контрольная киоки. контрольная. Виды и источники угроз в электронной коммерции
Скачать 50.32 Kb.
|
В условиях рыночных отношений важное значение имеет правовая зашита информации, составляющей коммерческую тайну. В соответствии с гражданским законодательством информация может составлять коммерческую тайну в том случае, если она: • имеет действительную или потенциальную коммерческую ценность; • неизвестна третьим лицам; • к ней нет свободного доступа на законном основании; • обладатель информации принимает меры к охране этой информации. Предприятия и лица, занимающиеся предпринимательской деятельностью, обязаны представлять указанные сведения по требованию органов власти, органов управления, контролирующих и правоохранительных органов, других юридических лиц, имеющих на это право в соответствии с законодательством. Институт коммерческой тайны наряду с авторским и патентным правом и законодательством в области защиты прав на программы для ЭВМ и базы данных является одной из правовых форм защиты интеллектуальной собственности. В соответствии с Законом «О конкуренции и ограничении монополистической деятельности на товарных рынках» и гражданским законодательством лица, незаконными методами получившие информацию, составляющую коммерческую тайну, обязаны возместить причиненные владельцу убытки. Такая же обязанность возлагается и на работников, разгласивших служебную или коммерческую тайну вопреки трудовому договору, и на контрагентов, с которыми заключен гражданско-правовой договор о конфиденциальности информации. Из упомянутых норм следует, что предприятие может охранять информацию, составляющую коммерческую тайну, а этой тайной может быть все, что не запрещено законами или иными правовыми актами, имеет ценность для предпринимательской деятельности, давая преимущества перед конкурентами, не владеющими этой информацией. Таким образом, фиксируется право собственника информации охранять свои интересы во взаимоотношениях со всеми субъектами рынка, включая государство. Преступления в сфере информации преследуются в соответствии с действующим в Российской Федерации законодательством. В частности, Уголовный кодекс РФ содержит специальную главу, которая называется «Преступления в сфере компьютерной информации». В соответствии с ней преследуется по закону: неправомерный доступ к компьютерной информации; создание и использование вредоносных программ для ЭВМ; нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети. Наряду с правовыми нормативными актами в сфере разработки и производства систем и средств обеспечения безопасности используются и административные способы регулирования этого процесса. Администрирование в области разработки и производства систем и средств обеспечения безопасности информации осуществляется государственными органами — Государственной технической комиссией и Федеральным агентством правительственной связи и информации. К функциям этих органов относятся: • координация деятельности организаций и предприятий с различными формами собственности в области защиты информации, обрабатываемой техническими средствами; • организационно-методическое руководство этой деятельностью, включая разработку нормативно-технической документации; • лицензирование деятельности предприятий и организаций по оказанию услуг в области защиты информации. Система лицензирования направлена на создание условий, при которых право заниматься работами по защите информации для стороннего заказчика предоставляется только организациям, имеющим на этот вид деятельности специальное разрешение — лицензию. Система лицензирования деятельности в области защиты информации основана на Законе «О защите государственной тайны». Предоставление лицензий осуществляется в соответствии с Положением «О государственном лицензировании деятельности в области защиты информации». Следует отметить, что на проведение работ по защите информации только в своих собственных нуждах получение рассматриваемой лицензии не требуется. Технические, программно-технические и программные средства, системы, компьютерные сети и другие средства защиты и контроля эффективности защиты информации подлежат сертификации на соответствие требованиям по безопасности информации. Осуществляется она в соответствии с Положением о сертификации средств защиты информации, введенным постановлением Правительства РФ № 608. При этом надо иметь в виду, что в вопросах сертификации средств защиты информации, и в особенности средств вычислительной техники и компьютерных систем, мы значительно отстали от развитых стран. Риски в электронной коммерции Необходимое условие эффективности любой экономической системы — экономическая свобода, которая предполагает наличие у экономического агента определенной совокупности прав, гарантирующих ему автономное, самостоятельное принятие решений. Экономическая свобода является источником неопределенности и риска, так как свободе одного экономического агента сопутствует одновременно и свобода других. В условиях рыночной экономики риск — ключевой элемент предпринимательства. Предприниматель, умеющий вовремя рисковать, зачастую оказывается вознагражденным. Характерные особенности риска — неопределенность, неожиданность, неуверенность и предположение, что успех придет. В условиях политической и экономической нестабильности степень риска значительно возрастает. В современных условиях экономики России проблема усиления рисков весьма актуальна, что подтверждается данными о росте убыточности предприятий промышленности. Риск связан с конкретной рисковой ситуацией и возникает, когда решение вырабатывается в условиях неопределенности или осуществляется выбор из нескольких трудно-сопоставимых вариантов. Поэтому требуется оценить вероятность достижения заданного результата и выявить возможность неудачи. В предпринимательской деятельности рисковая ситуация связана с понятием собственности, прибыли и вероятностью потерь. Предприниматель может понести потери в виде дополнительных расходов, не предусмотренных прогнозом, программой его действий, или получить доходы ниже того уровня, на который он рассчитывал. Снижение величины предполагаемого дохода, или упущенная выгода, также входит в категорию риска. В абсолютном выражении риск может определяться величиной возможных потерь в материально-вещественном (физическом) или стоимостном (денежном) выражении, если вид такого ущерба поддается измерению в данной форме (математическое ожидание). В относительном выражении риск определяется как величина возможных потерь, отнесенная к некоторой базе. Все факторы, так или иначе влияющие на рост степени риска деятельности предприятия, можно условно разделить на группы: объективные и субъективные. К объективным относятся факторы, не зависящие непосредственно от самого предприятия: инфляция, конкуренция, анархия, политические и экономические кризисы, экология, таможенные пошлины, наличие режима наибольшего благоприятствования, возможная работа в зонах свободного экономического предпринимательства и т. д. К субъективным относятся факторы, характеризующие непосредственно данное предприятие: производственный потенциал, техническое оснащение, уровень предметной и технологической специализации, организация труда, уровень производительности труда, степень кооперированных связей, уровень техники безопасности, выбор типа контрактов с инвестором или заказчиком и т. д. Последний фактор играет важную роль для предприятия, так как от типа контракта зависит степень риска и величина вознаграждения по окончании проекта. Комплексное исследование сущности предпринимательских рисков предполагает характеристику его разновидностей, существующих в реальной экономике. Классификация предпринимательских рисков зависит от источников их возникновения, характера и особенностей учета, методов оценки, возможностей регулирования и минимизации рисков и других оснований и обоснований. В принципе, сколько ситуаций, целей исследований, методик и авторских мнений, столько может существовать определений и классификаций рисков. Электронная коммерция подвержена рискам в той же, а может, и большей мере, что и коммерция в ее традиционном понимании. Наряду с «классическими» присутствуют и новые, до этого момента неизвестные риски, управление которыми является сложной задачей в силу их неполной изученности, отсутствия четкой классификации и недостаточных навыков анализа. Не претендуя на полное освещение и классификацию специфических рисков электронной коммерции, представляется целесообразным выделить три группы угроз: вирусы и вредоносные программы, хакерские атаки, а также мошенничества с использованием различных средств передачи данных. Первые две группы угроз вполне могут быть преддверием последней, наиболее значимой группы, поскольку времена написания «шуточных» вирусов и хакерских атак развлекательного характера постепенно уходят в прошлое и основной целью девиантных субъектов компьютерного мира становится обогащение с использованием не слишком законных методов. Проблема усложняется еще и тем, что криминальные элементы становятся все более изощренными и образованными, а компьютерная среда дает им огромный арсенал средств и методов, позволяющих совершать сложные мошенничества, оставаясь практически анонимными и сложно уловимыми для правоохранительных органов. Кроме того, существует и некоторая не доработанность нормативно-правовой базы, что ставит под угрозу законопослушных пользователей и облегчает задачу криминализированным элементам. Рекомендации в отношении изменения и улучшения нормативно-правовой базы, так или иначе связанной с электронной коммерцией, рассмотрены в предыдущих разделах учебника, и потому основное внимание будет уделено описанию трех вышеперечисленных типов угроз, а также будут даны рекомендации хозяйствующим субъектам, направленные на минимизацию потерь от деструктивных факторов, сопутствующих электронной коммерции. Целью написания вирусов и вредоносных программ, как правило, служит приостановка либо полное отключение аппаратных и программных возможностей объекта атаки, а также получение конфиденциальных сведений о субъекте, будь то физическое или юридическое лицо. Первыми объектами интереса вирусописателей (оставляя без внимания развлекательный характер написания вредоносных программ) стали данные, необходимые для доступа в Интернет за счет других пользователей. Специальные программы различными путями заносились в компьютер пользователя жертвы, отслеживали имена и пароли, необходимые для доступа во всемирную паутину, а затем передавали эти данные своим создателям. В дальнейшем такая деятельность стала набирать обороты, поскольку вирусописатели сообразили, что полученные данные можно использовать не только в личных целях, но и продавать заинтересованным третьим лицам, желающим сэкономить на доступе во всемирную паутину. Следующим этапом стало незаконное выяснение личных данных о банковских счетах жертв. Кроме выяснения конфиденциальных данных, зачастую программы вирусы предназначены для блокирования сетевого ресурса жертвы. В качестве примера здесь можно привести приостановку работы интернет магазина какого-либо предприятия компанией конкурентом. В качестве превентивной меры (причем превентивной она будет только для пользователя) в борьбе с вирусами можно порекомендовать использование специальных антивирусных программ, причем самые свежие и обновленные версии, поскольку вирусописатели постоянно находят недоработки в антивирусных программах и пишут вирусы, нацеленные именно на эти бреши в защите, а разработчики антивирусного программного обеспечения соответственно пытаются эти бреши заделать. Кроме специализированного антивирусного программного обеспечения, в борьбе с вредоносными программами хорошим подспорьем будет внимательность пользователя к источникам, из которых информация попадает на его компьютер, а также общая компьютерная грамотность. В штате предприятия целесообразно иметь специалиста или группу специалистов, основной целью работы которых будет защита информации от вирусов и общее работоспособное содержание компьютерного оборудования. Взлом программного обеспечения и сетевых ресурсов из противоправных действий развлекательного характера со временем превратился в мощное орудие недобросовестной конкуренции. Взламывается абсолютно все: сайты интернет магазинов, провайдеров услуг Интернета, закрытые разделы на платных сайтах и даже сайты государственных учреждений. Группа угроз, которая здесь условно обозначена как «хакерские атаки», может быть тесным образом связана с первой из трех групп угроз, а именно вирусами и вредоносными программами. Конечно, это не означает, что все вирусописатели являются хакерами и наоборот, все хакеры тратят время на написание вирусов — просто зачастую в своей деятельности хакеры прибегают к богатым возможностям вредоносных программ, позволяющим им проводить свои противоправные действия с гораздо большей эффективностью. Стопроцентной защиты от хакеров, как, впрочем, и от вирусов, нет и быть не может. Это обусловлено тем, что абсолютно все дыры в программном обеспечении заделать невозможно, хакеры постоянно ищут новые, а когда находят — производят атаку в ответ на их действия разработчики программного обеспечения перекрывают доступ к ресурсу на основе этой уязвимости, а хакеры принимаются за поиск новой возможности для атаки. Получается, что атака хакеров опережает действия людей, им противостоящих. Но так бывает далеко не всегда: существуют на сегодняшний день специальные программы и сетевые экраны, надежно закрывающие доступ неавторизованным пользователям. Конечно, талантливый хакер сможет обойти и их, но большинство хакеров не столь талантливы и используют несколько устаревшие наработки своих более серьезных коллег, а они уже не эффективны в силу того, что разработчики программного обеспечения тоже не стоят на месте и постоянно выпускают «заплатки» и обновления для своих продуктов, а следующие версии делают все более совершенными и защищенными. Количество разнообразных видов мошенничества, создаваемых людьми для отъема денег, постоянно растет. Еще более бурный рост вызвало повсеместное развитие новых информационно-коммуникационных технологий, позволяющих криминальным элементам быстро и практически анонимно осуществлять свою противоправную деятельность. Учитывая невообразимое многообразие видов мошенничества, будет предпринята попытка осветить только те, которые в той или иной мере могут угрожать хозяйствующим субъектам и останутся без пристального внимания угрозы для обычных некоммерческих пользователей. |