Безопасность электронной коммерции.
Введение
Термин «электронная коммерция» объединяет в себе множество различных технологий, в числе которых – EDI (Electronic Data Interchange – электронный обмен данными), электронная почта, Интернет, интранет (обмен информацией внутри компании), экстранет (обмен информацией с внешним миром).
Сферы применения системы электронной коммерции достаточно разнообразны. Они включают в себя широкий спектр деловых операций (бизнес-операций) и сделок, в частности:
установление контакта между потенциальным заказчиком и поставщиком;
электронный обмен необходимой информацией;
предпродажную и послепродажную поддержку клиента, купившего товар в электронном магазине (обеспечение подробной информацией о продукте или услуге, передача инструкций по использованию продукта, оперативные ответы на возникающие у покупателя вопросы);
осуществление непосредственно акта продажи товара или услуги;
электронную оплату покупки (с использованием электронного перевода денег, кредитных карточек, электронных денег, электронных чеков);
поставку покупателю продукта, включая как управление доставкой и его отслеживанием для физических товаров, так и непосредственную доставку товаров, которые могут распространяться электронным путем;
создание виртуального предприятия, представляющего собой группу независимых компаний, которые объединяют свои различные виды ресурсов для получения возможностей предоставления продуктов и услуг, недоступных для самостоятельно функционирующих фирм;
реализацию самостоятельных бизнес-процессов (совокупность связанных между собой операций, процедур, с помощью которых реализуется конкретная коммерческая цель деятельности компании в рамках определенной организационной структуры), совместно осуществляемых фирмой-производителем и ее торговыми партнерами.
Не менее разнообразны и сферы деятельности, в рамках которых может осуществляться электронная коммерция. К основным сферам деятельности, где может протекать электронная коммерция, относятся:
электронный маркетинг (Интернет-маркетинг);
финансирование создания электронных магазинов, а также их страхование;
коммерческие операции, включающие в себя заказ, получение товара и оплату;
совместная разработка несколькими компаниями нового продукта или услуги;
организация распределенного совместного производства продукции;
администрирование бизнеса (налоги, таможня, разрешения, концессии и т. д.);
транспортное обслуживание, техника перевозок и способы снабжения;
ведение бухгалтерского учета;
разрешение конфликтных ситуаций и спорных вопросов.
Электронная коммерция может осуществляться на разных уровнях:
национальном;
интернациональном (международном).
Безопасность электронной коммерции.
Безопасность — это состояние, при котором отсутствует возможность причинения ущерба потребностям и интересам субъектов отношений.
Обеспечение информационной безопасности является одним из ключевых моментов обеспечения безопасности предприятия. Как считают западные специалисты, утечка 20 % коммерческой информации в шестидесяти случаях из ста приводит к банкротству предприятия. Потому физическая, экономическая и информационная безопасность очень тесно взаимосвязаны.
Коммерческая информация имеет разные формы представления. Это может быть и информация, переданная устно, и документированная информация, зафиксированная на различных материальных носителях (например, на бумаге или на дискете), и информация, передаваемая по различным линиям связи или компьютерным сетям.
Злоумышленниками в информационной сфере используются разные методы добывания информации. Сюда входят «классические» методы шпионажа (шантаж, подкуп и др.), методы промышленного шпионажа, несанкционированное использование средств вычислительной техники, аналитические методы. Поэтому спектр угроз информационной безопасности чрезвычайно широк.
Новую область для промышленного шпионажа и различных других правонарушений открывает широкое использование средств вычислительной техники и технологий электронной коммерции.
С помощью технических средств промышленного шпионажа не только различными способами подслушивают или подсматривают за действиями конкурентов, но и получают информацию, непосредственно обрабатываемую в средствах вычислительной техники. Наибольшую опасность здесь представляет непосредственное использование злоумышленниками средств вычислительной техники, что породило новый вид преступлений — компьютерные преступления, т. е. несанкционированный доступ к информации, обрабатываемой в ЭВМ, в том числе и с помощью технологий электронной коммерции.
Противодействовать компьютерной преступности сложно, что главным образом объясняется:
• новизной и сложностью проблемы;
• сложностью своевременного выявления компьютерного преступления и идентификации злоумышленника;
• возможностью выполнения преступления с использованием средств удаленного доступа, т. е. злоумышленника может вообще не быть на месте преступления;
•трудностями сбора и юридического оформления доказательств компьютерного преступления.
Принципы создания и функционирования систем обеспечения безопасности можно разбить на три основных блока: общие принципы обеспечения защиты, организационные принципы и принципы реализации системы защиты.
К общим принципам обеспечения защиты относятся:
1) принцип неопределенности. Обусловлен тем, что при обеспечении защиты неизвестно, кто, когда, где и каким образом попытается нарушить безопасность объекта защиты;
2) принцип невозможности создания идеальной системы защиты. Этот принцип следует из принципа неопределенности и ограниченности ресурсов, которыми, как правило, располагает система безопасности;
3) принцип минимального риска. Заключается в том, что при создании системы защиты необходимо выбирать минимальную степень риска исходя из особенностей угроз безопасности, доступных ресурсов и конкретных условий, в которых находится объект защиты в любой момент времени;
4)принцип защиты всех от всех. Данный принцип предполагает необходимость защиты всех субъектов отношений против всех видов угроз.
К организационным принципам относят:
1)принцип законности. Важность соблюдения этого очевидного принципа трудно переоценить. Однако с возникновением новых правоотношений в российском законодательстве наряду с хорошо знакомыми объектами права, такими как «государственная собственность», «государственная тайна», появились новые — «частная собственность», «собственность предприятия», «интеллектуальная собственность», «коммерческая тайна», «конфиденциальная информация», «информация с ограниченным доступом». Нормативная правовая база, регламентирующая вопросы обеспечения безопасности, пока несовершенна;
2)принцип персональной ответственности. Каждый сотрудник предприятия, фирмы или их клиент несет персональную ответственность за обеспечение режима безопасности в рамках своих полномочий или соответствующих инструкций. Ответственность за нарушение режима безопасности должна быть заранее конкретизирована и персонифицирована;
3)принцип разграничения полномочий. Вероятность нарушения коммерческой тайны или нормального функционирования предприятия прямо пропорциональна количеству осведомленных лиц, обладающих информацией. Поэтому никого не следует знакомить с конфиденциальной информацией, если это не требуется для выполнения его должностных обязанностей;
4)принцип взаимодействия и сотрудничества. Внутренняя атмосфера безопасности достигается доверительными отношениями между сотрудниками. При этом необходимо добиваться того, чтобы персонал предприятия правильно понимал необходимость выполнения мероприятий, связанных с обеспечением безопасности, и в своих собственных интересах способствовал деятельности службы безопасности.
Для анализа проблемы обеспечения безопасности электронной коммерции необходимо определить интересы субъектов взаимоотношений, возникающих в процессе электронной коммерции.
Принято выделять следующие категории электронной коммерции: бизнес—бизнес, бизнес—потребитель, бизнес—администрация. При этом независимо от категории электронной коммерции выделяют классы субъектов: финансовые институты, клиенты и бизнес организации.
Открытый характер интернет технологий, доступность передаваемой по сети информации означает, что общие интересы субъектов электронной коммерции заключаются в обеспечении информационной безопасности электронной коммерции. Информационная безопасность включает в себя обеспечение аутентификации партнеров по взаимодействию, целостности и конфиденциальности передаваемой по сети информации, доступности сервисов и управляемости инфраструктуры.
Спектр интересов субъектов электронной коммерции в области информационной безопасности можно подразделить на следующие основные категории:
• доступность (возможность за приемлемое время получить требуемую услугу);
• целостность (актуальность и непротиворечивость информации, ее защищенность от разрушений и несанкционированного изменения);
• конфиденциальность (защита информации от несанкционированного ознакомления).
Информационная безопасность является одним из важнейших компонентов интегральной безопасности электронной коммерции.
Число атак на информационные системы по всему миру каждый год удваивается. В таких условиях система информационной безопасности электронной коммерции должна уметь противостоять многочисленным и разнообразным внутренним и внешним угрозам.
Основные угрозы информационной безопасности электронной коммерции связаны:
• с умышленными посягательствами на интересы субъектов электронной коммерции (компьютерные преступления и компьютерные вирусы);
• неумышленными действиями обслуживающего персонала (ошибки, упущения и т. д.);
• воздействием технических факторов, способным привести к искажению и разрушению информации (сбои электроснабжения, программные сбои);
• воздействием техногенных факторов (стихийные бедствия, пожары, крупномасштабные аварии и т. д.).
Угрозы безопасности могут быть связаны с действиями факторов, значение и влияние которых практически всегда неизвестно. Поэтому невозможно создать абсолютно безопасную систему. При создании системы безопасности электронной коммерции необходимо минимизировать степень риска возникновения ущерба исходя из особенностей угроз безопасности и конкретных условий предприятия, занимающегося электронной коммерцией.
При этом необходимо основываться на принципе достаточности, который заключается в том, что проводимые в интересах обеспечения безопасности электронной коммерции мероприятия с учетом потенциальных угроз должны быть минимальны и достаточны.
Объем принимаемых мер безопасности должен соответствовать существующим угрозам, в противном случае система безопасности будет экономически неэффективна. В соответствии с этим для обоснования эффективности мероприятий по обеспечению безопасности электронной коммерции применяется ряд критериев, так или иначе основанных на сравнении убытков, возникающих при нарушении безопасности, и стоимости проведения мероприятий по обеспечению безопасности электронной коммерции.
Убытки, которые могут возникать на предприятии, занимающемся электронной коммерцией, из-за нарушения информационной безопасности можно разделить на прямые и косвенные.
Прямые убытки могут быть выражены в стоимости:
• восстановления поврежденной или физически утраченной информации в результате пожара, стихийного бедствия, кражи, ограбления, ошибки в эксплуатации, неосторожности обслуживающего персонала, взлома компьютерных систем и действий вирусов;
• ничтожных (незаконных) операций с денежными средствами и ценными бумагами, проведенных в электронной форме, путем несанкционированного проникновения в компьютерные системы и сети, а также злоумышленной модификации данных, преднамеренной порчи данных на электронных носителях при хранении, перевозке или перезаписи информации, передачи и получения сфальсифицированных поручений в сетях электронной передачи данных и др.;
• возмещения причиненного физического и/или имущественного ущерба третьим лицам (субъектам электронной коммерции — клиентам, пользователям).
Косвенные убытки могут выражаться в текущих расходах на выплату заработной платы, процентов по кредитам, арендной платы, амортизации и потерянной прибыли, возникающих при вынужденной приостановке коммерческой деятельности предприятия из-за нарушения безопасности предприятия.
Убытки и связанные с их возникновением риски относятся к финансовым категориям, методики экономической оценки которых разработаны и известны. Поэтому не будем останавливаться на их подробном анализе.
Можно выделить два основных критерия, позволяющих оценить эффективность системы защиты:
• отношение стоимости системы защиты (включая текущие расходы на поддержание работоспособности этой системы) к убыткам, которые могут возникнуть при нарушении безопасности;
• отношение стоимости системы защиты к стоимости взлома этой системы с целью нарушения безопасности.
Смысл указанных критериев заключается в следующем: если стоимость системы защиты, обеспечивающей заданный уровень безопасности, оказывается меньше затрат по возмещению убытков, понесенных в результате нарушения безопасности, то мероприятия по обеспечению безопасности считаются эффективными.
2. Витрина интернет-магазина.
Список литературы
1. Мэйволд Э. Электронная коммерция: требования к безопасности http://www.intuit.ru/department/security/netsec/Электронный бизнес и безопасность / В.А.Быков.-М.:Радио и связь, 2013.
2. Авдошин С.М., Савельева А.А., Сердюк В.А., Технологии и продукты Microsoft в обеспечении информационной безопасности – электронный ресурсhttp://www.intuit.ru/department/security/mssec/
3. Безопасность электронной коммерции – электронный ресурс http://www.klerk.ru/soft/articles/6795/
4. Дэвид Козье Электронная коммерция: Пер. с англ. — Москва: Издательско-торговый дом «Русская Редакция», 2011. — 288 с: ил.
5. Юрасов А.В. Электронная коммерция; Дело - Москва, 2014. - 480 c.