Работу выполнила:

Студентка 4 курса

Шифр 2012 Эзс 2063

Писарева А.Ю.

Работу проверил:

Кикоть Е.Н.

ВВЕДЕНИЕ

1. Понятие безопасности. Виды и источники угроз

2. Способы оценки эффективности системы электронной коммерции

3. Риски в электронной коммерции

ЗАКЛЮЧЕНИЕ

С развитием в последние годы современных информационных систем исистем международной связи появляется практическая возможность отойти оттрадиционной бумажной документации как главного носителя информации, накотором отражаются все стадии реализации коммерческой сделки.Использование бумажной документации, а также привычных методов ееобработки и пересылки на практике очень часто приводит к большимпроизводственным и коммерческим издержкам. Разработанные к настоящемувремени технологии электронной коммерции позволяют предпринимателямпри осуществлении сделок передавать информацию с помощью современныхинформационно-коммуникационных систем, достигая при заключении,подтверждении и выполнении коммерческих сделок (контрактов) повышеннойточности, скорости и эффективности. Электронная коммерция объединяет,таким образом, все формы деловых операций и сделок, осуществляемыхэлектронным способом.

Цель данной работы - дать понятие и раскрыть содержание информационнойбезопасности электронной коммерции, а также описать способы оценкиэффективности системы обеспечения безопасности электронной коммерции,существующие риски.

Безопасность — это состояние, при котором отсутствует возможность причиненияущерба потребностям и интересам субъектов отношений.

Одним из принятых определений является следующее: угроза безопасности — этосовокупность условий и факто­ров, создающих опасность жизненно важныминтересам, т. е. угроза представляется некой совокупностью обстоятельств (условий)и причин (факторов).

Таким образом, угрозу безопасности можно обозначить как "деятельность, котораярассматривается в качестве враж­дебной по отношению к интересам".

Обеспечение безопасности — это особым образом органи­зованная деятельность,направленная на сохранение внут­ренней устойчивости объекта, его способностипротивостоять разрушительному, агрессивному воздействию различных факторов, атакже на активное противодействие существую­щим видам угроз.

Система безопасности предназначена для выявления уг­роз интересам,поддержания в готовности сил и средств обес­печения безопасности и управленияими, организации нор­мального функционирования объектов безопасности.

Применительно к электронной коммерции определение безопасности можно сформулировать так.

Безопасность электронной коммерции — это состояние защищенности интересов субъектов отношений, совершающих коммерческие операции (сделки) с помощью технологий элек­тронной коммерции, от угроз материальных и иных потерь.

Опираясь на понятие безопасности и перечисленные выше объекты защиты,можно сказать, что понятие "безопасность" любого предприятия илиорганизации включает в себя (рис.):

физическую безопасность, под которой понимается обес­печение защиты отпосягательств на жизнь и личные инте­ресы сотрудников;

экономическую безопасность, под которой понимается защита экономическихинтересов субъектов отношений. В рам­ках экономической безопасности такжерассматриваются воп­росы обеспечения защиты материальных ценностей отпожа­ра, стихийных бедствий, краж и других посягательств;

информационную безопасность, под которой понима­ется защита информацииот модификации (искажения, унич­тожения) и несанкционированногоиспользования.

Повседневная практика показывает, что к основнымугрозам физической безопасности относятся:• психологический террор, запугивание, вымогательство,шантаж;• грабеж с целью завладения материальными ценностямиили документами;• похищение сотрудников фирмы или членов их семей;убийство сотрудника фирмы.

В общем случае можно сформули­ровать следующиевиды угроз экономической безопасности:• общая неплатежеспособность;• утрата средств по операциям с фальшивымидокументами;• подрыв доверия к фирме.

Обеспечение информационной безопасности являетсяодним из ключевых моментов обеспечения безопасностифирмы.

Как считают западные специалисты, утечка 20%коммерческой информации в шестидесяти случаях из стаприводит к банкротству фирмы. Потому физическая,экономическая и информационная безопасность очень тесновзаимосвязаны.

Противодействовать компьютерной преступности сложно,что главным образом объясняется:• новизной и сложностью проблемы;• сложностью своевременного выявления компьютерногопреступления и идентификации злоумышленника;• возможностью выполнения преступления сиспользо­ванием средств удаленного доступа, т. е.злоумышленника может вообще не быть на местепреступления;• трудностями сбора и юридического оформлениядоказательств компьютерного преступления.

Обобщая вышеприведенные виды угроз безопасности,можно выделить три составляющие проблемы обеспечениябезопасности:• правовую защиту;• организационную защиту;• инженерно-техническую защиту.

Смысл правового обеспечения защиты вытекает из самогоназвания.

Организационная защита включает в себя организациюохраны и режима работы объекта.

Под инженерно-технической защитой понимаетсясово­купность инженерных, программных и другихсредств, на­правленных на исключение угрозыбезопасности.

Принципы создания и функционирования

систем обеспечения безопасности можно

разбить на три основные блока: общие

принципы обеспечения защиты,

организационные принципы, принципы

реализации системы защиты (рис.).

Принцип неопределенности обусловлен тем, что при обеспечении защиты неизвестно, кто, когда, где и каким об­разом попытается нарушить безопасность объекта защиты.Принцип невозможности создания идеальной системы защиты. Этот принцип следует из принципа неопреде­ленности и ограниченности ресурсов, которыми, как правило, располагает система безопасности.Принцип минимального риска заключается в том, что при создании системы защиты необходимо выбирать мини­мальную степень риска, исходя из особенностей угроз безо­пасности, доступных ресурсов и конкретных условий, в которых находится объект защиты в любой момент времени.Принцип защиты всех от всех. Данный принцип пред­полагает необходимость защиты всех субъектов отношений против всех видов угроз.

Принцип законности. Важность соблюдения этого очевидного принципа труднопереоценить. Однако с возникновением новых правоотношений в российскомзаконодательстве наряду с хорошо знакомыми объектами права, такими как"государственная собственность", "государственная тайна", появились новые —"частная собственность", "собственность предприятия", "интеллектуальнаясобственность", "коммерческая тайна", "конфиденциальная информация","информация с ограниченным доступом". Нормативная правовая база,регламентирующая вопросы обеспечения безопасности, пока, несовершенна.

Принцип персональной ответственности. Каждый сотрудник предприятия,фирмы или их клиент несет персональную ответственность за обеспечение режимабезопасности в рамках своих полномочий или соответствующих инструкций.Ответственность за нарушение режима безопасности должна быть заранееконкретизирована и персонифицирована.

Принцип разграничения полномочий. Вероятность нарушения коммерческойтайны или нормального функционирования предприятия прямо пропорциональнаколичеству: осведомленных лиц, обладающих информацией. Поэтому никого неследует знакомить с конфиденциальной информацией, если это не требуется длявыполнения его должностных обязанностей.

Принцип взаимодействия и сотрудничества. Внутренняя атмосферабезопасности достигается доверительными отношениями между сотрудниками. Приэтом необходимо добиваться того, чтобы персонал предприятия правильно понималнеобходимость выполнения мероприятий, связанных с обеспечением безопасности,и в своих собственных интересах способствовал деятельности службы безопасности.

Принцип комплексности и индивидуальности. Безопасность объектазащиты не обеспечивается каким-либо одним мероприятием, а лишьсовокупностью комплексных, взаимосвязанных и дублирующих друг другамероприятий, реализуемых с индивидуальной привязкой к конкретнымусловиям.

Принцип последовательных рубежей. Реализация данного принципапозволяет своевременно обнаружить посягательство на безопасность иорганизовать последователь­ное противодействие угрозе в соответствии состепенью опасности.

Принцип защиты средств защиты является логическим продолжениемпринципа защиты "всех от всех". Иначе говоря, любое мероприятие позащите само должно быть соответственно защищено. Например, средствозащиты от попыток внести изменения в базу данных должно быть защищенопрограммным обеспечением, реализующим разграничение прав доступа.

связаны (рис.): с умышленными посягательствами на интересы субъектов электроннойкоммерции (компьютерные преступления и компьютерные вирусы); с неумышленными действиями обслуживающего персонала (ошибки, упущения ит. д.); с воздействием технических факторов, способным вести к искажению иразрушению информации (сбои электроснабжения, программные сбои); с воздействием так называемых техногенных факторов (стихийные бедствия,пожары, крупномасштабные аварии и т. д.).

Убытки, которые могут возникать на предприятии, занимающемся электроннойкоммерцией, из-за нарушения информационной безопасности, можноразделить на прямые и косвенные (рис.)

Прямые убытки могут быть выражены: в стоимости восстановления поврежденной или физически утраченнойинформации в результате пожара, стихийного бедствия, кражи, ограбления,ошибки в эксплуатации, неосторожности обслуживающего персонала, взломакомпьютерных систем и действий вирусов; в стоимости ничтожных (незаконных) операций с денежными средствами иценными бумагами, проведенных в электронной форме, путемнесанкционированного проникновения в компьютерные системы и сети, атакже злоумышленной модификации данных, преднамеренной порчи данныхна электронных носителях при хранении, перевозке или перезаписиинформации, передачи и получения сфальсифицированных поручений в сетяхэлектронной передачи данных и др.; в стоимости возмещения причиненного физического и/или имущественногоущерба третьим лицам (субъектам электронной коммерции — клиентам,пользователям).

При пожарах, стихийных бедствиях и других событиях могут возникатьубытки, напрямую не связанные с информационной безопасностью, напримерубытки, определяемые стоимостью утраченного оборудования или расходамина восстановление поврежденного оборудования.

Косвенные убытки могут выражаться в текущих расходах на выплатузаработной платы, процентов по кредитам, арендной платы, амортизации ипотерянной прибыли, возникающих при вынужденной приостановкекоммерческой деятельности предприятия из-за нарушения безопасностипредприятия.

Можно выделить два основных критерия, позволяющих оценить эффективностьсистемы защиты (рис.): отношение стоимости системы защиты (включая текущие расходы на поддержаниеработоспособности этой системы) к убыткам, которые могут возникнуть принарушении безопасности; отношение стоимости системы защиты к стоимости взлома этой системы с цельюнарушения безопасности.

Электронная коммерция подвержена рискам в той же, а может ибольшей мере, что и коммерция в ее традиционном понимании.Наряду с "классическими" присутствуют и новые, до этогомомента неизвестные риски.

Выделяют три группы специфических рисков электроннойкоммерции: вирусы и вредоносные программы, хакерские атаки,а также мошенничества с использованием различных средствпередачи данных.

Рассмотрим эти группы подробнее.

Целью написания подобных программ, как правило, служит приостановка либополное отключение аппаратных и программных возможностей объекта атаки, атакже получение конфиденциальных сведений о субъекте, будь то физическоеили юридическое лицо. Кроме выяснения конфиденциальных данных, зачастуюпрограммы-вирусы предназначены для блокирования сетевого ресурса жертвы.

В качестве превентивной меры (причем превентивной она будет только дляпользователя) в борьбе с вирусами можно порекомендовать использованиеспециальных антивирусных программ, причем самые свежие и обновленныеверсии, поскольку вирусописатели постоянно находят недоработки вантивирусных программах и пишут вирусы нацеленные именно на эти бреши взащите, а разработчики антивирусного программного обеспечения,соответственно, пытаются эти бреши заделать.Кроме специализированного антивирусного программного обеспечения, вборьбе с вредоносными программами хорошим подспорьем будетвнимательность пользователя к источникам, из которых информация попадаетна его компьютер, а также общая компьютерная грамотность. В штате компаниицелесообразно держать специалиста или группу специалистов, основной цельюработы которых будет защита информации от вирусов и общее работоспособноесодержание компьютерного оборудования.

Взлом программного обеспечения и сетевых ресурсов изпротивоправных действий развлекательного характера со временемпревратился в мощное орудие недобросовестной конкуренции. Группаугроз, которая здесь условно обозначена как "хакерские атаки", можетбыть тесным образом связана с первой из трех групп угроз, а именновирусами и вредоносными программами.

Стопроцентной защиты от хакеров, как впрочем и oт вирусов, нет ибыть не может. Это обусловлено тем, что абсолютно все дыры впрограммном обеспечении заделать невозможно, хакеры постоянноищут новые уязвимости, а когда находят — производят атаку. В ответ наих действия разработчики программного обеспечения перекрываютдоступ к ресурсу на основе этой уязвимости, а хакеры принимаются запоиск новой возможности для атаки.

Количество разнообразных видов мошенничества, создаваемыхлюдьми для отъема денег у себе подобных, постоянно растет.Можно выделить следующие виды мошенничества: связанные с использованием номеров кредитных карт; связанные с использованием копий легальных сайтов; связанные с использованием фиктивных торговых площадок; связанные с инвестициями и возможностью заработать; связанные с несовершенством платежных систем.Вышеобозначенное деление в большой мере условно, посколькусуществуют мошенничества, затрагивающие если не все, то многие изобозначенных элементов, и провести четкую грань, к какому же из видовмошенничеств относится то или иное, представляетсятрудноосуществимым.

В последние годы электронная коммерция, возникшая на несколькодесятилетий раньше глобальной сети Интернет, стремительноразвивается. Распространяясь повсеместно и предлагая все болееширокий ассортимент товаров и услуг, электронная коммерциястановится инструментом интеграции государств, отраслей,предприятий и физических лиц в единое сообщество, внутри котороговзаимодействие партнеров эффективно и беспрепятственнореализуется средствами информационных и телекоммуникационныхтехнологий.

Применение информационных технологий дает возможностькомпаниям выйти на мировой рынок, расширяет каналы сбыта,объединяет поставщиков и покупателей в единую систему, позволяетзначительно снизить расходы в цепочках спроса и предложения,обслуживать заказчиков на более высоком уровне, внедриться наранее недоступные по географическим причинам рынки, создаватьновые рынки труда и капитала, и наконец, пересматривать самхарактер своей деятельности. В работе рассмотрены основныемоменты определения понятия "Безопасность электроннойкоммерции".