Bokföring och skatter

E-handel. E-handelssäkerhet

09.12.2023

Begreppet "säkerhet" på ryska tolkas som en stat där det inte finns någon fara och det finns skydd mot det. Ur en språklig synvinkel är begreppet "säkerhet" en antonym till begreppet "fara". Det kännetecknar ett visst tillstånd i vilket system (socialt, tekniskt eller vilket annat), process eller fenomen som helst.

Säkerhet är ett tillstånd där det inte finns någon möjlighet att skada behoven och intressena hos undersåtarna i relationen.

Ett hot, enligt den ryska ordboken, definieras som en omedelbar fara. Faran är av allmän, potentiell natur, men eftersom motsättningar mellan subjekten i relationerna ständigt uppstår, kan det ständigt finnas en fara för intressen.

En av de accepterade definitionerna är följande: ett säkerhetshot är en uppsättning förhållanden och faktorer som skapar en fara för vitala intressen, det vill säga hotet representeras av en viss uppsättning omständigheter (villkor) och orsaker (faktorer).

Ur juridisk synvinkel definieras begreppet ”hot” som avsikten att orsaka skada (skada).

Ett säkerhetshot kan således definieras som "en aktivitet som anses vara intressefientlig."

Trots olika typer av hot är de alla sammanlänkade och påverkar intressen, som regel, på ett komplext sätt. Därför skapas ett säkerhetssystem för att försvaga, neutralisera och parera dem.

Begreppet ”skydd” (”säkerhet”) innebär att man skyddar föremålet för relationen från hot.

Att säkerställa säkerhet är en speciellt organiserad aktivitet som syftar till att upprätthålla ett objekts inre stabilitet, dess förmåga att motstå de destruktiva, aggressiva effekterna av olika faktorer, samt att aktivt motverka befintliga typer av hot.

Säkerhetssystemet är utformat för att identifiera hot mot intressen, upprätthålla beredskap och kontroll över säkerhetsstyrkor och medel samt organisera säkerhetsanläggningarnas normala funktion.

I förhållande till e-handel kan definitionen av säkerhet formuleras på följande sätt.

E-handelssäkerhet- Detta är ett tillstånd för skydd av intressen hos personer i relationer som utför kommersiella transaktioner (transaktioner) med hjälp av e-handelsteknik från hot om materiella och andra förluster.

Att säkerställa säkerhet, oavsett ägande, är nödvändigt för alla företag och institutioner, från statliga organisationer till ett litet detaljhandelstält. Skillnaderna kommer bara att vara i vilka medel och metoder och i vilken utsträckning som krävs för att säkerställa deras säkerhet.

Marknadsrelationer med deras integrerade del - konkurrens bygger på principen om "överlevnad" och kräver därför nödvändigtvis skydd mot hot.

Enligt etablerad internationell säkerhetspraxis är skyddsobjekt, med beaktande av deras prioriteringar,:

  • - Människan;
  • - information;
  • -- materiella värden.

Baserat på begreppet säkerhet och skyddsobjekten som anges ovan kan vi säga att begreppet "säkerhet" för alla företag eller organisationer inkluderar (Fig. 120):

  • ? fysisk säkerhet, vilket innebär att säkerställa skydd mot angrepp på anställdas liv och personliga intressen;
  • ? ekonomisk säkerhet, vilket innebär skydd av relationssubjektens ekonomiska intressen. Inom ramen för ekonomisk säkerhet övervägs också frågor om att säkerställa skyddet av materiella tillgångar från brand, naturkatastrofer, stöld och andra attacker;
  • ? informationssäkerhet, vilket innebär skydd av information från modifiering (förvrängning, förstörelse) och obehörig användning.

Daglig praxis visar att de främsta hoten mot fysisk säkerhet inkluderar:

  • - psykologisk terror, hot, utpressning, utpressning;
  • - rån i syfte att ta materiella tillgångar eller handlingar i besittning;
  • - kidnappning av företagets anställda eller deras familjemedlemmar;
  • - mord på en anställd i företaget.

Ris. 120.

För närvarande kan ingen känna sig säker. Utan att beröra specifika frågor om att säkerställa fysisk säkerhet kan vi säga att för att begå ett brott samlar brottslingar först in information om offret och studerar hans "svaga punkter". Utan nödvändig information om målet för en attack ökar risken för brottslingar avsevärt. Därför är en av huvudprinciperna för att säkerställa fysisk säkerhet att dölja all information om företagets anställda, som brottslingar kan använda för att förbereda ett brott. Generellt kan följande typer av hot mot ekonomisk säkerhet formuleras:

  • - allmän insolvens;
  • - förlust av pengar från transaktioner med falska dokument;
  • - undergräva förtroendet för företaget.

Praxis visar att förekomsten av dessa hot främst beror på följande huvudorsaker:

  • - Läckage, förstörelse eller modifiering (till exempel förvrängning) av kommersiell information;
  • - brist på fullständig och objektiv information om företagets anställda, partners och kunder;
  • - Spridning från konkurrenter av partisk information som äventyrar företaget.

Att säkerställa informationssäkerhet är en av nyckelaspekterna för att säkerställa ett företags säkerhet.

Enligt västerländska experter leder läckan av 20 % av kommersiell information i sextio fall av hundra till företagets konkurs. Därför är fysisk, ekonomisk och informationssäkerhet mycket nära sammankopplade.

Kommersiell information har olika former av presentation. Det kan vara information som överförs muntligt och dokumenterad information som registreras på olika materiella medier (till exempel på papper eller på en diskett), och information som överförs över olika kommunikationslinjer eller datornätverk.

Cyberkriminella använder olika metoder för att få information. Detta inkluderar "klassiska" metoder för spionage (utpressning, mutor, etc.), metoder för industrispionage, otillåten användning av datorutrustning och analysmetoder. Därför är utbudet av informationssäkerhetshot extremt brett.

Ett nytt område för industrispionage och olika andra brott öppnas upp genom den utbredda användningen av datateknik och e-handelsteknik.

Med hjälp av tekniska medel för industrispionage avlyssnar eller spionerar man inte bara på konkurrenters agerande på olika sätt, utan får också information som direkt bearbetas i datateknik. Den största faran här är angriparnas direkta användning av datateknik, vilket har gett upphov till en ny typ av brott – databrott, det vill säga obehörig åtkomst till information som behandlas på en dator, inklusive användning av e-handelsteknik.

Det är svårt att bekämpa databrott, vilket främst förklaras av:

  • ? problemets nyhet och komplexitet;
  • ? svårigheten att i tid upptäcka databrott och identifiera angriparen;
  • ? möjligheten att begå ett brott med hjälp av fjärråtkomstmedel, d.v.s. angriparen kanske inte är på brottsplatsen alls;
  • ? svårigheter med att samla in och lagligt behandla bevis för ett databrott.

Genom att sammanfatta ovanstående typer av säkerhetshot kan vi särskilja tre komponenter i säkerhetsproblemet:

  • - lagligt skydd;
  • - Organisatoriskt skydd.
  • - tekniskt och tekniskt skydd.

Innebörden av rättsskydd följer av själva namnet.

Organisationsskydd inkluderar organisation av säkerhet och driftläge för anläggningen.

Tekniskt och tekniskt skydd förstås som en uppsättning teknik, mjukvara och andra medel som syftar till att eliminera säkerhetshot.

Principerna för skapande och drift av säkerhetssystem kan delas in i tre huvudblock: allmänna säkerhetsprinciper, organisatoriska principer, principer för implementering av säkerhetssystemet (Fig. 121).

1. Allmänna principer för skydd

Osäkerhetsprincip på grund av att det vid tillhandahållande av skydd är okänt vem, när, var och hur som ska försöka kränka skyddsobjektets säkerhet.


Ris. 121.

Principen om omöjligheten att skapa ett idealiskt skyddssystem. Denna princip följer av principen om osäkerhet och begränsade resurser, som ett säkerhetssystem i regel har till sitt förfogande.

Principen om minsta riskär att när man skapar ett skyddssystem är det nödvändigt att välja den lägsta risknivån baserat på egenskaperna hos säkerhetshot, tillgängliga resurser och de specifika förhållanden under vilka skyddsobjektet befinner sig när som helst.

Principen att skydda alla från alla. Denna princip förutsätter behovet av att skydda alla ämnen i relationer mot alla typer av hot.

2. Organisatoriska principer

Legalitetsprincipen. Vikten av att följa denna självklara princip kan inte överskattas. Men med uppkomsten av nya rättsliga relationer i rysk lagstiftning, tillsammans med välkända rättsobjekt, såsom "statsegendom", "statshemlighet", har nya dykt upp - "privat egendom", "företagets egendom" , "immateriell egendom", "företagshemlighet", "konfidentiell information", "information med begränsad tillgång". Det regelverk som styr säkerhetsfrågor är fortfarande ofullkomligt.

Principen om personligt ansvar. Varje anställd i ett företag, företag eller deras kund är personligen ansvarig för att säkerställa säkerhetsregimen inom ramen för sina befogenheter eller relevanta instruktioner. Ansvaret för brott mot säkerhetsregimen måste specificeras och personifieras i förväg.

Principen om maktdelning. Sannolikheten för en kränkning av en företagshemlighet eller ett företags normala funktion är direkt proportionell mot antalet kunniga personer som har informationen. Därför bör ingen utsättas för konfidentiell information såvida de inte måste göra det för att utföra sina arbetsuppgifter.

Principen om interaktion och samarbete. En intern atmosfär av säkerhet uppnås genom förtroendefulla relationer mellan anställda. Samtidigt är det nödvändigt att säkerställa att företagspersonalen korrekt förstår behovet av att vidta säkerhetsåtgärder och, i deras eget intresse, bidra till säkerhetstjänstens verksamhet.

3. Principer för implementering av skyddssystemet

Principen om komplexitet och individualitet. Skyddsobjektets säkerhet säkerställs inte av någon enskild åtgärd, utan endast genom en uppsättning komplexa, sammanlänkade och överlappande åtgärder som genomförs med individuell hänvisning till specifika förhållanden.

Principen om successiva gränser. Genomförandet av denna princip gör det möjligt att i tid upptäcka en attack mot säkerheten och organisera en konsekvent motverkan mot hotet i enlighet med graden av fara.

Principen om skydd av skyddsutrustningär en logisk fortsättning på principen att skydda "alla från alla". Med andra ord måste alla skyddsåtgärder i sig vara tillräckligt skyddade. Till exempel måste ett sätt att skydda mot försök att göra ändringar i databasen skyddas av programvara som implementerar åtkomsträttigheter.

Att tillhandahålla ett heltäckande skydd av föremål är i allmänhet en individuell uppgift, som bestäms av ekonomiska överväganden, i vilket tillstånd skyddsobjektet är beläget och många andra omständigheter.

Metodiken för att konstruera ett säkerhetssystem visas i fig. 122.

Ris. 122.

Innan man börjar skapa ett säkerhetssystem är det nödvändigt att identifiera skyddade föremål, vars förstörelse, ändring eller obehörig användning kan leda till brott mot intressen, förluster etc.

Efter att ha identifierat skyddsobjekten bör man identifiera deras intresseområden och analysera de många hoten mot skyddsobjektens säkerhet. Om säkerhetshot är avsiktliga är det nödvändigt att utveckla en antagen modell av angriparen. Därefter måste du analysera möjliga hot och källorna till deras förekomst, välja lämpliga medel och skyddsmetoder och på så sätt formulera uppgifter och bestämma strukturen för säkerhetssystemet.

För att analysera problemet med att säkerställa säkerheten för e-handel är det nödvändigt att fastställa intressena för ämnena för relationer som uppstår i e-handelsprocessen.

Det är vanligt att särskilja följande kategorier av e-handel: business-to-business, business-to-consumer, business-administration. Samtidigt, oavsett kategori av e-handel, särskiljs tre klasser av ämnen: finansiella institutioner, kunder och företagsorganisationer (Fig. 123).

Finansiella institutioner kan vara olika, men först och främst är dessa banker, eftersom det är i dem som alla andra e-handelsenheter har konton som återspeglar rörelsen av medel. Reglerna och villkoren för rörelsen av dessa medel bestäms av det betalningssystem som används.

Kunder (köpare, konsumenter) kan vara både privatpersoner och juridiska personer.

Företagsorganisationer är alla organisationer som säljer eller köper något över Internet.

Ris. 123.

Internetteknikens öppna karaktär och tillgången på information som överförs över Internet innebär att e-handelsämnenas gemensamma intressen ligger i att säkerställa e-handelns informationssäkerhet. Informationssäkerhet inkluderar att säkerställa autentisering av interaktionspartners, integriteten och konfidentialiteten för information som överförs över nätverket, tillgängligheten av tjänster och infrastrukturens hanterbarhet.

Utbudet av intressen för e-handelsämnen inom området informationssäkerhet kan delas in i följande huvudkategorier:

  • - Tillgänglighet (förmågan att få den erforderliga tjänsten inom rimlig tid);
  • - Integritet (informationens relevans och konsistens, dess skydd mot förstörelse och otillåtna ändringar);
  • - Sekretess (skydd av information från obehörig åtkomst).

Informationssäkerhet är en av de viktigaste komponenterna i integrerad e-handelssäkerhet.

Antalet attacker mot informationssystem runt om i världen fördubblas varje år. Under sådana förhållanden måste ett informationssäkerhetssystem för e-handel kunna motstå många och olika interna och externa hot.

De huvudsakliga hoten mot informationssäkerheten för e-handel är relaterade (Fig. 124):

  • -- Med avsiktliga attacker mot e-handelsenheters intressen (databrott och datavirus);
  • - med oavsiktliga handlingar från servicepersonal (fel, utelämnanden, etc.);
  • - med inverkan av tekniska faktorer som kan leda till förvrängning och förstörelse av information (strömavbrott, programvarufel);

Ris. 124.

Med inverkan av så kallade konstgjorda faktorer (naturkatastrofer, bränder, storskaliga olyckor etc.).

Det utbredda införandet av Internet kunde inte annat än påverka utvecklingen av e-affärer.

En av typerna av elektroniska affärer är elektronisk handel. I enlighet med FN-dokument erkänns ett företag som elektroniskt om minst två av dess fyra komponenter (produktion av varor eller tjänster, marknadsföring, leverans och betalningar) utförs via Internet. Därför brukar man i denna tolkning anta att ett köp klassas som e-handel om åtminstone marknadsföring (organisation av efterfrågan) och betalningar sker via Internet. En snävare tolkning av begreppet "elektronisk handel" kännetecknar icke-kontantbetalningssystem baserade på plastkort.

En nyckelfråga för implementering av e-handel är säkerhet.

Den höga nivån av bedrägerier på Internet avskräcker utvecklingen av e-handel. Köpare, handlare och banker är rädda för att använda denna teknik på grund av risken för ekonomisk förlust. Människor använder främst Internet som en informationskanal för att få information som intresserar dem. Endast lite mer än 2 % av alla sökningar i kataloger och databaser på Internet leder till köp.

Här är en klassificering av möjliga typer av bedrägerier inom e-handel:

  • transaktioner (icke-kontanttransaktioner) utförda av bedragare med hjälp av korrekta kortuppgifter (kortnummer, utgångsdatum, etc.);
  • erhålla data om kunden genom att hacka databasen för handelsföretag eller genom att avlyssna köparens meddelanden som innehåller hans personuppgifter;
  • fjärilsbutiker, som som regel dyker upp under en kort tid, för att försvinna efter att ha fått medel från kunder för obefintliga tjänster eller varor;
  • en ökning av kostnaden för varor i förhållande till det pris som erbjuds köparen eller upprepade debiteringar från kundens konto;
  • butiker eller försäljningsagenter utformade för att samla in information om kortuppgifter och andra personliga uppgifter om köparen.

SSL-protokoll

Protokoll SSL(Secure Socket Layer) utvecklades av det amerikanska företaget Netscape Communications. SSL tillhandahåller datasäkerhet mellan tjänsteprotokoll (som HTTP, NNTP, FTP, etc.) och transportprotokoll (TCP/IP) med hjälp av avancerad kryptografi över punkt-till-punkt-anslutningar. Tidigare var det möjligt att se data som utbyttes mellan klienter och servrar utan några speciella tekniska knep. En speciell term myntades till och med för detta - "sniffer".

SSL-protokollet är utformat för att lösa traditionella problem för att säkerställa säkerheten för informationsinteraktion:

  • användaren och servern måste vara ömsesidigt säkra på att de utbyter information inte med falska prenumeranter, utan med de som behövs, inte begränsat till lösenordsskydd;
  • efter att ha upprättat en anslutning mellan servern och klienten måste hela informationsflödet mellan dem skyddas från obehörig åtkomst;
  • och slutligen, när de utbyter information, måste parterna vara säkra på att det inte finns några oavsiktliga eller avsiktliga förvrängningar i överföringen.

SSL-protokollet tillåter servern och klienten att autentisera varandra, komma överens om en krypteringsalgoritm och generera gemensamma kryptografiska nycklar innan informationskommunikation påbörjas. För detta ändamål använder protokollet tvånycklar (asymmetriska) kryptosystem, särskilt RSA.

Sekretessen för information som överförs över en etablerad säker anslutning säkerställs genom att dataströmmen krypteras med en genererad delad nyckel med symmetriska kryptografiska algoritmer (till exempel RC4_128, RC4_40, RC2_128, RC2_40, DES40, etc.). Integriteten hos överförda datablock övervakas genom användning av så kallade meddelandeautentiseringskoder (Message Authentication Code, eller MAC), beräknade med hjälp av hashfunktioner (till exempel MD5).

SSL-protokollet inkluderar två steg av interaktion mellan parterna i den skyddade anslutningen:

  • upprättande av en SSL-session;
  • dataflödesskydd.

Vid upprättandet av en SSL-session autentiseras servern och (valfritt) klienten, parterna kommer överens om de kryptografiska algoritmerna som ska användas och bildar en gemensam "hemlighet", på grundval av vilken gemensamma sessionsnycklar skapas för efterföljande anslutning skydd. Detta skede kallas också "handskakningsproceduren".

I det andra steget (dataflödesskydd) skärs informationsmeddelanden på applikationsnivå i block, en meddelandeautentiseringskod beräknas för varje block, sedan krypteras data och skickas till den mottagande sidan. Den mottagande sidan utför de omvända åtgärderna: dekryptering, kontroll av meddelandeautentiseringskoden, sammansättning av meddelanden, överföring till applikationsnivå.

Det vanligaste mjukvarupaketet för SSL-stöd är SSLeay. Den innehåller C-källkod som kan bäddas in i applikationer som Telnet och FTP.

SSL använder kryptografi med publik nyckel, även känd som asymmetrisk kryptografi. Den använder två nycklar: en för att kryptera och den andra för att dekryptera meddelandet. De två nycklarna är matematiskt relaterade på ett sådant sätt att data som krypteras med en nyckel endast kan dekrypteras med den andra nyckeln. Varje användare har två nycklar - offentlig och hemlig (privat). Användaren gör den publika nyckeln tillgänglig för alla nätverkskorrespondenter. Användaren och varje korrespondent som innehar den publika nyckeln kan vara säker på att data som krypteras med den publika nyckeln endast kan dekrypteras med den privata nyckeln.

Om två användare vill vara säkra på att informationen de utbyter inte kommer att erhållas av en tredje, måste var och en av dem överföra en komponent i nyckelparet (nämligen den offentliga nyckeln), den andra och lagra den andra komponenten (den privata nyckeln) ). Meddelanden krypteras med den offentliga nyckeln och dekrypteras endast med den privata nyckeln. Så här kan meddelanden överföras över ett öppet nätverk utan att någon kan läsa dem.

Integriteten och autentiseringen av meddelandet säkerställs genom användning av en elektronisk digital signatur.

Nu uppstår frågan om hur man distribuerar sina publika nycklar. För detta (och inte bara) uppfanns en speciell form - ett certifikat. Certifikatet består av följande delar:

  • namnet på den person/organisation som utfärdar certifikatet;
  • föremål för certifikatet (för vem detta certifikat utfärdades);
  • subjektets publika nyckel;
  • vissa tidsparametrar (certifikatets giltighetstid, etc.).

Certifikatet "signeras" av den privata nyckeln för personen (eller organisationen) som utfärdar certifikaten. Organisationer som utför sådana operationer kallas certifikatmyndigheter (CA). Om du går till säkerhetssektionen i en vanlig webbläsare som stöder SSL kan du se en lista över kända organisationer som "signerar" certifikat. Tekniskt sett är det ganska enkelt att sätta upp en egen CA, men det finns också lagligheter som måste redas ut, och detta kan innebära en del allvarliga utmaningar.

SSL är idag det vanligaste protokollet som används för att bygga e-handelssystem. Den används för att utföra 99 % av alla transaktioner. Den utbredda användningen av SSL förklaras främst av att det är en integrerad del av alla webbläsare och webbservrar. En annan fördel med SSL är enkelheten i protokollet och den höga hastigheten för transaktionsimplementering.

Samtidigt har SSL ett antal betydande nackdelar:

  • köparen är inte autentiserad;
  • säljaren autentiseras endast av URL;
  • Den digitala signaturen används endast för autentisering i början av upprättandet av en SSL-session. För att bevisa en transaktion i händelse av konfliktsituationer är det nödvändigt att antingen lagra hela dialogen mellan köparen och säljaren, vilket är dyrt med tanke på minnesresurser och inte används i praktiken, eller att lagra papperskopior som bekräftar mottagandet av varorna av köparen;
  • Sekretess av kortuppgifter för säljaren är inte säkerställd.

SET-protokoll

Ett annat protokoll för säkra transaktioner på Internet är UPPSÄTTNING(Säkerhetselektroniktransaktion). SET bygger på användningen av digitala certifikat enligt X.509-standarden.

SETs säkra transaktionsprotokoll är en standard utvecklad av MasterCard och VISA med betydande deltagande från IBM, GlobeSet och andra partners. Det tillåter kunder att köpa produkter online med den säkraste betalningsmekanismen som finns idag. SET är ett öppet standard multilateralt protokoll för att göra säkra betalningar med plastkort på Internet. SET tillhandahåller korsautentisering av kortinnehavarens konto, handlaren och handlarens bank för att verifiera betalningsberedskapen för varorna, meddelandets integritet och hemlighet samt krypteringen av värdefull och sårbar data. Därför kan SET kallas en standardteknik eller protokollsystem för att göra säkra betalningar med plastkort över Internet.

SET tillåter konsumenter och handlare att verifiera identiteten för alla deltagare i en onlinetransaktion med hjälp av kryptografi, inklusive digitala certifikat.

Potentiell försäljning inom e-handel begränsas av uppnåendet av den erforderliga nivån av informationssäkerhet, som uppnås tillsammans av köpare, säljare och finansiella institutioner som är oroade över säkerheten för betalningar över Internet. Som tidigare nämnts är de grundläggande målen för informationssäkerhet att säkerställa dess tillgänglighet, konfidentialitet, integritet och juridiska betydelse. SET, till skillnad från andra protokoll, låter dig lösa dessa informationssäkerhetsproblem.

Som ett resultat av att många företag utvecklar sin egen e-handelsprogramvara uppstår ett annat problem. Om denna programvara används måste alla deltagare i transaktionen ha samma applikationer, vilket är praktiskt taget omöjligt. Därför behövs ett sätt att tillhandahålla en mekanism för interoperabilitet mellan applikationer från olika utvecklare.

På grund av ovanstående problem har VISA och MasterCard, tillsammans med andra tekniska företag (som IBM, som är en nyckelutvecklare i utvecklingen av SET-protokollet), definierat specifikationen och uppsättningen av protokoll för SET-standarden. Denna öppna specifikation blev snabbt de facto-standarden för e-handel. I denna specifikation säkerställer kryptering av information konfidentialitet. Digitala signaturer och certifikat tillhandahåller identifiering och autentisering (autentisering) av transaktionsdeltagare. En digital signatur används också för att säkerställa dataintegritet. En öppen uppsättning protokoll används för att möjliggöra interoperabilitet mellan implementeringar från olika leverantörer.

SET tillhandahåller följande specifika säkerhetskrav för e-handelstransaktioner:

  • konfidentialitet för betalningsdata och konfidentialitet för orderinformation som överförs tillsammans med betalningsdata;
  • upprätthålla integriteten hos betalningsdata; integritet säkerställs med hjälp av en digital signatur;
  • särskild publik nyckelkryptografi för autentisering;
  • autentisering av kreditkortsinnehavare, som säkerställs genom användning av en digital signatur och kortinnehavarcertifikat;
  • autentisering av säljaren och hans förmåga att acceptera betalningar med plastkort med hjälp av en digital signatur och säljarcertifikat;
  • bekräftelse på att säljarens bank är en aktiv organisation som kan acceptera betalningar med plastkort genom kommunikation med bearbetningssystemet; denna bekräftelse tillhandahålls med en digital signatur och certifikat från säljarens bank;
  • vilja att betala för transaktioner som ett resultat av autentisering av certifikat med offentlig nyckel för alla parter;
  • säkerhet för dataöverföring genom primär användning av kryptografi.

Den största fördelen med SET jämfört med många befintliga informationssäkerhetssystem är användningen av digitala certifikat (X.509-standard, version 3), som associerar kortinnehavaren, handlaren och handlarens bank med ett antal bankinstitutioner i betalningssystemen VISA och MasterCard.

  • en öppen, fullt dokumenterad standard för finansbranschen;
  • baserad på internationella betalningssystemstandarder;
  • förlitar sig på befintlig teknik och juridiska mekanismer i finansbranschen.

Förresten, ett gemensamt projekt genomfört av IBM, Chase Manhattan Bank USA N.A., First Data Corporation, GlobeSet, MasterCard och Wal-Mart tillåter ägare av Wal-Mart MasterCard-kort utfärdade av Chase bank att köpa varor på Wal-Mart Online-webbplatsen , som är en av de största e-handelshubbarna i USA.

Låt oss ta en närmare titt på processen för interaktion mellan deltagare i en betalningstransaktion i enlighet med SET-specifikationen, som visas i bilden från IBMs webbplats:

På bilden:

  • Korthållare- köparen gör en beställning.
  • Köparens bank- det finansiella institutet som utfärdade kreditkortet till köparen.
  • Försäljare- en elektronisk butik som erbjuder varor och tjänster.
  • Säljarens bank- en finansiell struktur som är engagerad i att betjäna säljarens verksamhet.
  • Betalningsgateway- ett system, vanligtvis kontrollerat av säljarens bank, som behandlar förfrågningar från säljaren och interagerar med köparens bank.
  • Certifierande organisation- en förtroendestruktur som utfärdar och verifierar certifikat.

Relationerna mellan deltagarna i en operation visas i figuren med kontinuerliga linjer (de interaktioner som beskrivs av SET-standarden eller protokollet) och prickade linjer (några möjliga operationer).

Dynamiken i relationer och informationsflöden i enlighet med SET-standardspecifikationen inkluderar följande åtgärder:

  1. Deltagare begär och får certifikat från en certifierande organisation.
  2. Ägaren av plastkortet tittar igenom den elektroniska katalogen, väljer produkter och skickar beställningen till säljaren.
  3. Säljaren uppvisar sitt certifikat för kortinnehavaren som legitimation.
  4. Kortinnehavaren uppvisar sitt certifikat för säljaren.
  5. Säljaren ber betalningsgatewayen att utföra en verifieringsoperation. Gatewayen kontrollerar den tillhandahållna informationen med informationen från banken som utfärdade det elektroniska kortet.
  6. Efter verifiering returnerar betalningsgatewayen resultaten till handlaren.
  7. En tid senare begär handlaren att betalningsporten ska utföra en eller flera finansiella transaktioner. Gatewayen skickar en begäran om att överföra ett visst belopp från köparens bank till säljarens bank.

Det presenterade interaktionsschemat stöds när det gäller informationssäkerhet av Chip Electronic Commerce-specifikationen, skapad för användning av EMV-standardsmartkort på Internet (www.emvco.com). Den har utvecklats av Europay, MasterCard och VISA. Kombinationen av EMV-mikroprocessorstandarden och SET-protokollet ger en oöverträffad säkerhetsnivå i alla skeden av transaktionen.

Den 20 juni 2000 publicerade Rosbusinessconsulting-företaget på sin hemsida ett meddelande om att ett av världens största betalningssystem, VISA, presenterade sina initiativ inom området e-handelssäkerhet den 19 juni 2000. Enligt systemrepresentanter är dessa steg utformade för att göra onlineshopping säkrare för köpare och säljare. VISA tror att införandet av nya initiativ kommer att minska antalet tvister om onlinetransaktioner med 50 %. Initiativet består av två huvuddelar. Den första delen är Payment Authentication Program, som är utformat för att minska risken för obehörig användning av en kortinnehavares konto och förbättra servicen för köpare och säljare online. Det andra är Global Data Security Program, som syftar till att skapa säkerhetsstandarder för e-handelsföretag för att skydda kort- och kortinnehavarens data.

Jämförande egenskaper hos SSL- och SET-protokollen

Betalsystem är den mest kritiska delen av e-handeln och framtiden för deras onlinenärvaro beror till stor del på förmågan att tillhandahålla informationssäkerhet och andra tjänstefunktioner på Internet. SSL och SET är två välkända dataöverföringsprotokoll, som båda används i internetbetalningssystem. Vi kommer att försöka jämföra SSL och SET och utvärdera några av deras viktigaste egenskaper.

Så låt oss överväga den viktigaste funktionen av autentisering (autentisering) i den virtuella världen, där det inte finns några vanliga fysiska kontakter. SSL tillhandahåller endast punkt-till-punkt-kommunikation. Vi kommer ihåg att det finns minst fyra parter inblandade i: konsumenten, handlaren, den utfärdande banken och den mottagande banken. SET kräver autentisering från alla parter som är involverade i transaktionen.

SET hindrar handlaren från att komma åt kortinformation och den utfärdande banken från att få tillgång till kundens privata information om dennes beställningar. SSL tillåter kontrollerad åtkomst till servrar, kataloger, filer och annan information. Båda protokollen använder modern kryptografi och digitala certifikatsystem som certifierar de digitala signaturerna från interagerande parter. SSL är främst utformat för att säkra kommunikation på Internet. SET tillhandahåller säkerhet för e-handelstransaktioner som helhet, vilket säkerställer den rättsliga giltigheten för den värdefulla information som skyddas. Samtidigt är transaktionen genom SET långsammare än i SSL, och dess kostnad är mycket högre. Den sista egenskapen är mycket relevant för dagens ryska marknad, där risker och driftskostnader ännu inte beaktas.

Det bör tilläggas att genom att använda SSL riskerar konsumenter att avslöja sina kortuppgifter till handlaren.

Implementeringen och driften av SET har genomförts i många år i flera dussin projekt runt om i världen. Till exempel genomfördes den första SET-transaktionen den 30 december 1996 på PBS (Danska banken) i ett gemensamt projekt mellan IBM och MasterCard. Liknande arbete utfördes 1997 vid den största japanska banken, Fuji Bank, där det var nödvändigt att anpassa protokollet till specifik japansk lagstiftning. Under den senaste tiden har sådana implementeringsprojekt gjort det möjligt att utveckla funktionerna i protokollet och motsvarande dokumentation.

Förresten, IBM har en komplett uppsättning produkter som täcker alla nyckelaspekter av den komplexa användningen av SET som helhet och tillhandahåller en utvecklad infrastruktur:

  • IBM Net.commerce Suite för säljare som organiserar onlinebutiker;
  • IBM Consumer Wallet för kortinnehavare;
  • IBM Payment Gateway - betalningsgateway för banker;
  • IBM Net. Payment Registry är en autentiserings- och certifieringsprodukt.

SET körs på en mängd olika datorplattformar från företag som IBM, Hewlett Packard, Sun Microsystems och Microsoft.

SSL, å andra sidan, används främst i webbapplikationer och för att säkra kommunikation på Internet. Det finns också en gratis version av SSL som heter SSLeay. Den innehåller C-källkod som kan bäddas in i applikationer som Telnet och FTP. På grund av dessa egenskaper har SSL blivit utbredd i företagens intranät och system med ett litet antal användare.

Trots den tekniska förträffligheten hos SET-protokollet är dess användning i världen mycket begränsad. Det finns många anledningar till detta, den avgörande är den höga kostnaden för att implementera ett e-handelssystem baserat på SET-protokollet (kostnaden för en SET-lösning varierar från $600 till 1 500 tusen).

SSL-protokollet säkerställer endast konfidentialitet för transaktionsdata när det överförs över ett publikt nätverk, men det är samtidigt betydligt billigare att implementera. Som ett resultat använder de allra flesta moderna e-handelssystem SSL-protokollet.

Experter och utvecklare av SET-protokollet hade fel när de förutspådde det snabba och utbredda antagandet av denna standard. Dessutom talas det ihärdigt om att SET-protokollet redan är ett minne blott och att dess chanser att överleva är försumbara.

Sådana samtal började sommaren 2000, när VISA International gjorde ett uttalande enligt vilket 3D SET-protokollet (en typ av SET) blev en standard för Europeiska unionen, Latinamerika och några andra europeiska länder, inklusive Ryssland. Samtidigt utropades 3D SSL-protokollet (ett annat namn för protokollet är 3D Payer) som standard på den största amerikanska marknaden.

Chef för det ryska representationskontoret för Visa Int. Lou Naumovsky håller med om att SET inte har hittat efterfrågan:

"Det här är en mycket bra teknik. Men att döma av reaktionerna från banker, inte bara ryska utan också utländska, är den lite dyr. Den utfärdande banken, som använder SET-protokollet för att spåra korttransaktioner, måste upprätthålla en databas av att förvärva banker och butiker. Vi försökte hitta ett billigare alternativ till detta protokoll."

I maj 2001 publicerades specifikationer för 3D Secure-standarden, som påstår sig vara en global autentiseringsstandard i Visas betalningssystem. Genom beslut av Europeiska unionen i juli 2002 fick alla nätbutiker identifiering på nivån för detta protokoll. Därför måste den övertagande banken i sådana nätbutiker kunna förse dem med detta protokoll. I avsaknad av 3D Secure bär han det fulla ansvaret för omtvistade transaktioner. Om han använder 3D Secure, men den utfärdande banken inte gör det, tar den senare ansvaret.

Funktionsprincipen för 3D Secure är att det finns tre olika domäner - den utfärdande banken, nätbutiken och Visa, genom vars domän meddelandet mellan köpare, säljare och banker utförs. Det är mycket viktigt att alla meddelanden skickas via Internet. Samtidigt säkerställer Visa att informationen är konfidentiell. Efter att köparen klickar på Verified by Visa-slogan på internetsidan och anger sitt lösenord, går denna information till den utfärdande banken och identifiering sker. Den utfärdande banken skickar en förfrågan till nätbutiken via Visa-domänen, varefter denna butik identifieras av sin inlösenbank. Kortinnehavarens uppgifter är således endast kända för den utfärdande banken. Samtidigt är kortinnehavaren säker på att denna butik är Verified by Visa, det vill säga certifierad av Visa genom den inlösande banken. Om den utfärdande banken inte får bekräftelse från Visa-domänen att butiken är Verified by Visa kommer transaktionen inte att ske.

Givetvis kan kortinnehavaren göra köp i andra nätbutiker som inte har Verified by Visa-status. Då bär den emitterande banken ansvaret för omtvistade transaktioner, och den måste varna sina kunder om detta.

Informationssäkerhet för elektronisk handel (EC)

Antalet internetanvändare har nått flera hundra miljoner och en ny kvalitet har uppstått i form av en "virtuell ekonomi". I den görs köp via shoppingsajter, med hjälp av nya affärsmodeller, egen marknadsföringsstrategi etc.

Elektronisk handel (EC) är en affärsverksamhet för att sälja varor via Internet. Som regel finns det två former av EG:

* handel mellan företag (business to business, B2B);

* handel mellan företag och privatpersoner, dvs. konsumenter (business to consumer, B2C).

EC har gett upphov till sådana nya koncept som:

* Elektronisk butik – skyltfönster och handelssystem som används av tillverkare eller återförsäljare när det finns efterfrågan på varor.

* Elektronisk katalog – med ett stort sortiment av produkter från olika tillverkare.

* En elektronisk auktion är en analog till en klassisk auktion som använder internetteknik, med en karakteristisk anslutning till ett multimediagränssnitt, en internetåtkomstkanal och visning av produktegenskaper.

* Ett elektroniskt varuhus är en analog till ett vanligt varuhus, där vanliga företag visar upp sina varor, med ett effektivt produktmärke (Gostiny Dvor, GUM, etc.).

* Virtuella gemenskaper (communities), där köpare organiseras av intressegrupper (fanklubbar, föreningar, etc.).

Internet på EG-området ger betydande fördelar:

* besparingar för stora privata företag från att överföra inköp av råvaror och komponenter till internetbörser når 25 - 30 %;

* deltagande i auktionen av konkurrerande leverantörer från hela världen i realtid leder till en sänkning av de priser som de har programmerat för leverans av varor eller tjänster;

* Ökade priser på varor eller tjänster som ett resultat av konkurrens från köpare från hela världen;

* besparingar genom att minska antalet anställda och mängden pappersarbete.

Den dominerande ställningen i EG i västländer har blivit B2B-sektorn, som år 2007, enligt olika uppskattningar, kommer att nå från 3 till 6 biljoner. dollar. De första att dra nytta av överföringen av sin verksamhet till Internet var företag som sålde hårdvara och mjukvara och tillhandahåller dator- och telekommunikationstjänster.

Varje onlinebutik innehåller två huvudsakliga komponenter:

elektroniskt skyltfönster och handelssystem.

Det elektroniska skyltfönstret innehåller information om de varor som säljs på webbplatsen, ger tillgång till butiksdatabasen, registrerar kunder, arbetar med köparens elektroniska "korg", lägger beställningar, samlar in marknadsföringsinformation och överför information till handelssystemet.

Handelssystemet levererar varorna och behandlar betalning för dem. Ett handelssystem är en samling butiker som ägs av olika företag som hyr utrymme på en webbserver som ägs av ett separat företag.

Driftteknik för onlinebutik som följer:

Köparen väljer den önskade produkten på ett elektroniskt skyltfönster med en katalog över varor och priser (webbplats) och fyller i ett formulär med personuppgifter (fullständigt namn, postadress och e-postadresser, föredragen leverans- och betalningsmetod). Om betalning sker via Internet ägnas särskild uppmärksamhet åt informationssäkerhet.

Överföring av färdiga varor till onlinebutikens handelssystem,

där beställningen är klar. Handelssystemet fungerar manuellt eller automatiskt. Det manuella systemet fungerar enligt Posyltorg-principen, när det är omöjligt att köpa och sätta upp ett automatiserat system, som regel när varuvolymen är liten.

Leverans och betalning av varor. Varorna levereras till köparen

på ett av de möjliga sätten:

* Butiksbud inom staden och omgivande områden;

* specialiserad budtjänst (inklusive från utlandet);

* plocka upp;

* sådan specifik information levereras via telekommunikationsnät

produkt som information.

Betalning för varor kan göras på följande sätt:

* preliminärt eller vid tidpunkten för mottagandet av varorna;

* kontanter till kuriren eller när du besöker en riktig butik;

* genom postöverföring;

* Banktransaktion;

* postförskott;

* använda kreditkort (VISA, MASTER CARD, etc.);

genom elektroniska betalningssystem genom enskilda kommersiella

banker (TELEBANK, ASSIST, etc.).

På senare tid har e-handel eller handel via Internet utvecklats ganska snabbt i världen. Naturligtvis denna process

genomförs med direkt deltagande av finansinstitut. Och denna handelsmetod blir allt mer populär, åtminstone där den nya elektroniska marknaden kan användas av en stor del av företagen och befolkningen.

Kommersiell verksamhet på elektroniska nätverk tar bort vissa fysiska begränsningar. Företag som ansluter sina datorsystem till

Internet, kan ge kunderna support 24 timmar om dygnet utan helgdagar och helger. Beställningar av produkter kan accepteras när som helst från var som helst.

Men detta "mynt" har sin andra sida. Utomlands, där e-handeln är mest utvecklad, är transaktioner eller varukostnaden ofta begränsad till 300-400 USD. Detta beror på den otillräckliga lösningen på informationssäkerhetsproblem i datornätverk. Databrottsligheten har enligt FN:s kommitté för förebyggande och kontroll av brott nått nivån på ett av de internationella problemen. I USA hamnar den här typen av kriminell verksamhet på tredje plats när det gäller lönsamhet efter vapen- och narkotikahandel.

Volymen av global e-handelsomsättning via Internet 2006,

Enligt prognoser från Forrester Tech., kan det variera från 1,8 till 2 biljoner. dollar. Ett så brett prognosintervall bestäms av problemet med att säkerställa den ekonomiska säkerheten för e-handel. Om säkerhetsnivåerna förblir på nuvarande nivåer kan den globala e-handelsomsättningen bli ännu mindre. Av detta följer att det är den låga säkerheten i e-handelssystemet som är en begränsande faktor i utvecklingen av e-affärer.

Att lösa problemet med att säkerställa den ekonomiska säkerheten för e-handel är i första hand förknippat med att lösa problemen med att skydda informationsteknik som används i den, det vill säga säkerställa informationssäkerhet.

Integreringen av affärsprocesser i internetmiljön leder till en fundamental förändring av säkerhetsläget. Skapandet av rättigheter och skyldigheter baserat på ett elektroniskt dokument kräver ett omfattande skydd mot hela spektrumet av hot, både avsändaren av dokumentet och dess mottagare. Tyvärr är chefer för e-handelsföretag vederbörligen medvetna om allvaret i informationshot och vikten av att organisera skyddet av sina resurser först efter att de senare blivit utsatta för informationsattacker. Som du kan se hänför sig alla de listade hindren till området informationssäkerhet.

De grundläggande kraven för att genomföra kommersiella transaktioner inkluderar sekretess, integritet, autentisering, auktorisation, garantier och sekretess.

När informationssäkerheten uppnås, säkerställs dess tillgänglighet, konfidentialitet, integritet och juridiska betydelse. grundläggande uppgifter . Varje hot måste övervägas i termer av hur det kan påverka dessa fyra egenskaper eller kvaliteter av säker information.

Sekretess innebär att begränsad information endast ska vara tillgänglig för dem som den är avsedd för. Under integritet information förstås som dess egendom av existens i oförvanskad form. Tillgänglighet informationen bestäms av systemets förmåga att ge snabb, obehindrad tillgång till information till personer som har lämplig behörighet att göra det. Juridisk betydelse information har blivit viktig på senare tid, tillsammans med skapandet av ett regelverk för informationssäkerhet i vårt land.

Om de fyra första kraven kan uppfyllas med tekniska medel, beror implementeringen av de två sista på både tekniska medel och individers och organisationers ansvar, samt på efterlevnad av lagar som skyddar konsumenter från eventuella bedrägerier från säljare.

Som en del av att säkerställa en omfattande informationssäkerhet är det först och främst nödvändigt att lyfta fram nyckeln problem inom området elektronisk säkerhet företag vilket innefattar:

skydd av information under dess överföring via kommunikationskanaler; skydd av datorsystem, databaser och elektronisk dokumenthantering;

säkerställa långtidslagring av information i elektronisk form; säkerställa transaktionssäkerhet, konfidentialitet för kommersiell information, autentisering, skydd av immateriella rättigheter, etc.

Det finns flera typer av e-handelshot:

 Penetration in i systemet utifrån.

 Obehörig åtkomst inom företaget.

 Avsiktlig avlyssning och läsning av information.

 Avsiktlig störning av data eller nätverk.

 Felaktig identifiering (för bedrägliga ändamål).

användare.

 Hacking av mjukvara och hårdvaruskydd.

 Obehörig användaråtkomst från ett nätverk till ett annat.

 Virusattacker.

 Denial of service.

 Ekonomiskt bedrägeri.

För att motverka dessa hot används ett antal metoder baserade på olika teknologier, nämligen: kryptering - kodning av data som förhindrar att den läses eller förvrängs; digitala signaturer som verifierar avsändarens och mottagarens identitet; smygteknik som använder elektroniska nycklar; brandväggar; virtuella och privata nätverk.

Ingen skyddsmetod är universell, till exempel kontrollerar inte brandväggar efter virus och kan inte säkerställa dataintegritet. Det finns inget absolut tillförlitligt sätt att motverka hackning av automatiskt skydd, och det är bara en tidsfråga innan det hackas. Men tiden det tar att bryta ett sådant skydd beror i sin tur på dess kvalitet. Det måste sägas att mjukvara och hårdvara för att skydda anslutningar och applikationer på Internet har utvecklats under lång tid, även om ny teknik introduceras något ojämnt.

Som hot ligger och väntar på ett e-handelsföretag i varje skede :

 Byte av webbsidan för den elektroniska butiksservern (omdirigering av förfrågningar till en annan server), vilket gör information om klienten, särskilt om hans kreditkort, tillgänglig för tredje part;

 Skapande av falska beställningar och olika former av bedrägerier från anställda i en elektronisk butik, till exempel manipulation av databaser (statistik visar att mer än hälften av datorincidenterna är relaterade till deras egna anställdas aktiviteter);

 Avlyssning av data som överförs via e-handelsnätverk.

 penetration av angripare i företagets interna nätverk och kompromiss med elektroniska butikskomponenter;

| Till publikationslistan

Säkerställa informationssäkerhet för handelsföretag, detaljhandelsnätverk och deras infrastruktur

Aktuella trender i utvecklingen av handeln i Ryssland leder till konsolidering av företag genom att öka antalet företag i deras sammansättning, konsolidera tillgångarna hos olika operatörer, genomföra fusioner och förvärv och skapa nätverksdistributionscenter. Som ett resultat växer kraven på informationsteknologi och deras betydelse för att organisera handeln. Att bearbeta informationsflöden i alla företag kräver hög hastighet och absolut noggrannhet.

Figur 1. De huvudsakliga informationsflödena som cirkulerar i ett nätverksföretags ledningssystem


Att driva en modern butik, grossistföretag och distributionsnät innebär användning av automatiserade system för integrerad handel, lager och redovisning. Idag fattar chefer ledningsbeslut baserat på data som erhållits från informationssystem. Oavsett företagets struktur måste således redovisning av kontrakt, lagerrörelser, kontanter och redovisning utföras i ett enda informationsutrymme.

För att automatisera hanteringen av handelsprocessen skapas ett informationssystem på företaget, vilket kan innefatta:


    - internt redovisnings- och rapporteringssystem (innehåller data om volym, struktur och hastighet för varuproduktion och cirkulation, kostnader och förluster för företaget, bruttoinkomst, nettovinst, lönsamhet, etc.);
    - marknadsföringsinformationssystem (låter dig spåra aktuellt tillstånd, trender och utsikter för marknadsutveckling). Detta informationssystem kan också definieras som ett underrättelsesystem, eftersom det säkerställer insamling, bearbetning och analys av data om konkurrenters aktiviteter.

Data in i informationssystemet kommer från företagets personal och från distributörernas kontorssystem. I framtiden används de för operativ ledning av företaget, kontroll och analys av verksamheten i företaget som helhet, regionala kontor och distributörer. Konsumenter av informationsnätverksdata är chefer och chefer för företaget och distributörer. Figurerna 1 och 2 visar de huvudsakliga informationsflödena som cirkulerar i ett handelsföretags (handelsnätverk) ledningssystem och visar deras huvudsakliga källor och konsumenter.

För att fatta strategiska ledningsbeslut är det absolut nödvändigt för företagschefen, finansdirektören, ekonomichefen och högre chefer att presentera en fullständig bild av företagets tillstånd och dess utvecklingstrender (Fig. 1).

På arbetsplatser i redovisningsavdelningen, på försäljningsgolvet, i lagret, hanterar arbetare endast enskilda fragment av det allmänna informationsflödet. Deras uppgifter och funktioner handlar i regel om att bearbeta och registrera mottagandet och konsumtionen av varor, utfärda fakturor, arbeta med kassaregister etc. (Fig. 2.).

Med tanke på riskerna med handelsföretag och informationssystemens sårbarhet förefaller det oansvarigt att ta ett sådant synsätt där företaget reagerar på händelser i efterhand, d.v.s. efter att de inträffat. Av detta följer att företaget måste skapa ett informationssäkerhetssystem. Det är en av huvuddelarna i kontrollsystemet.

Att stoppa driften av ett informationssystem kan orsaka oåterkalleliga konsekvenser för ett företag. Alltså, enligt försäkringsbolaget Gerling, om informationssystemet är helt stoppat kan handelsbolag endast existera i 2,5 dagar, och för tillverkningsföretag utan en kontinuerlig produktionscykel är denna siffra 5 dagar.

De första uppgifterna för att skapa ett effektivt informationssäkerhetssystem bör vara tydliga idéer om dess mål och struktur, typen av hot och deras källor och möjliga motåtgärder.

Källor till hot kan vara externa och interna.

Fig.2. Datautbytessystem för anställda vid olika avdelningar i ett detaljhandelsföretag eller detaljhandelskedja


Externa hot kommer oftast från konkurrenter, kriminella grupper och korrupta tjänstemän inom de juridiska och administrativa myndigheterna. De yttre hotens handlingar kan vara inriktade på passiva lagringsmedier, borttagning av information under utbytesprocessen, förstörelse av information eller skada på dess lagringsmedia. Hot kan riktas mot företagets personal och ta sig uttryck i form av mutor, hot, utpressning, utplånande av information för att få information som utgör en företagshemlighet, eller innebära att man lockar bort ledande specialister m.m.

Insiderhot utgör den största faran. De kan komma från inkompetenta chefer, samvetslös och okvalificerad personal, förskingrare och bedragare och föråldrade produktionsmedel. Enskilda anställda med hög självkänsla, på grund av missnöje med sina ambitioner (lönenivå, relationer med ledning, kollegor etc.), kan proaktivt ge ut kommersiell information till konkurrenter, försöka förstöra viktig information eller passiv media, t.ex. till exempel introducera ett datavirus.

Skador på informationsresurser kan orsakas av:


    implementering av obehörig åtkomst och borttagning av konfidentiell information;
    mutor av anställda för att få tillgång till konfidentiell information eller informationssystem;
    genom att avlyssna information som cirkulerar i kommunikations- och datoranläggningar och system med hjälp av tekniska medel för spaning och informationsinsamling;
    genom att avlyssna konfidentiella samtal som äger rum i kontorslokaler, officiella och personliga fordon, i lägenheter och dachas;
    genom förhandlingsprocesser, med vårdslös hantering av information;

De viktigaste informationskällorna är: människor, dokument, publikationer, tekniska medier, tekniska medel, produkter och avfall.

De huvudsakliga sätten att få obehörig information är:


    - utlämnande av konfidentiell information;
    - obehörig åtkomst till informationsresurser;
    - läckage av konfidentiell information på grund av fel hos företagets anställda.

Relevansen av problemet med att vidta åtgärder för att säkerställa informationssäkerhet kan illustreras med följande exempel:


    1. Den federala operatörens säkerhetstjänst upptäcker två till sex incidenter relaterade till informationssäkerhetsbrott varje månad.
    2. I en stormarknad blev en ung flicka "upplyst" om bristerna i programmet för att para ihop kassaterminaler över ett lokalt nätverk. Som ett resultat av bedrägeriet "tjänade" damen 900 000 rubel på tre månader.
    3. En ung kassörska gjorde ändringar i kontantprogrammet och orsakade skada på företaget på en månad till ett belopp av cirka 200 000 rubel. Systemadministratören upptäckte faktumet av obehörig åtkomst först under en utredning två månader efter att kassan fick sparken.

Därför måste företagsledare förstå vikten av informationssäkerhet och lära sig att förutse och hantera framtida trender. Effektiv drift av säkerhetssystem bör ha högsta prioritet för hela företaget.

Huvudområden för informationsskydd:


    - Rättsskydd inkluderar: Ryska federationens lagstiftning, dess egna regleringsdokument, inklusive: bestämmelser om bevarande av konfidentiell information, en lista över information som utgör en affärshemlighet, instruktioner om förfarandet för att få tillgång till anställda till konfidentiell information, bestämmelser om kontorsarbete och dokumentflöde, konfidentiell information för anställdas tystnadsplikt, en påminnelse till en anställd om att behålla affärshemligheter, etc.;
    - Organisatoriskt skydd omfattar regimadministrativa och organisatoriska åtgärder. Dessa inkluderar: organisation av en säkerhetstjänst, organisation av intern anläggning och tillträdeskontroll, organisation av arbetet med anställda om att inte avslöja information som utgör kommersiella och officiella hemligheter, organisation av arbetet med dokument, organisation av arbetet med analys av externa och interna hot osv.
    - ingenjörsskydd och tekniskt skydd – innebär användning av olika tekniska, elektroniska och mjukvaruverktyg utformade för att skydda information.

    Implementeringen av ett informationssäkerhetsprogram bör utföras på grundval av den integrerade användningen av säkerhetssystem och verktyg baserat på antagandet att det är omöjligt att säkerställa den erforderliga säkerhetsnivån med endast ett separat verktyg eller åtgärd, eller en enkel kombination av dem. Deras systemiska samordning är nödvändig. I det här fallet kan implementeringen av ett hot endast påverka det skyddade objektet om alla skyddsnivåer övervinns.

E-handelssäkerhet

Säkerhet i dag är en nyckelfråga vid implementering och användning av system för elektronisk handel (EC). Den psykologiska faktorn förknippad med medvetenhet om hotet om potentiella bedrägerier är fortfarande det största hindret för att använda Internet som ett sätt att genomföra kommersiella transaktioner.

Användare och proffs ser fortfarande inte internet som en säker miljö. Undersökningar visar att det största potentiella hotet är otillåtet förvärv av personuppgifter vid användning av öppna Internetkommunikationskanaler. Enligt utvecklarna av VISA-betalningssystemet utförs cirka 23 % av EG-transaktionerna aldrig på grund av kundens rädsla för att ange sin egen personliga information när han arbetar, till exempel med en elektronisk butik, personlig information om kunden. Analys av litterära källor visar att för att säkerställa att följande tre villkor måste uppfyllas:

Eliminera möjligheten att fånga upp personlig information eller bankinformation under en transaktion;

Eliminera möjligheten att extrahera denna information från databaser;

Eliminera möjligheten att använda "stulen" information för dina egna syften.

För att skydda mot avlyssning, för att skydda information under en transaktion, används både symmetriska och asymmetriska kryptoalgoritmer. Samtidigt används ytterligare kommunikationskanaler andra än internetkanaler: fax, telefon, vanlig post m.m.

Med tanke på att utländsk och rysk lagstiftning likställer en digital signatur med en handskriven, har autentisering av transaktioner baserad på konceptet en digital signatur blivit utbredd.

När man överväger möjligheten att fånga upp information av intresse kan man inte annat än utesluta den "mänskliga faktorn", därför är det, samtidigt med mjukvara och hårdvara, nödvändigt att använda organisatoriska sådana som säkerställer skydd av informationsresurser, uteslutning av utpressning, lösenordskontroll , etc.

För att skydda information från avlyssning används krypteringsprotokollen SSL (Secure Sockets Layer) och SET (Secure Electronic Transaction). SSL är dock baserat på ett asymmetriskt krypteringsschema för offentlig nyckel; RSA-algoritmen används som ett krypteringsschema; på grund av tekniska egenskaper anses denna algoritm vara mindre tillförlitlig. SET är ett säkrare protokoll, men tekniskt komplext och dyrt. Därför genomförs inte dess omfattande implementering och säkerhetsfrågan är fortfarande öppen.

Att bedöma ett företags informationsrisker är en av de viktigaste uppgifterna för att granska informationssäkerheten i företagssystem som en del av Internet. Det löses genom att identifiera resurser, bedöma indikatorer på resursernas betydelse, hot, sårbarheter i informationssäkerhetssystemet och informationssäkerhetsmedel.

E-handelseffektivitet

Det finns många olika e-handelssystem som används idag. Detta orsakar problem när man väljer ett EC-system för att lösa ett specifikt problem som användaren står inför. Det föreslås att metoden för hierarkianalys används för att utvärdera de parametrar med vilka EC-system jämförs.

EG-systemens effektivitet hänvisar till graden av överensstämmelse mellan de tekniker, tekniker och regler som används i det med de kommersiella behoven hos dess undersåtar.

Nuförtiden är många metoder för att bedöma effektiviteten av internetprojekt, inklusive EC-system, baserade på sådana resultatindikatorer som frekvensen av webbplatstrafik och den tid en besökare tillbringar på webbplatsen. Till exempel för en elektronisk butik är antalet besökare en viktig faktor för att bedöma effektiviteten i dess drift.

Det finns följande områden för att bedöma effektiviteten av EG-system:

ekonomisk;

organisatorisk;

marknadsföring.

Dessa tre områden är sammanlänkade.

Ekonomisk effektivitet kan definieras som förhållandet mellan vinsten P som erhålls som ett resultat av att använda systemet och kostnaderna Z förknippade med dess utveckling och drift: . Kostnader definieras som summan av kapitalinvesteringar i design, anskaffning av komponenter och implementering av systemet samt driftskostnader. Men dessa bedömningar kan erhållas först efter att systemet har implementerats. Användaren måste ha möjlighet att välja ett system för att implementera den specifika uppgift han står inför.

För att jämföra EC-system kan man använda metoder som används för analys av öppna system, som ger ett sätt att identifiera beslutsfattares (DM) prioriteringar och mäta intensiteten i interaktionen mellan komponenterna som beskriver strukturen i hierarkisystemet.