 |
|
Угрозы электронному бизнесу в Internet. Принципы и средства защиты информации.
Важнейшей задачей для систем электронной коммерции является защита информации, которая включает в себя защиту данных, коммуникаций и транзакций. Вопросы защиты информации являются актуальными для всех аспектов электронной коммерции, но особенно важны они для финансовых систем, связанных с осуществлением платежей. При работе в сети Интернет необходимо помнить о существовании нескольких типов угроз (табл. 10.1).
Таблица 10.1. Угрозы безопасности и методы их устранения
| Угроза | Решение | Действие | Технология |
| Данные преднамеренно перехватываются, читаются или изменяются | Шифрование | Кодирование данных, препятствующее их прочтению или искажению | Симметричное или асимметричное шифрование |
| Пользователи идентифицируют себя неправильно (с мошенническими целями) | Аутентификация | Проверка подлинности отправителя и получателя | Цифровые подписи |
| Пользователь получает несанкционированный доступ из одной сети в другую | Брандмауэр | Фильтрация трафика, поступающего в сеть или на сервер | Брандмауэры, виртуальные частные сети |
Источник: Козье Д. Электронная коммерция. М., 1999. С. 63.
Для того чтобы понимать и использовать эти решения по защите информации, необходимо иметь представление об основах криптографии и основных требованиях к проведению коммерческих операций в Сети: конфиденциальности, целостности, аутентификации, авторизации, гарантии сохранения тайны.
В связи с постоянным увеличением количества и появлением различных новых видов угроз для ведения электронного бизнеса безопасность в настоящее время понимается в широком смысле: не только как защищенность сетевых соединений и отсутствие онлайн-мошенничеств, но и как гарантия того, что покупателей интернет-магазинов не обманут и их деньги в любом случае не пропадут. Для подтверждения подобного рода безопасности существует практика сертификации предприятий электронной коммерции. Так, например, в Европе функционирует компания Trusted Shops GmbH <1>, основной целью которой являются обеспечение высокого уровня надежности в сфере интернет-бизнеса и предоставление потребителям информации, в каких электронных магазинах безопасно совершать покупки.
Поскольку во многих странах Европы такая сертификация существует достаточно давно и информация всегда может быть предоставлена клиенту, собирающемуся совершить онлайн-покупку, владельцы интернет-магазинов сами заинтересованы в наличии сертификата, подтверждающего надежность его виртуальных точек продажи. Европейская программа сертификации включает три основные проверки:
- юридическую (проверка правильности оформления учредительных документов);
- техническую (проверка наличия защищенных соединений, обеспечивающих безопасность транзакций);
- финансовую (проверка кредитоспособности самого электронного магазина).
Подобная проверка - не разовая акция, а регулярно проводимый процесс, и при выдаче (продлении) сертификата учитывается отсутствие обоснованных жалоб на магазин со стороны клиентов.
Примечание. В России также начинается процесс добровольной сертификации интернет-магазинов. Национальная ассоциация участников электронной торговли НАУЭТ при поддержке Конфедерации обществ защиты прав потребителей и Департамента потребительского рынка и услуг Москвы представила программу Safeshopping, разработанную по мировым стандартам, но с учетом особенностей российского рынка электронной коммерции.
Таким образом, комплексная работа по защите информации включает разработку полноценной системы защиты, включающей правовые, морально-этические, административные, физические и аппаратно-программные меры. При разработке такой системы важно понимать, что в настоящее время полностью изменился сам профиль злоумышленников: сегодня компьютерные сети и базы данных массово взламывают не подростки и не любители, а организованные профессионалы, преследующие коммерческие цели.
Правовые аспекты электронного бизнеса. Заключение договоров с использованием электронных средств. Разрешение споров в электронной коммерции
В Российской Федерации правовое регулирование отношений в области электронного документооборота и электронной коммерции осуществляется в соответствии с Гражданским кодексом РФ, федеральными законами "Об информации, информатизации и защите информации", "О связи", "Об электронной цифровой подписи", "Об участии в международном информационном обмене" и другими и принимаемыми в соответствии с ними иными нормативными правовыми актами.
Что касается международного права, регулирующего сферу электронного бизнеса, то еще в 1996 г. Генеральная Ассамблея ООН приняла Типовой закон об электронной торговле, разработанный и утвержденный Комиссией ООН по праву международной торговли (ЮНСИТРАЛ) и руководство по его применению.
В целях заключения сделок в корпоративных системах электронной торговли используются договорные конструкции, которые основываются на традиционных нормах гражданского законодательства. Участники подобной системы заключают особое соглашение "Об электронном обмене данными (документообороте)", "Об использовании электронных документов" и т. п.
Предметом названного соглашения выступают требования, предъявляемые к электронной процедуре совершения сделок; условия соглашения являются дополнительными по отношению к заключаемому при помощи электронной связи основному договору (поставки, подряда, хранения, по расчетам и др.). Соглашение не регламентирует договорные обязательства, при совершении которых могут использоваться электронные средства связи, поскольку на эти обязательства распространяются собственные нормы и правила, закрепленные в Гражданском кодексе РФ.
Названное соглашение, как правило, реализуется в виде Правил электронного документооборота корпоративной информационной системы, а также приложений к Правилам.
Договорная документация, регламентирующая совершение сделок в корпоративных системах электронной торговли, обычно включает следующий пакет документов:
· Правила электронного документооборота корпоративной информационной системы;
· Договор о присоединении к Правилам электронного документооборота корпоративной информационной системы;
· Приложения к Правилам электронного документооборота, являющиеся неотъемлемой частью Правил, в том числе: Приложения, регламентирующие: а) Порядок использования электронной цифровой подписи в электронном документообороте; б) Порядок разрешения конфликтных ситуаций и споров при осуществлении электронного документооборота и др.;
· Технологические правила информационной системы (или руководство по использованию). Содержание документа — описание технологии работы системы;
· Иные договоры, заключаемые между участниками, регламентирующие условия и порядок совершения сделок в электронной торговле, в том числе установку и использование необходимых аппаратных средств, клиентского программного и информационного обеспечения. Осуществление технологического присоединения участника к информационной системе — основное технологическое условие совершения сделок в электронной торговле.