Информационная безопасность электронной коммерции (ЭК)

Система обеспечения безопасности информации включает подсистемы:

- компьютерную  безопасность;

- безопасность  данных;

- безопасное  программное обеспечение;

- безопасность  коммуникаций. 

Компьютерная  безопасность обеспечивается комплексом технологических и

административных  мер, применяемых в отношении  аппаратных средств компьютера с целью обеспечения доступности, целостности и конфиденциальности, связанных с ним ресурсов.

Безопасность  данных достигается защитой данных от неавторизованных,

случайных, умышленных или возникших по халатности модификаций, разрушений или разглашении.

Безопасное  программное обеспечение представляет собой общесистемные и

прикладные программы и средства, осуществляющие безопасную обработку данных и безопасно использующие ресурсы системы.

Безопасность  коммуникаций обеспечивается принятием мер по предотвращению предоставления неавторизованным лицам информации, которая может быть выдана системой в ответ на телекоммуникационный запрос.

Политика  безопасности включает в себя анализ возможных угроз и выбор

соответствующих мер противодействия, являющихся совокупностью  тех норм, правил поведения, которыми пользуется конкретная организация при обработке информации и ее защите.

Угроза  безопасности информации - события или действия, которые могут

привести  к искажению, неразрешенному использованию  или к разрушению

информационных  ресурсов управления системы, а также  программных и аппаратных

средств.

Защита  информации (ЗИ) - комплекс мероприятий, направленных на обеспечение важнейших аспектов информационной безопасности: целостности,

доступности и, если нужно, конфиденциальности информации и ресурсов,

используемых  для ввода, хранения, обработки и  передачи данных.

Основные  предметные направления ЗИ - охрана государственной,

коммерческой, служебной, банковской тайн, персональных данных и интеллектуальной

собственности. 

Система - это совокупность взаимосвязанных элементов, подчиненных единой

цели. 

Признаками системы являются следующие:

1. Элементы  системы взаимосвязаны и взаимодействуют  в рамках системы.

2. Каждый  элемент системы может в свою  очередь рассматриваться как

самостоятельная система, но он выполняет только часть  функций системы.

3. Система как целое выполняет определенную функцию, которая не может быть

сведена к функциям отдельно взятого элемента.

4. Подсистемы  могут взаимодействовать как  между собой, так и с внешней  средой

и изменять при этом свое содержание или внутреннее строение. 

Под системой безопасности будем понимать организованную совокупность

специальных органов, служб, средств, методов и  мероприятий, обеспечивающих

защиту  жизненно важных интересов личности, предприятия и государства от

внутренних  и внешних угроз. 

Система защиты информации представляет организованную совокупность

специальных органов, средств, методов и мероприятий, обеспечивающих защиту

информации  от внутренних и внешних угроз 
 

С позиций  системного подхода к защите информации предъявляются

определенные  требования:

§ обеспечение безопасности информации не может быть одноразовым актом. Это

непрерывный процесс, заключающийся в обосновании  и реализации наиболее

рациональных  методов, способов и путей совершенствования  и развития

системы защиты, непрерывном контроле ее состояния, выявления ее узких и

слабых  мест и противоправных действий;

§ безопасность информации может быть обеспечена лишь при комплексном

использовании всего арсенала имеющихся средств  защиты во всех структурных

элементах экономической системы и на всех этапах технологического цикла

обработки информации;

§ планирование безопасности информации осуществляется путем разработки

каждой  службой детальных планов защиты информации в сфере ее

компетенции;

§ защите подлежат конкретные данные, объективно подлежащие охране, утрата

которых может причинить организации  определенный ущерб;

§ методы и средства защиты должны надежно перекрывать возможные пути

неправомерного  доступа к охраняемым секретам;

§ эффективность защиты информации означает, что затраты на ее осуществление

не должны быть больше возможных потерь от реализации информационных

угроз;

§ четкость определения полномочий и прав пользователей на доступ к

определенным  видам информации;

§ предоставление пользователю минимальных полномочий, необходимых ему для

выполнения  порученной работы;

§ сведение к минимуму числа общих для нескольких пользователей средств

защиты;

§ учет случаев и попыток несанкционированного доступа к конфиденциальной

12

информации; обеспечение степени конфиденциальной информации;

§ обеспечение контроля целостности средств защиты и немедленное реагирование

на их выход из строя.

Система защиты информации, как любая система, должна иметь определенные

виды  собственного обеспечения, опираясь на которые она будет выполнять  свою

целевую функцию. С учетом этого система  защиты информации может иметь:

правовое  обеспечение. Сюда входят нормативные  документы, положения,

инструкции, руководства, требования которых являются обязательными в рамках

сферы действия;

организационное обеспечение. Имеется в виду, что  реализация защиты

информации  осуществляется определенными структурными единицами, такими как:

служба  безопасности, служба режима, служба защиты информации техническими

средствами  и др.

аппаратное  обеспечение. Предполагается широкое  использование технических

средств, как для защиты информации, так  и для обеспечения деятельности собственно

системы защиты информации;

информационное  обеспечение. Оно включает в себя документированные

сведения (показатели, файлы), лежащие в основе решения задач, обеспечивающих

функционирование  системы. Сюда могут входить как  показатели доступа, учета,

хранения, так и системы информационного  обеспечения расчетных задач  различного

характера, связанных с деятельностью службы обеспечения безопасности;

программное обеспечение. К нему относятся антивирусные программы, а

также программы (или части программ регулярного  применения), реализующие

контрольные функции при решении учетных, статистических, финансовых, кредитных

и других задач;

математическое  обеспечение. Предполагает использование  математических

методов для различных расчетов, связанных  с оценкой опасности технических  средств

злоумышленников, зон и норм необходимой защиты;

лингвистическое обеспечение. Совокупность специальных  языковых средств

общения специалистов и пользователей в  сфере защиты информации;

нормативно-методическое обеспечение. Сюда входят нормы и  регламенты

деятельности  органов, служб, средств, реализующих  функции защиты информации,

различного  рода методики, обеспечивающие деятельность пользователей при

выполнении  своей работы в условиях жестких  требований защиты информации;

эргономическое  обеспечение. Совокупность средств, обеспечивающих

удобства  работы пользователей аппаратных средств защиты информации. 

Информацию  различают по отраслям знаний: техническая,

экономическая, биологическая и т.п.

Экономическая информация относится к области экономических знаний.

Она характеризует  процессы снабжения, производства, распределения и

потребления материальных благ. 

В деятельности любой фирмы присутствует информационный ресурс -это

документы и массивы документов в информационных системах (библиотеках,

архивах, фондах, банках данных и др. информационных системах), т.е.

документированные знания. Информационные ресурсы в современном обществе

играют  не меньшую, а нередко и большую  роль, чем ресурсы материальные. Знание

- кому, когда и где продать товар  может цениться на меньше, чем  товар, и в этом

плане динамика развития общества свидетельствует о том, что на "весах"

материальных  и информационных ресурсов последние  начинают преобладать.

Причем  тем сильнее, чем белее общество открыто, чем более развиты в  нем средства

коммуникации, чем большей информацией оно  располагает.

Основные этапы построения системы защиты заключаются в следующем:

Анализ -> Разработка системы защиты (планирование) -> Реализация

системы защиты -> Сопровождение системы  защиты. 
 

План  защиты обычно содержит следующие группы сведений:

1. Политика  безопасности.

2. Текущее  состояние системы.

3. Рекомендации  по реализации системы защиты.

4. Ответственность  персонала.

5. Порядок  ввода в действие средств защиты.

6. Порядок  пересмотра плана и состава  средств защиты.