Работу выполнила:
Студентка 4 курса
Шифр 2012 Эзс 2063
Писарева А.Ю.
Работу проверил:
Кикоть Е.Н.
ВВЕДЕНИЕ
1. Понятие безопасности. Виды и источники угроз
2. Способы оценки эффективности системы электронной коммерции
3. Риски в электронной коммерции
ЗАКЛЮЧЕНИЕ
С развитием в последние годы современных информационных систем исистем международной связи появляется практическая возможность отойти оттрадиционной бумажной документации как главного носителя информации, накотором отражаются все стадии реализации коммерческой сделки.Использование бумажной документации, а также привычных методов ееобработки и пересылки на практике очень часто приводит к большимпроизводственным и коммерческим издержкам. Разработанные к настоящемувремени технологии электронной коммерции позволяют предпринимателямпри осуществлении сделок передавать информацию с помощью современныхинформационно-коммуникационных систем, достигая при заключении,подтверждении и выполнении коммерческих сделок (контрактов) повышеннойточности, скорости и эффективности. Электронная коммерция объединяет,таким образом, все формы деловых операций и сделок, осуществляемыхэлектронным способом.
Цель данной работы - дать понятие и раскрыть содержание информационнойбезопасности электронной коммерции, а также описать способы оценкиэффективности системы обеспечения безопасности электронной коммерции,существующие риски.
Безопасность — это состояние, при котором отсутствует возможность причиненияущерба потребностям и интересам субъектов отношений.
Одним из принятых определений является следующее: угроза безопасности — этосовокупность условий и факторов, создающих опасность жизненно важныминтересам, т. е. угроза представляется некой совокупностью обстоятельств (условий)и причин (факторов).
Таким образом, угрозу безопасности можно обозначить как "деятельность, котораярассматривается в качестве враждебной по отношению к интересам".
Обеспечение безопасности — это особым образом организованная деятельность,направленная на сохранение внутренней устойчивости объекта, его способностипротивостоять разрушительному, агрессивному воздействию различных факторов, атакже на активное противодействие существующим видам угроз.
Система безопасности предназначена для выявления угроз интересам,поддержания в готовности сил и средств обеспечения безопасности и управленияими, организации нормального функционирования объектов безопасности.
Применительно к электронной коммерции определение безопасности можно сформулировать так.
Безопасность электронной коммерции — это состояние защищенности интересов субъектов отношений, совершающих коммерческие операции (сделки) с помощью технологий электронной коммерции, от угроз материальных и иных потерь.
Опираясь на понятие безопасности и перечисленные выше объекты защиты,можно сказать, что понятие "безопасность" любого предприятия илиорганизации включает в себя (рис.):
физическую безопасность, под которой понимается обеспечение защиты отпосягательств на жизнь и личные интересы сотрудников;
экономическую безопасность, под которой понимается защита экономическихинтересов субъектов отношений. В рамках экономической безопасности такжерассматриваются вопросы обеспечения защиты материальных ценностей отпожара, стихийных бедствий, краж и других посягательств;
информационную безопасность, под которой понимается защита информацииот модификации (искажения, уничтожения) и несанкционированногоиспользования.
Повседневная практика показывает, что к основнымугрозам физической безопасности относятся:• психологический террор, запугивание, вымогательство,шантаж;• грабеж с целью завладения материальными ценностямиили документами;• похищение сотрудников фирмы или членов их семей;убийство сотрудника фирмы.
В общем случае можно сформулировать следующиевиды угроз экономической безопасности:• общая неплатежеспособность;• утрата средств по операциям с фальшивымидокументами;• подрыв доверия к фирме.
Обеспечение информационной безопасности являетсяодним из ключевых моментов обеспечения безопасностифирмы.
Как считают западные специалисты, утечка 20%коммерческой информации в шестидесяти случаях из стаприводит к банкротству фирмы. Потому физическая,экономическая и информационная безопасность очень тесновзаимосвязаны.
Противодействовать компьютерной преступности сложно,что главным образом объясняется:• новизной и сложностью проблемы;• сложностью своевременного выявления компьютерногопреступления и идентификации злоумышленника;• возможностью выполнения преступления сиспользованием средств удаленного доступа, т. е.злоумышленника может вообще не быть на местепреступления;• трудностями сбора и юридического оформлениядоказательств компьютерного преступления.
Обобщая вышеприведенные виды угроз безопасности,можно выделить три составляющие проблемы обеспечениябезопасности:• правовую защиту;• организационную защиту;• инженерно-техническую защиту.
Смысл правового обеспечения защиты вытекает из самогоназвания.
Организационная защита включает в себя организациюохраны и режима работы объекта.
Под инженерно-технической защитой понимаетсясовокупность инженерных, программных и другихсредств, направленных на исключение угрозыбезопасности.
Принципы создания и функционирования
систем обеспечения безопасности можно
разбить на три основные блока: общие
принципы обеспечения защиты,
организационные принципы, принципы
реализации системы защиты (рис.).
Принцип неопределенности обусловлен тем, что при обеспечении защиты неизвестно, кто, когда, где и каким образом попытается нарушить безопасность объекта защиты.Принцип невозможности создания идеальной системы защиты. Этот принцип следует из принципа неопределенности и ограниченности ресурсов, которыми, как правило, располагает система безопасности.Принцип минимального риска заключается в том, что при создании системы защиты необходимо выбирать минимальную степень риска, исходя из особенностей угроз безопасности, доступных ресурсов и конкретных условий, в которых находится объект защиты в любой момент времени.Принцип защиты всех от всех. Данный принцип предполагает необходимость защиты всех субъектов отношений против всех видов угроз.
Принцип законности. Важность соблюдения этого очевидного принципа труднопереоценить. Однако с возникновением новых правоотношений в российскомзаконодательстве наряду с хорошо знакомыми объектами права, такими как"государственная собственность", "государственная тайна", появились новые —"частная собственность", "собственность предприятия", "интеллектуальнаясобственность", "коммерческая тайна", "конфиденциальная информация","информация с ограниченным доступом". Нормативная правовая база,регламентирующая вопросы обеспечения безопасности, пока, несовершенна.
Принцип персональной ответственности. Каждый сотрудник предприятия,фирмы или их клиент несет персональную ответственность за обеспечение режимабезопасности в рамках своих полномочий или соответствующих инструкций.Ответственность за нарушение режима безопасности должна быть заранееконкретизирована и персонифицирована.
Принцип разграничения полномочий. Вероятность нарушения коммерческойтайны или нормального функционирования предприятия прямо пропорциональнаколичеству: осведомленных лиц, обладающих информацией. Поэтому никого неследует знакомить с конфиденциальной информацией, если это не требуется длявыполнения его должностных обязанностей.
Принцип взаимодействия и сотрудничества. Внутренняя атмосферабезопасности достигается доверительными отношениями между сотрудниками. Приэтом необходимо добиваться того, чтобы персонал предприятия правильно понималнеобходимость выполнения мероприятий, связанных с обеспечением безопасности,и в своих собственных интересах способствовал деятельности службы безопасности.
Принцип комплексности и индивидуальности. Безопасность объектазащиты не обеспечивается каким-либо одним мероприятием, а лишьсовокупностью комплексных, взаимосвязанных и дублирующих друг другамероприятий, реализуемых с индивидуальной привязкой к конкретнымусловиям.
Принцип последовательных рубежей. Реализация данного принципапозволяет своевременно обнаружить посягательство на безопасность иорганизовать последовательное противодействие угрозе в соответствии состепенью опасности.
Принцип защиты средств защиты является логическим продолжениемпринципа защиты "всех от всех". Иначе говоря, любое мероприятие позащите само должно быть соответственно защищено. Например, средствозащиты от попыток внести изменения в базу данных должно быть защищенопрограммным обеспечением, реализующим разграничение прав доступа.
связаны (рис.): с умышленными посягательствами на интересы субъектов электроннойкоммерции (компьютерные преступления и компьютерные вирусы); с неумышленными действиями обслуживающего персонала (ошибки, упущения ит. д.); с воздействием технических факторов, способным вести к искажению иразрушению информации (сбои электроснабжения, программные сбои); с воздействием так называемых техногенных факторов (стихийные бедствия,пожары, крупномасштабные аварии и т. д.).
Убытки, которые могут возникать на предприятии, занимающемся электроннойкоммерцией, из-за нарушения информационной безопасности, можноразделить на прямые и косвенные (рис.)
Прямые убытки могут быть выражены: в стоимости восстановления поврежденной или физически утраченнойинформации в результате пожара, стихийного бедствия, кражи, ограбления,ошибки в эксплуатации, неосторожности обслуживающего персонала, взломакомпьютерных систем и действий вирусов; в стоимости ничтожных (незаконных) операций с денежными средствами иценными бумагами, проведенных в электронной форме, путемнесанкционированного проникновения в компьютерные системы и сети, атакже злоумышленной модификации данных, преднамеренной порчи данныхна электронных носителях при хранении, перевозке или перезаписиинформации, передачи и получения сфальсифицированных поручений в сетяхэлектронной передачи данных и др.; в стоимости возмещения причиненного физического и/или имущественногоущерба третьим лицам (субъектам электронной коммерции — клиентам,пользователям).
При пожарах, стихийных бедствиях и других событиях могут возникатьубытки, напрямую не связанные с информационной безопасностью, напримерубытки, определяемые стоимостью утраченного оборудования или расходамина восстановление поврежденного оборудования.
Косвенные убытки могут выражаться в текущих расходах на выплатузаработной платы, процентов по кредитам, арендной платы, амортизации ипотерянной прибыли, возникающих при вынужденной приостановкекоммерческой деятельности предприятия из-за нарушения безопасностипредприятия.
Можно выделить два основных критерия, позволяющих оценить эффективностьсистемы защиты (рис.): отношение стоимости системы защиты (включая текущие расходы на поддержаниеработоспособности этой системы) к убыткам, которые могут возникнуть принарушении безопасности; отношение стоимости системы защиты к стоимости взлома этой системы с цельюнарушения безопасности.
Электронная коммерция подвержена рискам в той же, а может ибольшей мере, что и коммерция в ее традиционном понимании.Наряду с "классическими" присутствуют и новые, до этогомомента неизвестные риски.
Выделяют три группы специфических рисков электроннойкоммерции: вирусы и вредоносные программы, хакерские атаки,а также мошенничества с использованием различных средствпередачи данных.
Рассмотрим эти группы подробнее.
Целью написания подобных программ, как правило, служит приостановка либополное отключение аппаратных и программных возможностей объекта атаки, атакже получение конфиденциальных сведений о субъекте, будь то физическоеили юридическое лицо. Кроме выяснения конфиденциальных данных, зачастуюпрограммы-вирусы предназначены для блокирования сетевого ресурса жертвы.
В качестве превентивной меры (причем превентивной она будет только дляпользователя) в борьбе с вирусами можно порекомендовать использованиеспециальных антивирусных программ, причем самые свежие и обновленныеверсии, поскольку вирусописатели постоянно находят недоработки вантивирусных программах и пишут вирусы нацеленные именно на эти бреши взащите, а разработчики антивирусного программного обеспечения,соответственно, пытаются эти бреши заделать.Кроме специализированного антивирусного программного обеспечения, вборьбе с вредоносными программами хорошим подспорьем будетвнимательность пользователя к источникам, из которых информация попадаетна его компьютер, а также общая компьютерная грамотность. В штате компаниицелесообразно держать специалиста или группу специалистов, основной цельюработы которых будет защита информации от вирусов и общее работоспособноесодержание компьютерного оборудования.
Взлом программного обеспечения и сетевых ресурсов изпротивоправных действий развлекательного характера со временемпревратился в мощное орудие недобросовестной конкуренции. Группаугроз, которая здесь условно обозначена как "хакерские атаки", можетбыть тесным образом связана с первой из трех групп угроз, а именновирусами и вредоносными программами.
Стопроцентной защиты от хакеров, как впрочем и oт вирусов, нет ибыть не может. Это обусловлено тем, что абсолютно все дыры впрограммном обеспечении заделать невозможно, хакеры постоянноищут новые уязвимости, а когда находят — производят атаку. В ответ наих действия разработчики программного обеспечения перекрываютдоступ к ресурсу на основе этой уязвимости, а хакеры принимаются запоиск новой возможности для атаки.
Количество разнообразных видов мошенничества, создаваемыхлюдьми для отъема денег у себе подобных, постоянно растет.Можно выделить следующие виды мошенничества: связанные с использованием номеров кредитных карт; связанные с использованием копий легальных сайтов; связанные с использованием фиктивных торговых площадок; связанные с инвестициями и возможностью заработать; связанные с несовершенством платежных систем.Вышеобозначенное деление в большой мере условно, посколькусуществуют мошенничества, затрагивающие если не все, то многие изобозначенных элементов, и провести четкую грань, к какому же из видовмошенничеств относится то или иное, представляетсятрудноосуществимым.
В последние годы электронная коммерция, возникшая на несколькодесятилетий раньше глобальной сети Интернет, стремительноразвивается. Распространяясь повсеместно и предлагая все болееширокий ассортимент товаров и услуг, электронная коммерциястановится инструментом интеграции государств, отраслей,предприятий и физических лиц в единое сообщество, внутри котороговзаимодействие партнеров эффективно и беспрепятственнореализуется средствами информационных и телекоммуникационныхтехнологий.
Применение информационных технологий дает возможностькомпаниям выйти на мировой рынок, расширяет каналы сбыта,объединяет поставщиков и покупателей в единую систему, позволяетзначительно снизить расходы в цепочках спроса и предложения,обслуживать заказчиков на более высоком уровне, внедриться наранее недоступные по географическим причинам рынки, создаватьновые рынки труда и капитала, и наконец, пересматривать самхарактер своей деятельности. В работе рассмотрены основныемоменты определения понятия "Безопасность электроннойкоммерции".