Інформаційна безпека у системах електронної комерції. «Безпека електронної комерції. Основні напрямки захисту інформації

Введення ……………………………………………………… ………………..…3
1.Електронна комерція та історія її розвитку…………………….............. ..5
1.1. Історія електронної комерції…………………………………………...6
2. Безпека електронної комерції………………………………………..8
2.1. Ризики та загрози……………………………………………………….…… ...11
Заключение…………………………………………………… ………………….17
Список використаної литературы…………………………………………... 20

Вступ

Глобальна мережа Internet зробила електронну комерцію доступною фірм будь-якого масштабу. Якщо раніше організація електронного обміну даними вимагала помітних вкладень у комунікаційну інфраструктуру і була під силу лише великим компаніям, то використання Internet дозволяє сьогодні вступити до лав "електронних торговців" і невеликим фірмам. Електронна вітрина в World Wide Web дає будь-якій компанії можливість залучати клієнтів з усього світу. Подібний on-line бізнес формує новий канал для збуту - "віртуальний", який майже не потребує матеріальних вкладень. Якщо інформація, послуги або продукція (наприклад, програмне забезпечення) можуть бути поставлені через Web, весь процес продажу (включаючи оплату) може відбуватися в on-line режимі.
Під визначення електронної комерції підпадають як системи, орієнтовані Internet, але й " електронні магазини " , використовують інші комунікаційні середовища - BBS, VAN тощо. У той же час процедури продажів, ініційованих інформацією з WWW, але які використовують для обміну даними факс, телефон та ін., можуть лише частково віднесені до класу електронної комерції. Зазначимо також, що, незважаючи на те, що WWW є технологічною базою електронної комерції, у низці систем використовуються інші комунікаційні можливості. Так, запити до продавця для уточнення параметрів товару або для оформлення замовлення можуть бути надіслані через електронну пошту.
На сьогоднішній день домінуючим платіжним засобом при on-line покупках є кредитні картки. Однак на сцену виходять нові платіжні інструменти: смарт-картки, цифрові гроші (digital cash), мікроплатежі та електронні чеки.
Електронна комерція включає не тільки on-line транзакції. В область, що охоплюється цим поняттям, необхідно включити і такі види діяльності, як проведення маркетингових досліджень, визначення можливостей і партнерів, підтримка зв'язків з постачальниками та споживачами, організація документообігу та ін. Таким чином, електронна комерція є комплексним поняттям і включає електронний обмін даними як одну із складових.

Електронна комерція та історія її розвитку

Електронна комерція – вид господарської діяльності з просування товарів та послуг від виробника до споживача через електронні комп'ютерні мережі. Іншими словами, електронна комерція – маркетинг, придбання та продаж товарів та послуг через комп'ютерні мережі, в основному мережу Інтернет. Електронна комерція надає нові можливості підвищення ефективності комерційної діяльності загалом.
На відміну від традиційної комерції, електронна комерція надає такі можливості компаніям:
а) Продавати свою продукцію через Інтернет;
Б) Розвивати та координувати відносини зі споживачами та постачальниками;
В) Обмінюватися електронним шляхом товарами та послугами;
Г) Зменшити ціну на доставку цифрових продуктів та післяпродажну підтримку покупця;
Д) швидко реагувати на зміни ринку;
Е) Зменшити накладні витрати;
Ж) Поліпшувати обслуговування клієнтів та впроваджувати власні послуги для покупців;
З) Розширювати коло споживачів;
І) Враховувати індивідуальні потреби покупця;
Покупцям електронна комерція дозволяє:
А) Купувати товар у час і будь-де;
Б) Провести порівняльний аналіз цін та вибрати найкращу;
В) отримати одночасно доступ до широкого асортименту товарів;
Г) Вибирати зручні механізми для здійснення покупок;
Д) Отримувати інформацію та новини залежно від своїх переваг.
1.1 Історія електронної комерції

Перші системи електронної комерції з'явилися у 1960-х роках у США. Вони застосовувалися в транспортних компаніях для обміну даними між різними службами під час підготовки рейсів та замовлення квитків.
Спочатку така комерція велася з використанням мереж, що не входять до мережі Інтернет, за спеціальними стандартами електронного обміну даними між організаціями.
До кінця 1960-х років у США існувало чотири індустріальні стандарти для обміну даними у різних транспортних компаніях. Для об'єднання цих стандартів 1968 р. було створено спеціальний Комітет погодження транспортних даних. результати роботи лягли в основу нового EDI-стандарту.
У 1970-х роках аналогічні події відбувалися в Англії. У цій країні головною сферою застосування EDI був не транспорт, а торгівля. Вибраний тут набір специфікацій Tradacoms був прийнятий Європейською економічною комісією ООН як стандарт обміну даними у міжнародних торгових організаціях.
У 1980-х роках розпочалися роботи з об'єднання європейських та американських стандартів. В результаті цієї роботи на 42-й сесії Робочої групи зі спрощення процедур міжнародної торгівлі у вересні 1996 р. було прийнято Рекомендацію № 25 «Використання стандарту Організації Об'єднаних Націй для електронного обміну даними в управлінні, торгівлі та транспорті».
Таким чином. На початку 1990-х з'явився стандарт EDI-FACT, прийнятий ISO (ISO 9735).
Але остаточного злиття американського та європейського стандартів не відбулося. Для електронного обміну даними з'явилася нова, перспективніша можливість – обмін даними через Інтернет.
Розвиток інтернету з його низькою собівартістю передачі зробило актуальною модернізацію EDI систем. У результаті в середині 1990 року було розроблено ще один стандарт – EDIFACT over Internet (EDIINT), який описує, як передавати EDI – транзакцію за допомогою протоколів безпечної електронної пошти SMTP/S-MIME.
Для виникнення та зростання популярності електронної комерції існує низка демографічних та технологічних передумов, таких, як:
а) широко поширений доступ до інформаційних технологій, зокрема комп'ютерів та інтернету;
б) підвищення рівня освіти суспільства і, отже, вільніше поводження з технологіями;
в) технічний прогрес і цифрова революція уможливили взаємодію між собою багатьох цифрових пристроїв, наприклад комп'ютера, мобільного телефону та інше;
г) глобалізація, відкрита економіка, конкуренція у глобальному масштабі;
д) доступність електронної комерції для будь-кого, в будь-який час, і в будь-якому місці.
е) прагнення економії часу;
ж) зростання асортименту товарів та послуг, зростання попиту на спеціальні товари та послуги.

Безпека електронної комерції.

Однією з основних проблем електронної комерції сьогодні залишається проблема безпеки, тобто. зведення до мінімуму ризиків та захист інформації.
Причинами порушення нормального функціонування компанії в Інтернеті можуть бути: комп'ютерні віруси, шахрайство, що призводить до фінансових збитків; крадіжка конфіденційної інформації; незаконне втручання у файли з конфіденційною інформацією про споживачів тощо.
Ступінь захисту веб-сайту електронної компанії залежить від рівня таємності його інформації та потреб у її дотриманні. Так, наприклад, якщо на сайті вводяться номери кредитних карток, необхідно забезпечити найбільш високий ступінь захисту веб-сервера.
Завдання дотримання безпеки в електронній комерції зводяться до аутентифікації користувачів, дотримання конфіденційності та цілісності інформації: аутентифікація – автентифікація користувача; конфіденційність – забезпечення збереження приватної інформації, наданої користувачем; цілісність інформації – відсутність спотворень у інформації, що передається.
Загрозою порушення цілісності інформації на веб-сервері можуть виступати хакери та віруси.
Хакер проникає на слабко захищені комп'ютери та сервери та встановлює спеціальні програми – невидимки, які досить важко виявляються. Зазвичай така програма – невидимка не завдає шкоди веб – сайту, але створює велику перевантаженість у мережі. Хакер визначає мету свого нападу та активізує заздалегідь встановлену програму, посилаючи команду через Інтернет на кілька комп'ютерів. З цього починається атака, що призводить до перевантаженості мережі комерційного підприємства.
Ще одним серйозним видом порушення безпеки комп'ютерів та серверів в Інтернеті є вірус. Віруси порушують цілісність системи та вводять в оману засоби захисту інформації. Найкращим засобом захисту від вірусів є встановлення та періодичне оновлення антивірусних програм, а також використання брандмауерів. Брандмауер – це фільтр, що встановлюється між корпоративною мережею та мережею інтернет для захисту інформації та файлів від несанкціонованого доступу та для дозволу доступу лише уповноваженим особам. Таким чином, брандмауер перешкоджає проникненню комп'ютерних вірусів та доступу хакерів до мережі підприємства та захищає її від зовнішнього впливу при підключенні до Інтернету.
При впровадженні електронної комерції одним із найважливіших питань стає конфіденційність інформації. Інформація, що надається користувачем компанії, має бути надійно захищена. Одним із способів забезпечення безпечної та конфіденційної передачі даних по комп'ютерних мережах є криптографія, тобто. шифрування або кодування даних таким чином, щоб прочитати їх могли тільки сторони, що беруть участь у конкретній операції.
При шифруванні відправник повідомлення перетворює текст на набір символів, який неможливо прочитати без застосування спеціального ключа, відомого одержувачу. Ключ до шифру є послідовністю символів, збережених на жорсткому диску комп'ютера або дискеті. Ступінь захищеності інформації залежить від алгоритму шифрування та довжини ключа, що вимірюється в бітах.
Існує два види алгоритмів шифрування:

симетричні, в яких той самий ключ, відомий обом сторонам, використовується і для шифрування, і для дешифрування інформації;
асиметричні, у яких використовується два ключі, один – для шифрування, другий – для дешифрування. Один із таких ключів є закритим (секретним), другий відкритим (загальнодоступним).

Одним з найбільш відомих та перспективних способів автентифікації відправника повідомлень є електронний цифровий підпис (ЕЦП) – електронний еквівалент власноручного підпису. У перші ЕЦП була запропонована в 1976 Уітфілдом Діфі зі Станфордського університету. Федеральний закон Російської Федерації "про електронний цифровий підпис" сказано, що електронний цифровий підпис реквізит електронного документа, призначений для захисту даного документа від підробки, отриманий в результаті криптографічного перетворення інформації з використанням закритого ключа електронного цифрового підпису і дозволяє ідентифікувати власника сертифіката ключа також встановити відсутність спотворення інформації в електронному документі.
Процес застосування електронного цифрового підпису виглядає так:
1. відправник створює повідомлення і шифрує його своїм закритим ключем, який водночас є електронним цифровим підписом відправника. У цьому шифрується як текст спілкування і ЭЦП, приєднана наприкінці документа.
2. відправник передає зашифрований лист та свій відкритий ключ каналами зв'язку одержувачу;
3. одержувач дешифрує повідомлення відкритим ключем відправника.
4. Разом з ЕЦП зазвичай застосовують одну з існуючих ХЕШ – функцій. ХЕШ - функція формує рядок символів, що називається зведенням повідомлення, в процесі обробки повідомлення. Відправник створює зведення повідомлення, шифрує його і так само пересилає одержувачу. Одержувач обробляє повідомлення тієї ж ХЕШ – функцією і той самий отримує зведення повідомлення. Якщо обидві зведення повідомлення збігаються, повідомлення було отримано без спотворення.
5. для підтвердження належності відкритого ключа будь-якій конкретній особі чи комерційному підприємству служать цифрові сертифікати. Цифровий сертифікат – документ, що видається центром сертифікації, для підтвердження справжності конкретної особи або підприємства шляхом перевірки її імені та відкритого ключа. Для отримання цифрового сертифіката треба звернутися до центру сертифікації та надати необхідну інформацію. Кожен центр сертифікації встановлює свої ціни і зазвичай видає цифровий сертифікат на рік з можливістю продовження після оплати за наступний рік.
Для вирішення питань безпеки в компаніях електронної комерції використовуються протокол SSL та технологія SET.
Протокол SSL – це основний протокол, який використовується для захисту даних, що передаються через Інтернет. Цей протокол заснований на комбінації алгоритмів асиметричного та симетричного шифрування. Він забезпечує три основні функції: аутентифікацію сервера, аутентифікацію клієнта та шифроване з'єднання за протоколом SSL.
Протокол SET – протокол, який використовується для трансакції між комерційними банками та кредитними картками клієнтів.

Ризики та погрози

Будь-який бізнес пов'язані з ризиками, що виникають внаслідок конкуренції, крадіжки, нестійкості суспільних переваг, стихійних лих тощо. Проте, ризики, пов'язані з електронною комерцією, свої особливості та джерела, серед яких:
Зломщики.
Неможливість залучення компаньйонів.
Відмов обладнання.
Збої живлення, комунікаційних ліній чи мережі.
Залежність від служб доставки.
Інтенсивна конкуренція.
Помилки програмного забезпечення.
Зміни у політиці та оподаткуванні.
Обмежена пропускна спроможність системи.

Зломщики
Найбільш популяризована загроза електронній комерції походить від комп'ютерних зловмисників - зломщиків. Будь-яке підприємство піддається загрозі нападу злочинців, великі ж підприємства електронної комерції привертають увагу комп'ютерних зломщиків різного рівня кваліфікації.
Причини цієї уваги різні. В одних випадках це просто "чисто спортивний інтерес", в інших бажання нашкодити, викрасти гроші або безкоштовно придбати товар чи послугу.
Безпека сайту забезпечується поєднанням наступних заходів:
Резервне копіювання важливої ​​інформації.
Кадрова політика, що дозволяє залучати до роботи лише сумлінних людей та стимулювати сумлінність персоналу. Найбільш небезпечні спроби злому, що виходять зсередини компанії.
Використання програмного забезпечення з можливостями захисту даних та своєчасне оновлення.
Навчання персоналу ідентифікації цілей та розпізнавання слабких місць системи.
Аудит та ведення журналів з метою виявлення успішних та невдалих спроб злому.
Як правило, злом вдається через легко вгадуваний пароль, поширені помилки в конфігурації та несвоєчасне оновлення версій програмного забезпечення. Для захисту від небагато витонченого зломщика достатньо вживання щодо простих заходів. На крайній випадок, завжди повинна бути резервна копія критичних даних.

Неможливість залучення компаньйонів
Хоча атаки зломщиків викликають найбільші побоювання, проте більшість невдач в галузі електронної комерції все ж таки пов'язана з традиційними економічними факторами. Створення та маркетинг великого сайту електронної комерції потребує чималих коштів. Компанії віддають перевагу короткостроковим інвестиціям, пропонуючи негайне зростання кількості клієнтів і доходів після затвердження торгової марки на ринку.
Крах електронної комерції призвів до руйнування безлічі компаній, які спеціалізувалися тільки на ній.

Відмови обладнання
Цілком очевидно, що відмова важливої ​​частини одного з комп'ютерів компанії, діяльність якої зосереджена в Інтернеті, може завдати їй істотної шкоди.
Захист від простою сайтів, що працюють під високим навантаженням або виконують важливі функції, забезпечується дублюванням, завдяки чому вихід з ладу будь-якого компонента не позначається на функціональності всієї системи. Однак тут необхідно оцінити втрати від можливих простоїв у порівнянні з витратами на придбання додаткового обладнання.
Багато комп'ютерів, на яких виконуються Apache, PHP і MySQL, відносно прості в налаштуванні. Крім того, механізм реплікації MySQL дозволяє виконувати загальну синхронізацію інформації у базах даних. Тим не менш, велика кількість комп'ютерів означає і великі витрати на підтримку обладнання, мережевої інфраструктури та хостингу.
Збої живлення, комунікаційних ліній, мережі та служби доставки
Залежність від Інтернету означає залежність від безлічі взаємозалежних постачальників послуг, тому, якщо зв'язок з рештою світу раптом обривається, не залишається нічого іншого, як чекати на її відновлення. Це ж стосується перебоїв в електроживленні та страйками або іншими перебоями в електроживленні та страйками або іншим перебоям у роботі компанії, що займається доставкою.
Маючи в своєму розпорядженні достатній бюджет, можна мати справу з кількома постачальниками послуг. Це тягне за собою додаткові витрати, проте забезпечує безперебійність роботи в умовах відмови одного з них. Від крайніх перебоїв в електроживленні можна захищатись встановленням джерел безперебійного живлення.

Інтенсивна конкуренція
У разі відкриття кіоску на вулиці оцінка конкурентного середовища не складає особливих труднощів - конкурентами будуть усі, хто торгує тим же товаром у межах видимості. У разі електронної комерції ситуація дещо складніша.
Залежно від витрат на доставку, а також враховуючи коливання курсів валют та відмінностей у вартості робочої сили, конкуренти можуть розташовуватися будь-де. Інтернет - найвищою мірою конкурентне середовище, що активно розвивається. У найпопулярніших галузях бізнесу нові конкуренти виникають майже щодня.
Ризик, пов'язаний з конкуренцією, важко піддається оцінці. Тут найвірніша стратегія – підтримка сучасного рівня технології.

Помилки програмного забезпечення
Коли комерційна діяльність залежить від програмного забезпечення, вона є вразливою до помилок у цьому програмному забезпеченні.

Імовірність критичних збоїв можна звести до мінімуму за рахунок встановлення надійного програмного забезпечення, nxfntkmyjuj тестування після кожного випадку заміни несправного обладнання та застосування формальних процедур тестування. Дуже важливо супроводжувати ретельним тестуванням будь-які нововведення до системи.
Для зменшення шкоди, заподіяної збоями програмного забезпечення, слід своєчасно створювати резервні копії всіх даних. При внесенні будь-яких змін необхідно зберегти попередні конфігурації програм. Для швидкого виявлення несправностей потрібно вести постійний моніторинг системи.

Зміни у політиці оподаткування
У багатьох країнах діяльність у сфері електронного бізнесу не визначена або недостатньо визначена законодавчо. Однак таке становище не може зберігатися вічно, і врегулювання питання призведе до виникнення низки проблем, які можуть спричинити закриття деяких підприємств. До того ж, завжди існує небезпека підвищення податків.
Цих проблем уникнути неможливо. У цій ситуації єдиною розумною лінією поведінки буде уважне відстеження ситуації та приведення діяльності підприємства відповідно до законодавства. Слід також вивчити можливість лобіювання своїх інтересів.

Обмежена пропускна спроможність системи
На етапі проектування системи обов'язково слід переглянути можливість її зростання. Успіх нерозривно пов'язаний із навантаженнями, тому система має пускати нарощування обладнання.
Обмеженого зростання продуктивності можна досягти заміною обладнання, проте швидкість навіть найдосконалішого комп'ютера має межу, тому в програмному забезпеченні має бути передбачена можливість при досягненні зазначеної межі розподіляти навантаження по кількох системах. Наприклад, система управління базами даних має забезпечити одночасну обробку запитів від кількох машин.
Нарощування системи не проходить безболісно, ​​проте своєчасне його планування на етапі розробки дозволяє передбачити багато неприємностей, пов'язаних із збільшенням кількості клієнтів, і заздалегідь їх попереджати.

Висновок
Хоча підключення до Інтернету і надає величезні вигоди через доступ до колосального обсягу інформації, воно є небезпечним для сайтів з низьким рівнем безпеки. Інтернет страждає на серйозні проблеми з безпекою, які, якщо їх ігнорувати, можуть призвести до катастрофи для непідготовлених сайтів. Помилки при проектуванні TCP/IP, складність адміністрування хостів, вразливі місця в програмах, та низка інших факторів у сукупності роблять незахищені сайти вразливими до дій зловмисників.
Організації повинні відповісти на такі питання, щоб правильно врахувати можливі наслідки підключення до Інтернету в галузі безпеки:
Чи можуть хакери зруйнувати внутрішні системи?
Чи може бути скомпрометована (змінена чи прочитана) важлива інформація організації під час її передачі Інтернетом?
Чи можна перешкодити роботі організації?
Все це – важливі питання. Існує багато технічних рішень для боротьби з основними проблемами безпеки Інтернету. Проте всі вони мають свою ціну. Багато рішень обмежують функціональність для підвищення безпеки. Інші вимагають йти на значні компроміси щодо легкості використання Інтернету. Треті вимагають вкладення значних ресурсів – робочого часу для впровадження та підтримки безпеки та грошей для купівлі та супроводу обладнання та програм.
Мета політики безпеки для Інтернету – ухвалити рішення про те, як організація збирається захищатися. Політика зазвичай складається з двох частин - загальних принципів та конкретних правил роботи (які еквівалентні специфічній політиці, описаній нижче). Загальні принципи визначають підхід до безпеки Інтернету. Правила ж визначають, що дозволено, а що - заборонено. Правила можуть доповнюватися конкретними процедурами та різними посібниками.
Щоправда, існує і третій тип політики, що зустрічається у літературі з безпеки в Інтернеті. Це – технічний підхід. У цій публікації під технічним підходом розумітимемо аналіз, який допомагає виконувати принципи та правила політики. Він, переважно, занадто технічний і складний розуміння керівництвом організації. Тому він не може використовуватися так широко, як політика. Тим не менш, він є обов'язковим при описі можливих рішень, що визначають компроміси, які є необхідним елементом при описі політики.
Щоб політика для Інтернету була ефективною, розробники політики мають розуміти зміст компромісів, на які їм треба буде вдатися. Ця політика також має суперечити іншим керівним документам організації. Ця публікація намагається дати технічним фахівцям інформацію, яку їм треба буде пояснити розробникам політики для Інтернету. Вона містить ескізний проект політики, на основі якого потім можна буде ухвалити конкретні технічні рішення.
Інтернет – це важливий ресурс, який змінив стиль діяльності багатьох людей та організацій. Тим не менш, Інтернет страждає від серйозних і поширених проблем з безпекою. Багато організацій було атаковано або зондовано зловмисниками, внаслідок чого вони зазнали великих фінансових втрат і втратили свій престиж. У деяких випадках організації були змушені тимчасово відключитися від Інтернету та витратили значні кошти на усунення проблем із конфігураціями хостів та мереж. Сайти, які необізнані або ігнорують ці проблеми, наражаються на ризик мережевої атаки зловмисниками. Навіть ті сайти, які впровадили у собі заходи щодо забезпечення безпеки, наражаються на ті ж небезпеки через появу нових вразливих місць у мережевих програмах і наполегливості деяких зловмисників.
Фундаментальна проблема полягає в тому, що Інтернет при проектуванні не замислювався як захищена мережа. Деякі проблеми в поточній версії TCP/IP:
Легкість перехоплення даних та фальсифікації адрес машин у мережі – основна частина трафіку Інтернету – це нешифровані дані. E-mail, паролі та файли можуть бути перехоплені за допомогою легко доступних програм.
Вразливість засобів TCP/IP - ряд засобів TCP/IP не спроектовано бути захищеними і може бути скомпрометовано кваліфікованими зловмисниками; засоби, які використовуються для тестування особливо вразливі.
Відсутність політики - багато сайтів з незнання налаштовані таким чином, що надають широкий доступ до себе з боку Інтернету, не враховуючи можливість зловживання цим доступом; багато сайтів дозволяють працювати більшої кількості сервісів TCP/IP, ніж їм потрібно працювати і намагаються обмежити доступом до інформації про своїх комп'ютерах, що може допомогти зловмисникам.
Складність конфігурування – засоби управління доступом хоста складні; Найчастіше складно правильно сконфігурувати та перевірити ефективність установок. Кошти, які помилково налаштовані, можуть призвести до неавторизованого доступу.

Список використаної літератури
1. Матеріали із сервера інформаційних технологій-http://www. citforum.ru
2. Що таке електронна комерція? В. Завалєєв, Центр Інформаційних Технологій. http://www.citforum.ru/ marketing/articles/art_1.shtml
3. http://www.proms.ru/book-wicommerce_theory.html
4. Кантарович А.А., Царьов В.В. Підручники для вузів: Електронна комерція 2002, 320 Стор.

| До списку публікацій

Забезпечення інформаційної безпеки підприємств торгівлі, торгових мереж та їх інфраструктури

Сучасні тенденції розвитку торгівлі в Росії призводять до укрупнення компаній за рахунок збільшення чисельності підприємств у їхньому складі, консолідації активів різних операторів, проведення операцій злиття та поглинання, створення мережевих розподільчих центрів. В результаті зростають вимоги до інформаційних технологій та їх значущість у організації торгівлі. Обробка інформаційних потоків у будь-якій компанії потребує високих темпів та абсолютної точності.

Рис.1.Основні інформаційні потоки, що циркулюють у системі управління мережевої компанії

Управління сучасним магазином, підприємством оптової торгівлі та торговельною мережею передбачає використання автоматизованих систем комплексного торговельного, складського та бухгалтерського обліку. Сьогодні керівники приймають управлінські рішення, виходячи з даних, отриманих з інформаційних систем. Таким чином, якою б не була структура фірми, ведення обліку договорів, рухи товарно-матеріальних цінностей, коштів та бухгалтерського обліку повинні здійснюватися в єдиному інформаційному просторі.

З метою автоматизації управління торговим процесом на підприємстві створюється інформаційна система, яка може включати:

- внутрішню систему обліку та звітності (містить дані про обсяг, структуру та швидкість товарного виробництва та обігу, витрати та втрати підприємства, валові доходи, чистий прибуток, рентабельність тощо);
- систему маркетингової інформації (дозволяє відстежувати поточний стан, тенденції та перспективи розвитку ринку). Цю інформаційну систему можна визначити як розвідувальну, т.к. вона забезпечує збирання, обробку та аналіз даних про діяльність конкурентів.

Дані в інформаційну систему надходять від персоналу компанії та з офісних систем дистриб'юторів. Надалі вони використовуються для оперативного управління підприємством, контролю та аналізу діяльності компанії в цілому, регіональних представництв та дистриб'юторів. Споживачами даних інформаційної мережі є менеджери і керівники компанії, і фірм-дистриб'юторів. На рис.1 і 2 наведено основні інформаційні потоки, що циркулюють у системі управління торговим підприємством (торговельною мережею), показано їх основні джерела та споживачі.

Керівнику підприємства, фінансовому директору, головному бухгалтеру, старшим менеджерам до ухвалення стратегічних управлінських рішень конче необхідно представляти повну картину стану підприємства міста і тенденцій його розвитку (рис.1.).

На робочих місцях у бухгалтерії, у торговому залі, складі працівники мають справу лише з окремими фрагментами загального інформаційного потоку. Їх завдання та функції, як правило, зводяться до оформлення та обліку приходу та витрати товарів, виписки рахунків, роботи на касовому апараті тощо. (Рис.2.).

Враховуючи ризики торгових підприємств та вразливість інформаційних систем, видається безвідповідальним такий підхід, у якому компанія реагує на події постфактум, тобто. після того, як вони відбуваються. Звідси випливає, що в компанії має бути створена система інформаційної безпеки. Вона є одним із основних елементів системи управління.

Зупинка роботи інформаційної системи може спричинити незворотні наслідки для бізнесу. Так, за даними страхової компанії Gerling, при повній зупинці інформаційної системи торгові компанії можуть проіснувати лише 2,5 дні,а виробничих підприємств без безперервного виробничого циклу цей показник становить 5 днів.

Вихідними даними створення ефективної системи інформаційної безпеки мають бути чіткі уявлення про її цілі та структуру, про види загроз та їх джерела, про можливі заходи протидії.

Джерела загроз можуть бути зовнішніми та внутрішніми.

Рис.2.Система обміну даними для співробітників різних підрозділів торговельного підприємства чи торгової мережі

Зовнішні погрозинайчастіше походять від конкурентів, кримінальних угруповань, корупціонерів у складі правових та адміністративних органів влади. Дія зовнішніх загроз може бути спрямована на пасивні носії інформації, зняття інформації в процесі обміну, знищення інформації або пошкодження її носіїв. Загрози можуть бути спрямовані на персонал компанії, і виражатися у формі підкупу, погроз, шантажу, вивідування з метою отримання інформації, що становить комерційну таємницю, або передбачати переманювання провідних фахівців тощо.

Внутрішні загрозистановлять найбільшу небезпеку. Вони можуть виходити від некомпетентних керівників, недобросовісного та малокваліфікованого персоналу, розкрадачів та шахраїв, застарілих засобів виробничої діяльності. Окремі співробітники з високим рівнем самооцінки через незадоволеність своїх амбіцій (рівень зарплати, відносини з керівництвом, колегами тощо) можуть ініціативно видати комерційну інформацію конкурентам, спробувати знищити важливу інформацію або пасивні носії, наприклад, внести комп'ютерний вірус.

Збитки інформаційних ресурсів можуть бути завдані:

здійсненням несанкціонованого доступу та знімання конфіденційної інформації;
підкупом співробітників з метою отримання доступу до конфіденційної інформації чи інформаційної системи;
шляхом перехоплення інформації, що циркулює у засобах та системах зв'язку та обчислювальної техніки за допомогою технічних засобів розвідки та знімання інформації;
шляхом підслуховування конфіденційних переговорів, що проводяться у службових приміщеннях, службовому та особистому автотранспорті, на квартирах та дачах;
через переговорні процеси, використовуючи необережне поводження з інформацією;

Основними джерелами інформації є:люди, документи, публікації, технічні носії, технічні засоби, продукція та відходи.

Основними способами несанкціонованого одержання інформації є:

- Розголошення конфіденційної інформації;
- несанкціонований доступ до інформаційних ресурсів;
- Витік конфіденційної інформації з вини співробітників компанії.

Актуальність проблеми вжиття заходів щодо забезпечення інформаційної безпеки може бути проілюстрована такими прикладами:

1. Служба безпеки федерального оператора щомісяця розкриває від двох до шести інцидентів, пов'язаних із порушеннями інформаційної безпеки.
2. У гіпермаркеті молоду дівчину «просвітили» у вадах програми сполучення касових терміналів по локальній мережі. У результаті махінацій за три місяці жінка «заробила» 900000 рублів.
3. Молода людина - касир вніс зміни у касову програму і протягом місяця завдав шкоди підприємству у сумі близько 200000 рублів. Системний адміністратор розкрив факт несанкціонованого доступу лише під час розслідування через два місяці після звільнення касира.

Таким чином, керівники компаній повинні усвідомити важливість інформаційної безпеки, навчитися передбачати майбутні тенденції та керувати ними. Ефективна робота систем безпеки має стати першочерговим завданням для всього підприємства загалом.

Основні напрямки захисту інформації:

- Правовий захист включає: Законодавство РФ, власні нормативно-правові документи, в тому числі: положення про збереження конфіденційної інформації, перелік відомостей, що становлять комерційну таємницю, інструкція про порядок допуску співробітників до конфіденційної інформації, положення про діловодство та документообіг, зобов'язання співробітника про нерозголошення конфіденційної інформації, пам'ятка співробітнику про збереження комерційної таємниці та ін;
- організаційний захист включає режимно-адміністративні та організаційні заходи. До них відносяться: організація служби безпеки, організація внутрішньооб'єктового та пропускного режимів, організація роботи зі співробітниками з нерозголошення відомостей, що становлять комерційну та службову таємницю, організація роботи з документами, організація роботи з аналізу зовнішніх та внутрішніх загроз тощо.
- інженерно-технічний захист – передбачає застосування різноманітних технічних, електронних та програмних засобів, призначених для захисту інформації.

Реалізація програми захисту інформації повинна здійснюватися на основі комплексного використання систем та засобів безпеки, виходячи з передумови, що неможливо забезпечити необхідний рівень захищеності лише за допомогою одного окремого засобу чи заходу, або їх простої сукупності. Необхідне їх системне узгодження. У цьому випадку реалізація будь-якої загрози може впливати на об'єкт, що захищається тільки у разі подолання всіх рівнів захисту.

Безпека будь-якої системи електронної комерції загалом полягає у захисті від різноманітних втручань у її дані. Всі ці втручання можна поділити на кілька категорій:

· Викрадення даних (наприклад, розкрадання номерів кредитних карток з бази даних);

· Втручання (наприклад, перевантаження даними сайту, не призначеного для такого великого обсягу інформації);

· Спотворення даних (наприклад, зміна сум у файлах платежів і рахунків-фактур або створення неіснуючих сертифікатів або сайтів для перекачування інформації, що йде на певний сайт);

· Руйнування даних (наприклад, при передачі з сайту або сайту від користувача);

· Відмова від вироблених дій (наприклад, від факту оформлення замовлення або отримання товару);

· ненавмисне неправильне використання коштів сайту сумлінним користувачем;

· Несанкціонований доступ до інформації:

· Несанкціоноване копіювання, оновлення або інше використання даних;

· Несанкціоновані транзакції;

· несанкціонований перегляд або передача даних (наприклад, відображення справжніх імен відвідувачів замість псевдонімів у чаті чи форумі).

При цьому не можна не враховувати, що в питаннях безпеки в даній сфері є низка об'єктивних проблем правового характеру - технології розвиваються значно швидше за законодавчу базу, зловмисника важко спіймати на місці злочину, а докази та сліди злочинів можуть бути безслідно знищені. Все це зумовлює необхідність ретельного розроблення компаніями політики захисту свого електронного бізнесу. Повна та абсолютна безпека недосяжна, оскільки системи електронного бізнесу побудовані на базі безлічі готових та зроблених на замовлення програмних програм різних постачальників та значної кількості зовнішніх сервісів, що надаються провайдерами відповідних послуг або бізнес-партнерами. Значна частина цих компонентів та сервісів зазвичай непрозорі для IT-фахівців компанії-замовника, крім того, багато хто з них часто модифікується та вдосконалюється їх творцями. Все це неможливо ретельно перевірити щодо потенційних дефектів захисту, і ще складніше всі ці дефекти усунути. І навіть якби це було можливо, не можна виключити так званий людський фактор, оскільки всі системи створюються, змінюються та управляються людьми, а згідно з дослідженнями Інституту комп'ютерної безпеки 81% респондентів зазначили, що найбільше занепокоєння у компаній викликає саме внутрішня загроза – навмисні чи ненавмисні. Події своїх співробітників.

У проблемі захисту від внутрішніх загроз є два аспекти: технічний та організаційний. Технічний аспект полягає у прагненні виключити будь-яку ймовірність несанкціонованого доступу до інформації. Для цього застосовуються такі відомі засоби, як:

підтримка паролів та їх регулярна зміна; надання мінімуму прав, необхідні адміністрування системи;

наявність стандартних процедур своєчасної зміни групи доступу під час кадрових змін або негайного знищення доступу після звільнення працівника.

Організаційний аспект полягає у розробці раціональної політики внутрішнього захисту, що перетворює на рутинні операції такі рідко використовувані компаніями способи захисту та запобігання хакерським атакам, як:

· Запровадження загальної культури дотримання безпеки в компанії;

· Тестування програмного забезпечення на предмет хакінгу;

· відстеження кожної спроби хакінгу (незалежно від того, наскільки успішно вона завершилася) та її ретельне дослідження;

· щорічні тренінги для персоналу з питань безпеки та кіберзлочинності, що включають інформацію про конкретні ознаки хакерських атак, щоб максимально розширити коло співробітників, які мають можливість виявити такі дії;

· Введення чітких процедур відпрацювання випадків ненавмисної зміни або руйнування інформації.

Для захисту від зовнішнього вторгнення сьогодні існує безліч систем, які по суті є різними фільтрами, що допомагають виявити спроби хакінгу на ранніх етапах і по можливості не допустити зловмисника в систему через зовнішні мережі.

· Маршрутизатори - пристрої управління трафіком мережі, розташовані між мережами другого порядку і управляючі вхідним і вихідним трафіком приєднаних до нього сегментів мережі;

· брандмауери - засоби ізоляції приватних мереж від мереж загального користування, що використовують програмне забезпечення, що відстежує та припиняє зовнішні атаки на сайт за допомогою певного контролю типів запитів;

шлюзи додатків - засоби, за допомогою яких адміністратор мережі реалізує політику захисту, якою керуються маршрутизатори, які здійснюють пакетну фільтрацію;

· Системи відстеження вторгнень (Intrusion Detection Systems, IDS) - системи, що виявляють навмисні атаки та ненавмисне неправильне використання системних ресурсів користувачами;

· Засоби оцінки захищеності (спеціальні сканери, ін.) - Програми, що регулярно сканують мережу на предмет наявності проблем і тестують ефективність реалізованої політики безпеки.

Загалом, перше, що слід зробити компанії – це розібратися, що і від кого має бути захищено. Як основні гравці на цьому полі виступають акціонери компанії, споживачі, співробітники та бізнес-партнери, і для кожного з них необхідно розробити власну схему захисту. Усі вимоги щодо безпеки повинні бути задокументовані, щоб надалі служити керівництвом для всіх реалізацій електронно-комерційних додатків та засобів їх захисту у різних напрямках діяльності компанії. Крім того, це дозволить сформувати окремий бюджет для обслуговування проблем безпеки в рамках компанії та оптимізувати витрати на ці потреби, виключивши дублювання будь-яких питань захисту під час розробки кожного окремого бізнес-проекту.

На жаль, сьогодні практика така, що політика захисту віддається керівниками на відкуп IT-підрозділу, співробітники якого вважають, що технологічні питання важливіші за якісь там "паперові" приписи, і до того ж, не є фахівцями в окремих галузях бізнесу, які також вимагають чітких процедур захисту у межах компанії.

Крім того, при поєднанні різного програмного забезпечення можуть виникнути специфічні проблеми, не відомі виробникам кожного з інтегрованих продуктів. Дослідження таких взаємодій має передувати будь-які технологічні та бюджетні рішення. І цьому поки що також приділяється надто мало уваги.

Існує кілька видів загроз електронній комерції:

Проникнення у систему ззовні.

Несанкціонований доступ усередині компанії.

Навмисне перехоплення та читання інформації.

Умисне порушення даних чи мереж.

Неправильна (з шахрайською метою) ідентифікація користувача.

Зламування програмно-апаратного захисту.

Несанкціонований доступ користувача з однієї мережі до іншої.

Вірусні атаки.

Відмова у обслуговуванні.

Фінансове шахрайство.

Для протидії цим загрозам використовується ціла низка методів, що ґрунтуються на різних технологіях, а саме: шифрування – кодування даних, що перешкоджає їх прочитанню чи спотворенню; цифрові підписи, що перевіряють справжність особи відправника та одержувача; stealth-технології з використанням електронних ключів; брандмауери; віртуальні та приватні мережі.

Жоден із методів захисту не є універсальним, наприклад, брандмауери не здійснюють перевірку на наявність вірусів і не здатні забезпечити цілісність даних. Немає абсолютно надійного способу протидії злому автоматичного захисту, і його злом – це лише питання часу. Але час злому такого захисту, у свою чергу, залежить від його якості. Треба сказати, що програмне та апаратне забезпечення для захисту з'єднань та додатків до Інтернету розробляється вже давно, хоча впроваджуються нові технології дещо нерівномірно.

Які загрози чатують на компанію, що веде електронну комерцію на кожному етапі:

Підміна web-сторінки сервера електронного магазину (переадресація запитів на інший сервер), що робить доступними відомості про клієнта, особливо про його кредитні картки, стороннім особам;

Створення хибних замовлень та різноманітні форми шахрайства з боку співробітників електронного магазину, наприклад, маніпуляції з базами даних (статистика свідчить про те, що більше половини комп'ютерних інцидентів пов'язано з діяльністю власних співробітників);

Перехоплення даних, що передаються мережами електронної комерції;

Проникнення зловмисників у внутрішню мережу компанії та компрометацію компонентів електронного магазину;

Реалізація атак типу «відмова в обслуговуванні» та порушення функціонування чи виведення з ладу вузла електронної комерції.

Внаслідок реалізації таких загроз компанія втрачає довіру клієнтів, втрачає гроші від потенційних та/або недосконалих угод, порушується діяльність електронного магазину, витрачає час, гроші та людські ресурси на відновлення функціонування.

Звичайно, загрози, пов'язані з перехопленням інформації, що передається через Інтернет, притаманні не тільки сфері електронної комерції. p align="justify"> Особливе значення стосовно останньої представляє те, що в її системах звертаються відомості, що мають важливе економічне значення: номери кредитних карт, номери рахунків, зміст договорів і т. п.

1. Забезпечення безпеки електронної комерції

Забезпечення безпеки є не лише необхідною умовою успішного ведення електронного бізнесу, а й фундаментом довірчих відносин між контрагентами. Сама суть електронного бізнесу передбачає активний інформаційний обмін, проведення транзакцій через незахищену мережу загального доступу, які неможливі без довірчих відносин між суб'єктами бізнесу. Тому забезпечення безпеки має комплексний характер, включаючи такі завдання, як доступ до Web-серверів та Web-додатків, автентифікація та авторизація користувачів, забезпечення цілісності та конфіденційності даних, реалізація електронного цифрового підпису та ін.

Зі зростанням комерціалізації Інтернет питанням захисту інформації, що передається по мережі, приділяється все більше уваги. Спеціалізовані протоколи, призначені для організації захищеної взаємодії через Інтернет (наприклад, SET, SOCKS5, SSL, SHTTP та ін.), здобули широке визнання у всьому світі та успішно використовуються зарубіжними розробниками для створення банківських та торгових електронних систем на базі Інтернет.

За кордоном вирішенням проблеми інформаційної безпеки електронного бізнесу займається незалежний консорціум – Internet Security Task Force (ISTF) – громадська організація, що складається з представників та експертів компаній-постачальників засобів інформаційної безпеки, електронного бізнесу та провайдерів Інтернет-послуг.

Консорціум ISTF виділяє дванадцять областей інформаційної безпеки, на яких насамперед має бути зосереджена увага організаторів електронного бізнесу:

Механізм об'єктивного підтвердження ідентифікуючої інформації;

Право на особисту, приватну інформацію;

Визначення подій безпеки;

Захист корпоративного периметру;

Визначення атак;

Контроль потенційно небезпечного вмісту;

Контроль доступу;

Адміністрація;

Реакція на події

Відомо, що надійно захиститися від багатьох загроз дозволяє застосування алгоритмів електронного цифрового підпису (ЕЦП), проте це справедливо лише в тому випадку, якщо ці алгоритми вплетені в обґрунтовані протоколи взаємодії, юридично вірну конструкцію відносин та логічно замкнуту систему довіри.

В основі захисту інформації лежить проста логіка процесів обчислення цифрового підпису та її перевірки парою відповідних ключів, втім, логіка, що базується на фундаментальних математичних дослідженнях. Обчислити цифровий підпис може лише власник закритого ключа, а перевірити – кожен, хто має відкритий ключ, що відповідає закритому ключу.

Безумовно, забезпеченням інформаційної безпеки повинні займатися фахівці у цій галузі, але керівники органів державної влади, підприємств та установ незалежно від форм власності, які відповідають за економічну безпеку тих чи інших суб'єктів господарювання, повинні постійно тримати ці питання у полі свого зору. Для них наведено нижче основні функціональні компоненти організації комплексної системи інформаційної безпеки:

Комунікаційні протоколи;

Засоби криптографії;

Засоби контролю доступу до робочих місць із мереж загального користування;

Антивірусні комплекси;

Програми виявлення атак та аудиту;

Засоби централізованого управління контролем доступу користувачів, а також безпечного обміну пакетами даних та повідомлень будь-яких програм по відкритих мережах.

В Інтернет вже давно існує ціла низка комітетів, в основному, з організацій – добровольців, які обережно проводять запропоновані технології через процес стандартизації. Ці комітети, що становлять основну частину Робочої групи інженерів Інтернету (Internet Engineering Task Force, IETF), провели стандартизацію кількох важливих протоколів, прискорюючи їх впровадження в Інтернеті.

Такі протоколи, як сімейство TCP/IP для передачі даних, SMTP (Simple Mail Transport Protocol) та POP (Post Office Protocol) для електронної пошти, а також SNMP (Simple Network Management Protocol) для керування мережею – безпосередні результати зусиль IETF. Тип застосовуваного продукту захисту залежить потреб компанії.

В Інтернеті популярні протоколи безпечної передачі даних, а саме SSL, SET, IP v.6. Перелічені протоколи з'явилися в Інтернеті порівняно недавно, як необхідність захисту цінної інформації, і відразу стали стандартами де-факто.

На жаль, у Росії поки що з великою обережністю ставляться до можливості впровадження Інтернету в ті сфери діяльності, які пов'язані з

передачею, обробкою та зберіганням конфіденційної інформації. Подібна

обережність пояснюється не лише консервативністю вітчизняних фінансових структур, що побоюються відкритості та доступності Інтернету, але, почасти, і тим, що більшість програмних засобів захисту інформації західних фірм-виробників надходять на наш ринок з експортними обмеженнями, що стосуються реалізованих у них криптографічних алгоритмів. Наприклад, в експортних варіантах програмного забезпечення WWW-серверів і браузерів таких виробників, як Microsoft та Netscape Communications, є обмеження на довжину ключа для одноключових та двоключових алгоритмів шифрування, що використовуються протоколом SSL, що не забезпечує повноцінного захисту під час роботи в Інтернеті.

Однак додатки електронної комерції, крім внутрішніх загроз, схильні також до зовнішньої небезпеки, що походить від Інтернет. І оскільки нераціонально надавати кожному анонімному відвідувачеві окремий ідентифікатор входу (оскільки додаток при цьому не збільшується), компаніям необхідно використовувати інший вид аутентифікації. Крім того, необхідно підготувати сервер до відображення атак. І, нарешті, слід дотримуватися виняткової обережності щодо критичних даних – наприклад, таких, як номери кредитних карток.

Шифрування даних

На бізнес-сайті обробляється чутлива інформація (наприклад, номери кредитних карток споживачів). Передача такої інформації через Інтернет без будь-якого захисту може призвести до непоправних наслідків. Будь-хто може підслухати передачу та отримати таким чином доступ до конфіденційної інформації. Тому дані необхідно шифрувати та передавати по захищеному каналу. Для реалізації захищеної передачі використовують протокол Secure Sockets Layer (SSL).

Для реалізації цієї функціональності необхідно придбати цифровий сертифікат та встановити його на ваш(і) сервер(и). За цифровим сертифікатом можна звернутися до одного з органів сертифікації. До загальновідомих комерційних сертифікаційних організацій належать: VerySign, CyberTrust, GTE.

SSL являє собою схему для таких протоколів, як HTTP (званого HTTPS у разі його захищеності), FTP та NNTP. При використанні SSL для передачі даних:

Дані зашифровані;

Між сервером-джерелом та сервером призначення встановлено захищене з'єднання;

Активовано автентифікацію сервера.

Коли користувач надсилає номер кредитної картки із застосуванням протоколу SSL, дані негайно шифруються, тому хакер не може бачити їх зміст. SSL не залежить від мережного протоколу.

Програмне забезпечення сервера Netscape забезпечує також автентифікацію – сертифікати та цифровий підпис, засвідчуючи особистість користувача та цілісність повідомлень та гарантуючи, що повідомлення не змінювало свого маршруту.

Аутентифікація передбачає підтвердження особи користувача та цифрового підпису для перевірки справжності документів, що беруть участь в обміні інформацією та фінансових операціях. Цифровий підпис є дані, які можуть бути додані до документа, щоб уникнути підробки.

Виявлення вторгнень

Системи виявлення вторгнень (Intrusion Detection Systems, IDS) можуть ідентифікувати схеми або сліди атак, генерувати аварійні сигнали

попередження операторів та спонукати маршрутизатори переривати з'єднання з джерелами незаконного вторгнення. Ці системи можуть також запобігати спробам викликати відмову від обслуговування.

Опис роботи

Метою даної є вивчення поняття електронної комерції і розгляд питань інформаційної безпеки електронної комерції.
Завдання:
- дати визначення електронної комерції;
- Розглянути її основні елементи, види, позитивні та негативні сторони;
- розглянути основні види загроз та основні засоби забезпечення безпеки електронної комерції.

Інформаційна безпека електронної комерції (ЕК)

Кількість користувачів Інтернету досягла кілька сотень мільйонів і з'явилася нова якість у вигляді «віртуальної економіки». У ній покупки здійснюються через торгові сайти, з використанням нових моделей ведення бізнесу, своєю стратегією маркетингу та ін.

Електронна комерція (ЕК) – це підприємницька діяльність із продажу товарів через Інтернет. Як правило, виділяються дві форми ЕК:

* торгівля між підприємствами (business to business, B2B);

* Торгівля між підприємствами та фізичними особами, тобто. споживачами (business to consumer, B2С).

ЕК породила такі нові поняття як:

* Електронний магазин – вітрина та торгові системи, які використовуються виробниками чи дилерами за наявності попиту на товари.

* Електронний каталог - з великим асортиментом товарів від різних виробників.

* Електронний аукціон – аналог класичного аукціону з використанням Інтернет-технологій, з характерною прив'язкою до мультимедійного інтерфейсу, каналом доступу до Інтернету та показом особливостей товару.

* Електронний універмаг – аналог звичайного універмагу, де звичайні фірми виставляють свій товар, з ефективним товарним брендом (Гостинний двір, ГУМ тощо).

* Віртуальні ком'юніті (спільноти), в яких покупці організуються за групами інтересів (клуби вболівальників, асоціації тощо).

Інтернет у сфері ЕК приносить суттєві вигоди:

* Економія великих приватних компаній від переведення закупівель сировини та комплектуючих на Інтернет-біржі досягає 25 - 30%;

* участь в аукціоні конкуруючих постачальників з усього світу в реальному масштабі часу призводить до зниження запрограмованих ними за постачання товарів чи послуг цін;

* Підвищення цін за товари або послуги в результаті конкуренції покупців з усього світу;

* Економія за рахунок скорочення кількості необхідних співробітників та обсягу паперового діловодства.

Домінуюче становище в ЕК у країнах став сектор В2В, який до 2007 року за різними оцінками досягне від 3 до 6 трлн. доларів. Першими отримали переваги від переведення свого бізнесу в Інтернет компанії, що продають апаратно-програмні засоби та представляють комп'ютерні та телекомунікаційні послуги.

Кожен інтернет-магазин включає дві основні складових:

електронну вітрину та торгову систему.

Електронна вітрина містить на Web-сайті інформацію про товари, що продаються, забезпечує доступ до бази даних магазину, реєструє покупців, працює з електронним «кошиком» покупця, оформляє замовлення, збирає маркетингову інформацію, передає відомості в торгову систему.

Торгова система доставляє товар і оформляє платіж нього. Торгова система - це сукупність магазинів, власниками яких є різні фірми, що беруть в оренду місце на Web-сервері, що належить окремій компанії.

Технологія функціонування інтернет-магазинувиглядає наступним чином:

Покупець на електронній вітрині з каталогом товарів та цін (Web-сайт) вибирає необхідний товар і заповнює форму з особистими даними (ПІБ, поштова та електронна адреси, бажаний спосіб доставки та оплати). Якщо відбувається оплата через Інтернет, то особлива увага надається інформаційній безпеці.

Передача оформленого товару до торгової системи інтернет-магазину,

де відбувається комплектація замовлення. Торгова система функціонує ручним чи автоматизованим способом. Ручна система функціонує за принципом посилторгу, при неможливості придбання та налагодження автоматизованої системи, як правило, при незначному обсязі товарів.

Доставка та оплата товару. Доставка товару покупцю здійснюється

одним із можливих способів:

* кур'єром магазину в межах міста та околиць;

* Спеціалізованою кур'єрською службою (у тому числі з-за кордону);

* самовивозом;

* по телекомунікаційних мережах доставляється такий специфічний

товар, як інформація.

Оплата товару може здійснюватися такими способами:

* Попередній або в момент отримання товару;

* готівкою кур'єру або при візиті в реальний магазин;

* Поштовим переказом;

* банківським переводом;

* накладеним платежем;

* за допомогою кредитних карток (VISA, MASTER CARD та ін);

за допомогою електронних платіжних систем через окремі комерційні

банки (ТЕЛЕБАНК, ASSIST та ін.).

Останнім часом електронна комерція або торгівля через мережу Інтернет у світі розвивається досить бурхливо. Природно, що цей процес

здійснюється за безпосередньою участю кредитно-фінансових організацій. І цей спосіб торгівлі стає все більш популярним, принаймні там, де новим електронним ринком можна скористатися значною частиною підприємств і населення.

Комерційна діяльність у електронних мережах знімає деякі фізичні обмеження. Компанії, підключаючи свої комп'ютерні системи до

Інтернет, здатні надати клієнтам підтримку 24 години на добу без свят та вихідних. Замовлення на продукцію можуть прийматися будь-коли з будь-якого місця.

Однак у цієї медалі є свій зворотний бік. За кордоном, де найбільше широко розвивається електронна комерція, угоди або вартість товарів часто обмежуються величиною 300-400 доларів. Це пояснюється недостатнім вирішенням проблем інформаційної безпеки у мережах ЕОМ. За оцінкою Комітету ООН із запобігання злочинності та боротьби з нею, комп'ютерна злочинність вийшла на рівень однієї з міжнародних проблем. У цей вид злочинної діяльності з прибутковості посідає третє місце після торгівлі зброєю і наркотиками.

Обсяг світового обороту електронної комерції через Інтернет у 2006 році,

за прогнозами компанії Forrester Tech., може становити від 1,8 до,2 трлн. дол. Такий широкий діапазон прогнозу визначається проблемою забезпечення економічної безпеки електронної комерції. Якщо рівень безпеки збережеться на сьогоднішньому рівні, то світовий оборот електронної комерції може виявитися ще меншим. Звідси випливає, що низька захищеність системи електронної комерції є стримуючим чинником розвитку електронного бізнесу.

Вирішення проблеми забезпечення економічної безпеки електронної комерції насамперед пов'язане з вирішенням питань захисту інформаційних технологій, що застосовуються у ній, тобто із забезпеченням інформаційної безпеки.

Інтеграція бізнес-процесів у середовище Інтернет призводить до кардинальної зміни положення із забезпеченням безпеки. Породження прав та відповідальності на підставі електронного документа вимагає всебічного захисту від усієї сукупності загроз як відправника документа, так і його одержувача. На жаль, керівники підприємств електронної комерції належним чином усвідомлюють серйозність інформаційних загроз та важливість організації захисту своїх ресурсів тільки після того, як останні піддадуться інформаційним атакам. Як видно, усі перелічені перешкоди належать до сфери інформаційної безпеки.

Серед основних вимог до проведення комерційних операцій – конфіденційність, цілісність, автентифікація, авторизація, гарантії та збереження таємниці.

При досягненні безпеки інформації забезпечення її доступності, конфіденційності, цілісності та юридичної значущості є базовими завданнями . Кожна загроза повинна розглядатися з точки зору того, як вона може торкнутися цих чотирьох властивостей або якості безпечної інформації.

Конфіденційністьозначає, що інформація обмеженого доступу має бути доступна лише тому, кому вона призначена. Під цілісністюінформації розуміється її властивість існування у неспотвореному вигляді. ДоступністьІнформація визначається здатністю системи забезпечувати своєчасний безперешкодний доступ до інформації суб'єктів, які мають на це належні повноваження. Юридична значимістьінформації набуває важливості останнім часом, разом із створенням нормативно-правової бази безпеки інформації у нашій країні.

Якщо перші чотири вимоги можна забезпечити технічними засобами, виконання двох останніх залежить і від технічних засобів, і від відповідальності окремих осіб і організацій, а також від дотримання законів, що захищають споживача від можливого шахрайства продавців.

У рамках забезпечення комплексної інформаційної безпеки насамперед слід виділити ключові проблеми в галузі безпеки електронного бізнесу , які включають:

захист інформації під час її передачі каналами зв'язку; захист комп'ютерних систем, баз даних та електронного документообігу;

забезпечення довгострокового зберігання інформації в електронному вигляді; забезпечення безпеки транзакцій, секретність комерційної інформації, автентифікацію, захист інтелектуальної власності та ін.

Існує кілька видів загроз електронній комерції:

 Проникнення у систему ззовні.

 Несанкціонований доступ усередині компанії.

 Навмисне перехоплення та читання інформації.

 Умисне порушення даних чи мереж.

 Неправильна (з шахрайськими цілями) ідентифікація

користувача.

 Зламування програмно-апаратного захисту.

 Несанкціонований доступ користувача з однієї мережі до іншої.

 Вірусні атаки.

 Відмова в обслуговуванні.

 Фінансове шахрайство.

Для протидії цим загрозам використовується ціла низка методів, що ґрунтуються на різних технологіях, а саме: шифрування – кодування даних, що перешкоджає їх прочитанню чи спотворенню; цифрові підписи, що перевіряють справжність особи відправника та одержувача; stealth-технології з використанням електронних ключів; брандмауери; віртуальні та приватні мережі.

Жоден із методів захисту не є універсальним, наприклад, брандмауери не здійснюють перевірку на наявність вірусів і не здатні забезпечити цілісність даних. Немає абсолютно надійного способу протидії злому автоматичного захисту, і його злом – це лише питання часу. Але час злому такого захисту, у свою чергу, залежить від його якості. Треба сказати, що програмне та апаратне забезпечення для захисту з'єднань та додатків до Інтернету розробляється вже давно, хоча впроваджуються нові технології дещо нерівномірно.

Які погрози підстерігають компанію, яка веде електронну комерцію на кожному етапі :

 заміна веб-сторінки сервера електронного магазину (переадресація запитів на інший сервер), що робить доступними відомості про клієнта, особливо про його кредитні картки, стороннім особам;

 створення хибних замовлень та різноманітні форми шахрайства з боку співробітників електронного магазину, наприклад, маніпуляції з базами даних (статистика свідчить про те, що більше половини комп'ютерних інцидентів пов'язано з діяльністю власних співробітників);

 перехоплення даних, що передаються мережами електронної комерції;

 проникнення зловмисників у внутрішню мережу компанії та компрометацію компонентів електронного магазину;