирована и персонифицирована.

Принцип разграничения полномочий. Вероятность нарушения коммерческой тайны или нормального функционирования предприятия прямо пропорциональна количеству осведомленных лиц, обладающих информацией. Поэтому никого не следует знакомить с конфиденциальной информацией, если это не требуется для выполнения его должностных обязанностей.

Принцип взаимодействия и сотрудничества. Внутренняя атмосфера безопасности достигается доверительными отношениями между сотрудниками. При этом необходимо добиваться того, чтобы персонал предприятия правильно понимал необходимость выполнения мероприятий, связанных с обеспечением безопасности, и в своих собственных интересах способствовал деятельности службы безопасности.

3. Принципы реализации системы защиты

Принцип комплексности и индивидуальности. Безопасность объекта защиты не обеспечивается каким-либо одним мероприятием, а лишь совокупностью комплексных, взаимосвязанных и дублирующих друг друга мероприятий, реализуемых с индивидуальной привязкой к конкретным условиям.

Принцип последовательных рубежей. Реализация данного принципа позволяет своевременно обнаружить посягательство на безопасность и организовать последовательное противодействие угрозе в соответствии со степенью опасности.

Принцип защиты средств защиты является логическим продолжением принципа защиты “всех от всех”. Иначе говоря, любое мероприятие по защите само должно быть соответственно защищено. Например, средство защиты от попыток внести изменения в базу данных должно быть защищено программным обеспечением, реализующим разграничение прав доступа.

Обеспечение комплексной защиты объектов является в общем случае индивидуальной задачей, что обусловлено экономическими соображениями, состоянием, в котором находится объект защиты, и многими другими обстоятельствами.

Методика построения системы безопасности показана на рис. 122.

Рис. 122.

Прежде чем приступить к созданию системы безопасности, необходимо определить объекты защиты, уничтожение, модификация или несанкционированное использование которых может привести к нарушению интересов, убыткам и проч.

Определив объекты защиты, следует выявить сферы их интересов и проанализировать множество угроз безопасности объектов защиты. Если угрозы безопасности преднамеренные, то необходимо разработать предполагаемую модель злоумышленника. Далее нужно проанализировать возможные угрозы и источники их возникновения, выбрать адекватные средства и методы защиты и таким образом сформулировать задачи и определить структуру системы обеспечения безопасности.

Для анализа проблемы обеспечения безопасности электронной коммерции необходимо определить интересы субъектов взаимоотношений, возникающих в процессе электронной коммерции.

Принято выделять следующие категории электронной коммерции: бизнес-бизнес, бизнес-потребитель, бизнес- администрация. При этом независимо от категории электронной коммерции выделяют три класса субъектов: финансовые институты, клиенты и бизнес-организации (рис. 123).

Финансовые институты могут быть разные, но в первую очередь это банки, так как именно в них все остальные субъекты электронной коммерции имеют счета, которые отражают движение средств. Правила и условия движения этих средств определяются используемой платежной системой.

Клиентами (покупателями, потребителями) могут быть как физические, так и юридические лица.

Бизнес-организации - это любые организации, что-либо продающие или приобретающие через Интернет.

Рис. 123.

Открытый характер интернет-технологий, доступность передаваемой по Сети информации означает, что общие интересы субъектов электронной коммерции заключаются в обеспечении информационной безопасности электронной коммерции. Информационная безопасность включает в себя обеспечение аутентификации партнеров по взаимодействию, целостности и конфиденциальности передаваемой по Сети информации, доступности сервисов и управляемости инфраструктуры.

Спектр интересов субъектов электронной коммерции в области информационной безопасности можно подразделить на следующие основные категории:

  • - доступность (возможность за приемлемое время получить требуемую услугу);
  • - целостность (актуальность и непротиворечивость информации, ее защищенность от разрушений и несанкционированного изменения);
  • - конфиденциальность (защита информации от несанкционированного ознакомления).

Информационная безопасность является одним из важнейших компонентов интегральной безопасности электронной коммерции.

Число атак на информационные системы по всему миру каждый год удваивается. В таких условиях система информационной безопасности электронной коммерции должна уметь противостоять многочисленным и разнообразным внутренним и внешним угрозам.

Основные угрозы информационной безопасности электронной коммерции связаны (рис. 124):

  • -- с умышленными посягательствами на интересы субъектов электронной коммерции (компьютерные преступления и компьютерные вирусы);
  • - с неумышленными действиями обслуживающего персонала (ошибки, упущения и т. д.);
  • - с воздействием технических факторов, способным привести к искажению и разрушению информации (сбои электроснабжения, программные сбои);

Рис. 124.

С воздействием так называемых техногенных факторов (стихийные бедствия, пожары, крупномасштабные аварии и т. д.).

Меры безопасности для эффективной защиты коммерции в интернете должны внедряться на нескольких уровнях.

В эпоху бурного развития электронной коммерции и торговли в интернете, при участии соответствующих организаций, встает особо остро вопрос её безопасности.

Серьезную угрозу представляют собой компьютерные преступления, которые связанны с проникновением криминальных элементов в системы и сети кредитных организаций и банков для нормального функционирования экономики в целом. Этот тезис касается и электронной коммерции.

Проблема обеспечения безопасности для коммерческой информации в электронном бизнесе объемны, а методы и технологии насыщены, что это могло бы стать программой для специализированных конференций. Информационно технологии являются одним из главнейших факторов влияния на формирование современного общества.

Уровни безопасности

Безопасность электронной коммерции напрямую зависит от разработки соответствующих законодательных актов и иных нормативно-технических документов. Критерии оценки коммерческой безопасности в сфере IT занимают здесь особое место. Только стандартизация позволит провести сравнительный анализ и дать оценку.

Меры безопасности для эффективной защиты коммерции в интернете должны внедряться на четырех уровнях:

  • законодательный;
  • административный;
  • процедурный;
  • программно-технический.

На современном этапе развития экономики национальная нормативно-правовая база должна согласовываться с международной практикой. Назревает необходимость приведения национальных стандартов и сертификационных нормативов в соответствие с международным уровнем развития информационных технологий, а также с действенными критериями оценки, дабы обеспечить безопасность электронной коммерции.

Мошенничество в Интернете.

К сожалению, в Интернете высокие показатели уровня мошенничества являются сдерживающим фактором развития всей электронной коммерции. Потребители, торговля и коммерческие организации боятся использовать эту технологию из-за риска финансовых потерь. Интернет используется главным образом в качестве канала для получения информации. Лишь около 2% поисков по каталогам и базам данных Интернета заканчивается покупкой.

Существует множество типов мошенничества, от которых страдает безопасность электронной коммерции. Основные типы приведены ниже.

Транзакции и безналичный расчет. Выполненные мошенниками транзакции с использованием реквизитов карточки, передают им настоящие данные о карте и грозят полным опустошением счета без получения желаемых услуг или товаров.

Базы данных и личная переписка. Получение информации о клиенте через взлом баз данных торговых предприятий или путем несанкционированного доступа к личной переписке покупателя, содержащей его персональные данные.

Магазины-однодневки. Интернет-магазины, возникающие на непродолжительный период, созданные для получения средств от покупателей за несуществующие товары или услуги.

Ложная стоимость и повторные списания. Увеличение стоимости товаров по отношению к заявленной покупателю цене и повторные списания средств со счетов клиента.

Магазины-шпионы. Интернет-магазины и торговые агенты, предназначенные для сбора данных о реквизитах пластиковых карт и другой личной информации о клиенте.

Таким образом, безопасность электронной коммерции, как для клиентов, так и для организаций, является основной проблемой, сдерживающей развитие электронной коммерции в интернете.

Материал не является исчерпывающим и предоставлен лишь для ознакомления с основными проблемами, существующими в данной сфере. Для получения подробной информации о сотрудничестве обратитесь к нашим менеджерам по указанному ниже телефону.

Введение

Термин «электронная коммерция» объединяет в себе множество различных технологий, в числе которых – EDI (Electronic Data Interchange – электронный обмен данными), электронная почта, Интернет, интранет (обмен информацией внутри компании), экстранет (обмен информацией с внешним миром).

Сферы применения системы электронной коммерции достаточно разнообразны. Они включают в себя широкий спектр деловых операций (бизнес-операций) и сделок, в частности:

установление контакта между потенциальным заказчиком и поставщиком;

электронный обмен необходимой информацией;

предпродажную и послепродажную поддержку клиента, купившего товар в электронном магазине (обеспечение подробной информацией о продукте или услуге, передача инструкций по использованию продукта, оперативные ответы на возникающие у покупателя вопросы);

осуществление непосредственно акта продажи товара или услуги;

электронную оплату покупки (с использованием электронного перевода денег, кредитных карточек, электронных денег, электронных чеков);

поставку покупателю продукта, включая как управление доставкой и его отслеживанием для физических товаров, так и непосредственную доставку товаров, которые могут распространяться электронным путем;

создание виртуального предприятия, представляющего собой группу независимых компаний, которые объединяют свои различные виды ресурсов для получения возможностей предоставления продуктов и услуг, недоступных для самостоятельно функционирующих фирм;

реализацию самостоятельных бизнес-процессов (совокупность связанных между собой операций, процедур, с помощью которых реализуется конкретная коммерческая цель деятельности компании в рамках определенной организационной структуры), совместно осуществляемых фирмой-производителем и ее торговыми партнерами.

Не менее разнообразны и сферы деятельности, в рамках которых может осуществляться электронная коммерция. К основным сферам деятельности, где может протекать электронная коммерция, относятся:

электронный маркетинг (Интернет-маркетинг);

финансирование создания электронных магазинов, а также их страхование;

коммерческие операции, включающие в себя заказ, получение товара и оплату;

совместная разработка несколькими компаниями нового продукта или услуги;

организация распределенного совместного производства продукции;

администрирование бизнеса (налоги, таможня, разрешения, концессии и т. д.);

транспортное обслуживание, техника перевозок и способы снабжения;

ведение бухгалтерского учета;

разрешение конфликтных ситуаций и спорных вопросов.

Электронная коммерция может осуществляться на разных уровнях:

национальном;

интернациональном (международном).

Безопасность электронной коммерции.

Безопасность - это состояние, при котором отсутствует возможность причинения ущерба потребностям и интересам субъектов отношений.

Обеспечение информационной безопасности является одним из ключевых моментов обеспечения безопасности предприятия. Как считают западные специалисты, утечка 20 % коммерческой информации в шестидесяти случаях из ста приводит к банкротству предприятия. Потому физическая, экономическая и информационная безопасность очень тесно взаимосвязаны.

Коммерческая информация имеет разные формы представления. Это может быть и информация, переданная устно, и документированная информация, зафиксированная на различных материальных носителях (например, на бумаге или на дискете), и информация, передаваемая по различным линиям связи или компьютерным сетям.

Злоумышленниками в информационной сфере используются разные методы добывания информации. Сюда входят «классические» методы шпионажа (шантаж, подкуп и др.), методы промышленного шпионажа, несанкционированное использование средств вычислительной техники, аналитические методы. Поэтому спектр угроз информационной безопасности чрезвычайно широк.

Новую область для промышленного шпионажа и различных других правонарушений открывает широкое использование средств вычислительной техники и технологий электронной коммерции.

С помощью технических средств промышленного шпионажа не только различными способами подслушивают или подсматривают за действиями конкурентов, но и получают информацию, непосредственно обрабатываемую в средствах вычислительной техники. Наибольшую опасность здесь представляет непосредственное использование злоумышленниками средств вычислительной техники, что породило новый вид преступлений - компьютерные преступления, т. е. несанкционированный доступ к информации, обрабатываемой в ЭВМ, в том числе и с помощью технологий электронной коммерции.

Противодействовать компьютерной преступности сложно, что главным образом объясняется:

Новизной и сложностью проблемы;

Сложностью своевременного выявления компьютерного преступления и идентификации злоумышленника;

Возможностью выполнения преступления с использованием средств удаленного доступа, т. е. злоумышленника может вообще не быть на месте преступления;

Трудностями сбора и юридического оформления доказательств компьютерного преступления.

Принципы создания и функционирования систем обеспечения безопасности можно разбить на три основных блока: общие принципы обеспечения защиты, организационные принципы и принципы реализации системы защиты.

К общим принципам обеспечения защиты относятся:

1) принцип неопределенности. Обусловлен тем, что при обеспечении защиты неизвестно, кто, когда, где и каким образом попытается нарушить безопасность объекта защиты;

2) принцип невозможности создания идеальной системы защиты. Этот принцип следует из принципа неопределенности и ограниченности ресурсов, которыми, как правило, располагает система безопасности;

3) принцип минимального риска. Заключается в том, что при создании системы защиты необходимо выбирать минимальную степень риска исходя из особенностей угроз безопасности, доступных ресурсов и конкретных условий, в которых находится объект защиты в любой момент времени;

4)принцип защиты всех от всех. Данный принцип предполагает необходимость защиты всех субъектов отношений против всех видов угроз.

К организационным принципам относят:

1)принцип законности. Важность соблюдения этого очевидного принципа трудно переоценить. Однако с возникновением новых правоотношений в российском законодательстве наряду с хорошо знакомыми объектами права, такими как «государственная собственность», «государственная тайна», появились новые - «частная собственность», «собственность предприятия», «интеллектуальная собственность», «коммерческая тайна», «конфиденциальная информация», «информация с ограниченным доступом». Нормативная правовая база, регламентирующая вопросы обеспечения безопасности, пока несовершенна;

2)принцип персональной ответственности. Каждый сотрудник предприятия, фирмы или их клиент несет персональную ответственность за обеспечение режима безопасности в рамках своих полномочий или соответствующих инструкций. Ответственность за нарушение режима безопасности должна быть заранее конкретизирована и персонифицирована;

3)принцип разграничения полномочий. Вероятность нарушения коммерческой тайны или нормального функционирования предприятия прямо пропорциональна количеству осведомленных лиц, обладающих информацией. Поэтому никого не следует знакомить с конфиденциальной информацией, если это не требуется для выполнения его должностных обязанностей;

4)принцип взаимодействия и сотрудничества. Внутренняя атмосфера безопасности достигается доверительными отношениями между сотрудниками. При этом необходимо добиваться того, чтобы персонал предприятия правильно понимал необходимость выполнения мероприятий, связанных с обеспечением безопасности, и в своих собственных интересах способствовал деятельности службы безопасности.

Для анализа проблемы обеспечения безопасности электронной коммерции необходимо определить интересы субъектов взаимоотношений, возникающих в процессе электронной коммерции.

Принято выделять следующие категории электронной коммерции: бизнес-бизнес, бизнес-потребитель, бизнес-администрация. При этом независимо от категории электронной коммерции выделяют классы субъектов: финансовые институты, клиенты и бизнес организации.

Открытый характер интернет технологий, доступность передаваемой по сети информации означает, что общие интересы субъектов электронной коммерции заключаются в обеспечении информационной безопасности электронной коммерции. Информационная безопасность включает в себя обеспечение аутентификации партнеров по взаимодействию, целостности и конфиденциальности передаваемой по сети информации, доступности сервисов и управляемости инфраструктуры.

Спектр интересов субъектов электронной коммерции в области информационной безопасности можно подразделить на следующие основные категории:

Доступность (возможность за приемлемое время получить требуемую услугу);

Целостность (актуальность и непротиворечивость информации, ее защищенность от разрушений и несанкционированного изменения);

Конфиденциальность (защита информации от несанкционированного ознакомления).

Информационная безопасность является одним из важнейших компонентов интегральной безопасности электронной коммерции.

Число атак на информационные системы по всему миру каждый год удваивается. В таких условиях система информационной безопасности электронной коммерции должна уметь противостоять многочисленным и разнообразным внутренним и внешним угрозам.

Основные угрозы информационной безопасности электронной коммерции связаны:

С умышленными посягательствами на интересы субъектов электронной коммерции (компьютерные преступления и компьютерные вирусы);

Неумышленными действиями обслуживающего персонала (ошибки, упущения и т. д.);

Воздействием технических факторов, способным привести к искажению и разрушению информации (сбои электроснабжения, программные сбои);

Воздействием техногенных факторов (стихийные бедствия, пожары, крупномасштабные аварии и т. д.).

Угрозы безопасности могут быть связаны с действиями факторов, значение и влияние которых практически всегда неизвестно. Поэтому невозможно создать абсолютно безопасную систему. При создании системы безопасности электронной коммерции необходимо минимизировать степень риска возникновения ущерба исходя из особенностей угроз безопасности и конкретных условий предприятия, занимающегося электронной коммерцией.

При этом необходимо основываться на принципе достаточности, который заключается в том, что проводимые в интересах обеспечения безопасности электронной коммерции мероприятия с учетом потенциальных угроз должны быть минимальны и достаточны.

Объем принимаемых мер безопасности должен соответствовать существующим угрозам, в противном случае система безопасности будет экономически неэффективна. В соответствии с этим для обоснования эффективности мероприятий по обеспечению безопасности электронной коммерции применяется ряд критериев, так или иначе основанных на сравнении убытков, возникающих при нарушении безопасности, и стоимости проведения мероприятий по обеспечению безопасности электронной коммерции.

Убытки, которые могут возникать на предприятии, занимающемся электронной коммерцией, из-за нарушения информационной безопасности можно разделить на прямые и косвенные.

Прямые убытки могут быть выражены в стоимости:

Восстановления поврежденной или физически утраченной информации в результате пожара, стихийного бедствия, кражи, ограбления, ошибки в эксплуатации, неосторожности обслуживающего персонала, взлома компьютерных систем и действий вирусов;

Ничтожных (незаконных) операций с денежными средствами и ценными бумагами, проведенных в электронной форме, путем несанкционированного проникновения в компьютерные системы и сети, а также злоумышленной модификации данных, преднамеренной порчи данных на электронных носителях при хранении, перевозке или перезаписи информации, передачи и получения сфальсифицированных поручений в сетях электронной передачи данных и др.;

Возмещения причиненного физического и/или имущественного ущерба третьим лицам (субъектам электронной коммерции - клиентам, пользователям).

Косвенные убытки могут выражаться в текущих расходах на выплату заработной платы, процентов по кредитам, арендной платы, амортизации и потерянной прибыли, возникающих при вынужденной приостановке коммерческой деятельности предприятия из-за нарушения безопасности предприятия.

Убытки и связанные с их возникновением риски относятся к финансовым категориям, методики экономической оценки которых разработаны и известны. Поэтому не будем останавливаться на их подробном анализе.

Можно выделить два основных критерия, позволяющих оценить эффективность системы защиты:

Отношение стоимости системы защиты (включая текущие расходы на поддержание работоспособности этой системы) к убыткам, которые могут возникнуть при нарушении безопасности;

Отношение стоимости системы защиты к стоимости взлома этой системы с целью нарушения безопасности.

Смысл указанных критериев заключается в следующем: если стоимость системы защиты, обеспечивающей заданный уровень безопасности, оказывается меньше затрат по возмещению убытков, понесенных в результате нарушения безопасности, то мероприятия по обеспечению безопасности считаются эффективными.

2. Витрина интернет-магазина.















Список литературы

1. Мэйволд Э. Электронная коммерция: требования к безопасности http://www.intuit.ru/department/security/netsec/ Электронный бизнес и безопасность / В.А.Быков.-М.:Радио и связь, 2013.

2. Авдошин С.М., Савельева А.А., Сердюк В.А., Технологии и продукты Microsoft в обеспечении информационной безопасности – электронный ресурсhttp://www.intuit.ru/department/security/mssec/