Buxgalteriya hisobi va soliqlar

Elektron tijorat. Elektron tijorat xavfsizligi

09.12.2023

Rus tilida "xavfsizlik" tushunchasi hech qanday xavf bo'lmagan va undan himoyalangan davlat sifatida talqin qilinadi. Lingvistik nuqtai nazardan, "xavfsizlik" tushunchasi "xavf" tushunchasining antonimidir. U har qanday tizim (ijtimoiy, texnik yoki boshqa), jarayon yoki hodisaning ma'lum bir holatini tavsiflaydi.

Xavfsizlik - bu munosabatlar sub'ektlarining ehtiyojlari va manfaatlariga zarar etkazish imkoniyati mavjud bo'lmagan holat.

Rus tilining lug'atiga ko'ra tahdid to'g'ridan-to'g'ri xavf deb ta'riflanadi. Xavf umumiy, potentsial xarakterga ega, ammo munosabatlar sub'ektlari o'rtasidagi qarama-qarshiliklar doimiy ravishda yuzaga kelganligi sababli, manfaatlar uchun xavf doimo mavjud bo'lishi mumkin.

Qabul qilingan ta'riflardan biri quyidagilardan iborat: xavfsizlik tahdidi - bu hayotiy manfaatlar uchun xavf tug'diradigan shartlar va omillar majmui, ya'ni tahdid ma'lum bir holatlar (shartlar) va sabablar (omillar) bilan ifodalanadi.

Huquqiy nuqtai nazardan, "tahdid" tushunchasi zarar (zarar) etkazish niyati sifatida belgilanadi.

Shunday qilib, xavfsizlikka tahdidni "manfaatlarga dushman deb hisoblangan faoliyat" deb ta'riflash mumkin.

Tahdidlar turlarining xilma-xilligiga qaramay, ularning barchasi bir-biri bilan bog'langan va manfaatlarga, qoida tariqasida, murakkab tarzda ta'sir qiladi. Shuning uchun ularni zaiflashtirish, zararsizlantirish va bartaraf etish uchun xavfsizlik tizimi yaratilgan.

"Himoya" ("xavfsizlik") tushunchasi munosabatlar sub'ektini tahdidlardan himoya qilishni anglatadi.

Xavfsizlikni ta'minlash - bu ob'ektning ichki barqarorligini, uning turli omillarning buzg'unchi, tajovuzkor ta'siriga qarshi turish qobiliyatini saqlashga, shuningdek, mavjud tahdid turlariga faol qarshi turishga qaratilgan maxsus tashkil etilgan faoliyat.

Xavfsizlik tizimi manfaatlarga tahdidlarni aniqlash, xavfsizlik kuchlari va vositalarining tayyorligi va nazoratini ta'minlash, xavfsizlik vositalarining normal ishlashini tashkil etish uchun mo'ljallangan.

Elektron tijorat bilan bog'liq holda, xavfsizlik ta'rifini quyidagicha shakllantirish mumkin.

Elektron tijorat xavfsizligi- bu elektron tijorat texnologiyalaridan foydalangan holda tijorat operatsiyalarini (bitimlarini) amalga oshiruvchi munosabatlar sub'ektlarining manfaatlarini moddiy va boshqa yo'qotishlar tahdididan himoya qilish holati.

Mulkchilik shaklidan qat'i nazar, xavfsizlikni ta'minlash davlat tashkilotlaridan tortib, kichik chakana chodirgacha bo'lgan har qanday korxona va muassasa uchun zarurdir. Farqlar faqat ularning xavfsizligini ta'minlash uchun qanday vositalar va usullar va qay darajada talab qilinishida bo'ladi.

Bozor munosabatlari ularning ajralmas qismi - raqobat "omon qolish" tamoyiliga asoslanadi va shuning uchun tahdidlardan himoyalanishni talab qiladi.

Belgilangan xalqaro xavfsizlik amaliyotiga ko'ra, ularning ustuvorliklarini hisobga olgan holda himoya ob'ektlari quyidagilardir:

  • - Inson;
  • - ma `lumot;
  • -- moddiy qadriyatlar.

Xavfsizlik tushunchasi va yuqorida sanab o'tilgan himoya ob'ektlariga asoslanib aytishimiz mumkinki, har qanday korxona yoki tashkilotning "xavfsizligi" tushunchasi quyidagilarni o'z ichiga oladi (120-rasm):

  • ? jismoniy xavfsizlik, ya'ni xodimlarning hayoti va shaxsiy manfaatlariga hujumlardan himoya qilishni ta'minlash;
  • ? iqtisodiy xavfsizlik, bu munosabatlar subyektlarining iqtisodiy manfaatlarini himoya qilishni anglatadi. Iqtisodiy xavfsizlik doirasida moddiy boyliklarni yong'in, tabiiy ofatlar, o'g'irlik va boshqa hujumlardan himoya qilishni ta'minlash masalalari ham ko'rib chiqiladi;
  • ? axborot xavfsizligi, bu axborotni o'zgartirishdan (buzish, yo'q qilish) va ruxsatsiz foydalanishdan himoya qilishni anglatadi.

Kundalik amaliyot shuni ko'rsatadiki, jismoniy xavfsizlikka asosiy tahdidlar:

  • - psixologik terror, qo'rqitish, tovlamachilik, shantaj;
  • - moddiy boyliklarni yoki hujjatlarni egallab olish maqsadida talon-taroj qilish;
  • - kompaniya xodimlarini yoki ularning oila a'zolarini o'g'irlash;
  • - kompaniya xodimini o'ldirish.

Guruch. 120.

Hozirda hech kim o'zini xavfsiz his qila olmaydi. Jismoniy xavfsizlikni ta'minlashning aniq masalalariga to'xtalmasdan, aytishimiz mumkinki, jinoyat sodir etish uchun jinoyatchilar birinchi navbatda jabrlanuvchi haqida ma'lumot to'playdi va uning "zaif tomonlarini" o'rganadi. Hujum maqsadi haqida kerakli ma'lumotlarsiz jinoyatchilar uchun xavf sezilarli darajada oshadi. Shu sababli, jismoniy xavfsizlikni ta'minlashning asosiy tamoyillaridan biri jinoyatchilar jinoyat tayyorlash uchun foydalanishi mumkin bo'lgan kompaniya xodimlari haqidagi har qanday ma'lumotni yashirishdir. Umuman olganda, iqtisodiy xavfsizlikka tahdidlarning quyidagi turlarini shakllantirish mumkin:

  • - umumiy to'lovga layoqatsizlik;
  • - soxta hujjatlar bilan amalga oshirilgan operatsiyalardan mablag'larning yo'qolishi;
  • - kompaniyaga bo'lgan ishonchni susaytirish.

Amaliyot shuni ko'rsatadiki, ushbu tahdidlarning mavjudligi birinchi navbatda quyidagi asosiy sabablarga bog'liq:

  • - tijorat ma'lumotlarining chiqib ketishi, yo'q qilinishi yoki o'zgartirilishi (masalan, buzib ko'rsatilishi);
  • - kompaniya xodimlari, hamkorlari va mijozlari to'g'risida to'liq va ob'ektiv ma'lumotlarning yo'qligi;
  • - raqobatchilar tomonidan kompaniyaga zarar etkazuvchi noxolis ma'lumotlarni tarqatish.

Axborot xavfsizligini ta'minlash kompaniya xavfsizligini ta'minlashning asosiy jihatlaridan biridir.

G‘arb ekspertlarining fikricha, yuzta holatdan oltmishtasida tijorat ma’lumotlarining 20 foizining sizib chiqishi kompaniyaning bankrot bo‘lishiga olib keladi. Shuning uchun jismoniy, iqtisodiy va axborot xavfsizligi bir-biri bilan chambarchas bog'liq.

Tijorat ma'lumotlarini taqdim etishning turli shakllari mavjud. Bu og'zaki ravishda uzatiladigan ma'lumotlar va turli xil moddiy tashuvchilarda (masalan, qog'ozda yoki floppi diskda) yozib olingan hujjatlashtirilgan ma'lumotlar va turli aloqa liniyalari yoki kompyuter tarmoqlari orqali uzatiladigan ma'lumotlar bo'lishi mumkin.

Kiberjinoyatchilar ma'lumot olish uchun turli usullardan foydalanadilar. Bu josuslikning "klassik" usullari (shantaj, poraxo'rlik va boshqalar), sanoat josusligi usullari, kompyuter texnikasidan ruxsatsiz foydalanish va tahliliy usullarni o'z ichiga oladi. Shuning uchun axborot xavfsizligiga tahdidlar doirasi nihoyatda keng.

Kompyuter texnologiyalari va elektron tijorat texnologiyalaridan keng foydalanish natijasida sanoat josusligi va boshqa turli huquqbuzarliklar uchun yangi maydon ochilmoqda.

Sanoat josusligining texnik vositalari yordamida nafaqat raqobatchilarning xatti-harakatlarini turli yo'llar bilan tinglash yoki ayg'oqchilik qilish, balki kompyuter texnologiyalarida bevosita qayta ishlanadigan ma'lumotlarni ham olish mumkin. Bu erda eng katta xavf - bu tajovuzkorlar tomonidan kompyuter texnologiyalaridan to'g'ridan-to'g'ri foydalanish, bu jinoyatning yangi turini - kompyuter jinoyatlarini, ya'ni kompyuterda qayta ishlangan ma'lumotlarga ruxsatsiz kirishni, shu jumladan elektron tijorat texnologiyalaridan foydalanishni keltirib chiqardi.

Kompyuter jinoyatlariga qarshi kurashish qiyin, bu asosan quyidagilar bilan izohlanadi:

  • ? muammoning yangiligi va murakkabligi;
  • ? kompyuter jinoyatini o'z vaqtida aniqlash va tajovuzkorni aniqlash qiyinligi;
  • ? masofaviy kirish vositalaridan foydalangan holda jinoyat sodir etish imkoniyati, ya'ni tajovuzkor jinoyat sodir bo'lgan joyda umuman bo'lmasligi mumkin;
  • ? kompyuter jinoyati dalillarini to'plash va qonuniy ravishda qayta ishlashdagi qiyinchiliklar.

Yuqoridagi xavfsizlik tahdidlarining turlarini umumlashtirib, biz xavfsizlik muammosining uchta komponentini ajratib ko'rsatishimiz mumkin:

  • - huquqiy himoya;
  • - tashkiliy himoya;
  • - muhandislik-texnik muhofaza qilish.

Huquqiy himoyaning ma'nosi ismning o'zidan kelib chiqadi.

Tashkiliy himoya ob'ektning xavfsizligini va ish rejimini tashkil qilishni o'z ichiga oladi.

Muhandislik va texnik himoya deganda xavfsizlikka tahdidlarni bartaraf etishga qaratilgan muhandislik, dasturiy ta'minot va boshqa vositalar to'plami tushuniladi.

Xavfsizlik tizimlarini yaratish va ishlash tamoyillarini uchta asosiy blokga bo'lish mumkin: xavfsizlikning umumiy tamoyillari, tashkiliy tamoyillar, xavfsizlik tizimini amalga oshirish tamoyillari (121-rasm).

1. Himoya qilishning umumiy tamoyillari

Noaniqlik printsipi himoya qilishni ta'minlashda kim, qachon, qayerda va qanday qilib qo'riqlanadigan ob'ekt xavfsizligini buzishga harakat qilishi noma'lumligi sababli.


Guruch. 121.

Ideal himoya tizimini yaratishning mumkin emasligi printsipi. Ushbu tamoyil, qoida tariqasida, xavfsizlik tizimi o'z ixtiyorida bo'lgan noaniqlik va cheklangan resurslar printsipidan kelib chiqadi.

Minimal xavf printsipi himoya tizimini yaratishda xavfsizlik tahdidlarining xususiyatlaridan, mavjud resurslardan va istalgan vaqtda himoya ob'ekti joylashgan o'ziga xos sharoitlardan kelib chiqqan holda xavfning minimal darajasini tanlash zarurligidan iborat.

Hammani hammadan himoya qilish tamoyili. Ushbu tamoyil munosabatlarning barcha sub'ektlarini barcha turdagi tahdidlardan himoya qilish zarurligini nazarda tutadi.

2. Tashkiliy tamoyillar

Qonuniylik printsipi. Ushbu aniq tamoyilga rioya qilish muhimligini oshirib bo'lmaydi. Biroq, Rossiya qonunchiligida yangi huquqiy munosabatlarning paydo bo'lishi bilan "davlat mulki", "davlat siri" kabi taniqli huquq ob'ektlari bilan bir qatorda yangilari - "xususiy mulk", "korxona mulki" paydo bo'ldi. , "intellektual mulk", "tijorat siri", "maxfiy ma'lumotlar", "kirish cheklangan ma'lumotlar". Xavfsizlik masalalarini tartibga soluvchi me'yoriy-huquqiy baza hali ham nomukammal.

Shaxsiy javobgarlik printsipi. Korxona, firma yoki ularning mijozining har bir xodimi o‘z vakolatlari yoki tegishli ko‘rsatmalari doirasida xavfsizlik rejimini ta’minlash uchun shaxsan javobgardir. Xavfsizlik rejimini buzganlik uchun javobgarlik oldindan belgilanishi va shaxsiylashtirilishi kerak.

Hokimiyatlarning bo'linishi printsipi. Tijorat sirining buzilishi yoki korxonaning normal ishlashi ehtimoli ma'lumotlarga ega bo'lgan bilimdon shaxslar soniga to'g'ridan-to'g'ri proportsionaldir. Shu sababli, hech kim o'z ish vazifalarini bajarish uchun talab qilinmasa, maxfiy ma'lumotlarga duch kelmasligi kerak.

O'zaro ta'sir va hamkorlik printsipi. Ichki xavfsizlik muhitiga xodimlar o'rtasidagi ishonchli munosabatlar orqali erishiladi. Shu bilan birga, korxona xodimlari xavfsizlik choralarini ko'rish zarurligini to'g'ri tushunishlari va o'z manfaatlaridan kelib chiqib, xavfsizlik xizmati faoliyatiga hissa qo'shishlarini ta'minlash kerak.

3. Himoya tizimini amalga oshirish tamoyillari

Murakkablik va individuallik printsipi. Himoya ob'ektining xavfsizligi biron bir chora bilan ta'minlanmaydi, balki faqat muayyan shartlarga alohida murojaat qilgan holda amalga oshiriladigan murakkab, o'zaro bog'liq va bir-birining ustiga chiqadigan chora-tadbirlar majmui bilan ta'minlanadi.

Ketma-ket chegaralar printsipi. Ushbu tamoyilning amalga oshirilishi xavfsizlikka hujumni o'z vaqtida aniqlash va xavf darajasiga muvofiq tahdidga qarshi izchil chora-tadbirlarni tashkil etish imkonini beradi.

Himoya vositalarini himoya qilish printsipi“hammani hammadan” himoya qilish tamoyilining mantiqiy davomidir. Boshqacha qilib aytganda, har qanday himoya chorasi o'zi etarli darajada himoyalangan bo'lishi kerak. Masalan, ma'lumotlar bazasiga o'zgartirishlar kiritishga urinishlardan himoya qilish vositasi kirish huquqlarini amalga oshiradigan dasturiy ta'minot bilan himoyalangan bo'lishi kerak.

Ob'ektlarni har tomonlama himoya qilishni ta'minlash, umuman olganda, iqtisodiy nuqtai nazardan, muhofaza qilish ob'ekti joylashgan davlat va boshqa ko'plab holatlar bilan belgilanadigan individual vazifadir.

Xavfsizlik tizimini yaratish metodologiyasi rasmda ko'rsatilgan. 122.

Guruch. 122.

Xavfsizlik tizimini yaratishni boshlashdan oldin, yo'q qilish, o'zgartirish yoki ruxsatsiz foydalanish manfaatlarning buzilishiga, yo'qotishlarga va hokazolarga olib kelishi mumkin bo'lgan himoyalangan ob'ektlarni aniqlash kerak.

Himoya ob'ektlarini aniqlagandan so'ng, ularning qiziqish sohalarini aniqlash va qo'riqlash ob'ektlarining xavfsizligiga ko'plab tahdidlarni tahlil qilish kerak. Agar xavfsizlikka tahdidlar qasddan bo'lsa, tajovuzkorning taxminiy modelini ishlab chiqish kerak. Keyinchalik, mumkin bo'lgan tahdidlarni va ularning paydo bo'lish manbalarini tahlil qilish, himoya qilishning tegishli vositalari va usullarini tanlash va shu bilan vazifalarni shakllantirish va xavfsizlik tizimining tuzilishini aniqlash kerak.

Elektron tijorat xavfsizligini ta'minlash muammosini tahlil qilish uchun elektron tijorat jarayonida yuzaga keladigan munosabatlar sub'ektlarining manfaatlarini aniqlash kerak.

Elektron tijoratning quyidagi toifalarini ajratish odatiy holdir: biznesdan biznesga, biznesdan iste'molchiga, biznes-ma'muriyat. Shu bilan birga, elektron tijorat toifasidan qat'i nazar, sub'ektlarning uchta klassi ajratiladi: moliya institutlari, mijozlar va biznes tashkilotlari (123-rasm).

Moliyaviy institutlar har xil bo'lishi mumkin, lekin birinchi navbatda bu banklar, chunki ularda boshqa barcha elektron tijorat sub'ektlari mablag'lar harakatini aks ettiruvchi hisob raqamlariga ega. Ushbu mablag'larning harakati qoidalari va shartlari foydalaniladigan to'lov tizimi tomonidan belgilanadi.

Mijozlar (xaridorlar, iste'molchilar) ham jismoniy, ham yuridik shaxslar bo'lishi mumkin.

Biznes tashkilotlari - bu Internet orqali biror narsa sotadigan yoki sotib oladigan har qanday tashkilot.

Guruch. 123.

Internet-texnologiyalarning ochiqligi va Internet orqali uzatiladigan ma'lumotlarning mavjudligi elektron tijorat sub'ektlarining umumiy manfaatlari elektron tijoratning axborot xavfsizligini ta'minlashda ekanligini anglatadi. Axborot xavfsizligi o'zaro hamkorlarning autentifikatsiyasini, Tarmoq orqali uzatiladigan ma'lumotlarning yaxlitligi va maxfiyligini, xizmatlarning mavjudligini va infratuzilmaning boshqarilishini ta'minlashni o'z ichiga oladi.

Elektron tijorat sub'ektlarining axborot xavfsizligi sohasidagi qiziqishlari doirasini quyidagi asosiy toifalarga bo'lish mumkin:

  • - mavjudlik (kerakli xizmatni oqilona vaqt ichida olish imkoniyati);
  • - yaxlitlik (axborotning dolzarbligi va izchilligi, uni yo'q qilish va ruxsat etilmagan o'zgarishlardan himoya qilish);
  • - maxfiylik (axborotni ruxsatsiz kirishdan himoya qilish).

Axborot xavfsizligi integratsiyalashgan elektron tijorat xavfsizligining eng muhim tarkibiy qismlaridan biridir.

Dunyo bo'ylab axborot tizimlariga hujumlar soni har yili ikki baravar ko'paymoqda. Bunday sharoitda elektron tijorat axborot xavfsizligi tizimi ko'p va xilma-xil ichki va tashqi tahdidlarga dosh bera olishi kerak.

Elektron tijoratning axborot xavfsizligiga tahdid soladigan asosiy tahdidlar quyidagilardir (124-rasm):

  • -- elektron tijorat sub'ektlari manfaatlariga qasddan hujumlar bilan (kompyuter jinoyatlari va kompyuter viruslari);
  • - xizmat ko'rsatuvchi xodimlarning beixtiyor harakatlari bilan (xatolar, kamchiliklar va boshqalar);
  • - axborotning buzilishi va yo'q qilinishiga olib kelishi mumkin bo'lgan texnik omillar ta'sirida (elektr ta'minotidagi uzilishlar, dasturiy ta'minotdagi nosozliklar);

Guruch. 124.

Texnogen omillar (tabiiy ofatlar, yong'inlar, yirik avariyalar va boshqalar) ta'siri bilan.

Internetning keng joriy etilishi elektron biznesning rivojlanishiga ta'sir qilmay qolmadi.

Elektron biznes turlaridan biri bu elektron tijoratdir. Birlashgan Millatlar Tashkiloti hujjatlariga muvofiq, agar biznes uning to'rtta tarkibiy qismidan kamida ikkitasi (tovar yoki xizmatlarni ishlab chiqarish, marketing, etkazib berish va to'lovlar) Internetdan foydalangan holda amalga oshirilsa, elektron deb e'tirof etiladi. Shuning uchun, ushbu talqinda, odatda, agar hech bo'lmaganda marketing (talabni tashkil etish) va to'lovlar Internet orqali amalga oshirilsa, xarid elektron tijorat sifatida tasniflanadi, deb ishoniladi. “Elektron tijorat” tushunchasining torroq talqini plastik kartochkalar asosidagi naqd pulsiz to‘lov tizimlarini tavsiflaydi.

Elektron tijoratni amalga oshirishning asosiy muammosi xavfsizlikdir.

Internetdagi firibgarlikning yuqori darajasi elektron tijoratning rivojlanishiga to'sqinlik qiladi. Xaridorlar, treyderlar va banklar moliyaviy yo'qotish xavfi tufayli ushbu texnologiyadan foydalanishdan qo'rqishadi. Odamlar o'zlarini qiziqtirgan ma'lumotlarni olish uchun asosan Internetdan axborot kanali sifatida foydalanadilar. Internetdagi kataloglar va ma'lumotlar bazalaridagi barcha qidiruvlarning atigi 2% dan bir oz ko'prog'i xaridlar bilan yakunlanadi.

Elektron tijoratda mumkin bo'lgan firibgarlik turlarining tasnifi:

  • to'g'ri karta rekvizitlari (karta raqami, amal qilish muddati va boshqalar) yordamida firibgarlar tomonidan amalga oshiriladigan operatsiyalar (naqd pulsiz operatsiyalar);
  • savdo korxonalarining ma'lumotlar bazasini buzish yoki uning shaxsiy ma'lumotlarini o'z ichiga olgan xaridor xabarlarini ushlash orqali mijoz to'g'risidagi ma'lumotlarni olish;
  • mavjud bo'lmagan xizmatlar yoki tovarlar uchun mijozlardan mablag' olgandan keyin yo'qolib ketish uchun, qoida tariqasida, qisqa vaqt ichida paydo bo'ladigan kapalak do'konlari;
  • xaridorga taklif qilingan narxga nisbatan mahsulot tannarxining oshishi yoki mijozning hisobvarag'idan takroriy debetlar;
  • karta ma'lumotlari va xaridorning boshqa shaxsiy ma'lumotlari haqida ma'lumot to'plash uchun mo'ljallangan do'konlar yoki savdo agentlari.

SSL protokoli

Protokol SSL(Secure Socket Layer) Amerikaning Netscape Communications kompaniyasi tomonidan ishlab chiqilgan. SSL nuqtadan nuqtaga ulanish orqali rivojlangan kriptografiyadan foydalangan holda xizmat protokollari (HTTP, NNTP, FTP va boshqalar kabi) va transport protokollari (TCP/IP) o'rtasida ma'lumotlar xavfsizligini ta'minlaydi. Ilgari mijozlar va serverlar o‘rtasida almashilgan ma’lumotlarni hech qanday maxsus texnik hiylalarsiz ko‘rish mumkin edi. Buning uchun hatto maxsus atama ham ishlab chiqilgan - "sniffer".

SSL protokoli ma'lumotlarning o'zaro ta'siri xavfsizligini ta'minlashning an'anaviy muammolarini hal qilish uchun mo'ljallangan:

  • foydalanuvchi va server soxta obunachilar bilan emas, balki parol bilan himoyalanish bilan cheklanib qolmasdan, zarur bo'lganlar bilan ma'lumot almashayotganiga o'zaro ishonch hosil qilishlari kerak;
  • server va mijoz o'rtasida aloqa o'rnatilgandan so'ng, ular orasidagi butun ma'lumot oqimi ruxsatsiz kirishdan himoyalangan bo'lishi kerak;
  • va nihoyat, ma'lumot almashishda tomonlar uni uzatishda tasodifiy yoki qasddan buzilishlar yo'qligiga ishonch hosil qilishlari kerak.

SSL protokoli server va mijozga bir-birini autentifikatsiya qilish, shifrlash algoritmini kelishish va axborot aloqasini boshlashdan oldin umumiy kriptografik kalitlarni yaratish imkonini beradi. Shu maqsadda protokol ikki kalitli (assimetrik) kriptotizimlardan, xususan, RSA dan foydalanadi.

O'rnatilgan xavfsiz ulanish orqali uzatiladigan ma'lumotlarning maxfiyligi nosimmetrik kriptografik algoritmlar (masalan, RC4_128, RC4_40, RC2_128, RC2_40, DES40 va boshqalar) yordamida yaratilgan umumiy kalit yordamida ma'lumotlar oqimini shifrlash orqali ta'minlanadi. O'tkazilgan ma'lumotlar bloklarining yaxlitligi xesh funksiyalari (masalan, MD5) yordamida hisoblangan xabarni autentifikatsiya qilish kodlari (Xabar autentifikatsiya kodi yoki MAC) yordamida nazorat qilinadi.

SSL protokoli himoyalangan ulanish taraflari o'rtasidagi o'zaro munosabatlarning ikki bosqichini o'z ichiga oladi:

  • SSL seansini o'rnatish;
  • ma'lumotlar oqimini himoya qilish.

SSL seansini o'rnatish bosqichida server va (ixtiyoriy) mijoz autentifikatsiya qilinadi, tomonlar foydalaniladigan kriptografik algoritmlar to'g'risida kelishib oladilar va umumiy "sir" ni tashkil qiladilar, ular asosida keyingi ulanish uchun umumiy seans kalitlari yaratiladi. himoya qilish. Ushbu bosqich "qo'l siqish tartibi" deb ham ataladi.

Ikkinchi bosqichda (ma'lumotlar oqimini himoya qilish) dastur darajasidagi axborot xabarlari bloklarga bo'linadi, har bir blok uchun xabarning autentifikatsiya kodi hisoblab chiqiladi, so'ngra ma'lumotlar shifrlanadi va qabul qiluvchi tomonga yuboriladi. Qabul qiluvchi tomon teskari harakatlarni amalga oshiradi: shifrni ochish, xabarning autentifikatsiya kodini tekshirish, xabarlarni yig'ish, dastur darajasiga o'tkazish.

SSL qo'llab-quvvatlash uchun eng keng tarqalgan dasturiy ta'minot to'plami SSLeay hisoblanadi. U Telnet va FTP kabi ilovalarga o'rnatilishi mumkin bo'lgan C manba kodini o'z ichiga oladi.

SSL assimetrik kriptografiya deb ham ataladigan ochiq kalitli kriptografiyadan foydalanadi. U ikkita kalitdan foydalanadi: biri shifrlash uchun, ikkinchisi esa xabarni ochish uchun. Ikkala kalit matematik jihatdan bir-biriga bog'langan bo'lib, bitta kalit yordamida shifrlangan ma'lumotlar faqat boshqa kalit yordamida shifrlanishi mumkin. Har bir foydalanuvchi ikkita kalitga ega - ochiq va maxfiy (maxfiy). Foydalanuvchi ochiq kalitni istalgan tarmoq muxbiri uchun ochiq qiladi. Foydalanuvchi va ochiq kalitga ega bo'lgan har qanday muxbir ochiq kalit yordamida shifrlangan ma'lumotlar faqat shaxsiy kalit yordamida shifrlanishi mumkinligiga ishonch hosil qilishi mumkin.

Agar ikki foydalanuvchi o'zlari almashadigan ma'lumotlarning uchinchisi tomonidan olinmasligiga ishonch hosil qilishni istasa, ularning har biri kalit juftligining bir komponentini (ya'ni ochiq kalit), ikkinchisini uzatishi va boshqa komponentni (maxfiy kalit) saqlashi kerak. ). Xabarlar ochiq kalit yordamida shifrlanadi va faqat shaxsiy kalit yordamida shifrlanadi. Hech kim ularni o'qiy olmaydigan ochiq tarmoq orqali xabarlarni shunday yuborish mumkin.

Xabarning yaxlitligi va autentifikatsiyasi elektron raqamli imzodan foydalanish orqali ta’minlanadi.

Endi ochiq kalitlarni qanday tarqatish kerakligi haqida savol tug'iladi. Buning uchun (va nafaqat) maxsus shakl ixtiro qilindi - sertifikat. Sertifikat quyidagi qismlardan iborat:

  • sertifikat bergan shaxs/tashkilotning nomi;
  • sertifikat mavzusi (bu sertifikat kimga berilgan);
  • mavzuning ochiq kaliti;
  • ba'zi vaqt parametrlari (sertifikatning amal qilish muddati va boshqalar).

Sertifikat sertifikatlarni bergan shaxsning (yoki tashkilotning) yopiq kaliti bilan "imzolanadi". Bunday operatsiyalarni amalga oshiradigan tashkilotlar sertifikat organlari (CA) deb ataladi. Agar siz SSL-ni qo'llab-quvvatlaydigan standart veb-brauzerning xavfsizlik bo'limiga kirsangiz, sertifikatlarga "imzo" qo'yadigan taniqli tashkilotlar ro'yxatini ko'rishingiz mumkin. Texnik jihatdan, o'z CA ni o'rnatish juda oddiy, ammo tartibga solinishi kerak bo'lgan qonuniyliklar ham mavjud va bu jiddiy muammolarni keltirib chiqarishi mumkin.

Bugungi kunda SSL elektron tijorat tizimlarini qurishda ishlatiladigan eng keng tarqalgan protokoldir. U barcha operatsiyalarning 99 foizini amalga oshirish uchun ishlatiladi. SSL-ning keng qo'llanilishi, birinchi navbatda, u barcha brauzerlar va veb-serverlarning ajralmas qismi ekanligi bilan izohlanadi. SSL ning yana bir afzalligi - protokolning soddaligi va tranzaksiyani amalga oshirishning yuqori tezligi.

Shu bilan birga, SSL bir qator muhim kamchiliklarga ega:

  • xaridorning haqiqiyligi tasdiqlanmagan;
  • sotuvchi faqat URL orqali autentifikatsiya qilinadi;
  • Raqamli imzo faqat SSL seansini o'rnatish boshida autentifikatsiya qilish uchun ishlatiladi. Qarama-qarshi vaziyatlar yuzaga kelganda bitimni isbotlash uchun xaridor va sotuvchi o'rtasidagi xotira resurslari jihatidan qimmat bo'lgan va amalda qo'llanilmaydigan to'liq dialogni saqlash yoki olinganligini tasdiqlovchi qog'oz nusxalarini saqlash kerak. xaridor tomonidan tovar;
  • Sotuvchi uchun karta ma'lumotlarining maxfiyligi ta'minlanmaydi.

SET protokoli

Internetda xavfsiz tranzaktsiyalar uchun yana bir protokol SET(Xavfsizlik elektroniği tranzaksiyasi). SET X.509 standartiga muvofiq raqamli sertifikatlardan foydalanishga asoslangan.

SET xavfsiz tranzaksiya protokoli MasterCard va VISA tomonidan IBM, GlobeSet va boshqa hamkorlarning muhim ishtirokida ishlab chiqilgan standartdir. Bu mijozlarga bugungi kunda mavjud bo'lgan eng xavfsiz to'lov mexanizmidan foydalangan holda mahsulotlarni onlayn xarid qilish imkonini beradi. SET - bu Internetda plastik kartalar yordamida xavfsiz to'lovlarni amalga oshirish uchun ochiq standart ko'p tomonlama protokol. SET tovar uchun to'lovga tayyorligini, xabarning yaxlitligi va maxfiyligini, qimmatli va zaif ma'lumotlarni shifrlashni tekshirish uchun karta egasining hisobi, savdogar va savdogar bankining o'zaro autentifikatsiyasini ta'minlaydi. Shuning uchun SETni internet orqali plastik kartalar yordamida xavfsiz to‘lovlarni amalga oshirish uchun standart texnologiya yoki protokollar tizimi deb atash mumkin.

SET iste'molchilar va savdogarlarga kriptografiya, shu jumladan raqamli sertifikatlar yordamida onlayn tranzaksiyaning barcha ishtirokchilarining shaxsini tekshirish imkonini beradi.

Elektron tijoratda potentsial sotuvlar Internet orqali to'lovlar xavfsizligidan manfaatdor bo'lgan xaridorlar, sotuvchilar va moliya institutlari tomonidan birgalikda erishiladigan axborot xavfsizligining zarur darajasiga erishish bilan cheklanadi. Yuqorida aytib o'tilganidek, axborot xavfsizligining asosiy maqsadlari uning mavjudligi, maxfiyligi, yaxlitligi va huquqiy ahamiyatini ta'minlashdan iborat. SET, boshqa protokollardan farqli o'laroq, ushbu axborot xavfsizligi muammolarini hal qilish imkonini beradi.

Ko'pgina kompaniyalar o'zlarining elektron tijorat dasturlarini ishlab chiqishlari natijasida yana bir muammo paydo bo'ladi. Agar ushbu dastur ishlatilsa, tranzaktsiyaning barcha ishtirokchilari bir xil ilovalarga ega bo'lishi kerak, bu amalda imkonsizdir. Shuning uchun, turli ishlab chiquvchilarning ilovalari o'rtasida o'zaro ishlash mexanizmini ta'minlash usuli kerak.

Yuqoridagi muammolar tufayli VISA va MasterCard boshqa texnik kompaniyalar (masalan, SET protokolini ishlab chiqishda asosiy ishlab chiquvchi bo'lgan IBM) bilan birga SET standarti uchun spetsifikatsiya va protokollar to'plamini aniqladilar. Ushbu ochiq spetsifikatsiya tezda elektron tijorat uchun de-fakto standartiga aylandi. Ushbu spetsifikatsiyada ma'lumotlarning shifrlanishi maxfiylikni ta'minlaydi. Raqamli imzolar va sertifikatlar tranzaktsiya ishtirokchilarining identifikatsiyasi va autentifikatsiyasini (autentifikatsiyasini) ta'minlaydi. Ma'lumotlar yaxlitligini ta'minlash uchun raqamli imzo ham qo'llaniladi. Turli ishlab chiqaruvchilarning ilovalari o'rtasida o'zaro ishlashni ta'minlash uchun ochiq protokollar to'plamidan foydalaniladi.

SET elektron tijorat operatsiyalari uchun quyidagi maxsus xavfsizlik talablarini taqdim etadi:

  • to'lov ma'lumotlarining maxfiyligi va to'lov ma'lumotlari bilan birga uzatiladigan buyurtma ma'lumotlarining maxfiyligi;
  • to'lov ma'lumotlarining yaxlitligini saqlash; elektron raqamli imzo yordamida yaxlitlik ta'minlanadi;
  • autentifikatsiya qilish uchun maxsus ochiq kalit kriptografiyasi;
  • kredit karta egasining autentifikatsiyasi elektron raqamli imzo va karta egasi sertifikatlaridan foydalanish orqali ta'minlanadi;
  • sotuvchining autentifikatsiyasi va uning elektron raqamli imzo va sotuvchi sertifikatlaridan foydalangan holda plastik kartochkalar orqali to‘lovlarni qabul qilish imkoniyati;
  • sotuvchining banki protsessing tizimi bilan aloqa o‘rnatish orqali plastik kartochkalar bo‘yicha to‘lovlarni qabul qila oladigan faol tashkilot ekanligini tasdiqlash; ushbu tasdiqlash elektron raqamli imzo va sotuvchi bankining sertifikatlari yordamida taqdim etiladi;
  • barcha tomonlar uchun ochiq kalit sertifikati autentifikatsiyasi natijasida tranzaktsiyalar uchun to'lovni amalga oshirishga tayyorligi;
  • kriptografiyadan asosiy foydalanish orqali ma'lumotlarni uzatish xavfsizligi.

SET ning ko‘plab mavjud axborot xavfsizligi tizimlariga nisbatan asosiy ustunligi raqamli sertifikatlardan (X.509 standarti, 3-versiya) foydalanish hisoblanadi, ular karta egasi, savdogar va savdogar bankini VISA va MasterCard to‘lov tizimlarining bir qator bank muassasalari bilan bog‘laydi.

  • moliya sanoati uchun ochiq, to'liq hujjatlashtirilgan standart;
  • to'lov tizimining xalqaro standartlari asosida;
  • moliya sanoatidagi mavjud texnologiyalar va huquqiy mexanizmlarga tayanadi.

Aytgancha, IBM, Chase Manhattan Bank USA N.A., First Data Corporation, GlobeSet, MasterCard va Wal-Mart kompaniyalari tomonidan amalga oshirilgan qo‘shma loyiha Chase banki tomonidan chiqarilgan Wal-Mart MasterCard kartalari egalariga Wal-Mart Online veb-saytida tovarlar xarid qilish imkonini beradi. , bu Qo'shma Shtatlardagi eng yirik elektron tijorat markazlaridan biri hisoblanadi.

Keling, IBM veb-saytidagi rasmda ko'rsatilgan SET spetsifikatsiyasiga muvofiq to'lov operatsiyasi ishtirokchilari o'rtasidagi o'zaro munosabatlar jarayonini batafsil ko'rib chiqaylik:

Rasmda:

  • Karta egasi- buyurtma beruvchi xaridor.
  • Xaridor banki- xaridorga kredit kartani bergan moliya muassasasi.
  • Sotuvchi- tovarlar va xizmatlarni taklif qiluvchi elektron do'kon.
  • Sotuvchining banki- sotuvchining operatsiyalariga xizmat ko'rsatish bilan shug'ullanadigan moliyaviy tuzilma.
  • To'lov shlyuzi- odatda sotuvchining banki tomonidan boshqariladigan, sotuvchining so'rovlarini qayta ishlovchi va xaridor banki bilan o'zaro aloqada bo'lgan tizim.
  • Sertifikatlash tashkiloti- sertifikatlarni chiqaradigan va tasdiqlovchi ishonchli tuzilma.

Amaliyot ishtirokchilari o'rtasidagi munosabatlar rasmda uzluksiz chiziqlar (SET standarti yoki protokolida tasvirlangan o'zaro ta'sirlar) va nuqta chiziqlar (ba'zi mumkin bo'lgan operatsiyalar) orqali ko'rsatilgan.

SET standart spetsifikatsiyasiga muvofiq aloqalar va axborot oqimlarining dinamikasi quyidagi harakatlarni o'z ichiga oladi:

  1. Ishtirokchilar sertifikat beruvchi tashkilotdan sertifikat so'raydilar va oladilar.
  2. Plastik karta egasi elektron katalogni ko‘zdan kechiradi, mahsulotlarni tanlaydi va sotuvchiga buyurtma yuboradi.
  3. Sotuvchi o'z sertifikatini karta egasiga identifikatsiya sifatida taqdim etadi.
  4. Karta egasi o'z sertifikatini sotuvchiga taqdim etadi.
  5. Savdogar tekshirish operatsiyasini bajarish uchun to'lov shlyuzini so'raydi. Shlyuz taqdim etilgan ma'lumotlarni elektron kartani chiqargan bank ma'lumotlari bilan tekshiradi.
  6. Tekshiruvdan so'ng, to'lov shlyuzi natijalarni sotuvchiga qaytaradi.
  7. Biroz vaqt o'tgach, savdogar to'lov shlyuzidan bir yoki bir nechta moliyaviy operatsiyalarni amalga oshirishni so'raydi. Shlyuz xaridorning bankidan sotuvchining bankiga ma'lum miqdorni o'tkazish uchun so'rov yuboradi.

Taqdim etilgan o'zaro ta'sir sxemasi Internetda EMV standart smart-kartalaridan foydalanish uchun yaratilgan Chip Electronic Commerce spetsifikatsiyasi tomonidan axborot xavfsizligi nuqtai nazaridan qo'llab-quvvatlanadi (www.emvco.com). U Europay, MasterCard va VISA tomonidan ishlab chiqilgan. EMV mikroprotsessor standarti va SET protokolining kombinatsiyasi tranzaktsiyaning barcha bosqichlarida misli ko'rilmagan darajadagi xavfsizlikni ta'minlaydi.

2000 yil 20 iyunda Rosbusinessconsulting kompaniyasi o'z veb-saytida dunyodagi eng yirik to'lov tizimlaridan biri VISA 2000 yil 19 iyunda elektron tijorat xavfsizligi sohasida o'z tashabbuslarini e'lon qilgani haqida xabarni joylashtirdi. Tizim vakillarining so‘zlariga ko‘ra, bu qadamlar xaridor va sotuvchilar uchun onlayn xaridlarni xavfsizroq qilish uchun mo‘ljallangan. VISA yangi tashabbuslarning joriy etilishi onlayn tranzaksiyalar bo'yicha kelishmovchiliklar sonini 50 foizga qisqartirishiga ishonadi. Tashabbus ikki asosiy qismdan iborat. Birinchi qism toʻlovni autentifikatsiya qilish dasturi boʻlib, u karta egasi hisobidan ruxsatsiz foydalanish xavfini kamaytirish va xaridorlar va sotuvchilarga onlayn xizmat koʻrsatishni yaxshilashga moʻljallangan. Ikkinchisi - Global ma'lumotlar xavfsizligi dasturi bo'lib, u elektron tijorat kompaniyalari uchun karta va karta egalari ma'lumotlarini himoya qilish uchun xavfsizlik standartlarini yaratishga qaratilgan.

SSL va SET protokollarining qiyosiy tavsiflari

To'lov tizimlari elektron tijoratning eng muhim qismidir va ularning onlayn mavjudligining kelajagi ko'p jihatdan Internetda axborot xavfsizligi va boshqa xizmat funktsiyalarini ta'minlash qobiliyatiga bog'liq. SSL va SET ikkita mashhur ma'lumot uzatish protokollari bo'lib, ikkalasi ham Internet-to'lov tizimlarida qo'llaniladi. Biz SSL va SETni solishtirishga va ularning eng muhim xususiyatlarini baholashga harakat qilamiz.

Shunday qilib, odatiy jismoniy aloqalar mavjud bo'lmagan virtual dunyoda autentifikatsiyaning (autentifikatsiya) eng muhim funktsiyasini ko'rib chiqaylik. SSL faqat nuqtadan nuqtaga aloqani ta'minlaydi. Esda tutamizki, kredit karta tranzaksiyalari jarayonida kamida to'rtta tomon ishtirok etadi: iste'molchi, savdogar, emitent bank va qabul qiluvchi bank. SET tranzaktsiyada ishtirok etgan barcha tomonlardan autentifikatsiyani talab qiladi.

SET savdogarning karta ma'lumotlariga kirishini va emitent bankning mijozning buyurtmalari bo'yicha shaxsiy ma'lumotlariga kirishini oldini oladi. SSL serverlar, kataloglar, fayllar va boshqa ma'lumotlarga boshqariladigan kirish imkonini beradi. Ikkala protokol ham o'zaro aloqada bo'lgan tomonlarning raqamli imzolarini tasdiqlovchi zamonaviy kriptografiya va raqamli sertifikat tizimlaridan foydalanadi. SSL birinchi navbatda Internetdagi aloqalarni himoya qilish uchun mo'ljallangan. SET butun elektron tijorat tranzaktsiyalari uchun xavfsizlikni ta'minlaydi, bu esa himoyalangan qimmatli ma'lumotlarning qonuniy kuchini ta'minlaydi. Shu bilan birga, SET orqali tranzaksiya SSL-ga qaraganda sekinroq va uning narxi ancha yuqori. Oxirgi xarakteristika bugungi Rossiya bozori uchun juda dolzarb bo'lib, u erda xatarlar va operatsion xarajatlar hali hisobga olinmaydi.

Shuni qo'shimcha qilish kerakki, SSL-dan foydalangan holda, iste'molchilar o'zlarining karta ma'lumotlarini sotuvchiga oshkor qilish xavfi ostida.

SETni amalga oshirish va ishlatish ko'p yillar davomida butun dunyo bo'ylab bir necha o'nlab loyihalarda amalga oshirildi. Misol uchun, birinchi SET tranzaksiyasi 1996 yil 30 dekabrda PBS (Daniya banki) da IBM va MasterCard o'rtasidagi qo'shma loyihada amalga oshirildi. Shunga o'xshash ish 1997 yilda Yaponiyaning eng yirik banki Fuji bankida amalga oshirildi, bu erda protokolni Yaponiyaning o'ziga xos qonunchiligiga moslashtirish kerak edi. O'tgan vaqt ichida bunday amalga oshirish loyihalari protokol va tegishli hujjatlarning funktsiyalarini ishlab chiqish imkonini berdi.

Aytgancha, IBM SET-dan kompleks foydalanishning barcha asosiy jihatlarini qamrab oluvchi va rivojlangan infratuzilmani ta'minlaydigan mahsulotlarning to'liq to'plamiga ega:

  • Internet-do'konlarni tashkil qiluvchi sotuvchilar uchun IBM Net.commerce Suite;
  • Karta egalari uchun IBM Consumer Wallet;
  • IBM Payment Gateway - banklar uchun to'lov shlyuzi;
  • IBM Net. To'lov reestri autentifikatsiya va sertifikatlash mahsulotidir.

SET IBM, Hewlett Packard, Sun Microsystems va Microsoft kabi kompaniyalarning turli hisoblash platformalarida ishlaydi.

Boshqa tomondan, SSL asosan veb-ilovalarda va Internetdagi aloqalarni himoya qilish uchun ishlatiladi. SSL ning SSLeay deb nomlangan bepul versiyasi ham mavjud. U Telnet va FTP kabi ilovalarga o'rnatilishi mumkin bo'lgan C manba kodini o'z ichiga oladi. Bu sifatlari tufayli SSL korporativ intranetlar va foydalanuvchilari kam sonli tizimlarda keng tarqaldi.

SET protokolining texnologik mukammalligiga qaramay, uning dunyoda qo'llanilishi juda cheklangan. Buning ko'plab sabablari bor, hal qiluvchisi, SET protokoliga asoslangan elektron tijorat tizimini joriy etishning yuqori narxidir (SET yechimining narxi 600 dan 1500 ming dollargacha).

SSL protokoli faqat umumiy tarmoq orqali uzatilganda tranzaksiya ma'lumotlarining maxfiyligini ta'minlaydi, lekin ayni paytda uni amalga oshirish ancha arzon. Natijada, zamonaviy elektron tijorat tizimlarining aksariyati SSL protokolidan foydalanadi.

Mutaxassislar va SET protokolini ishlab chiquvchilar ushbu standartning tez va keng tarqalgan qabul qilinishini bashorat qilishda xato qilishdi. Bundan tashqari, SET protokoli allaqachon o'tmishda qolib ketganligi va uning omon qolish ehtimoli ahamiyatsiz ekanligi haqida doimiy ravishda gapiriladi.

Bunday suhbatlar 2000 yilning yozida, VISA International bayonot berganida boshlandi, unga ko'ra 3D SET protokoli (SET turi) Evropa Ittifoqi, Lotin Amerikasi va boshqa ba'zi Evropa mamlakatlari, shu jumladan Rossiya uchun standartga aylandi. Shu bilan birga, 3D SSL protokoli (protokolning boshqa nomi - 3D Payer) Amerikaning eng yirik bozorida standart sifatida e'lon qilindi.

Visa Int Rossiya vakolatxonasi rahbari. Lou Naumovskiy SET talabni topa olmaganiga rozi:

"Bu juda yaxshi texnologiya. Lekin, nafaqat Rossiya, balki xorijiy banklarning munosabatiga qaraganda, bu biroz qimmat. Kartochkalar tranzaksiyalarini kuzatish uchun SET protokolidan foydalanadigan bank-emitent ma'lumotlar bazasini yuritishi kerak. Banklar va chakana savdo nuqtalarini sotib olish. Biz ushbu protokolga arzonroq muqobil topishga harakat qildik.

2001-yil may oyida 3D Secure standarti uchun spetsifikatsiyalar nashr etildi, ular Visa toʻlov tizimida global autentifikatsiya standarti ekanligi daʼvo qilingan. 2002 yil iyul oyida Evropa Ittifoqi qarori bilan barcha onlayn-do'konlar ushbu protokol darajasida identifikatsiyani oldi. Shu sababli, bunday onlayn-do'konlarning ekvayder banki ularga ushbu protokolni taqdim etishi kerak. 3D Secure yo'q bo'lsa, u bahsli bitimlar uchun to'liq javobgarlikni o'z zimmasiga oladi. Agar u 3D Secure-dan foydalansa, lekin emitent bank ishlatmasa, ikkinchisi javobgarlikni o'z zimmasiga oladi.

3D Secure-ning ishlash printsipi shundan iboratki, uchta turli domen mavjud - emitent bank, onlayn-do'kon va Visa, domen orqali xaridor, sotuvchi va banklar o'rtasida xabarlar amalga oshiriladi. Barcha xabarlar Internet orqali yuborilishi juda muhimdir. Shu bilan birga, Visa ma'lumotlarning maxfiyligini ta'minlaydi. Xaridor Internet sahifasida Verified by Visa shiorini bosgandan va parolini kiritgandan so'ng, bu ma'lumot emitent bankka o'tadi va identifikatsiya sodir bo'ladi. Emitent bank onlayn-do'konga Visa domeni orqali so'rov yuboradi, shundan so'ng bu do'kon uning ekvayer banki tomonidan aniqlanadi. Shunday qilib, karta egasining ma'lumotlari faqat emitent bankka ma'lum. Shu bilan birga, karta egasi ushbu do'kon Verified by Visa, ya'ni ekvayer bank orqali Visa tomonidan sertifikatlanganligiga ishonchi komil. Agar emitent bank Visa domenidan doʻkon Visa tomonidan tasdiqlanganligi haqidagi tasdiqni olmasa, tranzaksiya amalga oshirilmaydi.

Albatta, karta egasi Verified by Visa maqomiga ega bo'lmagan boshqa onlayn-do'konlarda xaridlarni amalga oshirishi mumkin. Shunda emitent bank bahsli bitimlar uchun javobgarlikni o'z zimmasiga oladi va u o'z mijozlarini bu haqda ogohlantirishi kerak bo'ladi.

Elektron tijoratning axborot xavfsizligi (EC)

Internet foydalanuvchilari soni bir necha yuz millionga yetdi va "virtual iqtisodiyot" ko'rinishida yangi sifat paydo bo'ldi. Unda xaridlar xarid qilish saytlari orqali, yangi biznes modellari, o'z marketing strategiyasi va boshqalar yordamida amalga oshiriladi.

Elektron tijorat (EK) - bu Internet orqali tovarlarni sotish bo'yicha tadbirkorlik faoliyati. Qoida tariqasida, ECning ikkita shakli mavjud:

* korxonalar o'rtasidagi savdo (biznesdan biznesga, B2B);

* korxonalar va jismoniy shaxslar o'rtasidagi savdo, ya'ni. iste'molchilar (biznesdan iste'molchiga, B2C).

EC yangi tushunchalarni keltirib chiqardi:

* Elektron do'kon - ishlab chiqaruvchilar yoki dilerlar tomonidan tovarlarga talab mavjud bo'lganda foydalaniladigan vitrinalar va savdo tizimlari.

* Elektron katalog - turli ishlab chiqaruvchilarning katta assortimenti bilan.

* Elektron auktsion - bu multimedia interfeysi, Internetga kirish kanali va mahsulot xususiyatlarini namoyish qilish uchun xarakterli ulanishi bilan Internet texnologiyalaridan foydalangan holda klassik auktsionning analogidir.

* Elektron do'kon - bu oddiy do'konning analogi bo'lib, u erda oddiy kompaniyalar o'z mahsulotlarini namoyish etadilar, samarali mahsulot brendi (Gostiny Dvor, GUM va boshqalar).

* Virtual jamoalar (jamoalar), ularda xaridorlar manfaatdor guruhlar (fan-klublar, assotsiatsiyalar va boshqalar) tomonidan tashkil etilgan.

EK sohasida Internet katta foyda keltiradi:

* yirik xususiy kompaniyalar uchun xom ashyo va butlovchi qismlarni xaridlarni Internet birjalariga o'tkazishdan tejamkorlik 25-30% ga etadi;

* real vaqt rejimida dunyo boʻylab raqobatchi yetkazib beruvchilarning auktsionda ishtirok etishi ular tovar yoki xizmatlar yetkazib berish uchun dasturlashtirgan narxlarning pasayishiga olib keladi;

* butun dunyo bo'ylab xaridorlarning raqobati natijasida tovarlar yoki xizmatlar narxining oshishi;

* talab qilinadigan xodimlar sonini va qog'ozbozlik hajmini qisqartirish orqali tejash.

G'arbiy mamlakatlarda EKda ustunlik mavqei B2B sektoriga aylandi, 2007 yilga kelib, turli hisob-kitoblarga ko'ra, 3 dan 6 trilliongacha etadi. dollar. O'z biznesini Internetga o'tkazishdan birinchi bo'lib apparat va dasturiy ta'minotni sotuvchi hamda kompyuter va telekommunikatsiya xizmatlarini ko'rsatuvchi kompaniyalar foyda ko'rdilar.

Har bir onlayn-do'kon ikkita asosiy o'z ichiga oladi komponentlar:

elektron vitrina va savdo tizimi.

Elektron vitrina veb-saytda sotilgan tovarlar haqidagi ma'lumotlarni o'z ichiga oladi, do'kon ma'lumotlar bazasiga kirishni ta'minlaydi, mijozlarni ro'yxatga oladi, xaridorning elektron "savati" bilan ishlaydi, buyurtmalar beradi, marketing ma'lumotlarini to'playdi va ma'lumotlarni savdo tizimiga uzatadi.

Savdo tizimi tovarlarni etkazib beradi va ular uchun to'lovni amalga oshiradi. Savdo tizimi - bu alohida kompaniyaga tegishli bo'lgan veb-serverda joyni ijaraga oladigan turli kompaniyalarga tegishli do'konlar to'plami.

Onlayn do'konning ishlash texnologiyasi quyida bayon qilinganidek:

Xaridor tovarlar va narxlar katalogi (veb-sayt) ko'rsatilgan elektron do'konda kerakli mahsulotni tanlaydi va shaxsiy ma'lumotlar (to'liq ism, pochta va elektron pochta manzillari, yetkazib berish va to'lashning afzal usuli) bilan shaklni to'ldiradi. Agar to'lov Internet orqali amalga oshirilsa, unda axborot xavfsizligiga alohida e'tibor beriladi.

Tugallangan mahsulotlarni onlayn-do'konning savdo tizimiga o'tkazish,

buyurtma to'ldirilgan joyda. Savdo tizimi qo'lda yoki avtomatik ravishda ishlaydi. Qo'lda ishlaydigan tizim Posyltorg printsipi bo'yicha ishlaydi, avtomatlashtirilgan tizimni sotib olish va sozlash mumkin bo'lmaganda, qoida tariqasida, tovarlar hajmi kichik bo'lsa.

Tovarlarni etkazib berish va to'lash. Tovarlar xaridorga yetkaziladi

mumkin bo'lgan usullardan birida:

* shahar va uning atrofidagi hududlarda kurerni saqlash;

* ixtisoslashtirilgan kurerlik xizmati (shu jumladan chet eldan);

* olib ketish; ko'tarish;

* bunday aniq ma'lumotlar telekommunikatsiya tarmoqlari orqali yetkaziladi

mahsulot ma'lumot sifatida.

Tovarlar uchun to'lov quyidagi yo'llar bilan amalga oshirilishi mumkin:

* dastlabki yoki tovarni qabul qilish vaqtida;

* kurerga naqd pul yoki haqiqiy do'konga tashrif buyurganingizda;

* pochta jo'natmalari orqali;

* Bank operatsiyalari;

* yetkazib berishda naqd pul;

* kredit kartalaridan foydalanish (VISA, MASTER CARD va boshqalar);

yakka tartibdagi tijorat orqali elektron to'lov tizimlari orqali

banklar (TELEBANK, ASSIST va boshqalar).

So'nggi paytlarda dunyoda elektron tijorat yoki Internet orqali savdo juda tez rivojlanmoqda. Tabiiyki, bu jarayon

moliya institutlarining bevosita ishtirokida amalga oshiriladi. Va bu savdo usuli tobora ommalashib bormoqda, hech bo'lmaganda yangi elektron bozor korxonalar va aholining katta qismi foydalanishi mumkin.

Elektron tarmoqlardagi tijorat faoliyati ba'zi jismoniy cheklovlarni olib tashlaydi. Kompyuter tizimlarini ulaydigan kompaniyalar

Internet mijozlarga bayram va dam olish kunlarisiz kuniga 24 soat yordam ko'rsatishga qodir. Mahsulotlarga buyurtmalar istalgan vaqtda istalgan joydan qabul qilinishi mumkin.

Biroq, bu "tanga" o'zining boshqa tomoniga ega. Elektron tijorat eng keng tarqalgan xorijda tranzaktsiyalar yoki tovarlar narxi ko'pincha 300-400 dollar bilan cheklanadi. Bu kompyuter tarmoqlarida axborot xavfsizligi muammolarining yetarlicha hal etilmaganligi bilan bog‘liq. BMTning jinoyatchilikning oldini olish va nazorat qilish qo‘mitasi ma’lumotlariga ko‘ra, kompyuter jinoyati xalqaro muammolardan biri darajasiga yetgan. Qo'shma Shtatlarda bu turdagi jinoiy faoliyat daromadlilik bo'yicha qurol va giyohvand moddalar savdosidan keyin uchinchi o'rinda turadi.

2006 yilda Internet orqali global elektron tijorat aylanmasi hajmi,

Forrester Tech. prognozlariga ko'ra, u 1,8 dan 2 trilliongacha bo'lishi mumkin. dollarni tashkil etadi.Bunday keng prognoz diapazoni elektron tijoratning iqtisodiy xavfsizligini ta'minlash muammosi bilan belgilanadi. Agar xavfsizlik darajasi hozirgi darajada saqlanib qolsa, global elektron tijorat aylanmasi ham kichikroq bo'lishi mumkin. Bundan kelib chiqadiki, aynan elektron tijorat tizimining past darajadagi xavfsizligi elektron biznes rivojlanishini cheklovchi omil hisoblanadi.

Elektron tijoratning iqtisodiy xavfsizligini ta'minlash muammosini hal qilish, birinchi navbatda, unda qo'llaniladigan axborot texnologiyalarini himoya qilish, ya'ni axborot xavfsizligini ta'minlash masalalarini hal qilish bilan bog'liq.

Biznes jarayonlarining Internet muhitiga integratsiyalashuvi xavfsizlik holatining tubdan o'zgarishiga olib keladi. Elektron hujjat asosida huquq va majburiyatlarni yaratish hujjatni jo'natuvchini ham, uni qabul qiluvchini ham tahdidlarning barcha turlaridan har tomonlama himoya qilishni talab qiladi. Afsuski, elektron tijorat korxonalari rahbarlari axborot tahdidlarining jiddiyligini va ularning resurslari axborot hujumlariga duchor bo'lganidan keyingina ularni himoya qilishni tashkil etish muhimligini to'g'ri tushunadilar. Ko'rib turganingizdek, sanab o'tilgan barcha to'siqlar axborot xavfsizligi sohasiga tegishli.

Tijorat operatsiyalarini amalga oshirishning asosiy talablari maxfiylik, yaxlitlik, autentifikatsiya, avtorizatsiya, kafolatlar va maxfiylikni o'z ichiga oladi.

Axborot xavfsizligiga erishishda uning mavjudligi, konfidensialligi, yaxlitligi va huquqiy ahamiyatini ta’minlash zarur. Asosiy vazifalar . Har bir tahdid ushbu to'rtta xususiyat yoki xavfsiz axborot sifatiga qanday ta'sir qilishi mumkinligi nuqtai nazaridan ko'rib chiqilishi kerak.

Maxfiylik cheklangan ma'lumotlar faqat kimlar uchun mo'ljallangan bo'lsa, ochiq bo'lishi kerakligini anglatadi. ostida yaxlitlik axborot deganda uning buzilmagan shakldagi mavjudlik xususiyati tushuniladi. Mavjudligi ma'lumotlar tizimning tegishli vakolatga ega bo'lgan sub'ektlarning axborotdan o'z vaqtida, to'siqsiz foydalanishini ta'minlash qobiliyati bilan belgilanadi. Yuridik ahamiyati so‘nggi paytlarda mamlakatimizda axborot xavfsizligini ta’minlash bo‘yicha me’yoriy-huquqiy bazani yaratish bilan birga axborot muhim ahamiyat kasb etmoqda.

Agar dastlabki to'rtta talabni texnik vositalar bilan qondirish mumkin bo'lsa, oxirgi ikkita talabni bajarish ham texnik vositalarga, ham jismoniy shaxslar va tashkilotlarning mas'uliyatiga, shuningdek, iste'molchilarni sotuvchilar tomonidan mumkin bo'lgan firibgarliklardan himoya qiluvchi qonunlarga rioya qilishga bog'liq.

Axborot xavfsizligini har tomonlama ta'minlash doirasida, birinchi navbatda, kalitni ta'kidlash kerak elektron xavfsizlik sohasidagi muammolar biznes jumladan:

axborotni aloqa kanallari orqali uzatishda himoya qilish; kompyuter tizimlari, ma'lumotlar bazalari va elektron hujjat aylanishini himoya qilish;

axborotning elektron shaklda uzoq muddatli saqlanishini ta'minlash; tranzaktsiyalar xavfsizligini, tijorat ma'lumotlarining maxfiyligini, autentifikatsiyani, intellektual mulkni himoya qilishni ta'minlash va boshqalar.

Elektron tijorat tahdidlarining bir necha turlari mavjud:

 Tizimga tashqaridan kirib borish.

 Kompaniya ichida ruxsatsiz kirish.

 Axborotni qasddan ushlash va o‘qish.

 Ma’lumotlar yoki tarmoqlarni qasddan buzish.

 Noto‘g‘ri (firibgarlik maqsadida) identifikatsiya

foydalanuvchi.

 Dasturiy ta'minot va apparat himoyasini buzish.

 Foydalanuvchining bir tarmoqdan ikkinchisiga ruxsatsiz kirishi.

 Virusli hujumlar.

 Xizmatni rad etish.

 Moliyaviy firibgarlik.

Ushbu tahdidlarga qarshi turish uchun turli texnologiyalarga asoslangan bir qator usullar qo'llaniladi, xususan: shifrlash - ma'lumotlarni o'qish yoki buzishni oldini oladigan kodlash; jo'natuvchi va qabul qiluvchining shaxsini tasdiqlovchi elektron raqamli imzolar; elektron kalitlardan foydalangan holda yashirin texnologiyalar; xavfsizlik devorlari; virtual va shaxsiy tarmoqlar.

Hech qanday himoya qilish usuli universal emas, masalan, xavfsizlik devorlari viruslarni tekshirmaydi va ma'lumotlarning yaxlitligini ta'minlay olmaydi. Avtomatik himoyani buzishga qarshi turishning mutlaqo ishonchli usuli yo'q va uni buzishdan oldin bu faqat vaqt masalasidir. Ammo bunday himoyani buzish uchun zarur bo'lgan vaqt, o'z navbatida, uning sifatiga bog'liq. Aytish kerakki, Internetdagi ulanishlar va ilovalarni himoya qilish uchun dasturiy ta'minot va texnik vositalar uzoq vaqt davomida ishlab chiqilgan, ammo yangi texnologiyalar biroz notekis joriy etilmoqda.

Qaysi tahdidlar elektron tijorat kompaniyasini kutishmoqda har bir bosqichda :

 elektron do‘kon serverining veb-sahifasini almashtirish (so‘rovlarni boshqa serverga yo‘naltirish), mijoz to‘g‘risidagi, ayniqsa uning kredit kartalari haqidagi ma’lumotlarni uchinchi shaxslarga ochiq qilish;

 elektron do‘kon xodimlari tomonidan soxta buyruqlar va turli xil firibgarlik shakllari yaratish, masalan, ma’lumotlar bazalarini manipulyatsiya qilish (statistik ma’lumotlar shuni ko‘rsatadiki, kompyuter hodisalarining yarmidan ko‘pi o‘z xodimlarining faoliyati bilan bog‘liq);

 elektron tijorat tarmoqlari orqali uzatiladigan ma’lumotlarni ushlash;

 tajovuzkorlarning kompaniyaning ichki tarmog‘iga kirib borishi va elektron do‘kon komponentlarini buzish;

| Nashrlar ro'yxatiga

Savdo korxonalari, chakana savdo tarmoqlari va ular infratuzilmasining axborot xavfsizligini ta'minlash

Rossiyada savdo-sotiqni rivojlantirishning hozirgi tendentsiyalari ularning tarkibidagi korxonalar sonini ko'paytirish, turli operatorlarning aktivlarini birlashtirish, qo'shilish va qo'shilishni amalga oshirish, tarmoq tarqatish markazlarini yaratish orqali kompaniyalarning konsolidatsiyasiga olib keladi. Natijada axborot texnologiyalariga qo‘yiladigan talablar va ularning savdoni tashkil etishdagi ahamiyati ortib bormoqda. Har qanday kompaniyada axborot oqimlarini qayta ishlash yuqori tezlik va mutlaq aniqlikni talab qiladi.

1-rasm. Tarmoq kompaniyasining boshqaruv tizimida aylanib yuradigan asosiy axborot oqimlari


Zamonaviy do'kon, ulgurji savdo korxonasi va tarqatish tarmog'ini boshqarish kompleks savdo, ombor va buxgalteriya hisobining avtomatlashtirilgan tizimlaridan foydalanishni o'z ichiga oladi. Bugungi kunda menejerlar axborot tizimlaridan olingan ma'lumotlar asosida boshqaruv qarorlarini qabul qiladilar. Shunday qilib, kompaniyaning tuzilishi qanday bo'lishidan qat'i nazar, shartnomalar, tovar-moddiy boyliklar harakati, pul mablag'lari va buxgalteriya hisobi yagona axborot maydonida amalga oshirilishi kerak.

Savdo jarayonini boshqarishni avtomatlashtirish uchun korxonada axborot tizimi yaratiladi, u quyidagilarni o'z ichiga olishi mumkin:


    - ichki hisob va hisobot tizimi (tovar ishlab chiqarish va aylanish hajmi, tarkibi va tezligi, korxona xarajatlari va zararlari, yalpi daromadi, sof foydasi, rentabelligi va boshqalar to'g'risidagi ma'lumotlarni o'z ichiga oladi);
    - marketing axborot tizimi (bozorning hozirgi holati, tendentsiyalari va rivojlanish istiqbollarini kuzatish imkonini beradi). Bu axborot tizimini razvedka tizimi sifatida ham aniqlash mumkin, chunki u raqobatchilarning faoliyati to'g'risidagi ma'lumotlarni to'plash, qayta ishlash va tahlil qilishni ta'minlaydi.

Axborot tizimiga ma'lumotlar kompaniya xodimlaridan va distribyutorlarning ofis tizimlaridan keladi. Kelajakda ular korxonani tezkor boshqarish, butun kompaniya, hududiy bo'linmalar va distribyutorlar faoliyatini nazorat qilish va tahlil qilish uchun ishlatiladi. Axborot tarmog'i ma'lumotlarining iste'molchilari kompaniya va distribyutor kompaniyalarning menejerlari va rahbarlari hisoblanadi. 1 va 2-rasmlarda savdo korxonasini (savdo tarmog'ini) boshqarish tizimida aylanayotgan asosiy axborot oqimlari, ularning asosiy manbalari va iste'molchilari ko'rsatilgan.

Strategik boshqaruv qarorlarini qabul qilish uchun korxona rahbari, moliya direktori, bosh buxgalter va yuqori darajali menejerlar korxona holati va uning rivojlanish tendentsiyalari haqida to'liq tasavvurni taqdim etishlari shart (1-rasm).

Buxgalteriya bo'limidagi ish joylarida, savdo maydonchasida, omborda ishchilar faqat umumiy ma'lumot oqimining alohida qismlari bilan shug'ullanishadi. Ularning vazifalari va funktsiyalari, qoida tariqasida, tovarlarni qabul qilish va iste'mol qilishni qayta ishlash va qayd etish, schyot-fakturalarni berish, kassa apparatida ishlash va hokazolarga to'g'ri keladi. (2-rasm).

Savdo korxonalarining xatarlarini va axborot tizimlarining zaifligini hisobga olgan holda, kompaniya voqea sodir bo'lganidan keyin sodir bo'lgan voqealarga munosabat bildiradigan yondashuvni qo'llash mas'uliyatsiz ko'rinadi, ya'ni. ular sodir bo'lgandan keyin. Bundan kelib chiqadiki, kompaniya axborot xavfsizligi tizimini yaratishi kerak. Bu boshqaruv tizimining asosiy elementlaridan biridir.

Axborot tizimining ishlashini to'xtatish biznes uchun qaytarilmas oqibatlarga olib kelishi mumkin. Shunday qilib, Gerling sug'urta kompaniyasiga ko'ra, agar axborot tizimi to'liq to'xtatilsa, savdo kompaniyalari faqat 2,5 kun davomida mavjud bo'lishi mumkin, va uzluksiz ishlab chiqarish tsikli bo'lmagan ishlab chiqarish korxonalari uchun bu ko'rsatkich 5 kun.

Samarali axborot xavfsizligi tizimini yaratish uchun dastlabki ma'lumotlar uning maqsadlari va tuzilishi, tahdidlar turlari va ularning manbalari, shuningdek, mumkin bo'lgan qarshi choralar to'g'risida aniq g'oyalar bo'lishi kerak.

Tahdid manbalari tashqi va ichki bo'lishi mumkin.

2-rasm. Chakana savdo korxonasi yoki chakana savdo tarmog'ining turli bo'limlari xodimlari uchun ma'lumotlar almashinuvi tizimi


Tashqi tahdidlar ko'pincha raqobatchilar, jinoiy guruhlar va huquqiy va ma'muriy organlar ichidagi korruptsion mansabdor shaxslardan keladi. Tashqi tahdidlarning harakatlari passiv saqlash vositalariga, almashinuv jarayonida ma'lumotni olib tashlashga, axborotni yo'q qilishga yoki uni saqlash vositalariga zarar etkazishga qaratilgan bo'lishi mumkin. Tahdidlar kompaniya xodimlariga qaratilgan bo'lishi mumkin va poraxo'rlik, tahdidlar, shantaj, tijorat sirini tashkil etuvchi ma'lumotlarni olish uchun ma'lumot olish yoki etakchi mutaxassislarni jalb qilish va boshqalar shaklida ifodalanishi mumkin.

Ichki tahdidlar eng katta xavf tug'diradi. Ular layoqatsiz menejerlar, vijdonsiz va malakasiz kadrlar, o'zboshimchalik va firibgarlar, eskirgan ishlab chiqarish vositalaridan kelib chiqishi mumkin. O'z-o'zini hurmat qilish darajasi yuqori bo'lgan individual xodimlar o'zlarining ambitsiyalaridan (ish haqi darajasi, rahbariyat, hamkasblar bilan munosabatlar va boshqalar) noroziliklari tufayli raqobatchilarga tijorat ma'lumotlarini faol ravishda berishlari, muhim ma'lumotlarni yoki passiv ommaviy axborot vositalarini yo'q qilishga urinishlari mumkin. Masalan, kompyuter virusini kiriting.

Axborot resurslarining shikastlanishiga quyidagilar sabab bo'lishi mumkin:


    ruxsatsiz kirishni amalga oshirish va maxfiy ma'lumotlarni olib tashlash;
    maxfiy ma'lumotlarga yoki axborot tizimiga kirish uchun xodimlarga pora berish;
    razvedka va axborot to‘plashning texnik vositalaridan foydalangan holda aloqa va kompyuter vositalari va tizimlarida aylanib yuruvchi axborotni ushlash yo‘li bilan;
    xizmat xonalarida, xizmat va shaxsiy transport vositalarida, kvartiralar va dachalarda bo'layotgan maxfiy suhbatlarni tinglash yo'li bilan;
    muzokaralar jarayonlari orqali, axborot bilan ehtiyotsizlik bilan foydalanish;

Asosiy ma'lumot manbalari: odamlar, hujjatlar, nashrlar, texnik vositalar, texnik vositalar, mahsulotlar va chiqindilar.

Ruxsatsiz ma'lumotlarni olishning asosiy usullari:


    - maxfiy ma'lumotlarni oshkor qilish;
    - axborot resurslariga ruxsatsiz kirish;
    - kompaniya xodimlarining aybi bilan maxfiy ma'lumotlarning sizib chiqishi.

Axborot xavfsizligini ta'minlash choralarini ko'rish muammosining dolzarbligini quyidagi misollar bilan ko'rsatish mumkin:


    1. Federal operatorning xavfsizlik xizmati har oyda axborot xavfsizligini buzish bilan bog'liq ikkitadan oltitagacha hodisalarni aniqlaydi.
    2. Gipermarketda yosh qizga mahalliy tarmoq orqali kassa terminallarini ulash dasturining kamchiliklari haqida “ma’rifat” berildi. Firibgarlik natijasida xonim uch oy ichida 900 000 rubl "ishlab oldi".
    3. Yosh kassir kassa dasturiga o'zgartirishlar kiritdi va bir oy ichida korxonaga taxminan 200 000 rubl miqdorida zarar etkazdi. Tizim ma'muri ruxsatsiz kirish faktini faqat kassir ishdan bo'shatilgandan keyin ikki oy o'tgach, tekshiruv vaqtida aniqladi.

Shunday qilib, biznes rahbarlari axborot xavfsizligi muhimligini tushunishlari va kelajakdagi tendentsiyalarni oldindan bilish va boshqarishni o'rganishlari kerak. Xavfsizlik tizimlarining samarali ishlashi butun korxona uchun ustuvor vazifa bo'lishi kerak.

Axborotni himoya qilishning asosiy yo'nalishlari:


    - huquqiy himoya quyidagilarni o'z ichiga oladi: Rossiya Federatsiyasi qonunchiligi, o'zining me'yoriy hujjatlari, shu jumladan: maxfiy ma'lumotlarni saqlash to'g'risidagi nizom, tijorat sirini tashkil etuvchi ma'lumotlar ro'yxati, xodimlarga maxfiy ma'lumotlarga kirish tartibi bo'yicha ko'rsatmalar, ish yuritish qoidalari. va hujjat aylanishi, xodimning oshkor etmaslik majburiyati to'g'risidagi maxfiy ma'lumotlar, tijorat sirlarini saqlash to'g'risidagi xodimning eslatmasi va boshqalar;
    - tashkiliy himoya rejim-ma'muriy va tashkiliy chora-tadbirlarni o'z ichiga oladi. Bularga quyidagilar kiradi: xavfsizlik xizmatini tashkil etish, ichki va kirish nazoratini tashkil etish, tijorat va rasmiy sirlarni tashkil etuvchi ma'lumotlarni oshkor etmaslik bo'yicha xodimlar bilan ishlashni tashkil etish, hujjatlar bilan ishlashni tashkil etish, tashqi va ichki tahdidlarni tahlil qilish bo'yicha ishlarni tashkil etish. , va boshqalar.
    - muhandislik va texnik himoya - axborotni himoya qilish uchun mo'ljallangan turli xil texnik, elektron va dasturiy vositalardan foydalanishni o'z ichiga oladi.

    Axborot xavfsizligi dasturini amalga oshirish faqat bitta alohida vosita yoki chora yoki oddiy kombinatsiya yordamida kerakli darajadagi xavfsizlikni ta'minlash mumkin emas degan asosga asoslanib, xavfsizlik tizimlari va vositalaridan kompleks foydalanish asosida amalga oshirilishi kerak. ulardan. Ularni tizimli muvofiqlashtirish zarur. Bunday holda, har qanday tahdidni amalga oshirish himoyalangan ob'ektga faqat himoyaning barcha darajalari engib o'tilgan taqdirdagina ta'sir qilishi mumkin.

Elektron tijorat xavfsizligi

Xavfsizlik bugungi kunda elektron tijorat (EC) tizimlarini joriy etish va ulardan foydalanishning asosiy muammosidir. Potensial firibgarlik tahdididan xabardor bo'lish bilan bog'liq psixologik omil Internetdan tijorat operatsiyalarini amalga oshirish vositasi sifatida foydalanish uchun asosiy to'siq bo'lib qolmoqda.

Foydalanuvchilar va mutaxassislar hali ham Internetni xavfsiz muhit deb bilishmaydi. So'rovlar shuni ko'rsatadiki, eng katta potentsial tahdid ochiq Internet aloqa kanallaridan foydalanganda shaxsiy ma'lumotlarni ruxsatsiz olishdir. VISA to'lov tizimini ishlab chiquvchilarning fikriga ko'ra, EC tranzaktsiyalarining taxminan 23 foizi mijozning shaxsiy ma'lumotlarini, masalan, elektron do'konda, mijoz haqidagi shaxsiy ma'lumotlarni kiritishdan qo'rqishlari sababli hech qachon amalga oshirilmaydi. Adabiy manbalarni tahlil qilish shuni ko'rsatadiki, ta'minlash uchun quyidagi uchta shart bajarilishi kerak:

Tranzaktsiya paytida shaxsiy yoki bank ma'lumotlarini ushlash imkoniyatini yo'q qilish;

Ushbu ma'lumotlarni ma'lumotlar bazalaridan ajratib olish imkoniyatini yo'q qilish;

O'z maqsadlaringiz uchun "o'g'irlangan" ma'lumotlardan foydalanish imkoniyatini yo'q qiling.

Tutib qolishdan himoya qilish, tranzaktsiya paytida ma'lumotni himoya qilish uchun ham simmetrik, ham assimetrik kriptoalgoritmlar qo'llaniladi. Shu bilan birga, Internet-kanallardan tashqari qo'shimcha aloqa kanallari: faks, telefon, oddiy pochta va boshqalar ishlatiladi.

Xorijiy va Rossiya qonunchiligi raqamli imzoni qo‘lda yozilgan imzoga tenglashtirganini hisobga olib, raqamli imzo tushunchasi asosida tranzaktsiyalarni autentifikatsiya qilish keng tarqaldi.

Qiziqarli ma'lumotlarni ushlash imkoniyatini ko'rib chiqishda "inson omili" ni istisno qilib bo'lmaydi, shuning uchun dasturiy va texnik vositalar bilan bir vaqtda axborot resurslarini himoya qilishni, shantajni istisno qilishni, parolni nazorat qilishni ta'minlaydigan tashkiliy vositalardan foydalanish kerak. , va boshqalar.

Axborotni ushlab qolishdan himoya qilish uchun SSL (Secure Sockets Layer) va SET (Secure Electronic Transaction) shifrlash protokollari qo'llaniladi. Biroq, SSL assimetrik ochiq kalit shifrlash sxemasiga asoslanadi; RSA algoritmi shifrlash sxemasi sifatida ishlatiladi; texnik xususiyatlar tufayli bu algoritm kamroq ishonchli hisoblanadi. SET xavfsizroq protokol, lekin texnologik jihatdan murakkab va qimmat. Shuning uchun uni keng miqyosda amalga oshirish amalga oshirilmaydi va xavfsizlik masalasi ochiqligicha qolmoqda.

Kompaniyaning axborot risklarini baholash Internet tarmog'i segmenti sifatida korporativ tizimlarning axborot xavfsizligini tekshirishning eng muhim vazifalaridan biridir. U resurslarni aniqlash, axborot xavfsizligi tizimidagi manbalar, tahdidlar, zaifliklar va axborot xavfsizligi vositalarining ahamiyati ko'rsatkichlarini baholash orqali hal qilinadi.

Elektron tijorat samaradorligi

Bugungi kunda turli xil elektron biznes tizimlari qo'llaniladi. Bu foydalanuvchi oldida turgan muayyan muammoni hal qilish uchun EC tizimini tanlashda muammolarni keltirib chiqaradi. EC tizimlari solishtiriladigan parametrlarni baholash uchun ierarxiyani tahlil qilish usulidan foydalanish taklif etiladi.

EK tizimlarining samaradorligi unda qo'llaniladigan texnologiyalar, texnikalar va qoidalarning sub'ektlarning tijorat ehtiyojlariga muvofiqligi darajasini anglatadi.

Hozirgi vaqtda EC tizimlarini o'z ichiga olgan Internet-loyihalarning samaradorligini baholashning ko'plab usullari sayt trafigining chastotasi va tashrif buyuruvchining saytda o'tkazadigan vaqti kabi ishlash ko'rsatkichlariga asoslanadi. Masalan, elektron do'kon uchun uning faoliyati samaradorligini baholashning muhim omili tashrif buyuruvchilar soni hisoblanadi.

EC tizimlarining samaradorligini baholash uchun quyidagi yo'nalishlar mavjud:

iqtisodiy;

tashkiliy;

marketing.

Bu uch soha bir-biriga bog'langan.

Iqtisodiy samaradorlikni tizimdan foydalanish natijasida olingan P foydaning uning rivojlanishi va ishlashi bilan bog'liq Z xarajatlarga nisbati sifatida aniqlash mumkin: . Xarajatlar loyihalash, tarkibiy qismlarni sotib olish va tizimni joriy etish va operatsion xarajatlarga kapital qo'yilmalar yig'indisi sifatida aniqlanadi. Ammo bu baholashlarni faqat tizim joriy etilgandan keyin olish mumkin. Foydalanuvchi oldida turgan aniq vazifani amalga oshirish uchun tizimni tanlash vositalariga ega bo'lishi kerak.

EC tizimlarini solishtirish uchun siz qaror qabul qiluvchining (DM) ustuvorliklarini aniqlash va ierarxiya tizimining tuzilishini tavsiflovchi komponentlar o'rtasidagi o'zaro ta'sir intensivligini o'lchash vositalarini ta'minlaydigan ochiq tizimlarni tahlil qilish uchun qo'llaniladigan usullardan foydalanishingiz mumkin.