Основы электронной коммерции

Вид материала

Документы

Содержание 7. Безопасность электронной коммерции Безопасность электронной коммерции Рисунок. Составляющие безопасности Общие принципы обеспечения защиты Рисунок. Принципы создания и функционирования систем обеспечения безопасности Принцип минимального риска 2. Организационные принципы Принцип персональной ответственности. Принцип разграничения полномочий. Принцип взаимодействия и сотрудничества. 3. Принципы реализации системы защиты Принцип последовательных рубежей. Принцип защиты средств защиты Рисунок. Методика построения системы безопасности Рисунок. Классы субъектов электронной коммерции 7.2. Способы оценки эффективности системы безопасности электронной коммерции Рисунок. Классификация убытков Косвенные убытки Рисунок. Критерии эффективности систем защиты

Подобный материал:

• Лекция 1, 901.66kb.
• Практическая работа по курсу «Основы электронной коммерции», 69.84kb.
• Рабочая программа по учебной дисциплине Основы электронной коммерции, оэк наименование, 744.36kb.
• Методические указания по выполнению курсовой работы по дисциплине: «основы коммерции., 188.15kb.
• Рабочая программа учебной дисциплины «Реклама в электронной коммерции» Направление, 359.08kb.
• Вводный курс по электронной коммерции. 2 Глоссарий, 176.77kb.
• Состояние и перспективы электронной коммерции (маркетинговый подход) Гречков, 375.8kb.
• Аннотация программы учебной дисциплины наименование дисциплины, 73.32kb.
• Заключительный тест контроля остаточных знаний по дисциплине «Интернет-технологии, 158.7kb.
• Базовый план Число часов по плану, всего Втом числе, 45.76kb.

7. БЕЗОПАСНОСТЬ ЭЛЕКТРОННОЙ КОММЕРЦИИ


7.1. Понятие безопасности. Виды и источники угроз


Понятие "безопасность" в русском языке трактуется как состояние, при котором отсутствует опасность, есть защита от нее. С точки зрения языка, понятие "безопасность" явля­ется антонимом понятия "опасность". Оно характеризует оп­ределенное состояние какой-либо системы (социальной, тех­нической или любой другой), процесса или явления.

Безопасность — это состояние, при котором отсутствует возможность причинения ущерба потребностям и интересам субъектов отношений.

Угроза, согласно словарю русского языка, определяется как непосредственная опасность. Опасность носит общий, по­тенциальный характер, но так как противоречия между субъектами отношений возникают постоянно, то и опасность интересам может существовать постоянно.

Одним из принятых определений является следующее: угроза безопасности — это совокупность условий и факто­ров, создающих опасность жизненно важным интересам, т. е. угроза представляется некой совокупностью обстоятельств (условий) и причин (факторов).

С юридической точки зрения понятие "угроза" опреде­ляется как намерение нанести зло (ущерб).

Таким образом, угрозу безопасности можно обозначить как "деятельность, которая рассматривается в качестве враж­дебной по отношению к интересам".

При всем многообразии видов угроз все они взаимосвя­заны и воздействуют на интересы, как правило, комплексно. Поэтому для их ослабления, нейтрализации и парирования создается система обеспечения безопасности.

Понятие "защита" ("защищенность") означает огражде­ние субъекта отношений от угроз.

Обеспечение безопасности — это особым образом органи­зованная деятельность, направленная на сохранение внут­ренней устойчивости объекта, его способности противостоять разрушительному, агрессивному воздействию различных факторов, а также на активное противодействие существую­щим видам угроз.

Система безопасности предназначена для выявления уг­роз интересам, поддержания в готовности сил и средств обес­печения безопасности и управления ими, организации нор­мального функционирования объектов безопасности.

Применительно к электронной коммерции определение безопасности можно сформулировать так.

Безопасность электронной коммерции — это состояние защищенности интересов субъектов отношений, совершающих коммерческие операции (сделки) с помощью технологий элек­тронной коммерции, от угроз материальных и иных потерь.

Обеспечение безопасности независимо от форм собствен­ности необходимо для любых предприятий и учреждений, начиная от государственных организаций и заканчивая ма­ленькой палаткой, занимающейся розничной торговлей. Раз­личия будут состоять лишь в том, какие средства и методы и в каком объеме требуются для обеспечения их безопасности.

Рыночные отношения с их неотъемлемой частью — кон­куренцией основаны на принципе "выживания" и потому обя­зательно требуют обеспечения защиты от угроз.

По сложившейся международной практике безопасности объектами защиты с учетом их приоритетов являются:

• человек;
  
• информация;
  

материальные ценности.

Опираясь на понятие безопасности и перечисленные выше объекты защиты, можно сказать, что понятие "безопасность" любого предприятия или организации включает в себя (рис.):

• физическую безопасность, под которой понимается обес­печение защиты от посягательств на жизнь и личные инте­ресы сотрудников;
  
• экономическую безопасность, под которой понимается защита экономических интересов субъектов отношений. В рам­ках экономической безопасности также рассматриваются воп­росы обеспечения защиты материальных ценностей от пожа­ра, стихийных бедствий, краж и других посягательств;
  
• информационную безопасность, под которой понима­ется защита информации от модификации (искажения, унич­тожения) и несанкционированного использования.
  

Рисунок. Составляющие безопасности


Повседневная практика показывает, что к основным уг­розам физической безопасности относятся:

• психологический террор, запугивание, вымогательство, шантаж;
  
• грабеж с целью завладения материальными ценностя­ми или документами;
  
• похищение сотрудников фирмы или членов их семей;
  
• убийство сотрудника фирмы.
  

В настоящее время ни один человек не может чувство­вать себя в безопасности. Не затрагивая специфических воп­росов обеспечения физической безопасности, можно сказать, что для совершения преступления преступники предваритель­но собирают информацию о жертве, изучают ее "слабые ме­ста". Без необходимой информации об объекте нападения сте­пень риска для преступников значительно увеличивается. По­этому одним из главных принципов обеспечения физической безопасности является сокрытие любой информации о сотруд­никах фирмы, которой преступники могут воспользоваться для подготовки преступления. В общем случае можно сформули­ровать следующие виды угроз экономической безопасности:

• общая неплатежеспособность;
  

• утрата средств по операциям с фальшивыми докумен­тами;
  

• подрыв доверия к фирме.
  

Практика показывает, что наличие этих угроз обуслов­лено в первую очередь следующими основными причинами:

• утечкой, уничтожением или модификацией (например,искажением) коммерческой информации;
  
• отсутствием полной и объективной информации о со­трудниках, партнерах и клиентах фирмы;
  
• распространением конкурентами необъективной, ком­прометирующей фирму информации.
  

Обеспечение информационной безопасности является од­ним из ключевых моментов обеспечения безопасности фирмы.

Как считают западные специалисты, утечка 20% коммер­ческой информации в шестидесяти случаях из ста приводит к банкротству фирмы. Потому физическая, экономическая и информационная безопасность очень тесно взаимосвязаны.

Коммерческая информация имеет разные формы пред­ставления. Это может быть и информация, переданная уст­но, и документированная информация, зафиксированная на различных материальных носителях (например, на бумаге или на дискете), и информация, передаваемая по различным ли­ниям связи или компьютерным сетям.

Злоумышленниками в информационной сфере использу­ются разные методы добывания информации. Сюда входят "классические" методы шпионажа (шантаж, подкуп и др.), методы промышленного шпионажа, несанкционированное ис­пользование средств вычислительной техники, аналитичес­кие методы. Поэтому спектр угроз информационной безопас­ности чрезвычайно широк.

Новую область для промышленного шпионажа и различ­ных других правонарушений открывает широкое использова­ние средств вычислительной техники и технологий элект­ронной коммерции.

С помощью технических средств промышленного шпио­нажа не только различными способами подслушивают или подсматривают за действиями конкурентов, но и получают информацию, непосредственно обрабатываемую в средствах вычислительной техники. Наибольшую опасность здесь пред­ставляет непосредственное использование злоумышленника­ми средств вычислительной техники, что породило новый вид преступлений — компьютерные преступления, т. е. несанкци­онированный доступ к информации, обрабатываемой в ЭВМ, в том числе и с помощью технологий электронной коммерции.

Противодействовать компьютерной преступности сложно, что главным образом объясняется:

• новизной и сложностью проблемы;
  
• сложностью своевременного выявления компьютерного преступления и идентификации злоумышленника;
  
• возможностью выполнения преступления с использо­ванием средств удаленного доступа, т. е. злоумышленника может вообще не быть на месте преступления;
  
• трудностями сбора и юридического оформления дока­зательств компьютерного преступления.
  

Обобщая вышеприведенные виды угроз безопасности, можно выделить три составляющие проблемы обеспечения безопасности:

• правовую защиту;
  
• организационную защиту;
  
• инженерно-техническую защиту.
  

Смысл правового обеспечения защиты вытекает из са­мого названия.

Организационная защита включает в себя организацию охраны и режима работы объекта.

Под инженерно-технической защитой понимается сово­купность инженерных, программных и других средств, на­правленных на исключение угрозы безопасности.

Принципы создания и функционирования систем обеспе­чения безопасности можно разбить на три основные блока: общие принципы обеспечения защиты, организационные прин­ципы, принципы реализации системы защиты (рис.).

1. Общие принципы обеспечения защиты
   

Принцип неопределенности обусловлен тем, что при обеспечении защиты неизвестно, кто, когда, где и каким об­разом попытается нарушить безопасность объекта защиты.







Рисунок. Принципы создания и функционирования систем обеспечения безопасности

Принцип невозможности создания идеальной систе­мы защиты. Этот принцип следует из принципа неопреде­ленности и ограниченности ресурсов, которыми, как прави­ло, располагает система безопасности.

Принцип минимального риска заключается в том, что при создании системы защиты необходимо выбирать мини­мальную степень риска, исходя из особенностей угроз безо­пасности, доступных ресурсов и конкретных условий, в ко­торых находится объект защиты в любой момент времени.

Принцип защиты всех от всех. Данный принцип пред­полагает необходимость защиты всех субъектов отношений против всех видов угроз.

2. Организационные принципы

Принцип законности. Важность соблюдения этого оче­видного принципа трудно переоценить. Однако с возникнове­нием новых правоотношений в российском законодательстве наряду с хорошо знакомыми объектами права, такими как "государственная собственность", "государственная тайна", появились новые — "частная собственность", "собственность предприятия", "интеллектуальная собственность", "коммер­ческая тайна", "конфиденциальная информация", "инфор­мация с ограниченным доступом". Нормативная правовая база, регламентирующая вопросы обеспечения безопасности, пока, несовершенна.

Принцип персональной ответственности. Каждый сотрудник предприятия, фирмы или их клиент несет персональную ответственность за обеспечение режима безопасно­сти в рамках своих полномочий или соответствующих инструкций. Ответственность за нарушение режима безопасности должна быть заранее конкретизирована и персонифицирована.

Принцип разграничения полномочий. Вероятность на­рушения коммерческой тайны или нормального функционирования предприятия прямо пропорциональна количеству: осведомленных лиц, обладающих информацией. Поэтому никого не следует знакомить с конфиденциальной информаци­ей, если это не требуется для выполнения его должностных обязанностей.

Принцип взаимодействия и сотрудничества. Внут­ренняя атмосфера безопасности достигается доверительными отношениями между сотрудниками. При этом необходимо до­биваться того, чтобы персонал предприятия правильно пони­мал необходимость выполнения мероприятий, связанных с обес­печением безопасности, и в своих собственных интересах спо­собствовал деятельности службы безопасности.

3. Принципы реализации системы защиты

Принцип комплексности и индивидуальности. Бе­зопасность объекта защиты не обеспечивается каким-либо одним мероприятием, а лишь совокупностью комплексных, взаимосвязанных и дублирующих друг друга мероприятий, реализуемых с индивидуальной привязкой к конкретным ус­ловиям.

Принцип последовательных рубежей. Реализация данного принципа позволяет своевременно обнаружить по­сягательство на безопасность и организовать последователь­ное противодействие угрозе в соответствии со степенью опасности.

Принцип защиты средств защиты является логичес­ким продолжением принципа защиты "всех от всех". Иначе говоря, любое мероприятие по защите само должно быть со­ответственно защищено. Например, средство защиты от по­пыток внести изменения в базу данных должно быть защи­щено программным обеспечением, реализующим разграни­чение прав доступа.

Обеспечение комплексной защиты объектов является в общем случае индивидуальной задачей, что обусловлено эко­номическими соображениями, состоянием, в котором нахо­дится объект защиты, и многими другими обстоятельствами.

Методика построения системы безопасности показана на рис.



Рисунок. Методика построения системы безопасности

Прежде чем приступить к созданию системы безопаснос­ти, необходимо определить объекты защиты, уничтожение", модификация или несанкционированное использование кото­рых может привести к нарушению интересов, убыткам и проч.

Определив объекты защиты, следует выявить сферы их интересов и проанализировать множество угроз безопасности объектов защиты. Если угрозы безопасности преднамеренные, то необходимо разработать предполагаемую модель злоумышленника. Далее нужно проанализировать возможные угрозы и источники их возникновения, выбрать адекватные средств и методы защиты и таким образом сформулировать задачи и структуру системы обеспечения безопасности.

Для анализа проблемы обеспечения безопасности электронной коммерции необходимо определить интересы субъектов взаимоотношений, возникающих в процессе электронной коммерции. Принято выделять следующие категории электронной коммерции: бизнес—бизнес, бизнес—потребитель, бизнес— администрация. При этом независимо от категории электрон­ной коммерции выделяют три класса субъектов: финансовые институты, клиенты и бизнес-организации (рис.).

Финансовые институты могут быть разные, но в первую очередь это банки, так как именно в них все остальные субъек­ты электронной коммерции имеют счета, которые отражают движение средств. Правила и условия движения этих средств определяются используемой платежной системой.

Клиентами (покупателями, потребителями) могут быть как физические, так и юридические лица.




Бизнес-организации — это любые организации, что-либо продающие или приобретающие через Интернет.

Рисунок. Классы субъектов электронной коммерции


Открытый характер интернет-технологий, доступность пе­редаваемой по Сети информации означает, что общие интере­сы субъектов электронной коммерции заключаются в обеспече­нии информационной безопасности электронной коммерции. Ин­формационная безопасность включает в себя обеспечение аутентификации партнеров по взаимодействию, целостности и конфиденциальности передаваемой по Сети информации, дос­тупности сервисов и управляемости инфраструктуры.

Спектр интересов субъектов электронной коммерции в области информационной безопасности можно подразделить на следующие основные категории:

• доступность (возможность за приемлемое время по­лучить требуемую услугу);
  
• целостность (актуальность и непротиворечивость информации, ее защищенность от разрушений и несанкциони­рованного изменения);
  
• конфиденциальность (защита информации от несанк­ционированного ознакомления).
  

Информационная безопасность является одним из важ­нейших компонентов интегральной безопасности электронной коммерции.

Число атак на информационные системы по всему миру каждый год удваивается. В таких условиях система инфор­мационной безопасности электронной коммерции должна уметь противостоять многочисленным и разнообразным внутренним и внешним угрозам.

Основные угрозы информационной безопасности электронной коммерции связаны (рис.):

• с умышленными посягательствами на интересы субъектов электронной коммерции (компьютерные преступления и компьютерные вирусы);
  
• с неумышленными действиями обслуживающего персонала (ошибки, упущения и т. д.);
  
• с воздействием технических факторов, способным вести к искажению и разрушению информации (сбои электроснабжения, программные сбои);
  

— с воздействием так называемых техногенных факто­ров (стихийные бедствия, пожары, крупномасштабные ава­рии и т. д.).



Рисунок. Угрозы информационной безопасности


7.2. Способы оценки эффективности системы безопасности электронной коммерции


Угрозы безопасности могут быть связаны с действиями факторов, значение и влияние которых практически всегда неизвестно. Присутствие такой неопределенности и ограни­ченность доступных ресурсов и средств не позволяют создать абсолютно безопасную систему. Поэтому при создании систе­мы безопасности электронной коммерции необходимо мини­мизировать степень риска возникновения ущерба, исходя из особенностей угроз безопасности и конкретных условий пред­приятия, занимающегося электронной коммерцией.

При этом необходимо основываться на принципе доста­точности, который заключается в том, что проводимые в интересах обеспечения безопасности электронной коммерции мероприятия с учетом потенциальных угроз должны быть минимальны и достаточны.

Объем принимаемых мер безопасности должен соответ­ствовать существующим угрозам, в противном случае систе­ма безопасности будет экономически неэффективна. В соот­ветствии с этим для обоснования эффективности мероприя­тий по обеспечению безопасности электронной коммерции применяется ряд критериев, так или иначе основанных на сравнении убытков, возникающих при нарушении безопас­ности, и стоимости проведения мероприятий по обеспечению безопасности электронной коммерции.

Убытки, которые могут возникать на предприятии, занимающемся электронной коммерцией, из-за нарушения ин формационной безопасности, можно разделить на прямые и косвенные (рис.)






Рисунок. Классификация убытков


Прямые убытки могут быть выражены:

— в стоимости восстановления поврежденной или физи­чески утраченной информации в результате пожара, стихий­ного бедствия, кражи, ограбления, ошибки в эксплуатации, неосторожности обслуживающего персонала, взлома компью­терных систем и действий вирусов;

— в стоимости ничтожных (незаконных) операций с де­нежными средствами и ценными бумагами, проведенных в электронной форме, путем несанкционированного проникно­вения в компьютерные системы и сети, а также злоумышлен­ной модификации данных, преднамеренной порчи данных на электронных носителях при хранении, перевозке или переза­писи информации, передачи и получения сфальсифицирован­ных поручений в сетях электронной передачи данных и др.;

— в стоимости возмещения причиненного физического и/или имущественного ущерба третьим лицам (субъектам электронной коммерции — клиентам, пользователям).

При пожарах, стихийных бедствиях и других событиях могут возникать убытки, напрямую не связанные с инфор­мационной безопасностью, например убытки, определяемые стоимостью утраченного оборудования или расходами на вос­становление поврежденного оборудования.

Косвенные убытки могут выражаться в текущих расхо­дах на выплату заработной платы, процентов по кредитам, арендной платы, амортизации и потерянной прибыли, воз­никающих при вынужденной приостановке коммерческой де­ятельности предприятия из-за нарушения безопасности пред­приятия.

Убытки и связанные с их возникновением риски отно­сятся к финансовым категориям, методики экономической оценки которых разработаны и известны. Поэтому мы не бу­дем останавливаться на их подробном анализе.

Можно выделить два основных критерия, позволяющих оценить эффективность системы защиты (рис.):

• отношение стоимости системы защиты (включая те­кущие расходы на поддержание работоспособности этой системы) к убыткам, которые могут возникнуть при наруше­нии безопасности;
  
• отношение стоимости системы защиты к стоимости взлома этой системы с целью нарушения безопасности.
  

Смысл указанных критериев заключается в следующем: если стоимость системы защиты, обеспечивающей заданный уровень безопасности, оказывается меньше затрат по возме­щению убытков, понесенных в результате нарушения безо­пасности, то мероприятия по обеспечению безопасности счи­таются эффективными.

Уровень безопасности при этом в силу объективной нео­пределенности факторов, влияющих на безопасность, оцени­вается, как правило, вероятностными показателями.

Таким образом, если, например, злоумышленник в процессе разработки мероприятий по нарушению безопасности обнаружит, что затраты, которые он понесет, будут сравнимы с убытками, которые он причинит фирме, то он, вероятно, откажется от своих планов. При этом он будет, конечно, продолжать искать брешь в системе безопасности, чтобы по­высить эффективность своих действий.



Рисунок. Критерии эффективности систем защиты