контрольная киоки. контрольная. Виды и источники угроз в электронной коммерции
 Скачать 50.32 Kb.
|
|
Виды и источники угроз в электронной коммерции Безопасность — это состояние, при котором отсутствует возможность причинения ущерба потребностям и интересам субъектов отношений. Угроза согласно словарю русского языка определяется как непосредственная опасность, которая носит общий, потенциальный характер, но так как противоречия между субъектами отношений возникают постоянно, то и опасность интересам может существовать постоянно. Одним из принятых определений является следующее: угроза безопасности — это совокупность условий и факторов, создающих опасность жизненно важным интересам, т. е. угроза представляется некой совокупностью обстоятельств (условий) и причин (факторов). С юридической точки зрения понятие «угроза» определяется, как намерение нанести зло (ущерб). Таким образом, угрозу безопасности можно обозначить как «деятельность, которая рассматривается в качестве враждебной по отношению к интересам». При всем многообразии видов угроз все они взаимосвязаны и воздействуют на интересы, как правило, комплексно. Поэтому для их ослабления, нейтрализации и парирования создается система обеспечения безопасности. Понятие защита (защищенность) означает ограждение субъекта отношений от угроз. Обеспечение безопасности — это особым образом организованная деятельность, направленная на сохранение внутренней устойчивости объекта, его способности противостоять разрушительному, агрессивному воздействию различных факторов, а также на активное противодействие существующим видам угроз. Система безопасности предназначена для выявления угроз интересам, поддержания в готовности сил и средств обеспечения безопасности и управления ими, организации нормального функционирования объектов безопасности. Применительно к электронной коммерции определение безопасности можно сформулировать как состояние защищенности интересов субъектов отношений, совершающих коммерческие операции (сделки) с помощью технологий электронной коммерции, от угроз материальных и иных потерь. Обеспечение безопасности независимо от форм собственности необходимо для любых предприятий и учреждений, начиная от государственных организаций и заканчивая маленькой палаткой, занимающейся розничной торговлей. Различия будут состоять лишь в том, какие средства и методы и в каком объеме требуются для обеспечения их безопасности. Рыночные отношения с их неотъемлемой частью — конкуренцией основаны на принципе «выживания» и потому обязательно требуют обеспечения защиты от угроз. По сложившейся международной практике безопасности объектами защиты с учетом их приоритетов являются: человек; информация; материальные ценности. Опираясь на понятие безопасности и перечисленные объекты защиты, можно сказать, что понятие «безопасность» любого предприятия или организации включает: • физическую безопасность, под которой понимается обеспечение защиты от посягательств на жизнь и личные интересы сотрудников; • экономическую безопасность, под которой понимается защита экономических интересов субъектов отношений. В рамках экономической безопасности рассматриваются также вопросы обеспечения защиты материальных ценностей от пожара, стихийных бедствий, краж и других посягательств; • информационную безопасность, под которой понимается защита информации от модификации (искажения, уничтожения) и несанкционированного использования. Повседневная практика показывает, что к основным угрозам физической безопасности относятся: • психологический террор, запугивание, вымогательство, шантаж; • грабеж с целью завладения материальными ценностями или документами; • похищение сотрудников предприятия или членов их семей; • убийство сотрудника предприятия. В настоящее время ни один человек не может чувствовать себя в безопасности. Не затрагивая специфических вопросов обеспечения физической безопасности, можно сказать, что для совершения преступления преступники предварительно собирают информацию о жертве, изучают ее «слабые места». Без необходимой информации об объекте нападения степень риска для преступников значительно увеличивается. Поэтому одним из главных принципов обеспечения физической безопасности является сокрытие любой информации о сотрудниках предприятия, которой преступники могут воспользоваться для подготовки преступления. В общем случае можно сформулировать следующие виды угроз экономической безопасности: • общая неплатежеспособность; • утрата средств по операциям с фальшивыми документами; • подрыв доверия к предприятию. Практика показывает, что наличие этих угроз обусловлено в первую очередь следующими основными причинами: 1) утечкой, уничтожением или модификацией (например, искажением) коммерческой информации; 2) отсутствием полной и объективной информации о сотрудниках, партнерах и клиентах предприятия; 3) распространением конкурентами необъективной, компрометирующей предприятие информации. Обеспечение информационной безопасности является одним из ключевых моментов обеспечения безопасности предприятия. Как считают западные специалисты, утечка 20 % коммерческой информации в шестидесяти случаях из ста приводит к банкротству предприятия. Потому физическая, экономическая и информационная безопасность очень тесно взаимосвязаны. Коммерческая информация имеет разные формы представления. Это может быть и информация, переданная устно, и документированная информация, зафиксированная на различных материальных носителях (например, на бумаге или на дискете), и информация, передаваемая по различным линиям связи или компьютерным сетям. Злоумышленниками в информационной сфере используются разные методы добывания информации. Сюда входят «классические» методы шпионажа (шантаж, подкуп и др.), методы промышленного шпионажа, несанкционированное использование средств вычислительной техники, аналитические методы. Поэтому спектр угроз информационной безопасности чрезвычайно широк. Новую область для промышленного шпионажа и различных других правонарушений открывает широкое использование средств вычислительной техники и технологий электронной коммерции. С помощью технических средств промышленного шпионажа не только различными способами подслушивают или подсматривают за действиями конкурентов, но и получают информацию, непосредственно обрабатываемую в средствах вычислительной техники. Наибольшую опасность здесь представляет непосредственное использование злоумышленниками средств вычислительной техники, что породило новый вид преступлений — компьютерные преступления, т. е. несанкционированный доступ к информации, обрабатываемой в ЭВМ, в том числе и с помощью технологий электронной коммерции. Противодействовать компьютерной преступности сложно, что главным образом объясняется: • новизной и сложностью проблемы; • сложностью своевременного выявления компьютерного преступления и идентификации злоумышленника; • возможностью выполнения преступления с использованием средств удаленного доступа, т. е. злоумышленника может вообще не быть на месте преступления; • трудностями сбора и юридического оформления доказательств компьютерного преступления. Обобщая вышеприведенные виды угроз безопасности, можно выделить три составляющие проблемы обеспечения безопасности: 1) правовую защиту; 2) организационную защиту; 3) инженерно-техническую защиту. Смысл правового обеспечения защиты вытекает из самого названия. Организационная защита включает организацию охраны и режима работы объекта. Под инженерно-технической защитой понимается совокупность инженерных, программных и других средств, направленных на исключение угрозы безопасности. Принципы создания и функционирования систем обеспечения безопасности можно разбить на три основных блока: общие принципы обеспечения защиты, организационные принципы и принципы реализации системы защиты. К общим принципам обеспечения защиты относятся: 1) принцип неопределенности. Обусловлен тем, что при обеспечении защиты неизвестно, кто, когда, где и каким образом попытается нарушить безопасность объекта защиты; 2) принцип невозможности создания идеальной системы защиты. Этот принцип следует из принципа неопределенности и ограниченности ресурсов, которыми, как правило, располагает система безопасности; 3) принцип минимального риска. Заключается в том, что при создании системы защиты необходимо выбирать минимальную степень риска исходя из особенностей угроз безопасности, доступных ресурсов и конкретных условий, в которых находится объект защиты в любой момент времени; 4) принцип защиты всех от всех. Данный принцип предполагает необходимость защиты всех субъектов отношений против всех видов угроз. К организационным принципам относят: 1) принцип законности. Важность соблюдения этого очевидного принципа трудно переоценить. Однако с возникновением новых правоотношений в российском законодательстве наряду с хорошо знакомыми объектами права, такими как «государственная собственность», «государственная тайна», появились новые — «частная собственность», «собственность предприятия», «интеллектуальная собственность», «коммерческая тайна», «конфиденциальная информация», «информация с ограниченным доступом». Нормативная правовая база, регламентирующая вопросы обеспечения безопасности, пока несовершенна; 2) принцип персональной ответственности. Каждый сотрудник предприятия, фирмы или их клиент несет персональную ответственность за обеспечение режима безопасности в рамках своих полномочий или соответствующих инструкций. Ответственность за нарушение режима безопасности должна быть заранее конкретизирована и персонифицирована; 3) принцип разграничения полномочий. Вероятность нарушения коммерческой тайны или нормального функционирования предприятия прямо пропорциональна количеству осведомленных лиц, обладающих информацией. Поэтому никого не следует знакомить с конфиденциальной информацией, если это не требуется для выполнения его должностных обязанностей; 4) принцип взаимодействия и сотрудничества. Внутренняя атмосфера безопасности достигается доверительными отношениями между сотрудниками. При этом необходимо добиваться того, чтобы персонал предприятия правильно понимал необходимость выполнения мероприятий, связанных с обеспечением безопасности, и в своих собственных интересах способствовал деятельности службы безопасности. К принципам реализации системы защиты относят: 1) принцип комплексности и индивидуальности. Безопасность объекта защиты не обеспечивается каким-либо одним мероприятием, а лишь совокупностью комплексных, взаимосвязанных и дублирующих друг друга мероприятий, реализуемых с индивидуальной привязкой к конкретным условиям; 2) принцип последовательных рубежей. Реализация данного принципа позволяет своевременно обнаружить посягательство на безопасность и организовать последовательное противодействие угрозе в соответствии со степенью опасности; 3) принцип защиты средств защиты является логическим продолжением принципа защиты «всех от всех». Иначе говоря, любое мероприятие по защите само должно быть соответственно защищено. Например, средство защиты от попыток внести изменения в базу данных должно быть защищено программным обеспечением, реализующим разграничение прав доступа. Обеспечение комплексной защиты объектов является в общем случае индивидуальной задачей, что обусловлено экономическими соображениями, состоянием, в котором находится объект защиты, и многими другими обстоятельствами. Прежде чем приступить к созданию системы безопасности, необходимо определить объекты защиты, уничтожение, модификация или несанкционированное использование которых может привести к нарушению интересов, убыткам и пр. Определив объекты защиты, следует выявить сферы их интересов и проанализировать множество угроз безопасности объектов зашиты. Если угрозы безопасности преднамеренные, то необходимо разработать предполагаемую модель злоумышленника. Далее нужно проанализировать возможные угрозы и источники их возникновения, выбрать адекватные средства и методы защиты и таким образом сформулировать задачи и определить структуру системы обеспечения безопасности. Для анализа проблемы обеспечения безопасности электронной коммерции необходимо определить интересы субъектов взаимоотношений, возникающих в процессе электронной коммерции. Принято выделять следующие категории электронной коммерции: бизнес—бизнес, бизнес—потребитель, бизнес—администрация. При этом независимо от категории электронной коммерции выделяют классы субъектов: финансовые институты, клиенты и бизнес организации. Финансовые институты могут быть разные, но в первую очередь это банки, так как именно в них все остальные объекты электронной коммерции имеют счета, которые отражают движение средств. Правила и условия движения этих средств определяются используемой платежной системой. Клиентами (покупателями, потребителями) могут быть физические и юридические лица. Бизнес организации — это любые организации, продающие или приобретающие что-либо через Интернет. Открытый характер интернет технологий, доступность передаваемой по сети информации означает, что общие интересы субъектов электронной коммерции заключаются в обеспечении информационной безопасности электронной коммерции. Информационная безопасность включает в себя обеспечение аутентификации партнеров по взаимодействию, целостности и конфиденциальности передаваемой по сети информации, доступности сервисов и управляемости инфраструктуры. Спектр интересов субъектов электронной коммерции в области информационной безопасности можно подразделить на следующие основные категории: • доступность (возможность за приемлемое время получить требуемую услугу); • целостность (актуальность и непротиворечивость информации, ее защищенность от разрушений и несанкционированного изменения); • конфиденциальность (защита информации от несанкционированного ознакомления). Информационная безопасность является одним из важнейших компонентов интегральной безопасности электронной коммерции. Число атак на информационные системы по всему миру каждый год удваивается. В таких условиях система информационной безопасности электронной коммерции должна уметь противостоять многочисленным и разнообразным внутренним и внешним угрозам. Основные угрозы информационной безопасности электронной коммерции связаны: • с умышленными посягательствами на интересы субъектов электронной коммерции (компьютерные преступления и компьютерные вирусы); • неумышленными действиями обслуживающего персонала (ошибки, упущения и т. д.); • воздействием технических факторов, способным привести к искажению и разрушению информации (сбои электроснабжения, программные сбои); • воздействием техногенных факторов (стихийные бедствия, пожары, крупномасштабные аварии и т. д.). Угрозы безопасности могут быть связаны с действиями факторов, значение и влияние которых практически всегда неизвестно. Поэтому невозможно создать абсолютно безопасную систему. При создании системы безопасности электронной коммерции необходимо минимизировать степень риска возникновения ущерба исходя из особенностей угроз безопасности и конкретных условий предприятия, занимающегося электронной коммерцией. При этом необходимо основываться на принципе достаточности, который заключается в том, что проводимые в интересах обеспечения безопасности электронной коммерции мероприятия с учетом потенциальных угроз должны быть минимальны и достаточны. Объем принимаемых мер безопасности должен соответствовать существующим угрозам, в противном случае система безопасности будет экономически неэффективна. В соответствии с этим для обоснования эффективности мероприятий по обеспечению безопасности электронной коммерции применяется ряд критериев, так или иначе основанных на сравнении убытков, возникающих при нарушении безопасности, и стоимости проведения мероприятий по обеспечению безопасности электронной коммерции. Убытки, которые могут возникать на предприятии, занимающемся электронной коммерцией, из-за нарушения информационной безопасности можно разделить на прямые и косвенные. Прямые убытки могут быть выражены в стоимости: • восстановления поврежденной или физически утраченной информации в результате пожара, стихийного бедствия, кражи, ограбления, ошибки в эксплуатации, неосторожности обслуживающего персонала, взлома компьютерных систем и действий вирусов; • ничтожных (незаконных) операций с денежными средствами и ценными бумагами, проведенных в электронной форме, путем несанкционированного проникновения в компьютерные системы и сети, а также злоумышленной модификации данных, преднамеренной порчи данных на электронных носителях при хранении, перевозке или перезаписи информации, передачи и получения сфальсифицированных поручений в сетях электронной передачи данных и др.; • возмещения причиненного физического и/или имущественного ущерба третьим лицам (субъектам электронной коммерции — клиентам, пользователям). При пожарах, стихийных бедствиях и других событиях могут возникать убытки, напрямую не связанные с информационной безопасностью, например убытки, определяемые стоимостью утраченного оборудования или расходами на восстановление поврежденного оборудования. Косвенные убытки могут выражаться в текущих расходах на выплату заработной платы, процентов по кредитам, арендной платы, амортизации и потерянной прибыли, возникающих при вынужденной приостановке коммерческой деятельности предприятия из-за нарушения безопасности предприятия. Убытки и связанные с их возникновением риски относятся к финансовым категориям, методики экономической оценки которых разработаны и известны. Поэтому не будем останавливаться на их подробном анализе. Можно выделить два основных критерия, позволяющих оценить эффективность системы защиты: • отношение стоимости системы защиты (включая текущие расходы на поддержание работоспособности этой системы) к убыткам, которые могут возникнуть при нарушении безопасности; • отношение стоимости системы защиты к стоимости взлома этой системы с целью нарушения безопасности. Смысл указанных критериев заключается в следующем: если стоимость системы защиты, обеспечивающей заданный уровень безопасности, оказывается меньше затрат по возмещению убытков, понесенных в результате нарушения безопасности, то мероприятия по обеспечению безопасности считаются эффективными. Уровень безопасности при этом в силу объективной неопределенности факторов, влияющих на безопасность, оценивается, как правило, вероятностными показателями. Таким образом, если, например, злоумышленник в процессе разработки мероприятий по нарушению безопасности обнаружит, что затраты, которые он понесет, будут сравнимы с убытками, которые он причинит предприятию, то он, вероятно, откажется от своих планов. При этом он будет, конечно, продолжать искать брешь в системе безопасности, чтобы повысить эффективность своих действий. Вопросы правового регулирования безопасности электронной коммерции Задачи в области обеспечения безопасности электронной коммерции определяются объектами защиты. При этом, как отмечалось, необходимо выделить проблему защиты информации, т. е. информационную безопасность, под которой понимается состояние защищенности информационной среды. Это обусловлено множеством причин, главные из которых заключаются: • в новизне проблемы обеспечения безопасности электронной коммерции; • отсутствии четко сформулированной системы обеспечения информационной безопасности; • отставании России в области современных информационных технологий. Основные направления решения проблем правового обеспечения в области информационной безопасности заключаются: • в совершенствовании законодательства; • разработке правил администрирования в сфере разработки и производства систем и средств обеспечения безопасности; • совершенствовании системы страхования, связанной с обеспечением информационной безопасности. Правовое регулирование сферы обеспечения безопасности основано на принципе защиты любого информационного ресурса, ценного для его владельца или собственника. Правовую основу при этом составляют: • Конституция Российской Федерации; • Гражданский кодекс Российской Федерации; • законы «О безопасности», «О государственной тайне», «Об информации, информационных технологиях и о защите информации». Правовой режим информации, правила, процедуры и распределение ответственности в области защиты информации и систем ее обработки определены в Федеральном законе «Об информации, информационных технологиях и о защите информации». В нем установлен порядок правовой защиты и гарантии реализации прав и ответственности субъектов информационных взаимо-отношений. В соответствии с этим Законом собственником информационных ресурсов является субъект, в полном объеме реализующий полномочия владения, пользования и распоряжения ими.
|