Электронная коммерция безопасность и риски. Безопасность в сфере электронной коммерции. «Безопасность электронной коммерции»

Наибольшей потенциальной угрозой является несанкционированное получение персональных данных при использовании открытых каналов связи Интернет. Для обеспечения необходимой безопасности следующие выполнить следующие три условия:

  • - исключить возможность перехвата персональной или банковской информации во время транзакции;
  • - исключить возможность извлечения этой информации из баз данных;
  • - исключить возможность использовать "украденную" информацию в собственных целях.

Для защиты от перехвата, для защиты информации во время транзакции используют как симметричные, так и ассиметричные крипто -алгоритмы. Вместе с тем используются дополнительные каналы связи отличные от Интернет - каналов: факс, телефон, обычная почта и т.д.

Учитывая, что зарубежное и Российское законодательство приравнивает цифровую подпись к рукописной, широкое распространение получило аутентификация транзакций на основе концепции цифровой подписи.

При рассмотрении возможности перехвата интересующей информации, нельзя не исключить "человеческий фактор", поэтому одновременно с программно-аппаратными средствами необходимо использовать и организационные, обеспечивающие охрану информационных ресурсов, исключение шантажа, контроль за паролями и т.д.

Для защиты информации от перехвата используются протокол шифрования SSL (Secure Sockets Layer) и SET (Secure Electronic Transaction). Однако в основе SSL лежит схема асимметричного шифрования с открытым ключом, в качестве шифровальной схемы используется алгоритм RSA, ввиду технических особенностей этот алгоритм считается менее надежным. SET более защищенный протокол, но технологически сложный и дорогой. Поэтому его повсеместное внедрение не осуществляется и вопрос безопасности остается открытым. Оценивание информационных рисков компании является одной из важнейших задач аудита информационной безопасности корпоративных систем как сегмента сети Интернет. Она решается при помощи идентификации ресурсов, оценивания показателей значимости ресурсов, угроз, уязвимых мест в системе защиты информации и средств обеспечения информационной безопасности.

В рамках обеспечения комплексной информационной безопасности, прежде всего, следует выделить ключевые проблемы в области безопасности электронной коммерции, которые включают:

  • - Защиту информации при ее передаче по каналам связи; защиту компьютерных систем, баз данных и электронного документооборота;
  • - Обеспечение долгосрочного хранения информации в электронном виде;
  • - Обеспечение безопасности транзакций, секретность коммерческой информации, аутентификацию, защиту интеллектуальной собственности и др.

Существует несколько видов угроз электронной коммерции:

  • - Проникновение в систему извне.
  • - Несанкционированный доступ внутри компании.
  • - Преднамеренный перехват и чтение информации.
  • - Преднамеренное нарушение данных или сетей.
  • - Неправильная (с мошенническими целями) идентификация пользователя.
  • - Взлом программно-аппаратной защиты.
  • - Несанкционированный доступ пользователя из одной сети в другую.
  • - Вирусные атаки.
  • - Отказ в обслуживании.
  • - Финансовое мошенничество.

Для противодействия этим угрозам используется целый ряд методов, основанных на различных технологиях, а именно: шифрование - кодирование данных, препятствующее их прочтению или искажению; цифровые подписи, проверяющие подлинность личности отправителя и получателя; технологии с использованием электронных ключей; брандмауэры; виртуальные и частные сети.

Ни один из методов защиты не является универсальным, например, брандмауэры не осуществляют проверку на наличие вирусов и не способны обеспечить целостность данных. Не существует абсолютно надежного способа противодействия взлому автоматической защиты, и ее взлом - это лишь вопрос времени. Но время взлома такой защиты, в свою очередь, зависит от ее качества. Надо сказать, что программное и аппаратное обеспечение для защиты соединений и приложений в Интернет разрабатывается уже давно, хотя внедряются новые технологии несколько неравномерно.

Угрозы подстерегают компанию, ведущую электронную коммерцию на каждом этапе:

  • - Подмена web-страницы сервера электронного магазина (переадресация запросов на другой сервер), делающая доступными сведения о клиенте, особенно о его кредитных картах, сторонним лицам;
  • - Создание ложных заказов и разнообразные формы мошенничества со стороны сотрудников электронного магазина, например, манипуляции с базами данных (статистика свидетельствует о том, что больше половины компьютерных инцидентов связано с деятельностью собственных сотрудников);
  • - Перехват данных, передаваемых по сетям электронной коммерции;
  • - Проникновение злоумышленников во внутреннюю сеть компании и компрометация компонентов электронного магазина;
  • - Реализация атак типа «отказ в обслуживании» и нарушение функционирования или вывода из строя узла электронной коммерции.

Конечно, угрозы, связанные с перехватом передаваемой через Интернет информации, присущи не только сфере электронной коммерции. Особое значение применительно к последней представляет то, что в ее системах обращаются сведения, имеющие важное экономическое значение: номера кредитных карт, номера счетов, содержание договоров и т. п.

С ростом коммерциализации Интернет вопросам защиты передаваемой по сети информации уделяется все больше внимания. Специализированные протоколы, предназначенные для организации защищенного взаимодействия через Интернет, получили широкое признание во всем мире и успешно используются зарубежными разработчиками для создания банковских и торговых электронных систем на базе Интернет.

В основе защиты информации лежит простая логика процессов вычисления цифровой подписи и ее проверки парой соответствующих ключей, впрочем, логика, базирующаяся на фундаментальных математических исследованиях. Вычислить цифровую подпись может только владелец закрытого ключа, а проверить - каждый, у кого имеется открытый ключ, соответствующий закрытому ключу.

Основные функциональные компоненты организации комплексной системы информационной безопасности:

  • - коммуникационные протоколы;
  • - средства криптографии;
  • - механизмы авторизации и аутентификации;
  • - средства контроля доступа к рабочим местам из сетей общего пользования;
  • - антивирусные комплексы;
  • - программы обнаружения атак и аудита;
  • - средства централизованного управления контролем доступа пользователей, а также безопасного обмена пакетами данных и сообщений любых приложений по открытым сетям.

В Интернет уже давно существует целый ряд комитетов, в основном, из организаций - добровольцев, которые осторожно проводят предлагаемые технологии через процесс стандартизации. Эти комитеты, составляющие основную часть Рабочей группы инженеров Интернета провели стандартизацию нескольких важных протоколов, ускоряя их внедрение в Интернете.

В Интернете популярны протоколы безопасной передачи данных, SSL,SET, IP v.6. Перечисленные протоколы появились в Интернет сравнительно недавно, как необходимость защиты ценной информации, и сразу стали стандартами де-факто.

Подобная осторожность объясняется не только консервативностью отечественных финансовых структур, опасающихся открытости и доступности Интернет, но, отчасти, и тем, что большинство программных средств защиты информации западных фирм-производителей поступают на наш рынок с экспортными ограничениями, касающимися реализованных в них криптографических алгоритмов. Например, в экспортных вариантах программного обеспечения WWW-серверов и браузеров, имеются ограничения на длину ключа для одноключевых и двухключевых алгоритмов шифрования, используемых протоколом SSL, что не обеспечивает полноценной защиты при работе в Интернет.

Однако приложения электронной коммерции, кроме внутренних угроз, подвержены также и внешней опасности, исходящей от Интернет. И поскольку нерационально присваивать каждому анонимному посетителю отдельный идентификатор входа (так как приложение при этом не увеличивается), компаниям необходимо использовать другой вид аутентификации. Кроме того, необходимо подготовить сервера к отражению атак. И, наконец, следует соблюдать исключительную осторожность по отношению к критическим данным - например, таким, как номера кредитных карт.

Министерство образования и науки РФ

Федеральное государственное автономное образовательное учреждение

Высшего профессионального образования

Инженерно-технологическая академия ЮФУ в г.Таганроге

Институт управления в экономических, экологических и социальных системах

по дисциплине "Электронная коммерция"

«Безопасность электронной коммерции»

Выполнили:

студентки гр. УЭбо4-6

Лесик А.А.

Никольская Т.С.

Проверила:

Макарова И.В.

Таганрог 2014 г.

ВВЕДЕНИЕ 3

1. ВИДЫ И ИСТОЧНИКИ УГРОЗ СИСТЕМАМ ЭЛЕКТРОННОЙ 4

КОММЕРЦИИ 4

2. ПРИНЦИПЫ СОЗДАНИЯ И МЕТОДИКА ПОСТРОЕНИЯ СИСТЕМЫ 9

БЕЗОПАСНОСТИ ЭЛЕКТРОННОЙ КОММЕРЦИИ 9

3. РИСКИ В ЭЛЕКТРОННОЙ КОММЕРЦИИ 15

ЗАКЛЮЧЕНИЕ 18

Введение

С развитием в последние годы современных информационных систем и систем международной связи появляется практическая возможность отойти от традиционной бумажной документации как главного носителя информации, на котором отражаются все стадии реализации коммерческой сделки. Использование бумажной документации, а также привычных методов ее обработки и пересылки на практике очень часто приводит к большим производственным и коммерческим издержкам. Разработанные к настоящему времени технологии электронной коммерции позволяют предпринимателям при осуществлении сделок передавать информацию с помощью современных информационно-коммуникационных систем, достигая при заключении, подтверждении и выполнении коммерческих сделок (контрактов) повышенной точности, скорости и эффективности. Электронная коммерция объединяет, таким образом, все формы деловых операций и сделок, осуществляемых электронным способом.

Цель данной работы – дать понятие и раскрыть содержание терминов "Электронная коммерция", "Электронная торговля", "Безопасность электронной коммерции", "Эффективность электронной коммерции", а также описать объекты защиты в системе обеспечения безопасности электронной коммерции, модель потенциального нарушителя.

1. Виды и источники угроз системам электронной коммерции

Рассмотрим некоторые термины и определения.

Понятие «безопасность» в русском языке трактуется как состояние, при котором отсутствует опасность, есть защита от нее.

В этом смысле оно характеризует определенное состояние какой-либо системы (социальной, технической или любой другой), процесса или явления.

Таким образом «безопасность» - это состояние, при котором отсутствует возможность причинения ущерба потребностям и интересам субъектов отношений.

«Угроза» согласно толковому словарю русского языка определяется как непосредственная опасность. Опасность носит общий, потенциальный характер, но так как противоречия между субъектами отношений возникают постоянно, то и опасность интересам может существовать постоянно.

Одним из принятых определений является следующее:

Угроза безопасности – это совокупность условий и факторов, создающих опасность жизненно важным интересам, то есть угроза представляется некой совокупностью обстоятельств (условий) и причин (факторов). С юридической точки зрения, понятие «угроза» определяется как намерение нанести зло (ущерб).

Таким образом, угрозу безопасности можно обозначить как «деятельность, которая рассматривается в качестве враждебной по отношению к интересам».

При всем многообразии видов угроз все они взаимосвязаны и воздействуют на интересы, как правило, комплексно. Поэтому для их ослабления, нейтрализации и парирования создается система обеспечения безопасности.

Обеспечение безопасности – это особым образом организованная деятельность, направленная на сохранение внутренней устойчивости объекта, его способности противостоять разрушительному, агрессивному воздействию различных факторов, а также на активное противодействие существующим видам угроз.

Система безопасности предназначена для выявления угроз интересам, поддержания в готовности сил и средств обеспечения безопасности, и управления ими, организации нормального функционирования объектов безопасности.

Применительно к электронной коммерции определение безопасности можно сформулировать так.

Безопасность электронной коммерции – это состояние защищенности интересов субъектов отношений, совершающих коммерческие операции (сделки) с помощью технологий электронной коммерции, от угроз материальных и иных потерь.

Обеспечение безопасности независимо от форм собственности необходимо для любых предприятий и учреждений, начиная от государственных организаций и заканчивая маленькой палаткой, занимающейся розничной торговлей.

Различия будут состоять лишь в том, какие средства и методы и в каком объеме требуются для обеспечения их безопасности.

Рыночные отношения с их неотъемлемой частью – конкуренцией основаны на принципе «выживания» и поэтому обязательно требуют обеспечения защиты от угроз.

По сложившейся международной практике безопасности объектами защиты с учетом их приоритетов являются:

Человек;

Информация;

Материальные ценности.

Опираясь на понятие безопасности и перечисленные выше объекты защиты, можно сказать, что понятие «безопасность» любого предприятия или организации включает в себя следующие составляющие :

- Физическую безопасность , под которой понимается обеспечение защиты от посягательств на жизнь и личные интересы сотрудников.

- Экономическую безопасность , под которой понимается защита экономических интересов субъектов отношений. В рамках экономической безопасности также рассматриваются вопросы обеспечения защиты материальных ценностей от пожара, стихийных бедствий, краж и других посягательств.

- Информационную безопасность , под которой понимается защита информации от модификации (искажения, уничтожения) и несанкционированного использования.

Повседневная практика показывает, что к основным угрозам физической безопасности относят:

Психологический террор, запугивание, вымогательство, шантаж;

Грабеж с целью завладения материальными ценностями или документами;

Похищение сотрудников фирмы или членов их семей;

Убийство сотрудника фирмы.

В настоящее время ни один человек не может чувствовать себя в безопасности. Не затрагивая специфических вопросов обеспечения физической безопасности, можно сказать, что для совершения преступления преступники предварительно собирают информацию о жертве, изучают ее «слабые места». Без необходимой информации об объекте нападения степень риска для преступников значительно увеличивается. Поэтому одним из главных принципов обеспечения физической безопасности является сокрытие любой информации о сотрудниках фирмы, которой преступники могут воспользоваться для подготовки преступления.

В общем случае можно сформулировать следующие виды угроз экономической безопасности :

Общая неплатежеспособность;

Утрата средств по операциям с фальшивыми документами;

Подрыв доверия к фирме.

Практика показывает, что наличие этих угроз обусловлено в первую очередь следующими основными причинами:

Утечкой, уничтожением или модификацией (например, искажением) коммерческой информации;

Отсутствием полной и объективной информации о сотрудниках, партнерах и клиентах фирмы;

Распространением конкурентами необъективной, компрометирующей фирму информацией.

Обеспечение информационной безопасности является одним из ключевых моментов обеспечения безопасности фирмы. Как считают западные специалисты, утечка 20% коммерческой информации в 60-ти случаях из ста приводит к банкротству фирмы.

Поэтому физическая, экономическая и информационная безопасности очень тесно взаимосвязаны.

Основной объект информационной безопасности – коммерческая информация – имеет разные формы представления, может быть:

Информацией, переданной устно;

Документированной информацией, зафиксированной на различных носителях (бумаге, дискете и т.п.);

Информацией, передаваемой по различным линиям связи или компьютерным сетям.

Злоумышленниками в информационной сфере используются различные методы добывания информации. Сюда входят:

Классические методы шпионажа (шантаж, подкуп и т.д.);

Методы промышленного шпионажа;

Несанкционированное использование средств вычислительной техники;

Аналитические методы.

Поэтому спектр угроз информационной безопасности чрезвычайно широк.

Новую область для промышленного шпионажа и различных других правонарушений открывает широкое использование средств вычислительной техники и технологий электронной коммерции.

С помощью технических средств промышленного шпионажа не только различными способами подслушивают и подсматривают за действиями конкурентов, но и получают информацию, непосредственно обрабатываемую в средствах вычислительной техники. Это породило новый вид преступлений - компьютерные преступления, то есть несанкционированный доступ к информации, обрабатываемой в ЭВМ, в том числе и с помощью технологий электронной коммерции.

Противостоять компьютерной преступности сложно, что главным образом объясняется:

Новизной и сложностью проблемы;

Сложностью своевременного выявления компьютерного преступления и идентификации злоумышленника;

Возможностью выполнения преступления с использованием средств удаленного доступа, то есть злоумышленника может вообще не быть на месте преступления;

Трудностями сбора и юридического оформления доказательств компьютерного преступления.

Обобщая вышеприведенные виды угроз безопасности можно выделить три составляющие проблемы обеспечения безопасности:

1) правовая защита;

2) организационная защита;

3) инженерно-техническая защита.

Смысл правового обеспечения защиты вытекает из самого названия.

Организационная защита включает в себя организацию охраны и режима работы объекта.

Под инженерно-технической защитой понимается совокупность инженерных, программных и других средств, направленных на исключение угроз безопасности.

Безопасность электронной коммерции

Безопасность на сегодняшний день является ключевым вопросом при внедрении и использовании систем электронной коммерции (ЭК). Психологический фактор, связанный с осознанием угрозы потенциального мошенничества, остается основным препятствием для использования Интернета в качестве средства проведения коммерческих операций.

Пользователи и специалисты до сих пор не рассматривают Интернет как безопасную среду. Опросы показывают, что наибольшей потенциальной угрозой является несанкционированное получение персональных данных при использовании открытых каналов связи Интернет. По данным разработчиков платежной системы VISA около 23% транзакций ЭК так и не производится из-за боязни клиента ввести собственную персональную информацию при работе, например, с электронным магазином персональную информацию о клиенте. Анализ литературных источников показывает, что для обеспечения необходимо выполнить следующие три условия:

Исключить возможность перехвата персональной или банковской информации во время транзакции;

Исключить возможность извлечения этой информации из баз данных;

Исключить возможность использовать "украденную" информацию в собственных целях.

Для защиты от перехвата, для защиты информации во время транзакции используют как симметричные, так и ассиметричные криптоалгоритмы. Вместе с тем используются дополнительные каналы связи отличные от Интернет - каналов: факс, телефон, обычная почта и т.д.

Учитывая, что зарубежное и Российское законодательство приравнивает цифровую подпись к рукописной, широкое распространение получило аутентификация транзакций на основе концепции цифровой подписи.

При рассмотрении возможности перехвата интересующей информации, нельзя не исключить "человеческий фактор", поэтому одновременно с программно-аппаратными средствами необходимо использовать и организационные, обеспечивающие охрану информационных ресурсов, исключение шантажа, контроль за паролями и т.д.

Для защиты информации от перехвата используются протокол шифрования SSL (Secure Sockets Layer) и SET (Secure Electronic Transaction). Однако в основе SSL лежит схема асимметричного шифрования с открытым ключом, в качестве шифровальной схемы используется алгоритм RSA, ввиду технических особенностей этот алгоритм считается менее надежным. SET более защищенный протокол, но технологически сложный и дорогой. Поэтому его повсеместное внедрение не осуществляется и вопрос безопасности остается открытым.

Оценивание информационных рисков компании является одной из важнейших задач аудита информационной безопасности корпоративных систем как сегмента сети Интернет. Она решается при помощи идентификации ресурсов, оценивания показателей значимости ресурсов, угроз, уязвимых мест в системе защиты информации и средств обеспечения информационной безопасности.

Эффективность электронной коммерции

В настоящее время используется множество разнообразных систем электронного бизнеса. Это вызывает проблемы при выборе системы ЭК для решения конкретной задачи, стоящей перед пользователем. Предлагается использовать метод анализа иерархий для оценки параметров, по которым сравниваются системы ЭК.

Эффективность систем ЭК обозначает меру соответствия используемых в ней технологий, приемов и правил коммерческим потребностям ее субъектов.

Сейчас многие методики оценки эффективности Interntet-проектов, к которым относятся и системы ЭК, базируются на таких показателях работы, как частота посещаемости сайта и время, которое проводит посетитель на сайте. Например, для электронного магазина важным фактором оценки эффективности его функционирования является количество посетителей.

Существуют такие направления оценки эффективности систем ЭК:

экономическое;

организационное;

маркетинговое.

Эти три направления взаимосвязаны.

Экономическая эффективность может быть определена как отношение прибыли P, полученной вследствие применения системы, к затратам Z, связанным с ее разработкой и эксплуатацией: . Затраты при этом определяются как сумма капитальных вложений в проектирование, приобретение компонент и реализацию системы и эксплуатационных затрат. Но получить эти оценки можно только после внедрения системы. Пользователю же необходимо иметь средства выбора системы для реализации конкретной задачи, стоящей перед ним.

Чтобы сравнивать системы ЭК, можно использовать методы, применяемые для анализа открытых систем, которые предоставляют средства выявления приоритетов лица, принимающего решение (ЛПР), и измерения интенсивности взаимодействия компонент, описывающих структуру системы иерархии.

Введение ……………………………………………………… ………………..…3
1.Электронная коммерция и история ее развития…………………….............. ..5
1.1. История электронной коммерции…………………………………………...6
2. Безопасность электронной коммерции………………………………………..8
2.1. Риски и угрозы……………………………………………………….…… ...11
Заключение…………………………………………………… ………………….17
Список использованной литературы…………………………………………... 20

Введение

Глобальная сеть Internet сделала электронную коммерцию доступной для фирм любого масштаба. Если раньше организация электронного обмена данными требовала заметных вложений в коммуникационную инфраструктуру и была по плечу лишь крупным компаниям, то использование Internet позволяет сегодня вступить в ряды "электронных торговцев" и небольшим фирмам. Электронная витрина в World Wide Web дает любой компании возможность привлекать клиентов со всего мира. Подобный on-line бизнес формирует новый канал для сбыта - "виртуальный", почти не требующий материальных вложений. Если информация, услуги или продукция (например, программное обеспечение) могут быть поставлены через Web, то весь процесс продажи (включая оплату) может происходить в on-line режиме.
Под определение электронной коммерции подпадают не только системы, ориентированные на Internet, но также и "электронные магазины", использующие иные коммуникационные среды - BBS, VAN и т.д. В то же время процедуры продаж, инициированных информацией из WWW, но использующих для обмена данными факс, телефон и пр., могут быть лишь частично отнесены к классу электронной коммерции. Отметим также, что, несмотря на то, что WWW является технологической базой электронной коммерции, в ряде систем используются и другие коммуникационные возможности. Так, запросы к продавцу для уточнения параметров товара или для оформления заказа могут быть посланы и через электронную почту.
На сегодняшний день доминирующим платежным средством при on-line покупках являются кредитные карточки. Однако на сцену выходят и новые платежные инструменты: смарт-карты, цифровые деньги (digital cash), микроплатежи и электронные чеки.
Электронная коммерция включает в себя не только on-line транзакции. В область, охватываемую этим понятием, необходимо включить и такие виды деятельности, как проведение маркетинговых исследований, определение возможностей и партнеров, поддержка связей с поставщиками и потребителями, организация документооборота и пр. Таким образом, электронная коммерция является комплексным понятием и включает в себя электронный обмен данными как одну из составляющих.

    Электронная коммерция и история ее развития
Электронная коммерция – вид хозяйственной деятельности по продвижению товаров и услуг от производителя к потребителю через электронные компьютерные сети. Другими словами, электронная коммерция – маркетинг, приобретение и продажа товаров и услуг через компьютерные сети, в основном сеть Интернет. Электронная коммерция предоставляет новые возможности для повышения эффективности коммерческой деятельности в целом.
В отличии от традиционной коммерции электронная коммерция предоставляет следующие возможности компаниям:
А) Продавать свою продукцию через Интернет;
Б) Развивать и координировать отношения с потребителями и поставщиками;
В) Обмениваться электронным путем товарами и услугами;
Г) Уменьшить цену на доставку цифровых продуктов и на послепродажную поддержку покупателя;
Д) Быстро реагировать на изменения рынка;
Е) Снизить накладные расходы;
Ж) Улучшать обслуживание клиентов и внедрять собственные сервисы для покупателей;
З) Расширять круг потребителей;
И) Учитывать индивидуальные нужды покупателя;
Покупателям электронная коммерция позволяет:
А) Покупать товар в любое время и в любом месте;
Б) Провести сравнительный анализ цен и выбрать лучшую;
В) Получить одновременно доступ к широкому ассортименту товаров;
Г) Выбирать удобные механизмы для совершения покупок;
Д) Получать информацию и новости в зависимости от своих предпочтений.
1.1 История электронной коммерции

Первые системы электронной коммерции появились в 1960 –х годах в США. Они применялись в транспортных компаниях для обмена данными между различными службами при подготовке рейсов и для заказа билетов.
Первоначально такая коммерция велась с использованием сетей, не входящих в сеть Интернет, по специальным стандартам электронного обмена данными между организациями.
К концу 1960-х годов в США существовало четыре индустриальных стандарта для обмена данными в различных транспортных компаниях. Для объединения этих стандартов в 1968 г. был создан специальный Комитет согласования транспортных данных. результаты работы легли в основу нового EDI- стандарта.
В 1970-е годы аналогичные события происходили в Англии. В этой стране главной областью применения EDI был не транспорт, а торговля. Выбранный здесь набор спецификаций Tradacoms был принят Европейской экономической комиссией ООН в качестве стандарта обмена данными в международных торговых организациях.
В 1980-х годах начались работы по объединению европейских и американских стандартов. В результате этой работы на 42-й сессии Рабочей группы по упрощению процедур международной торговли в сентябре 1996 г. была принята Рекомендация № 25 «Использование стандарта Организации Объединенных Нации для электронного обмена данными в управлении, торговле и на транспорте».
Таким образом. В начале 1990-х годов появился стандарт EDI-FACT, принятый ISO (ISO 9735).
Но окончательное слияние американского и европейского стандартов не произошло. Для электронного обмена данными появилась новая, более перспективная возможность – обмен данными через Интернет.
Развитие интернета с его низкой себестоимостью передачи данных сделало актуальной модернизацию EDI систем. В результате в середине 1990 годов был разработан еще один стандарт – EDIFACT over Internet (EDIINT), описывающий как передавать EDI – транзакцию посредством протоколов безопасной электронной почты SMTP/S-MIME.
Для возникновения и роста популярности электронной коммерции существует ряд демографических и технологических предпосылок, таких, как:
а) широко распространенный доступ к информационным технологиям, в частности компьютерам и интернету;
б) повышение уровня образования общества и, следовательно, более свободное обращение с технологиями;
в) технический прогресс и цифровая революция сделали возможным взаимодействие между собой многих цифровых устройств, например компьютера, мобильного телефона, и другое;
г) глобализация, открытая экономика, конкуренция в глобальном масштабе;
д) доступность электронной коммерции для кого угодно, в какое угодно время, и в каком угодно месте.
е) стремление к экономии времени;
ж) рост ассортимента товаров и услуг, возрастание спроса на специальные товары и услуги.

    Безопасность электронной комме рции.
Одной из основных проблем электронной коммерции на сегодняшний день остается проблема безопасности, т.е. сведение к минимуму рисков и защита информации.
Причинами нарушения нормального функционирования компании в сети Интернет могут быть: компьютерные вирусы, мошенничество, приводящее к финансовым убыткам; кража конфиденциальной информации; незаконное вмешательство в файлы с конфиденциальной информацией о потребителях и т.п.
Степень защиты веб – сайта электронной компании зависит от уровня секретности его информации и потребностей в ее соблюдении. Так, например, если на сайте вводятся номера кредитных карточек, то необходимо обеспечить наиболее высокую степень защиты веб – сервера.
Задачи соблюдения безопасности в электронной коммерции сводятся к аутентификации пользователей, соблюдению конфиденциальности и целостности информации: аутентификация – проверка подлинности пользователя; конфиденциальность – обеспечение сохранения частной информации, предоставленной пользователем; целостность информации – отсутствие искажений в передаваемой информации.
Угрозой нарушения целостности информации на веб - сервере могут выступать хакеры и вирусы.
Хакер проникает на слабо защищенные компьютеры и серверы и устанавливает специальные программы – невидимки, которые достаточно трудно обнаруживаются. Обычно такая программа – невидимка не наносит вреда веб – сайту, но создает большую перегруженность в сети. Хакер определяет цель своего нападения и активизирует заранее установленную программу, посылая команду через Интернет на несколько компьютеров. С этого начинается атака, которая приводит к перегруженности сети коммерческого предприятия.
Еще одним серьезным видом нарушения безопасности компьютеров и серверов в Интернете является вирус. Вирусы нарушают целостность системы и вводят в заблуждение средства защиты информации. Наилучшим средством защиты от вирусов является установка и периодическое обновление антивирусных программ, а так же использование брандмауэров. Брандмауэр – это фильтр, устанавливаемый между корпоративной сетью и сетью интернет для защиты информации и файлов от несанкционированного доступа и для разрешения доступа только уполномоченным лицам. Таким образом, брандмауэр препятствует проникновению компьютерных вирусов и доступу хакеров в сеть предприятия и защищает ее от внешнего воздействия при подключении к Интернету.
При внедрении электронной коммерции одним из важнейших вопросов становиться конфиденциальность информации. Информация, предоставляемая пользователем компании, должна быть надежно защищена. Одним из способов обеспечения безопасной и конфиденциальной передачи данных по компьютерным сетям является криптография, т.е. шифрование или кодирование данных таким образом, чтобы прочитать их могли только стороны, участвующие в конкретной операции.
При шифровании отправитель сообщения преобразует текст в набор символов, который не возможно прочитать без применения специального ключа, известного получателю. Ключ к шифру представляет собой последовательность символов, сохраненных на жестком диске компьютера или на дискете. Степень защищенности информации зависит от алгоритма шифрования и длины ключа, измеряемой в битах.
Существует два вида алгоритмов шифрования:
    симметричные, в которых один и тот же ключ, известный обеим сторонам, используется и для шифрования, и для дешифрования информации;
    асимметричные, в которых используется два ключа, один – для шифрования, второй для дешифрования. Один из таких ключей является закрытым (секретным), второй открытым (общедоступным).
Одним из наиболее известных и перспективных способов аутентификации отправителя сообщений является электронная цифровая подпись (ЭЦП) – электронный эквивалент собственноручной подписи. В первые ЭЦП была предложена в 1976 году Уитфилдом Дифи из Станфордского университета. Федеральный закон Российской Федерации «об электронной цифровой подписи» сказано, что электронная цифровая подпись реквизит электронного документа, предназначенный для защиты данного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а так же установить отсутствие искажения информации в электронном документе.
Процесс применения электронной цифровой подписи выглядит следующим образом:
1. отправитель создает сообщение и шифрует его своим закрытым ключом, который в то же время является электронной цифровой подписью отправителя. При этом шифруется как сам текст общения так и ЭЦП, присоединенная в конце документа.
2. отправитель передает зашифрованное письмо и свой открытый ключ по каналам связи получателю;
3. получатель дешифрует сообщение открытым ключом отправителя.
4. совместно с ЭЦП обычно применяют одну из существующих ХЭШ - функций. ХЭШ - функция формирует строку символов, называемую сводкой сообщения, в процессе обработки сообщения. Отправитель создает сводку сообщения, шифрует ее и так же пересылает получателю. Получатель обрабатывает сообщение той же ХЭШ – функцией и то же получает сводку сообщения. Если обе сводки сообщения совпадает, то сообщение было получено без искажения.
5. для подтверждения принадлежности открытого ключа какому - либо конкретному лицу или коммерческому предприятию служат цифровые сертификаты. Цифровой сертификат – документ, выдаваемый центром сертификации, для подтверждения подлинности конкретного лица или предприятия путем проверки его имени и открытого ключа. Для получения цифрового сертификата надо обратится в центр сертификации и предоставить необходимые сведения. Каждый центр сертификации устанавливает свои цены и, как правило, выдает цифровой сертификат на год с возможностью продления после оплаты за следующий год.
Для решения вопросов безопасности в компаниях электронной коммерции используются протокол SSL и технология SET.
Протокол SSL – основной протокол, используемый для защиты данных, передаваемых по сети Интернет. Этот протокол основан на комбинации алгоритмов ассиметричного и симметричного шифрования. Он обеспечивает три основные функции: аутентификацию сервера, аутентификацию клиента и шифрованное соединение по протоколу SSL.
Протокол SET – протокол, используемый для трансакции между коммерческими банками и кредитными картами клиентов.
      Риски и угрозы
Любой бизнес связан с рисками, возникающими вследствии конкуренции, воровства, неустойчивости общественных предпочтений, стихийных бедствий и т.д. Однако, риски, связанные с электронной коммерцией, свои особенности и источники, среди которых:
Взломщики.
Невозможность привлечения компаньонов.
Отказы оборудования.
Сбои питания, коммуникационных линий или сети.
Зависимость от служб доставки.
Интенсивная конкуренция.
Ошибки программного обеспечения.
Изменения в политике и налогообложении.
Ограниченная пропускная способность системы.

Взломщики
Наиболее популяризованная угроза электронной коммерции исходит от компьютерных злоумышленников - взломщиков. Любое предприятие подвержено угрозе нападения преступников, крупные же предприятия электронной коммерции привлекают внимание компьютерных взломщиков разного уровня квалификации.
Причины этого внимания различны. В одних случаях это просто "чисто спортивный интерес", в других желание навредить, похитить деньги или бесплатно приобрести товар или услугу.
Безопасность сайта обеспечивается сочетанием следующих мер:
Резервное копирование важной информации.
Кадровая политика, позволяющая привлекать к работе только добросовестных людей и стимулировать добросовестность персонала. Наиболее опасные попытки взлома, исходящие изнутри компании.
Использование программного обеспечения с возможностями защиты данных и своевременное его обновление.
Обучение персонала идентификации целей и распознанию слабых мест системы.
Аудит и ведение журналов с целью обнаружения успешных и неудачных попыток взлома.
Как правило, взлом удается по причине легко угадываемого пароля, распространенных ошибок в конфигурации и несвоевременного обновления версий программного обеспечения. Для защиты от неслишком изощренного взломщика достаточно принятия относительно простых мер. На крайний случай, всегда должна иметься резервная копия критичных данных.

Невозможность привлечения компаньонов
Хотя атаки взломщиков вызывают наибольшие опасения, однако большинство неудач в области электронной коммерции все же связано с традиционными экономическими факторами. Создание и маркетинг крупного сайта электронной коммерции требует немалых средств. Компании предпочитают краткосрочные инвестиции, предлагая немедленный рост числа клиентов и доходов после утверждения торговой марки на рынке.
Крах электронной коммерции привел к разорению множество компаний, которые специализировались только на ней.

Отказы оборудования
Совершенно очевидно, что отказ важной части одного из компьютеров компании, деятельность которой сосредоточена в веб, может нанасти ей существенный ущерб.
Защита от простоя сайтов, работающих под высокой нагрузкой или выполняющих важные функции, обеспечивается дублированием, благодаря чему выход из строя любого компонента не сказывается на функциональность всей системы. Однако и здесь необходимо оценить потери от возможных простоев в сравнении с расходами на приобретение дополнительного оборудования.
Множество компьютеров, на которых выполняются Apache, PHP и MySQL, относительно просты в настройке. Кроме того, механизм репликации MySQL позволяет выполнять общую синхронизацию информации в базах данных. Тем не менее, большое число компьютеров означает и большие затраты на поддержание оборудования, сетевой инфраструктуры и хостинга.
Сбои питания, коммуникационных линий, сети и службы доставки
Зависимость от Интернет означает зависимость от множества взаимосвязанных поставщиков услуг, поэтому, если связь с остальным миром вдруг обрывается, не остается ничего иного, как ждать ее восстановления. Это же относится к перебоям в электропитании и забастовками или иными перебоям в электропитании и забастовками или иным перебоям в работе компании, занимающейся доставкой.
Располагая достаточным бюджетом, можно иметь дело с несколькими поставщиками услуг. Это влечет дополнительные расходы, однако обеспечивает бесперебойность работы в условиях отказа одного из них. От крайних перебоев в электропитании можно защищаться установкой источников бесперебойного питания.

Интенсивная конкуренция
В случае открытия киоска на улице оценка конкурентной среды не составляет особого труда - конкурентами будут все, кто торгует тем же товаром в пределах видимости. В случае электронной коммерции ситуация несколько сложнее.
В зависимости от расходов на доставку, а также учитывая колебания курсов валют и различий в стоимости рабочей силы, конкуренты могут располагаться где угодно. Интернет - в высшей степени конкурентная и активно развивающаяся среда. В популярных отраслях бизнеса новые конкуренты возникают почти ежедневно.
Риск, связанный с конкуренцией, с трудом поддается оценке. Здесь наиболее верная стратегия - поддержка современного уровня технологии.

Ошибки программного обеспечения
Когда коммерческая деятельность зависит от программного обеспечения, она уязвима к ошибкам в этом программном обеспечении.

Вероятность критических сбоев можно свести к минимуму за счет установки надежного программного обеспечения, nxfntkmyjuj тестирования после каждого случая замены неисправного оборудования и применения формальных процедур тестирования. Очень важно сопровождать тщательным тестированием любые нововведения в систему.
Для уменьшения вреда, наносимого сбоями программного обеспечения, следует своевременно создавать резервные копии всех данных. При внесении каких-либо изменений необходимо сохранить преждние конфигурации программ. Для быстрого обнаружения возможных неисправностей требуется вести постоянный мониторинг системы.

Изменения в политике налогообложения
Во многих странах деятельность в сфере электронного бизнеса не определена, либо недостаточно определена законодательно. Однако такое положение не может сохраняться вечно, и урегулирование вопроса приведет к возникновению ряда проблем, способных повлечь закрытие некоторых предприятий. К тому же всегда существует опасность повышения налогов.
Этих проблем избежать невозможно. В этой ситуации единственной разумной линией поведения будет внимательное отслеживание ситуации и приведение деятельности предприятия в соответствии с законодательством. Следует также изучить возможность лоббирования собственных интересов.

Ограниченная пропускная способность системы
На этапе проектирования системы обязательно следует просмотреть возможность ее роста. Успех неразрывно связан с нагрузками, поэтому система должна пускать наращивание оборудования.
Ограниченного роста производительности можно достичь заменой оборудования, однако скорость даже самого совершенного компьютера имеет предел, поэтому в программном обеспечении должна быть предусмотрена возможность при достижении указанного предела распределять нагрузку по нескольким системам. Например, система управления базами данных должна обеспечить одновременную обработку запросов от нескольких машин.
Наращивание системы не проходит безболезненно, однако своевременное его планирование на этапе разработки позволяет предвидеть многие неприятности, связанные с увеличением количества клиентов, и заранее их предупреждать.

Заключение
Хотя подключение к Интернету и предоставляет огромные выгоды из-за доступа к колоссальному объёму информации, оно же является опасным для сайтов с низким уровнем безопасности. Интернет страдает от серьёзных проблем с безопасностью, которые, если их игнорировать, могут привести к катастрофе для неподготовленных сайтов. Ошибки при проектировании TCP/IP, сложность администрирования хостов, уязвимые места в программах, и ряд других факторов в совокупности делают незащищенные сайты уязвимыми к действиям злоумышленников.
Организации должны ответить на следующие вопросы, чтобы правильно учесть возможные последствия подключения к Интернету в области безопасности:
Могут ли хакеры разрушить внутренние системы?
Может ли быть скомпрометирована (изменена или прочитана) важная информация организации при её передаче по Интернету?
Можно ли помешать работе организации?
Всё это - важные вопросы. Существует много технических решений для борьбы с основными проблемами безопасности Интернета. Тем не менее, все они имеют свою цену. Многие решения ограничивают функциональность ради увеличения безопасности. Другие требуют идти на значительные компромиссы в отношении лёгкости использования Интернета. Третьи требуют вложения значительных ресурсов - рабочего времени для внедрения и поддержания безопасности и денег для покупки и сопровождения оборудования и программ.
Цель политики безопасности для Интернета - принять решение о том, как организация собирается защищаться. Политика обычно состоит из двух частей - общих принципов и конкретных правил работы (которые эквивалентны специфической политике, описанной ниже). Общие принципы определяют подход к безопасности в Интернете. Правила же определяют что разрешено, а что - запрещено. Правила могут дополняться конкретными процедурами и различными руководствами.
Правда, существует и третий тип политики, который встречается в литературе по безопасности в Интернете. Это - технический подход. В этой публикации под техническим подходом будем понимать анализ, который помогает выполнять принципы и правила политики. Он, в основном, слишком техничен и сложен для понимания руководством организации. Поэтому он не может использоваться так же широко, как политика. Тем не менее, он обязателен при описании возможных решений, определяющих компромиссы, которые являются необходимым элементом при описании политики.
Чтобы политика для Интернета была эффективной, разработчики политики должны понимать смысл компромиссов, на которые им надо будет пойти. Эта политика также не должна противоречить другим руководящим документам организации. Данная публикация пытается дать техническим специалистам информацию, которую им надо будет объяснить разработчикам политики для Интернета. Она содержит эскизный проект политики, на основе которого потом можно будет принять конкретные технические решения.
Интернет - это важный ресурс, который изменил стиль деятельности многих людей и организаций. Тем не менее, Интернет страдает от серьёзных и широко распространенных проблем с безопасностью. Много организаций было атаковано или зондировано злоумышленниками, в результате чего они понесли большие финансовые потери и утратили свой престиж. В некоторых случаях организации были вынуждены временно отключиться от Интернета и потратили значительные средства на устранение проблем с конфигурациями хостов и сетей. Сайты, которые неосведомлены или игнорируют эти проблемы, подвергают себя риску сетевой атаки злоумышленниками. Даже те сайты, которые внедрили у себя меры по обеспечению безопасности, подвергаются тем же опасностям из-за появления новых уязвимых мест в сетевых программах и настойчивости некоторых злоумышленников.
Фундаментальная проблема состоит в том, что Интернет при проектировании и не задумывался как защищённая сеть. Некоторыми его проблемами в текущей версии TCP/IP являются:
Лёгкость перехвата данных и фальсификации адресов машин в сети - основная часть трафика Интернета - это нешифрованные данные. E-mail, пароли и файлы могут быть перехвачены, используя легко доступные программы.
Уязвимость средств TCP/IP - ряд средств TCP/IP не был спроектирован быть защищёнными и может быть скомпрометирован квалифицированными злоумышленниками; средства, используемые для тестирования особенно уязвимы.
Отсутствие политики - многие сайты по незнанию сконфигурированы таким образом, что предоставляют широкий доступ к себе со стороны Интернета, не учитывая возможность злоупотребления этим доступом; многие сайты разрешают работу большего числа сервисов TCP/IP, чем им требуется для работы и не пытаются ограничить доступ к информации о своих компьютерах, которая может помочь злоумышленникам.
Сложность конфигурирования - средства управления доступом хоста сложны; зачастую сложно правильно сконфигурировать и проверить эффективность установок. Средства, которые по ошибке неправильно сконфигурированы, могут привести к неавторизованному доступу.

Список использованной литературы
1. Материалы с сервера информационных технологий-http://www. citforum.ru
2. Что такое электронная коммерция? В. Завалеев, Центр Информационных Технологий. http://www.citforum.ru/ marketing/articles/art_1.shtml
3. http://www.proms.ru/book- wicommerce_theory.html
4. Кантарович А.А., Царев В.В. Учебники для вузов: Электронная коммерция 2002 г. , 320 Стр.

Введение

Термин «электронная коммерция» объединяет в себе множество различных технологий, в числе которых – EDI (Electronic Data Interchange – электронный обмен данными), электронная почта, Интернет, интранет (обмен информацией внутри компании), экстранет (обмен информацией с внешним миром).

Сферы применения системы электронной коммерции достаточно разнообразны. Они включают в себя широкий спектр деловых операций (бизнес-операций) и сделок, в частности:

установление контакта между потенциальным заказчиком и поставщиком;

электронный обмен необходимой информацией;

предпродажную и послепродажную поддержку клиента, купившего товар в электронном магазине (обеспечение подробной информацией о продукте или услуге, передача инструкций по использованию продукта, оперативные ответы на возникающие у покупателя вопросы);

осуществление непосредственно акта продажи товара или услуги;

электронную оплату покупки (с использованием электронного перевода денег, кредитных карточек, электронных денег, электронных чеков);

поставку покупателю продукта, включая как управление доставкой и его отслеживанием для физических товаров, так и непосредственную доставку товаров, которые могут распространяться электронным путем;

создание виртуального предприятия, представляющего собой группу независимых компаний, которые объединяют свои различные виды ресурсов для получения возможностей предоставления продуктов и услуг, недоступных для самостоятельно функционирующих фирм;

реализацию самостоятельных бизнес-процессов (совокупность связанных между собой операций, процедур, с помощью которых реализуется конкретная коммерческая цель деятельности компании в рамках определенной организационной структуры), совместно осуществляемых фирмой-производителем и ее торговыми партнерами.

Не менее разнообразны и сферы деятельности, в рамках которых может осуществляться электронная коммерция. К основным сферам деятельности, где может протекать электронная коммерция, относятся:

электронный маркетинг (Интернет-маркетинг);

финансирование создания электронных магазинов, а также их страхование;

коммерческие операции, включающие в себя заказ, получение товара и оплату;

совместная разработка несколькими компаниями нового продукта или услуги;

организация распределенного совместного производства продукции;

администрирование бизнеса (налоги, таможня, разрешения, концессии и т. д.);

транспортное обслуживание, техника перевозок и способы снабжения;

ведение бухгалтерского учета;

разрешение конфликтных ситуаций и спорных вопросов.

Электронная коммерция может осуществляться на разных уровнях:

национальном;

интернациональном (международном).

Безопасность электронной коммерции.

Безопасность - это состояние, при котором отсутствует возможность причинения ущерба потребностям и интересам субъектов отношений.

Обеспечение информационной безопасности является одним из ключевых моментов обеспечения безопасности предприятия. Как считают западные специалисты, утечка 20 % коммерческой информации в шестидесяти случаях из ста приводит к банкротству предприятия. Потому физическая, экономическая и информационная безопасность очень тесно взаимосвязаны.

Коммерческая информация имеет разные формы представления. Это может быть и информация, переданная устно, и документированная информация, зафиксированная на различных материальных носителях (например, на бумаге или на дискете), и информация, передаваемая по различным линиям связи или компьютерным сетям.

Злоумышленниками в информационной сфере используются разные методы добывания информации. Сюда входят «классические» методы шпионажа (шантаж, подкуп и др.), методы промышленного шпионажа, несанкционированное использование средств вычислительной техники, аналитические методы. Поэтому спектр угроз информационной безопасности чрезвычайно широк.

Новую область для промышленного шпионажа и различных других правонарушений открывает широкое использование средств вычислительной техники и технологий электронной коммерции.

С помощью технических средств промышленного шпионажа не только различными способами подслушивают или подсматривают за действиями конкурентов, но и получают информацию, непосредственно обрабатываемую в средствах вычислительной техники. Наибольшую опасность здесь представляет непосредственное использование злоумышленниками средств вычислительной техники, что породило новый вид преступлений - компьютерные преступления, т. е. несанкционированный доступ к информации, обрабатываемой в ЭВМ, в том числе и с помощью технологий электронной коммерции.

Противодействовать компьютерной преступности сложно, что главным образом объясняется:

Новизной и сложностью проблемы;

Сложностью своевременного выявления компьютерного преступления и идентификации злоумышленника;

Возможностью выполнения преступления с использованием средств удаленного доступа, т. е. злоумышленника может вообще не быть на месте преступления;

Трудностями сбора и юридического оформления доказательств компьютерного преступления.

Принципы создания и функционирования систем обеспечения безопасности можно разбить на три основных блока: общие принципы обеспечения защиты, организационные принципы и принципы реализации системы защиты.

К общим принципам обеспечения защиты относятся:

1) принцип неопределенности. Обусловлен тем, что при обеспечении защиты неизвестно, кто, когда, где и каким образом попытается нарушить безопасность объекта защиты;

2) принцип невозможности создания идеальной системы защиты. Этот принцип следует из принципа неопределенности и ограниченности ресурсов, которыми, как правило, располагает система безопасности;

3) принцип минимального риска. Заключается в том, что при создании системы защиты необходимо выбирать минимальную степень риска исходя из особенностей угроз безопасности, доступных ресурсов и конкретных условий, в которых находится объект защиты в любой момент времени;

4)принцип защиты всех от всех. Данный принцип предполагает необходимость защиты всех субъектов отношений против всех видов угроз.

К организационным принципам относят:

1)принцип законности. Важность соблюдения этого очевидного принципа трудно переоценить. Однако с возникновением новых правоотношений в российском законодательстве наряду с хорошо знакомыми объектами права, такими как «государственная собственность», «государственная тайна», появились новые - «частная собственность», «собственность предприятия», «интеллектуальная собственность», «коммерческая тайна», «конфиденциальная информация», «информация с ограниченным доступом». Нормативная правовая база, регламентирующая вопросы обеспечения безопасности, пока несовершенна;

2)принцип персональной ответственности. Каждый сотрудник предприятия, фирмы или их клиент несет персональную ответственность за обеспечение режима безопасности в рамках своих полномочий или соответствующих инструкций. Ответственность за нарушение режима безопасности должна быть заранее конкретизирована и персонифицирована;

3)принцип разграничения полномочий. Вероятность нарушения коммерческой тайны или нормального функционирования предприятия прямо пропорциональна количеству осведомленных лиц, обладающих информацией. Поэтому никого не следует знакомить с конфиденциальной информацией, если это не требуется для выполнения его должностных обязанностей;

4)принцип взаимодействия и сотрудничества. Внутренняя атмосфера безопасности достигается доверительными отношениями между сотрудниками. При этом необходимо добиваться того, чтобы персонал предприятия правильно понимал необходимость выполнения мероприятий, связанных с обеспечением безопасности, и в своих собственных интересах способствовал деятельности службы безопасности.

Для анализа проблемы обеспечения безопасности электронной коммерции необходимо определить интересы субъектов взаимоотношений, возникающих в процессе электронной коммерции.

Принято выделять следующие категории электронной коммерции: бизнес-бизнес, бизнес-потребитель, бизнес-администрация. При этом независимо от категории электронной коммерции выделяют классы субъектов: финансовые институты, клиенты и бизнес организации.

Открытый характер интернет технологий, доступность передаваемой по сети информации означает, что общие интересы субъектов электронной коммерции заключаются в обеспечении информационной безопасности электронной коммерции. Информационная безопасность включает в себя обеспечение аутентификации партнеров по взаимодействию, целостности и конфиденциальности передаваемой по сети информации, доступности сервисов и управляемости инфраструктуры.

Спектр интересов субъектов электронной коммерции в области информационной безопасности можно подразделить на следующие основные категории:

Доступность (возможность за приемлемое время получить требуемую услугу);

Целостность (актуальность и непротиворечивость информации, ее защищенность от разрушений и несанкционированного изменения);

Конфиденциальность (защита информации от несанкционированного ознакомления).

Информационная безопасность является одним из важнейших компонентов интегральной безопасности электронной коммерции.

Число атак на информационные системы по всему миру каждый год удваивается. В таких условиях система информационной безопасности электронной коммерции должна уметь противостоять многочисленным и разнообразным внутренним и внешним угрозам.

Основные угрозы информационной безопасности электронной коммерции связаны:

С умышленными посягательствами на интересы субъектов электронной коммерции (компьютерные преступления и компьютерные вирусы);

Неумышленными действиями обслуживающего персонала (ошибки, упущения и т. д.);

Воздействием технических факторов, способным привести к искажению и разрушению информации (сбои электроснабжения, программные сбои);

Воздействием техногенных факторов (стихийные бедствия, пожары, крупномасштабные аварии и т. д.).

Угрозы безопасности могут быть связаны с действиями факторов, значение и влияние которых практически всегда неизвестно. Поэтому невозможно создать абсолютно безопасную систему. При создании системы безопасности электронной коммерции необходимо минимизировать степень риска возникновения ущерба исходя из особенностей угроз безопасности и конкретных условий предприятия, занимающегося электронной коммерцией.

При этом необходимо основываться на принципе достаточности, который заключается в том, что проводимые в интересах обеспечения безопасности электронной коммерции мероприятия с учетом потенциальных угроз должны быть минимальны и достаточны.

Объем принимаемых мер безопасности должен соответствовать существующим угрозам, в противном случае система безопасности будет экономически неэффективна. В соответствии с этим для обоснования эффективности мероприятий по обеспечению безопасности электронной коммерции применяется ряд критериев, так или иначе основанных на сравнении убытков, возникающих при нарушении безопасности, и стоимости проведения мероприятий по обеспечению безопасности электронной коммерции.

Убытки, которые могут возникать на предприятии, занимающемся электронной коммерцией, из-за нарушения информационной безопасности можно разделить на прямые и косвенные.

Прямые убытки могут быть выражены в стоимости:

Восстановления поврежденной или физически утраченной информации в результате пожара, стихийного бедствия, кражи, ограбления, ошибки в эксплуатации, неосторожности обслуживающего персонала, взлома компьютерных систем и действий вирусов;

Ничтожных (незаконных) операций с денежными средствами и ценными бумагами, проведенных в электронной форме, путем несанкционированного проникновения в компьютерные системы и сети, а также злоумышленной модификации данных, преднамеренной порчи данных на электронных носителях при хранении, перевозке или перезаписи информации, передачи и получения сфальсифицированных поручений в сетях электронной передачи данных и др.;

Возмещения причиненного физического и/или имущественного ущерба третьим лицам (субъектам электронной коммерции - клиентам, пользователям).

Косвенные убытки могут выражаться в текущих расходах на выплату заработной платы, процентов по кредитам, арендной платы, амортизации и потерянной прибыли, возникающих при вынужденной приостановке коммерческой деятельности предприятия из-за нарушения безопасности предприятия.

Убытки и связанные с их возникновением риски относятся к финансовым категориям, методики экономической оценки которых разработаны и известны. Поэтому не будем останавливаться на их подробном анализе.

Можно выделить два основных критерия, позволяющих оценить эффективность системы защиты:

Отношение стоимости системы защиты (включая текущие расходы на поддержание работоспособности этой системы) к убыткам, которые могут возникнуть при нарушении безопасности;

Отношение стоимости системы защиты к стоимости взлома этой системы с целью нарушения безопасности.

Смысл указанных критериев заключается в следующем: если стоимость системы защиты, обеспечивающей заданный уровень безопасности, оказывается меньше затрат по возмещению убытков, понесенных в результате нарушения безопасности, то мероприятия по обеспечению безопасности считаются эффективными.

2. Витрина интернет-магазина.















Список литературы

1. Мэйволд Э. Электронная коммерция: требования к безопасности http://www.intuit.ru/department/security/netsec/ Электронный бизнес и безопасность / В.А.Быков.-М.:Радио и связь, 2013.

2. Авдошин С.М., Савельева А.А., Сердюк В.А., Технологии и продукты Microsoft в обеспечении информационной безопасности – электронный ресурсhttp://www.intuit.ru/department/security/mssec/