контрольная киоки. контрольная. Виды и источники угроз в электронной коммерции
 Скачать 50.32 Kb.
|
|
Для удобства изучения материала статью разбиваем на темы: Виды и источники угроз в электронной коммерции Вопросы правового регулирования безопасности электронной коммерции Риски в электронной коммерции Виды и источники угроз в электронной коммерцииБезопасность — это состояние, при котором отсутствует возможность причинения ущерба потребностям и интересам субъектов отношений. Угроза согласно словарю русского языка определяется как непосредственная опасность, которая носит общий, потенциальный характер, но так как противоречия между субъектами отношений возникают постоянно, то и опасность интересам может существовать постоянно. Одним из принятых определений является следующее: угроза безопасности — это совокупность условий и факторов, создающих опасность жизненно важным интересам, т. е. угроза представляется некой совокупностью обстоятельств (условий) и причин (факторов). С юридической точки зрения понятие «угроза» определяется, как намерение нанести зло (ущерб). Таким образом, угрозу безопасности можно обозначить как «деятельность, которая рассматривается в качестве враждебной по отношению к интересам». При всем многообразии видов угроз все они взаимосвязаны и воздействуют на интересы, как правило, комплексно. Поэтому для их ослабления, нейтрализации и парирования создается система обеспечения безопасности. Понятие защита (защищенность) означает ограждение субъекта отношений от угроз. Обеспечение безопасности — это особым образом организованная деятельность, направленная на сохранение внутренней устойчивости объекта, его способности противостоять разрушительному, агрессивному воздействию различных факторов, а также на активное противодействие существующим видам угроз. Система безопасности предназначена для выявления угроз интересам, поддержания в готовности сил и средств обеспечения безопасности и управления ими, организации нормального функционирования объектов безопасности. Применительно к электронной коммерции определение безопасности можно сформулировать как состояние защищенности интересов субъектов отношений, совершающих коммерческие операции (сделки) с помощью технологий электронной коммерции, от угроз материальных и иных потерь. Обеспечение безопасности независимо от форм собственности необходимо для любых предприятий и учреждений, начиная от государственных организаций и заканчивая маленькой палаткой, занимающейся розничной торговлей. Различия будут состоять лишь в том, какие средства и методы и в каком объеме требуются для обеспечения их безопасности. Рыночные отношения с их неотъемлемой частью — конкуренцией основаны на принципе «выживания» и потому обязательно требуют обеспечения защиты от угроз. По сложившейся международной практике безопасности объектами защиты с учетом их приоритетов являются: человек; информация; материальные ценности. Опираясь на понятие безопасности и перечисленные объекты защиты, можно сказать, что понятие «безопасность» любого предприятия или организации включает: • физическую безопасность, под которой понимается обеспечение защиты от посягательств на жизнь и личные интересы сотрудников; • экономическую безопасность, под которой понимается защита экономических интересов субъектов отношений. В рамках экономической безопасности рассматриваются также вопросы обеспечения защиты материальных ценностей от пожара, стихийных бедствий, краж и других посягательств; • информационную безопасность, под которой понимается защита информации от модификации (искажения, уничтожения) и несанкционированного использования. Повседневная практика показывает, что к основным угрозам физической безопасности относятся: • психологический террор, запугивание, вымогательство, шантаж; • грабеж с целью завладения материальными ценностями или документами; • похищение сотрудников предприятия или членов их семей; • убийство сотрудника предприятия. В настоящее время ни один человек не может чувствовать себя в безопасности. Не затрагивая специфических вопросов обеспечения физической безопасности, можно сказать, что для совершения преступления преступники предварительно собирают информацию о жертве, изучают ее «слабые места». Без необходимой информации об объекте нападения степень риска для преступников значительно увеличивается. Поэтому одним из главных принципов обеспечения физической безопасности является сокрытие любой информации о сотрудниках предприятия, которой преступники могут воспользоваться для подготовки преступления. В общем случае можно сформулировать следующие виды угроз экономической безопасности: • общая неплатежеспособность; • утрата средств по операциям с фальшивыми документами; • подрыв доверия к предприятию. Практика показывает, что наличие этих угроз обусловлено в первую очередь следующими основными причинами: 1) утечкой, уничтожением или модификацией (например, искажением) коммерческой информации; 2) отсутствием полной и объективной информации о сотрудниках, партнерах и клиентах предприятия; 3) распространением конкурентами необъективной, компрометирующей предприятие информации. Обеспечение информационной безопасности является одним из ключевых моментов обеспечения безопасности предприятия. Как считают западные специалисты, утечка 20 % коммерческой информации в шестидесяти случаях из ста приводит к банкротству предприятия. Потому физическая, экономическая и информационная безопасность очень тесно взаимосвязаны. Коммерческая информация имеет разные формы представления. Это может быть и информация, переданная устно, и документированная информация, зафиксированная на различных материальных носителях (например, на бумаге или на дискете), и информация, передаваемая по различным линиям связи или компьютерным сетям. Злоумышленниками в информационной сфере используются разные методы добывания информации. Сюда входят «классические» методы шпионажа (шантаж, подкуп и др.), методы промышленного шпионажа, несанкционированное использование средств вычислительной техники, аналитические методы. Поэтому спектр угроз информационной безопасности чрезвычайно широк. Новую область для промышленного шпионажа и различных других правонарушений открывает широкое использование средств вычислительной техники и технологий электронной коммерции. С помощью технических средств промышленного шпионажа не только различными способами подслушивают или подсматривают за действиями конкурентов, но и получают информацию, непосредственно обрабатываемую в средствах вычислительной техники. Наибольшую опасность здесь представляет непосредственное использование злоумышленниками средств вычислительной техники, что породило новый вид преступлений — компьютерные преступления, т. е. несанкционированный доступ к информации, обрабатываемой в ЭВМ, в том числе и с помощью технологий электронной коммерции. Противодействовать компьютерной преступности сложно, что главным образом объясняется: • новизной и сложностью проблемы; • сложностью своевременного выявления компьютерного преступления и идентификации злоумышленника; • возможностью выполнения преступления с использованием средств удаленного доступа, т. е. злоумышленника может вообще не быть на месте преступления; • трудностями сбора и юридического оформления доказательств компьютерного преступления. Обобщая вышеприведенные виды угроз безопасности, можно выделить три составляющие проблемы обеспечения безопасности: 1) правовую защиту; 2) организационную защиту; 3) инженерно-техническую защиту. Смысл правового обеспечения защиты вытекает из самого названия. Организационная защита включает организацию охраны и режима работы объекта. Под инженерно-технической защитой понимается совокупность инженерных, программных и других средств, направленных на исключение угрозы безопасности. Принципы создания и функционирования систем обеспечения безопасности можно разбить на три основных блока: общие принципы обеспечения защиты, организационные принципы и принципы реализации системы защиты. К общим принципам обеспечения защиты относятся: 1) принцип неопределенности. Обусловлен тем, что при обеспечении защиты неизвестно, кто, когда, где и каким образом попытается нарушить безопасность объекта защиты; 2) принцип невозможности создания идеальной системы защиты. Этот принцип следует из принципа неопределенности и ограниченности ресурсов, которыми, как правило, располагает система безопасности; 3) принцип минимального риска. Заключается в том, что при создании системы защиты необходимо выбирать минимальную степень риска исходя из особенностей угроз безопасности, доступных ресурсов и конкретных условий, в которых находится объект защиты в любой момент времени; 4) принцип защиты всех от всех. Данный принцип предполагает необходимость защиты всех субъектов отношений против всех видов угроз. К организационным принципам относят: 1) принцип законности. Важность соблюдения этого очевидного принципа трудно переоценить. Однако с возникновением новых правоотношений в российском законодательстве наряду с хорошо знакомыми объектами права, такими как «государственная собственность», «государственная тайна», появились новые — «частная собственность», «собственность предприятия», «интеллектуальная собственность», «коммерческая тайна», «конфиденциальная информация», «информация с ограниченным доступом». Нормативная правовая база, регламентирующая вопросы обеспечения безопасности, пока несовершенна; 2) принцип персональной ответственности. Каждый сотрудник предприятия, фирмы или их клиент несет персональную ответственность за обеспечение режима безопасности в рамках своих полномочий или соответствующих инструкций. Ответственность за нарушение режима безопасности должна быть заранее конкретизирована и персонифицирована; 3) принцип разграничения полномочий. Вероятность нарушения коммерческой тайны или нормального функционирования предприятия прямо пропорциональна количеству осведомленных лиц, обладающих информацией. Поэтому никого не следует знакомить с конфиденциальной информацией, если это не требуется для выполнения его должностных обязанностей; 4) принцип взаимодействия и сотрудничества. Внутренняя атмосфера безопасности достигается доверительными отношениями между сотрудниками. При этом необходимо добиваться того, чтобы персонал предприятия правильно понимал необходимость выполнения мероприятий, связанных с обеспечением безопасности, и в своих собственных интересах способствовал деятельности службы безопасности. К принципам реализации системы защиты относят: 1) принцип комплексности и индивидуальности. Безопасность объекта защиты не обеспечивается каким-либо одним мероприятием, а лишь совокупностью комплексных, взаимосвязанных и дублирующих друг друга мероприятий, реализуемых с индивидуальной привязкой к конкретным условиям; 2) принцип последовательных рубежей. Реализация данного принципа позволяет своевременно обнаружить посягательство на безопасность и организовать последовательное противодействие угрозе в соответствии со степенью опасности; 3) принцип защиты средств защиты является логическим продолжением принципа защиты «всех от всех». Иначе говоря, любое мероприятие по защите само должно быть соответственно защищено. Например, средство защиты от попыток внести изменения в базу данных должно быть защищено программным обеспечением, реализующим разграничение прав доступа. Обеспечение комплексной защиты объектов является в общем случае индивидуальной задачей, что обусловлено экономическими соображениями, состоянием, в котором находится объект защиты, и многими другими обстоятельствами. Прежде чем приступить к созданию системы безопасности, необходимо определить объекты защиты, уничтожение, модификация или несанкционированное использование которых может привести к нарушению интересов, убыткам и пр. Определив объекты защиты, следует выявить сферы их интересов и проанализировать множество угроз безопасности объектов зашиты. Если угрозы безопасности преднамеренные, то необходимо разработать предполагаемую модель злоумышленника. Далее нужно проанализировать возможные угрозы и источники их возникновения, выбрать адекватные средства и методы защиты и таким образом сформулировать задачи и определить структуру системы обеспечения безопасности. Для анализа проблемы обеспечения безопасности электронной коммерции необходимо определить интересы субъектов взаимоотношений, возникающих в процессе электронной коммерции. Принято выделять следующие категории электронной коммерции: бизнес—бизнес, бизнес—потребитель, бизнес—администрация. При этом независимо от категории электронной коммерции выделяют классы субъектов: финансовые институты, клиенты и бизнес организации. Финансовые институты могут быть разные, но в первую очередь это банки, так как именно в них все остальные объекты электронной коммерции имеют счета, которые отражают движение средств. Правила и условия движения этих средств определяются используемой платежной системой. Клиентами (покупателями, потребителями) могут быть физические и юридические лица. Бизнес организации — это любые организации, продающие или приобретающие что-либо через Интернет. Открытый характер интернет технологий, доступность передаваемой по сети информации означает, что общие интересы субъектов электронной коммерции заключаются в обеспечении информационной безопасности электронной коммерции. Информационная безопасность включает в себя обеспечение аутентификации партнеров по взаимодействию, целостности и конфиденциальности передаваемой по сети информации, доступности сервисов и управляемости инфраструктуры. Спектр интересов субъектов электронной коммерции в области информационной безопасности можно подразделить на следующие основные категории: • доступность (возможность за приемлемое время получить требуемую услугу); • целостность (актуальность и непротиворечивость информации, ее защищенность от разрушений и несанкционированного изменения); • конфиденциальность (защита информации от несанкционированного ознакомления). Информационная безопасность является одним из важнейших компонентов интегральной безопасности электронной коммерции. Число атак на информационные системы по всему миру каждый год удваивается. В таких условиях система информационной безопасности электронной коммерции должна уметь противостоять многочисленным и разнообразным внутренним и внешним угрозам. Основные угрозы информационной безопасности электронной коммерции связаны: • с умышленными посягательствами на интересы субъектов электронной коммерции (компьютерные преступления и компьютерные вирусы); • неумышленными действиями обслуживающего персонала (ошибки, упущения и т. д.); • воздействием технических факторов, способным привести к искажению и разрушению информации (сбои электроснабжения, программные сбои); • воздействием техногенных факторов (стихийные бедствия, пожары, крупномасштабные аварии и т. д.). Угрозы безопасности могут быть связаны с действиями факторов, значение и влияние которых практически всегда неизвестно. Поэтому невозможно создать абсолютно безопасную систему. При создании системы безопасности электронной коммерции необходимо минимизировать степень риска возникновения ущерба исходя из особенностей угроз безопасности и конкретных условий предприятия, занимающегося электронной коммерцией. При этом необходимо основываться на принципе достаточности, который заключается в том, что проводимые в интересах обеспечения безопасности электронной коммерции мероприятия с учетом потенциальных угроз должны быть минимальны и достаточны. Объем принимаемых мер безопасности должен соответствовать существующим угрозам, в противном случае система безопасности будет экономически неэффективна. В соответствии с этим для обоснования эффективности мероприятий по обеспечению безопасности электронной коммерции применяется ряд критериев, так или иначе основанных на сравнении убытков, возникающих при нарушении безопасности, и стоимости проведения мероприятий по обеспечению безопасности электронной коммерции. Убытки, которые могут возникать на предприятии, занимающемся электронной коммерцией, из-за нарушения информационной безопасности можно разделить на прямые и косвенные. Прямые убытки могут быть выражены в стоимости: • восстановления поврежденной или физически утраченной информации в результате пожара, стихийного бедствия, кражи, ограбления, ошибки в эксплуатации, неосторожности обслуживающего персонала, взлома компьютерных систем и действий вирусов; • ничтожных (незаконных) операций с денежными средствами и ценными бумагами, проведенных в электронной форме, путем несанкционированного проникновения в компьютерные системы и сети, а также злоумышленной модификации данных, преднамеренной порчи данных на электронных носителях при хранении, перевозке или перезаписи информации, передачи и получения сфальсифицированных поручений в сетях электронной передачи данных и др.; • возмещения причиненного физического и/или имущественного ущерба третьим лицам (субъектам электронной коммерции — клиентам, пользователям). При пожарах, стихийных бедствиях и других событиях могут возникать убытки, напрямую не связанные с информационной безопасностью, например убытки, определяемые стоимостью утраченного оборудования или расходами на восстановление поврежденного оборудования. Косвенные убытки могут выражаться в текущих расходах на выплату заработной платы, процентов по кредитам, арендной платы, амортизации и потерянной прибыли, возникающих при вынужденной приостановке коммерческой деятельности предприятия из-за нарушения безопасности предприятия. Убытки и связанные с их возникновением риски относятся к финансовым категориям, методики экономической оценки которых разработаны и известны. Поэтому не будем останавливаться на их подробном анализе. Можно выделить два основных критерия, позволяющих оценить эффективность системы защиты: • отношение стоимости системы защиты (включая текущие расходы на поддержание работоспособности этой системы) к убыткам, которые могут возникнуть при нарушении безопасности; • отношение стоимости системы защиты к стоимости взлома этой системы с целью нарушения безопасности. Смысл указанных критериев заключается в следующем: если стоимость системы защиты, обеспечивающей заданный уровень безопасности, оказывается меньше затрат по возмещению убытков, понесенных в результате нарушения безопасности, то мероприятия по обеспечению безопасности считаются эффективными. Уровень безопасности при этом в силу объективной неопределенности факторов, влияющих на безопасность, оценивается, как правило, вероятностными показателями. Таким образом, если, например, злоумышленник в процессе разработки мероприятий по нарушению безопасности обнаружит, что затраты, которые он понесет, будут сравнимы с убытками, которые он причинит предприятию, то он, вероятно, откажется от своих планов. При этом он будет, конечно, продолжать искать брешь в системе безопасности, чтобы повысить эффективность своих действий. |