Информационная безопасность электронной коммерции (ЭК)

источниками незаконного вторжения. Эти системы  могут также предотвращать

попытки вызвать отказ от обслуживания.

Защита  данных сайта

Для защиты данных сайта необходимо проанализировать данные,

используемые  сайтом, и определить политику безопасности. Эти данные могут

представлять  собой HTML-код, подробности о клиентах и продуктах, хранящиеся в

базе  данных, каталоги, пароли и другую аутентификационную информацию. Вот

несколько основных принципов, которые можно  использовать при определении

политики безопасности данных:

· Необходимо держать чувствительные данные за внутренним

брандмауэром, в защищенной внутренней сети. К  чувствительным

данным  должно быть обеспечено минимальное  число точек доступа.

При этом необходимо помнить, что добавление уровней безопасности и

усложнение  доступа в систему влияет на работу системы в целом.

· Базы данных, хранящие низко чувствительные данные, могут

располагаться на серверах DMZ.

· Пароли могут храниться после преобразования с помощью

односторонних алгоритмов. Однако это делает невозможным

реализацию  общепринятой (и популярной) возможности  обрабатывать

сообщения типа "Я забыл мой пароль, пожалуйста, вышлите мне его по

электронной почте", хотя при этом можно создать  новый пароль и

высылать  его в качестве альтернативы.

· Чувствительная информация – такая, как номера кредитных карт –

может храниться в базах данных и  после шифрования. Расшифровывать

ее каждый раз при возникновении такой  необходимости могут только

авторизованные  пользователи и приложения. Однако это также влияет

на скорость работы системы в целом.

Можно защитить данные сайта и с помощью  компонент среднего яруса. Эти

компоненты  могут быть запрограммированы для  аутентификации пользователей,

разрешая  доступ к базе данных и ее компонентам  только авторизованным

пользователям и защищая их от внешних угроз.

Можно реализовать дополнительные функции  безопасности серверной части

145

системы. Например, для предотвращения несанкционированного внутреннего доступа

к базе данных можно использовать пользовательские функции безопасности SQL

Server.

Заметьте, что не менее важно защищать и  резервные копии, содержащие

информацию  о потребителях.

Ситуация  усугубляется еще и тем, что каждую неделю обнаруживаются все

новые и новые способы проникновения  или повреждения данных, следить за

появлением  которых в состоянии только профессиональные организации,

специализирующиеся  на информационной безопасности.

Интеграция  коммерции в Интернет сулит кардинальное изменение положения

с обеспечением безопасности. С ростом коммерциализации Интернет вопросам защиты

передаваемой  по сети информации уделяется все  больше внимания. Поэтому прогресс

в области  безопасности информации во многом определяет развитие процесса

электронной коммерции.

В России развитие электронной коммерции  сдерживается:

· Отсутствием или слабым развитием инфраструктуры ЭК, в частности,

надежной  и повсеместной инфраструктуры доставки товара покупателю

(курьерские  службы и т.п.), особенно через  «электронный магазин»,

находящийся в другом городе.

· Отставанием государственной правоприменительной практики и, как

следствие, отсутствие или слабые гарантии исполнения сделок,

заключенных в электронной форме.

· Наличием объективных и субъективных предпосылок для развития

мошенничества, связанных с использованием Интернета  для

коммерции.

· Слабой маркетинговой проработкой проектов ЭК.

· Трудностями в отплате товаров, в частности, отсутствие доверия

населения к коммерческим банкам.

Низкий  уровень доходов большинства  населения России делает деньги более

весомым богатством, чем время, поэтому многие Россияне не согласны оплачивать

наряду  со стоимостью товара расходы на его  доставку, и предпочитают делать покупки

в обычных  магазинах. Поэтому ЭК может широко распространиться в России только

после существенного улучшения экономической  обстановки в стране.

 

Заключение

Проблема  информационной безопасности экономических  объектов

многоаспектна и нуждается в дальнейшей проработке.

В современном  мире информатизация становится стратегическим национальным

ресурсом, одним из основных богатств экономически развитого государства. Быстрое

совершенствование информатизации в России, проникновение  ее во все сферы

жизненно  важных интересов личности, общества и государства повлекли помимо

несомненных преимуществ и появление ряда существенных проблем. Одной из них

стала необходимость защиты информации. Учитывая, что в настоящее время

экономический потенциал все в большей степени  определяется уровнем развития

информационной  инфраструктуры, пропорционально растет потенциальная уязвимость

экономики по отношению к информационным воздействиям.

Реализация  угроз информационной безопасности заключается в нарушении

конфиденциальности, целостности и доступности информации. С позиций системного

подхода к защите информации необходимо использовать весь арсенал имеющихся

средств защиты во всех структурных элементах экономического объекта и на всех

этапах  технологического цикла обработки  информации. Методы и средства защиты

должны  надежно перекрывать возможные  пути неправомерного доступа к охраняемым

секретам. Эффективность информационной безопасности означает, что затраты на ее

осуществление не должны быть больше возможных потерь от реализации

информационных  угроз. Планирование безопасности информации осуществляется

путем разработки каждой службой детальных  планов защиты информации.

Необходима  четкость в осуществлении полномочий и прав пользователей на доступ к

определенным  видам информации, в обеспечении  контроля средств защиты и

немедленного  реагирования на их выход из строя.

 

Под информационной безопасностью Российской Федерации понимается состояние

защищенности  ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства. 

Под угрозой безопасности информации понимаются события или действия,

которые могут привести к искажению, несанкционированному использованию или

даже  к разрушению информационных ресурсов управляемой системы, а также

программных и аппаратных средств. 

Информационная  безопасность включает: 

ü состояние защищенности информационного пространства, обеспечивающее его

формирование  и развитие в интересах граждан, организаций и государства;

ü состояние инфраструктуры, при котором информация используется строго по

назначению  и не оказывает негативного воздействия  на систему при ее

использовании;

ü состояние информации, при котором исключается или существенно

затрудняется  нарушение таких ее свойств, как  конфиденциальность,

целостность и доступность;

ü экономическую составляющую (структуры управления в экономической сфере,

включая системы сбора, накопления и обработки информации в интересах

управления  производственными структурами, системы  общеэкономического

анализа и прогнозирования хозяйственного развития, системы управления и

координации в промышленности и на транспорте, системы управления

энергосистем, централизованного снабжения, системы принятия решения и

координации действий в чрезвычайных ситуациях, информационные и

телекоммуникационные  системы);

ü финансовую составляющую (информационные сети и базы данных банков и

банковских  объединений, системы финансового обмена и финансовых

расчетов). 

Обеспечение информационной безопасности должно начинаться с выявления

субъектов отношений, связанных с использованием информационных систем. Спектр

их интересов  может быть разделен на следующие  основные категории: доступность

(возможность  за приемлемое время получить  требуемую информационную услугу),

целостность (актуальность и непротиворечивость информации, ее защищенность от

разрушения  и несанкционированного изменения), конфиденциальность (защита от

несанкционированного ознакомления). 

К объектам информационной безопасности на предприятии относят:

информационные  ресурсы, содержащие сведения, отнесенные к коммерческой тайне и конфиденциальную информацию, представленную в виде информационных массивов и баз данных;

средства  и системы информатизации – средства вычислительной и информационной техники, сети и системы, общесистемное и  прикладное программное обеспечение, автоматизированные системы управления, системы связи и передачи данных, технические средства сбора, регистрации, передачи, обработки и отображения информации, а так же их информационные физические поля.