Информационная безопасность электронной коммерции (ЭК)

Количество пользователей Интернета достигло несколько сот миллионов и появилось новое качество в виде «виртуальной экономики». В ней покупки совершаются через торговые сайты, с использованием новых моделей ведения бизнеса, своей стратегией маркетинга и пр.

Электронная коммерция (ЭК) – это предпринимательская деятельность по продаже товаров через Интернет. Как правило выделяются две формы ЭК:

* торговля между предприятиями (business to business, B2B);

* торговля между предприятиями и физическими лицами, т.е. потребителями (business to consumer, B2С).

ЭК породила такие новые понятия как:

* Электронный магазин – витрина и торговые системы, которые используются производителями или дилерами при наличии спроса на товары.

* Электронный каталог – с большим ассортиментом товаров от различных производителей.

* Электронный аукцион – аналог классического аукциона с использованием Интернет-технологий, с характерной привязкой к мультимедийному интерфейсу, каналу доступа в Интернет и показом особенностей товара.

* Электронный универмаг – аналог обычного универмага, где обычные фирмы выставляют свой товар, с эффективным товарным брендом (Гостиный двор, ГУМ и т.д.).

* Виртуальные комъюнити (сообщества), в которых покупатели организуются по группам интересов (клубы болельщиков, ассоциации и т.д.).
Интернет в области ЭК приносит существенные выгоды:

* экономия крупных частных компаний от перевода закупок сырья и комплектующих на Интернет-биржи достигает 25 - 30%;

* участие в аукционе конкурирующих поставщиков со всего мира в реальном масштабе времени приводит к снижению запрограммированных ими за поставку товаров или услуг цен;

* повышение цен за товары или услуги в результате конкуренции покупателей со всего мира;

* экономия за счет сокращения числа необходимых сотрудников и объема бумажного делопроизводства.
Доминирующее положение в ЭК в западных странах стал сектор В2В, который к 2007 году по разным оценкам достигнет от 3 до 6 трлн. долларов. Первыми получили преимущества от перевода своего бизнеса в Интернет компании, продающие аппаратно-программные средства и представляющие компьютерные и телекоммуникационные услуги.

Каждый интернет-магазин включает две основных составляющих:

электронную витрину и торговую систему.
Электронная витрина содержит на Web-сайте информацию о продаваемых товарах, обеспечивает доступ к базе данных магазина, регистрирует покупателей, работает с электронной «корзиной» покупателя, оформляет заказы, собирает маркетинговую информацию, передает сведения в торговую систему.
Торговая система доставляет товар и оформляет платеж за него. Торговая система - это совокупность магазинов, владельцами которых являются разные фирмы, берущие в аренду место на Web-сервере, который принадлежит отдельной компании.
Технология функционирования интернет-магазина выглядит следующим образом:

Покупатель на электронной витрине с каталогом товаров и цен (Web-сайт) выбирает нужный товар и заполняет форму с личными данными (ФИО, почтовый и электронный адреса, предпочитаемый способ доставки и оплаты). Если происходит оплата через Интернет, то особое внимание уделяется информационной безопасности.

Передача оформленного товара в торговую систему интернет-магазина,

где происходит комплектация заказа. Торговая система функционирует ручным или автоматизированным способом. Ручная система функционирует по принципу Посылторга, при невозможности приобретения и наладки автоматизированной системы, как правило, при незначительном объеме товаров.

Доставка и оплата товара. Доставка товара покупателю осуществляется

одним из возможных способов:

* курьером магазина в пределах города и окрестностей;

* специализированной курьерской службой ( в том числе из-за границы);

* почтой;

* самовывозом;

* по телекоммуникационным сетям доставляется такой специфический

товар как информация.

Оплата товара может осуществляться следующими способами:

* предварительной или в момент получения товара;

* наличными курьеру или при визите в реальный магазин;

* почтовым переводом;

* банковским переводом;

* наложенным платежом;

* при помощи кредитных карт (VISA, MASTER CARD и др);

посредством электронных платежных систем через отдельные коммерческие

банки (ТЕЛЕБАНК, ASSIST и др.).

В последнее время электронная коммерция или торговля посредством сети Интернет в мире развивается достаточно бурно. Естественно, что этот процесс

осуществляется при непосредственном участии кредитно-финансовых организаций. И этот способ торговли становится все более популярным, по крайней мере, там, где новым электронным рынком можно воспользоваться значительной части предприятий и населения.

Коммерческая деятельность в электронных сетях снимает некоторые физические ограничения. Компании, подключая свои компьютерные системы к

Интернет, способны предоставить клиентам поддержку 24 часа в сутки без праздников и выходных. Заказы на продукцию могут приниматься в любое время из любого места.

Однако у этой «медали» есть своя оборотная сторона. За рубежом, где наиболее широко развивается электронная коммерция, сделки или стоимость товаров часто ограничиваются величиной 300-400 долларов. Это объясняется недостаточным решением проблем информационной безопасности в сетях ЭВМ. По оценке Комитета ООН по предупреждению преступности и борьбе с ней, компьютерная преступность вышла на уровень одной из международных проблем. В США этот вид преступной деятельности по доходности занимает третье место после торговли оружием и наркотиками.

Объем мирового оборота электронной коммерции через Интернет в 2006 году,

по прогнозам компании Forrester Tech., может составить от 1,8 до ,2 трлн. долл. Столь широкий диапазон прогноза определяется проблемой обеспечения экономической безопасности электронной коммерции. Если уровень безопасности сохранится на сегодняшнем уровне, то мировой оборот электронной коммерции может оказаться еще меньшим. Отсюда следует, что именно низкая защищенность системы электронной коммерции является сдерживающим фактором развития электронного бизнеса.

Решение проблемы обеспечения экономической безопасности электронной коммерции в первую очередь связано с решением вопросов защиты информационных технологий, применяемых в ней, то есть с обеспечением информационной безопасности.

Интеграция бизнес-процессов в среду Интернет приводит к кардинальному изменению положения с обеспечением безопасности. Порождение прав и ответственности на основании электронного документа требует всесторонней защиты от всей совокупности угроз, как отправителя документа, так и его получателя. К сожалению, руководители предприятий электронной коммерции в должной степени осознают серьезность информационных угроз и важность организации защиты своих ресурсов только после того, как последние подвергнуться информационным атакам. Как видно, все перечисленные препятствия относятся к сфере информационной безопасности.

Среди основных требований к проведению коммерческих операций – конфиденциальность, целостность, аутентификация, авторизация, гарантии и сохранение тайны.

При достижении безопасности информации обеспечение ее доступности, конфиденциальности, целостности и юридической значимости являются базовыми задачами. Каждая угроза должна рассматриваться с точки зрения того, как она может затронуть эти четыре свойства или качества безопасной информации.

Конфиденциальность означает, что информация ограниченного доступа должна быть доступна только тому, кому она предназначена. Под целостностью информации понимается ее свойство существования в неискаженном виде. Доступность информации определяется способностью системы обеспечивать своевременный беспрепятственный доступ к информации субъектов, имеющих на это надлежащие полномочия. Юридическая значимость информации приобретает важность в последнее время, вместе с созданием нормативно-правовой базы безопасности информации в нашей стране.

Если первые четыре требования можно обеспечить техническими средствами, то выполнение двух последних зависит и от технических средств, и от ответственности отдельных лиц и организаций, а также от соблюдения законов, защищающих потребителя от возможного мошенничества продавцов.

В рамках обеспечения комплексной информационной безопасности, прежде всего, следует выделить ключевые проблемы в области безопасности электронного бизнеса, которые включают:

защиту информации при ее передаче по каналам связи; защиту компьютерных систем, баз данных и электронного документооборота;

обеспечение долгосрочного хранения информации в электронном виде; обеспечение безопасности транзакций, секретность коммерческой информации, аутентификацию, защиту интеллектуальной собственности и др.
Существует несколько видов угроз электронной коммерции:

 Проникновение в систему извне.

 Несанкционированный доступ внутри компании.

 Преднамеренный перехват и чтение информации.

 Преднамеренное нарушение данных или сетей.

 Неправильная (с мошенническими целями) идентификация

пользователя.

 Взлом программно-аппаратной защиты.

 Несанкционированный доступ пользователя из одной сети в другую.

 Вирусные атаки.

 Отказ в обслуживании.

 Финансовое мошенничество.

Для противодействия этим угрозам используется целый ряд методов, основанных на различных технологиях, а именно: шифрование – кодирование данных, препятствующее их прочтению или искажению; цифровые подписи, проверяющие подлинность личности отправителя и получателя; stealth-технологии с использованием электронных ключей; брандмауэры; виртуальные и частные сети.

Ни один из методов защиты не является универсальным, например, брандмауэры не осуществляют проверку на наличие вирусов и не способны обеспечить целостность данных. Не существует абсолютно надежного способа противодействия взлому автоматической защиты, и ее взлом – это лишь вопрос времени. Но время взлома такой защиты, в свою очередь, зависит от ее качества. Надо сказать, что программное и аппаратное обеспечение для защиты соединений и приложений в Интернет разрабатывается уже давно, хотя внедряются новые технологии несколько неравномерно.
Какие угрозы подстерегают компанию, ведущую электронную коммерцию на каждом этапе:

 подмена web-страницы сервера электронного магазина (переадресация запросов на другой сервер), делающая доступными сведения о клиенте, особенно о его кредитных картах, сторонним лицам;

 создание ложных заказов и разнообразные формы мошенничества со стороны сотрудников электронного магазина, например, манипуляции с базами данных (статистика свидетельствует о том, что больше половины компьютерных инцидентов связано с деятельностью собственных сотрудников);

 перехват данных, передаваемых по сетям электронной коммерции;

 проникновение злоумышленников во внутреннюю сеть компании и компрометация компонентов электронного магазина;

 реализация атак типа «отказ в обслуживании» и нарушение функционирования или вывода из строя узла электронной коммерции.
В результате реализации таких угроз компания теряет доверие клиентов, теряет деньги от потенциальных и/или несовершенных сделок, нарушается деятельность электронного магазина, затрачивает время, деньги и человеческие ресурсы на восстановление функционирования.

Конечно, угрозы, связанные с перехватом передаваемой через Интернет информации, присущи не только сфере электронной коммерции. Особое значение применительно к последней представляет то, что в ее системах обращаются сведения, имеющие важное экономическое значение: номера кредитных карт, номера счетов, содержание договоров и т. п.

На первый взгляд, может показаться, что каждый подобный инцидент – не более чем внутреннее дело конкретного субъекта электронного бизнеса. Однако

вспомним 2000-й год, который был ознаменован случаями массового выхода из строя ведущих серверов электронного бизнеса, деятельность которых носит поистине общенациональный характер: Yahoo!, eBay, Amazon, Buy, CNN, ZDNet, Datek и E*Trade. Расследование, проведенное ФБР, показало, что указанные серверы вышли из строя из-за многократно возросшего числа направленных в их адрес запросов на обслуживание в результате реализованных DoS-атак. Например, потоки запросов на сервер Buy превысили u1089 средние показатели в 24 раза, а предельные – в 8 раз. По разным оценкам, экономический ущерб, понесенный американской экономикой от этих акций, колеблется вокруг полуторамиллиардной отметки.

Обеспечение безопасности является не только необходимым условием успешного ведения электронного бизнеса, но и фундаментом для доверительных отношений между контрагентами. Сама суть электронного бизнеса предполагает активный информационный обмен, проведение транзакций через незащищенную сеть общего доступа, которые попросту невозможны без доверительных отношений между субъектами бизнеса. Поэтому обеспечение безопасности имеет комплексный характер, включая такие задачи, как доступ к Web-серверам и Web-приложениям, аутентификация и авторизация пользователей, обеспечение целостности и конфиденциальности данных, реализация электронной цифровой подписи и проч.

С ростом коммерциализации Интернет вопросам защиты передаваемой по сети

информации уделяется все больше внимания. Специализированные протоколы,

предназначенные для организации защищенного взаимодействия через Интернет (например, SET, SOCKS5, SSL, SHTTP и др.), получили широкое признание во всем мире и успешно используются зарубежными разработчиками для создания банковских и торговых электронных систем на базе Интернет.

За рубежом решением проблемы информационной безопасности электронного

бизнеса занимается независимый консорциум – Internet Security Task Force (ISTF) – общественная организация, состоящая из представителей и экспертов компаний- поставщиков средств информационной безопасности, электронного бизнеса и провайдеров Интернет - услуг.

Консорциум ISTF выделяет двенадцать областей информационной безопасности, на которых в первую очередь должно быть сосредоточено внимание организаторов электронного бизнеса:

 механизм объективного подтверждения идентифицирующей информации;

 право на персональную, частную информацию;

 определение событий безопасности;

 защита корпоративного периметра;

 определение атак;

 контроль потенциально u1086 опасного содержимого;

 контроль доступа;

 администрирование;

 реакция на события.
Известно, что надежно защититься от многих угроз позволяет применение алгоритмов электронной цифровой подписи (ЭЦП), однако это справедливо только в том случае, если эти алгоритмы вплетены в обоснованные протоколы взаимодействия, юридически верную конструкцию отношений и логически замкнутую систему доверия.

В основе защиты информации лежит простая логика процессов вычисления

цифровой подписи и ее проверки парой соответствующих ключей, впрочем, логика,

базирующаяся на фундаментальных математических исследованиях. Вычислить

цифровую подпись может только владелец закрытого ключа, а проверить – каждый, у

кого имеется открытый ключ, соответствующий закрытому ключу.

Безусловно, обеспечением информационной безопасности должны заниматься

специалисты в данной области, но руководители органов государственной власти,

предприятий и учреждений независимо от форм собственности, отвечающие за

экономическую безопасность тех или иных хозяйственных субъектов, должны

постоянно держать данные вопросы в поле своего зрения. Для них ниже приведены

основные функциональные компоненты организации комплексной системы

информационной безопасности:

 коммуникационные протоколы;

 средства криптографии;

 механизмы авторизации и аутентификации;

 средства контроля доступа к рабочим местам из сетей общего

пользования;

 антивирусные комплексы;

 программы обнаружения атак и аудита;

 средства централизованного управления контролем доступа пользователей, а также безопасного обмена пакетами данных и

сообщений любых приложений по открытым сетям.

В Интернет уже давно существует целый ряд комитетов, в основном, из организаций - добровольцев, которые осторожно проводят предлагаемые технологии

через процесс стандартизации. Эти комитеты, составляющие основную часть Рабочей группы инженеров Интернета (Internet Engineering Task Force, IETF) провели стандартизацию нескольких важных протоколов, ускоряя их внедрение в Интернете.

Такие протоколы, как семейство TCP/IP для передачи данных, SMTP (Simple Mail Transport Protocol) и POP (Post Office Protocol) для электронной почты, а так же SNMP (Simple Network Management Protocol) для управления сетью – непосредственные результаты усилий IETF. Тип применяемого продукта защиты зависит от нужд компании.

В Интернет популярны протоколы безопасной передачи данных, а именно SSL,

SET, IP v.6. Перечисленные протоколы появились в Интернет сравнительно недавно, как необходимость защиты ценной информации, и сразу стали стандартами де-факто.

Напомним, что Интернет создавалась несколько десятилетий назад для научного обмена информацией не имеющей большой стоимости.

К сожалению, в России пока еще с большой осторожностью относятся к возможности внедрения Интернет в те сферы деятельности, которые связаны с

передачей, обработкой и хранением конфиденциальной информации. Подобная

осторожность объясняется не только консервативностью отечественных финансовых

структур, опасающихся открытости и доступности Интернет, но, отчасти, и тем, что

большинство программных средств защиты информации западных фирм-

производителей поступают на наш рынок с экспортными ограничениями, касающимися

реализованных в них криптографических алгоритмов. Например, в экспортных

вариантах программного обеспечения WWW-серверов и браузеров таких

производителей, как Microsoft и Netscape Communications, имеются ограничения на

длину ключа для одноключевых и двухключевых алгоритмов шифрования,

используемых протоколом SSL, что не обеспечивает полноценной защиты при работе в

Интернет.

Однако приложения электронной коммерции, кроме внутренних угроз,

подвержены также и внешней опасности, исходящей от Интернет. И поскольку

нерационально присваивать каждому анонимному посетителю отдельный

идентификатор входа (так как приложение при этом не увеличивается), компаниям

необходимо использовать другой вид аутентификации. Кроме того, необходимо

подготовить сервера к отражению атак. И, наконец, следует соблюдать

исключительную осторожность по отношению к критическим данным – например,

таким, как номера кредитных карт.

Шифрование данных

На бизнес-сайте обрабатывается чувствительная информация (например,

номера кредитных карточек потребителей). Передача такой информации по Интернет

без какой-либо защиты может привести к непоправимым последствиям. Любой может

подслушать передачу и получить таким образом доступ к конфиденциальной

информации. Поэтому данные необходимо шифровать и передавать по защищенному

каналу. Для реализации защищенной передачи данных используют протокол Secure

Sockets Layer (SSL).

Для реализации этой функциональности необходимо приобрести цифровой

сертификат и установить его на ваш(и) сервер(а). За цифровым сертификатом можно

обратиться в один из органов сертификации. К общеизвестным коммерческим

сертификационным организациям относятся: VerySign, CyberTrust, GTE.

SSL представляет собой схему для таких протоколов, как HTTP (называемого

HTTPS в случае его защищенности), FTP и NNTP. При использовании SSL для

передачи данных:

 данные зашифрованы;

 между сервером-источником и сервером назначения установлено

защищенное соединение;

 активирована аутентификация сервера.

Когда пользователь отправляет номер кредитной карточки с применением

протокола SSL, данные немедленно шифруются, так что хакер не может видеть их

содержание. SSL не зависит от сетевого протокола.

Программное обеспечение сервера Netscape обеспечивает также

аутентификацию – сертификаты и цифровую подпись, удостоверяя личность

пользователя и целостность сообщений и гарантируя, что сообщение не меняло своего

маршрута.

Аутентификация подразумевает подтверждение личности пользователя и

цифровой подписи для проверки подлинности документов, участвующих в обмене

информацией и финансовых операциях. Цифровая подпись представляет собой данные,

которые могут быть приложены к документу во избежание подлога.

Выявление вторжений

Системы выявления вторжений (Intrusion Detection Systems, IDS) могут

идентифицировать схемы или следы атак, генерировать аварийные сигналы для

предупреждения операторов и побуждать маршрутизаторы прерывать соединение с

источниками незаконного вторжения. Эти системы могут также предотвращать

попытки вызвать отказ от обслуживания.

Защита данных сайта

Для защиты данных сайта необходимо проанализировать данные,

используемые сайтом, и определить политику безопасности. Эти данные могут

представлять собой HTML-код, подробности о клиентах и продуктах, хранящиеся в

базе данных, каталоги, пароли и другую аутентификационную информацию. Вот

несколько основных принципов, которые можно использовать при определении

политики безопасности данных:

 Необходимо держать чувствительные данные за внутренним

брандмауэром, в защищенной внутренней сети. К чувствительным

данным должно быть обеспечено минимальное число точек доступа.

При этом необходимо помнить, что добавление уровней безопасности и

усложнение доступа в систему влияет на работу системы в целом.

 Базы данных, хранящие низко чувствительные данные, могут

располагаться на серверах DMZ.

 Пароли могут храниться после преобразования с помощью

односторонних алгоритмов. Однако это делает невозможным

реализацию общепринятой (и популярной) возможности обрабатывать

сообщения типа "Я забыл мой пароль, пожалуйста, вышлите мне его по

электронной почте", хотя при этом можно создать новый пароль и

высылать его в качестве альтернативы.

 Чувствительная информация – такая, как номера кредитных карт –

может храниться в базах данных и после шифрования. Расшифровывать

ее каждый раз при возникновении такой необходимости могут только

авторизованные пользователи и приложения. Однако это также влияет

на скорость работы системы в целом.

Можно защитить данные сайта и с помощью компонент среднего яруса. Эти

компоненты могут быть запрограммированы для аутентификации пользователей,

разрешая доступ к базе данных и ее компонентам только авторизованным

пользователям и защищая их от внешних угроз.

Можно реализовать дополнительные функции безопасности серверной части

145

системы. Например, для предотвращения несанкционированного внутреннего доступа

к базе данных можно использовать пользовательские функции безопасности SQL

Server.

Заметьте, что не менее важно защищать и резервные копии, содержащие

информацию о потребителях.

Ситуация усугубляется еще и тем, что каждую неделю обнаруживаются все

новые и новые способы проникновения или повреждения данных, следить за

появлением которых в состоянии только профессиональные организации,

специализирующиеся на информационной безопасности.

Интеграция коммерции в Интернет сулит кардинальное изменение положения

с обеспечением безопасности. С ростом коммерциализации Интернет вопросам защиты

передаваемой по сети информации уделяется все больше внимания. Поэтому прогресс

в области безопасности информации во многом определяет развитие процесса

электронной коммерции.

В России развитие электронной коммерции сдерживается:

 Отсутствием или слабым развитием инфраструктуры ЭК, в частности,

надежной и повсеместной инфраструктуры доставки товара покупателю

(курьерские службы и т.п.), особенно через «электронный магазин»,

находящийся в другом городе.

 Отставанием государственной правоприменительной практики и, как

следствие, отсутствие или слабые гарантии исполнения сделок,

заключенных в электронной форме.

 Наличием объективных и субъективных предпосылок для развития

мошенничества, связанных с использованием Интернета для

коммерции.

 Слабой маркетинговой проработкой проектов ЭК.

 Трудностями в отплате товаров, в частности, отсутствие доверия

населения к коммерческим банкам.

Низкий уровень доходов большинства населения России делает деньги более

весомым богатством, чем время, поэтому многие Россияне не согласны оплачивать

наряду со стоимостью товара расходы на его доставку, и предпочитают делать покупки

в обычных магазинах. Поэтому ЭК может широко распространиться в России только

после существенного улучшения экономической обстановки в стране.

Заключение

Проблема информационной безопасности экономических объектов

многоаспектна и нуждается в дальнейшей проработке.

В современном мире информатизация становится стратегическим национальным

ресурсом, одним из основных богатств экономически развитого государства. Быстрое

совершенствование информатизации в России, проникновение ее во все сферы

жизненно важных интересов личности, общества и государства повлекли помимо

несомненных преимуществ и появление ряда существенных проблем. Одной из них

стала необходимость защиты информации. Учитывая, что в настоящее время

экономический потенциал все в большей степени определяется уровнем развития

информационной инфраструктуры, пропорционально растет потенциальная уязвимость

экономики по отношению к информационным воздействиям.

Реализация угроз информационной безопасности заключается в нарушении

конфиденциальности, целостности и доступности информации. С позиций системного

подхода к защите информации необходимо использовать весь арсенал имеющихся

средств защиты во всех структурных элементах экономического объекта и на всех

этапах технологического цикла обработки информации. Методы и средства защиты

должны надежно перекрывать возможные пути неправомерного доступа к охраняемым

секретам. Эффективность информационной безопасности означает, что затраты на ее

осуществление не должны быть больше возможных потерь от реализации

информационных угроз. Планирование безопасности информации осуществляется

путем разработки каждой службой детальных планов защиты информации.

Необходима четкость в осуществлении полномочий и прав пользователей на доступ к

определенным видам информации, в обеспечении контроля средств защиты и

немедленного реагирования на их выход из строя.

Под информационной безопасностью Российской Федерации понимается состояние

защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.
Под угрозой безопасности информации понимаются события или действия,

которые могут привести к искажению, несанкционированному использованию или

даже к разрушению информационных ресурсов управляемой системы, а также

программных и аппаратных средств.
Информационная безопасность включает:
 состояние защищенности информационного пространства, обеспечивающее его

формирование и развитие в интересах граждан, организаций и государства;

 состояние инфраструктуры, при котором информация используется строго по

назначению и не оказывает негативного воздействия на систему при ее

использовании;

 состояние информации, при котором исключается или существенно

затрудняется нарушение таких ее свойств, как конфиденциальность,

целостность и доступность;

 экономическую составляющую (структуры управления в экономической сфере,

включая системы сбора, накопления и обработки информации в интересах

управления производственными структурами, системы общеэкономического

анализа и прогнозирования хозяйственного развития, системы управления и

координации в промышленности и на транспорте, системы управления

энергосистем, централизованного снабжения, системы принятия решения и

координации действий в чрезвычайных ситуациях, информационные и

телекоммуникационные системы);

 финансовую составляющую (информационные сети и базы данных банков и

банковских объединений, системы финансового обмена и финансовых

расчетов).
Обеспечение информационной безопасности должно начинаться с выявления

субъектов отношений, связанных с использованием информационных систем. Спектр

их интересов может быть разделен на следующие основные категории: доступность

(возможность за приемлемое время получить требуемую информационную услугу),

целостность (актуальность и непротиворечивость информации, ее защищенность от

разрушения и несанкционированного изменения), конфиденциальность (защита от

несанкционированного ознакомления).

К объектам информационной безопасности на предприятии относят:

информационные ресурсы, содержащие сведения, отнесенные к коммерческой тайне и конфиденциальную информацию, представленную в виде информационных массивов и баз данных;

средства и системы информатизации – средства вычислительной и информационной техники, сети и системы, общесистемное и прикладное программное обеспечение, автоматизированные системы управления, системы связи и передачи данных, технические средства сбора, регистрации, передачи, обработки и отображения информации, а так же их информационные физические поля.
Система обеспечения безопасности информации включает подсистемы:

- компьютерную безопасность;

- безопасность данных;

- безопасное программное обеспечение;

- безопасность коммуникаций.
Компьютерная безопасность обеспечивается комплексом технологических и

административных мер, применяемых в отношении аппаратных средств компьютера с целью обеспечения доступности, целостности и конфиденциальности, связанных с ним ресурсов.

Безопасность данных достигается защитой данных от неавторизованных,

случайных, умышленных или возникших по халатности модификаций, разрушений или разглашении.

Безопасное программное обеспечение представляет собой общесистемные и

прикладные программы и средства, осуществляющие безопасную обработку данных и безопасно использующие ресурсы системы.

Безопасность коммуникаций обеспечивается принятием мер по предотвращению предоставления неавторизованным лицам информации, которая может быть выдана системой в ответ на телекоммуникационный запрос.

Политика безопасности включает в себя анализ возможных угроз и выбор

соответствующих мер противодействия, являющихся совокупностью тех норм, правил поведения, которыми пользуется конкретная организация при обработке информации и ее защите.

Угроза безопасности информации - события или действия, которые могут

привести к искажению, неразрешенному использованию или к разрушению

информационных ресурсов управления системы, а также программных и аппаратных

средств.

Защита информации (ЗИ) - комплекс мероприятий, направленных на обеспечение важнейших аспектов информационной безопасности: целостности,

доступности и, если нужно, конфиденциальности информации и ресурсов,

используемых для ввода, хранения, обработки и передачи данных.

Основные предметные направления ЗИ - охрана государственной,

коммерческой, служебной, банковской тайн, персональных данных и интеллектуальной

собственности.
Система - это совокупность взаимосвязанных элементов, подчиненных единой

цели.
Признаками системы являются следующие:

1. Элементы системы взаимосвязаны и взаимодействуют в рамках системы.

2. Каждый элемент системы может в свою очередь рассматриваться как

самостоятельная система, но он выполняет только часть функций системы.

3. Система как целое выполняет определенную функцию, которая не может быть

сведена к функциям отдельно взятого элемента.

4. Подсистемы могут взаимодействовать как между собой, так и с внешней средой

и изменять при этом свое содержание или внутреннее строение.
Под системой безопасности будем понимать организованную совокупность

специальных органов, служб, средств, методов и мероприятий, обеспечивающих

защиту жизненно важных интересов личности, предприятия и государства от

внутренних и внешних угроз.
Система защиты информации представляет организованную совокупность

специальных органов, средств, методов и мероприятий, обеспечивающих защиту

информации от внутренних и внешних угроз
С позиций системного подхода к защите информации предъявляются

определенные требования:

 обеспечение безопасности информации не может быть одноразовым актом. Это

непрерывный процесс, заключающийся в обосновании и реализации наиболее

рациональных методов, способов и путей совершенствования и развития

системы защиты, непрерывном контроле ее состояния, выявления ее узких и

слабых мест и противоправных действий;

 безопасность информации может быть обеспечена лишь при комплексном

использовании всего арсенала имеющихся средств защиты во всех структурных

элементах экономической системы и на всех этапах технологического цикла

обработки информации;

 планирование безопасности информации осуществляется путем разработки

каждой службой детальных планов защиты информации в сфере ее

компетенции;

 защите подлежат конкретные данные, объективно подлежащие охране, утрата

которых может причинить организации определенный ущерб;

 методы и средства защиты должны надежно перекрывать возможные пути

неправомерного доступа к охраняемым секретам;

 эффективность защиты информации означает, что затраты на ее осуществление

не должны быть больше возможных потерь от реализации информационных

угроз;

 четкость определения полномочий и прав пользователей на доступ к

определенным видам информации;

 предоставление пользователю минимальных полномочий, необходимых ему для

выполнения порученной работы;

 сведение к минимуму числа общих для нескольких пользователей средств

защиты;

 учет случаев и попыток несанкционированного доступа к конфиденциальной

12

информации; обеспечение степени конфиденциальной информации;

 обеспечение контроля целостности средств защиты и немедленное реагирование

на их выход из строя.

Система защиты информации, как любая система, должна иметь определенные

виды собственного обеспечения, опираясь на которые она будет выполнять свою

целевую функцию. С учетом этого система защиты информации может иметь:

правовое обеспечение. Сюда входят нормативные документы, положения,

инструкции, руководства, требования которых являются обязательными в рамках

сферы действия;

организационное обеспечение. Имеется в виду, что реализация защиты

информации осуществляется определенными структурными единицами, такими как:

служба безопасности, служба режима, служба защиты информации техническими

средствами и др.

аппаратное обеспечение. Предполагается широкое использование технических

средств, как для защиты информации, так и для обеспечения деятельности собственно

системы защиты информации;

информационное обеспечение. Оно включает в себя документированные

сведения (показатели, файлы), лежащие в основе решения задач, обеспечивающих

функционирование системы. Сюда могут входить как показатели доступа, учета,

хранения, так и системы информационного обеспечения расчетных задач различного

характера, связанных с деятельностью службы обеспечения безопасности;

программное обеспечение. К нему относятся антивирусные программы, а

также программы (или части программ регулярного применения), реализующие

контрольные функции при решении учетных, статистических, финансовых, кредитных

и других задач;

математическое обеспечение. Предполагает использование математических

методов для различных расчетов, связанных с оценкой опасности технических средств

злоумышленников, зон и норм необходимой защиты;

лингвистическое обеспечение. Совокупность специальных языковых средств

общения специалистов и пользователей в сфере защиты информации;

нормативно-методическое обеспечение. Сюда входят нормы и регламенты

деятельности органов, служб, средств, реализующих функции защиты информации,

различного рода методики, обеспечивающие деятельность пользователей при

выполнении своей работы в условиях жестких требований защиты информации;

эргономическое обеспечение. Совокупность средств, обеспечивающих

удобства работы пользователей аппаратных средств защиты информации.
Информацию различают по отраслям знаний: техническая,

экономическая, биологическая и т.п.

Экономическая информация относится к области экономических знаний.

Она характеризует процессы снабжения, производства, распределения и

потребления материальных благ.
В деятельности любой фирмы присутствует информационный ресурс -это

документы и массивы документов в информационных системах (библиотеках,

архивах, фондах, банках данных и др. информационных системах), т.е.

документированные знания. Информационные ресурсы в современном обществе

играют не меньшую, а нередко и большую роль, чем ресурсы материальные. Знание

- кому, когда и где продать товар может цениться на меньше, чем товар, и в этом

плане динамика развития общества свидетельствует о том, что на "весах"

материальных и информационных ресурсов последние начинают преобладать.

Причем тем сильнее, чем белее общество открыто, чем более развиты в нем средства

коммуникации, чем большей информацией оно располагает.

Основные этапы построения системы защиты заключаются в следующем:

Анализ -> Разработка системы защиты (планирование) -> Реализация

системы защиты -> Сопровождение системы защиты.
План защиты обычно содержит следующие группы сведений:

1. Политика безопасности.

2. Текущее состояние системы.

3. Рекомендации по реализации системы защиты.

4. Ответственность персонала.

5. Порядок ввода в действие средств защиты.

6. Порядок пересмотра плана и состава средств защиты.
Политика безопасности. Политика безопасности определяется как совокупность документированных управленческих решении, направленных на защиту информации и ассоциированных с ней ресурсов.

В этом разделе должен быть определен набор

законов, правил и практических рекомендаций, на основе которых строится управление,

защита и распределение критичной информации в АИС.