Особенности реализации различных групп товаров в сети Internet

 

•             информационную безопасность, под которой  понимается защита информации от модификации (искажения, уничтожения) и несанкционированного использования.

 

Обеспечение информационной безопасности является одним из ключевых моментов обеспечения  безопасности предприятия. Как считают  западные специалисты, утечка 20 % коммерческой информации в шестидесяти случаях  из ста приводит к банкротству  предприятия. Потому физическая, экономическая  и информационная безопасность очень  тесно взаимосвязаны.

 

Коммерческая  информация имеет разные формы представления. Это может быть и информация, переданная устно, и документированная информация, зафиксированная на различных материальных носителях (например, на бумаге или  на дискете), и информация, передаваемая по различным линиям связи или  компьютерным сетям.

 

Злоумышленниками  в информационной сфере используются разные методы добывания информации. Сюда входят «классические» методы шпионажа (шантаж, подкуп и др.), методы промышленного  шпионажа, несанкционированное использование  средств вычислительной техники, аналитические  методы. Поэтому спектр угроз информационной безопасности чрезвычайно широк.

 

Новую область  для промышленного шпионажа и  различных других правонарушений открывает  широкое использование средств  вычислительной техники и технологий электронной коммерции.

 

С помощью  технических средств промышленного шпионажа не только различными способами подслушивают или подсматривают за действиями конкурентов, но и получают информацию, непосредственно обрабатываемую в средствах вычислительной техники. Наибольшую опасность здесь представляет непосредственное использование злоумышленниками средств вычислительной техники, что породило новый вид преступлений — компьютерные преступления, т. е. несанкционированный доступ к информации, обрабатываемой в ЭВМ, в том числе и с помощью технологий электронной коммерции.

 

 К сожалению,  руководители предприятий электронной  коммерции в должной степени  осознают серьезность информационных  угроз и важность организации  защиты своих ресурсов только  после того, как последние подвергнуться  информационным атакам. Как видно,  все перечисленные препятствия  относятся к сфере информационной  безопасности.

 

 Среди  основных требований к проведению  коммерческих операций – конфиденциальность, целостность, аутентификация, авторизация,  гарантии и сохранение тайны.

 

Какие угрозы подстерегают компанию, ведущую электронную  коммерцию на каждом этапе:

 

• подмена web-страницы сервера электронного магазина (переадресация запросов на другой сервер), делающая доступными сведения о клиенте, особенно о его кредитных картах, сторонним лицам;

 

• создание ложных заказов и разнообразные формы мошенничества со стороны сотрудников электронного магазина, например, манипуляции с базами данных (статистика свидетельствует о том, что больше половины компьютерных инцидентов связано с деятельностью собственных сотрудников);

 

• перехват данных, передаваемых по сетям электронной коммерции;

 

• проникновение злоумышленников во внутреннюю сеть компании и компрометация компонентов электронного магазина;

 

• реализация атак типа «отказ в обслуживании» и нарушение функционирования или вывода из строя узла электронной коммерции.

 

 В результате  реализации таких угроз компания  теряет доверие клиентов, теряет  деньги от потенциальных и/или  несовершенных сделок, нарушается  деятельность электронного магазина, затрачивает время, деньги и  человеческие ресурсы на восстановление  функционирования.

 

 Конечно,  угрозы, связанные с перехватом  передаваемой через Интернет  информации, присущи не только  сфере электронной коммерции.  Особое значение применительно  к последней представляет то, что в ее системах обращаются сведения, имеющие важное экономическое значение: номера кредитных карт, номера счетов, содержание договоров и т. п.

 

 Обеспечение  безопасности является не только  необходимым условием успешного  ведения электронного бизнеса,  но и фундаментом для доверительных  отношений между контрагентами.  Сама суть электронного бизнеса  предполагает активный информационный  обмен, проведение транзакций  через незащищенную сеть общего  доступа, которые попросту невозможны без доверительных отношений между субъектами бизнеса. Поэтому обеспечение безопасности имеет комплексный характер, включая такие задачи, как доступ к Web-серверам и Web-приложениям, аутентификация и авторизация пользователей, обеспечение целостности и конфиденциальности данных, реализация электронной цифровой подписи и проч.

 

 При достижении  безопасности информации обеспечение  ее доступности, конфиденциальности, целостности и юридической значимости  являются базовыми задачами. Каждая угроза должна рассматриваться с точки зрения того, как она может затронуть эти четыре свойства или качества безопасной информации. Конфиденциальность означает, что информация ограниченного доступа должна быть доступна только тому, кому она предназначена. Под целостностью информации понимается ее свойство существования в неискаженном виде. Доступность информации определяется способностью системы обеспечивать своевременный беспрепятственный доступ к информации субъектов, имеющих на это надлежащие полномочия. Юридическая значимость информации приобретает важность в последнее время, вместе с созданием нормативно-правовой базы безопасности информации в нашей стране.

 

 Если  первые четыре требования можно  обеспечить техническими средствами, то выполнение двух последних  зависит и от технических средств,  и от ответственности отдельных  лиц и организаций, а также  от соблюдения законов, защищающих  потребителя от возможного мошенничества  продавцов.

 

 В рамках  обеспечения комплексной информационной  безопасности, прежде всего, следует  выделить ключевые проблемы в  области безопасности электронного  бизнеса, которые включают:

• защиту информации при ее передаче по каналам связи;
• защиту компьютерных систем, баз данных и электронного документооборота;
• обеспечение долгосрочного хранения информации в электронном виде;
• обеспечение безопасности транзакций, секретность коммерческой информации, аутентификацию, защиту интеллектуальной собственности и др.

 

Противодействовать  компьютерной преступности сложно, что  главным образом объясняется:

 

•новизной и сложностью проблемы;

 

•сложностью своевременного выявления компьютерного преступления и идентификации злоумышленника;

 

•возможностью выполнения преступления с использованием средств удаленного доступа, т. е. злоумышленника может вообще не быть на месте преступления;

 

• трудностями сбора и юридического оформления доказательств компьютерного преступления.

 

Обобщая вышеприведенные  виды угроз безопасности, можно выделить три составляющие проблемы обеспечения  безопасности:

 

1)  правовую защиту;

 

2) организационную защиту;

 

3) инженерно-техническую защиту.

 

Смысл правового  обеспечения защиты вытекает из самого названия.

 

Организационная защита включает организацию охраны и режима работы объекта.

 

Под инженерно-технической  защитой понимается совокупность инженерных, программных и других средств, направленных на исключение угрозы безопасности.

 

Принципы  создания и функционирования систем обеспечения безопасности можно  разбить на три основных блока: общие  принципы обеспечения защиты, организационные  принципы и принципы реализации системы  защиты.

 

К общим принципам  обеспечения защиты относятся:

 

1) принцип неопределенности. Обусловлен тем, что при обеспечении защиты неизвестно, кто, когда, где и каким образом попытается нарушить безопасность объекта защиты;

 

2) принцип невозможности создания идеальной системы защиты. Этот принцип следует из принципа неопределенности и ограниченности ресурсов, которыми, как правило, располагает система безопасности;

 

3) принцип  минимального риска. Заключается  в том, что при создании системы  защиты необходимо выбирать минимальную  степень риска исходя из особенностей  угроз безопасности, доступных ресурсов  и конкретных условий, в которых  находится объект защиты в  любой момент времени;

 

4) принцип  защиты всех от всех. Данный  принцип предполагает необходимость  защиты всех субъектов отношений  против всех видов угроз.

 

К организационным  принципам относят:

 

1) принцип  законности. Важность соблюдения  этого очевидного принципа трудно  переоценить. Однако с возникновением  новых правоотношений в российском  законодательстве наряду с хорошо  знакомыми объектами права, такими  как «государственная собственность», «государственная тайна», появились  новые — «частная собственность», «собственность предприятия», «интеллектуальная  собственность», «коммерческая тайна», «конфиденциальная информация»,  «информация с ограниченным доступом».  Нормативная правовая база, регламентирующая  вопросы обеспечения безопасности, пока несовершенна;

 

2) принцип персональной ответственности. Каждый сотрудник предприятия, фирмы или их клиент несет персональную ответственность за обеспечение режима безопасности в рамках своих полномочий или соответствующих инструкций. Ответственность за нарушение режима безопасности должна быть заранее конкретизирована и персонифицирована;

 

3)принцип разграничения полномочий. Вероятность нарушения коммерческой тайны или нормального функционирования предприятия прямо пропорциональна количеству осведомленных лиц, обладающих информацией. Поэтому никого не следует знакомить с конфиденциальной информацией, если это не требуется для выполнения его должностных обязанностей;

 

4)принцип  взаимодействия и сотрудничества. Внутренняя атмосфера безопасности  достигается доверительными отношениями  между сотрудниками. При этом  необходимо добиваться того, чтобы  персонал предприятия правильно  понимал необходимость выполнения  мероприятий, связанных с обеспечением  безопасности, и в своих собственных  интересах способствовал деятельности  службы безопасности.

 

К принципам  реализации системы защиты относят:

 

1) принцип  комплексности и индивидуальности. Безопасность объекта защиты  не обеспечивается каким-либо  одним мероприятием, а лишь совокупностью  комплексных, взаимосвязанных и  дублирующих друг друга мероприятий,  реализуемых с индивидуальной  привязкой к конкретным условиям;

 

2)принцип последовательных рубежей. Реализация данного принципа позволяет своевременно обнаружить посягательство на безопасность и организовать последовательное противодействие угрозе в соответствии со степенью опасности;

 

3) принцип  защиты средств защиты является  логическим продолжением принципа  защиты «всех от всех». Иначе  говоря, любое мероприятие по  защите само должно быть соответственно  защищено. Например, средство защиты  от попыток внести изменения  в базу данных должно быть  защищено программным обеспечением, реализующим разграничение прав  доступа.

 

Обеспечение комплексной защиты объектов является в общем случае индивидуальной задачей, что обусловлено экономическими соображениями, состоянием, в котором  находится объект защиты, и многими  другими обстоятельствами.

 

Прежде чем  приступить к созданию системы безопасности, необходимо определить объекты защиты, уничтожение, модификация или несанкционированное  использование которых может  привести к нарушению интересов, убыткам и пр.

 

Определив объекты  защиты, следует выявить сферы  их интересов и проанализировать множество угроз безопасности объектов зашиты. Если угрозы безопасности преднамеренные, то необходимо разработать предполагаемую модель злоумышленника. Далее нужно проанализировать возможные угрозы и источники их возникновения, выбрать адекватные средства и методы защиты и таким образом сформулировать задачи и определить структуру системы обеспечения безопасности.