ТЕМА 8. БЕЗОПАСНОСТЬ ЭЛЕКТРОННОЙ КОММЕРЦИИ

 

Информационная безопасность (по законодательству РФ) – состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.

Информационная безопасность имеет три основные составляющие:

1) конфиденциальность – защита чувствительной информации от несанкционированного доступа;

2) целостность – защита точности и полноты информации и программного обеспечения;

3) доступность – обеспечение доступности информации и основных услуг для пользователя в нужное для него время;

а также:

1) достоверность;

2) сохранность.

Шифрование – такое преобразование элементов информации, после которого восстановление исходной информации становится исключительно трудным для всех, кроме лица, которому предназначается информация.

– зашифрование – процесс преобразования открытых данных в зашифрованные данные при помощи шифра;

– расшифрование – процесс преобразования зашифрованных данных в открытые данные при помощи шифра.

Существует общее правило, сформулированное в позапрошлом веке голландским учёным Ф. Керкхоффом (1835–1903): «Стойкость шифра должна быть обеспечена в том случае, когда известен весь алгоритм зашифровывания, за исключением секретного ключа».

Основные понятия криптографии:

Ø Ключ – информация, необходимая для беспрепятственного шифрования и дешифрования сообщений.

Ø Алгоритм – последовательность действий по преобразованию исходного сообщения в зашифрованное или наоборот, использующая ключ (и) шифрования.

Ø Пространство ключей – набор возможных значений ключа.

 

Рисунок 8 – Классы алгоритмов шифрования

Симметричными являются алгоритмы, в которых для зашифрования и расшифрования используется один и тот же секретный ключ.

Чтобы начать использовать систему, необходимо получить общий секретный ключ так, чтобы исключить к нему доступ злоумышленника.

Симметричные алгоритмы подразделяются на:

Ø поточные (сообщение шифруется побитно от начала и до конца);

Ø блочные (сообщение разбивается на блоки и шифруется поблочно).

Основные преимущества симметричных алгоритмов:

Ø высокая скорость зашифрования (расшифрования);

Ø возможность работы на больших объёмах и потоках информации;

Ø менее требовательны к вычислительным ресурсам системы.

Основные недостатки симметричных алгоритмов:

Ø сложность распространения ключа между участниками;

Ø сложность сохранения ключа в тайне при большом количестве участников;

Ø меньшая стойкость в взлому;

Ø сложность реализации самих алгоритмов ввиду многоэтапности;

Ø отправитель и получатель информации владеют одним и тем же ключом, что делает невозможным аутентификацию отправителя.

В ассиметричных алгоритмах используются два ключа – открытый и закрытый (секретный), которые математически связаны друг с другом.

Ø Открытый ключ – число, которое свободно может передаваться по открытым каналам и не является секретом;

Ø Закрытый ключ – число, никогда не передающееся по каналам связи, хранящееся только у владельца и являющееся его секретом.

Генерация пары ключей должна происходить обязательно одновременно.

Основные преимущества асимметричных алгоритмов:

Ø отсутствие необходимости в секретном канале для передачи ключей;

Ø секретный ключ никогда не передаётся;

Ø может использоваться для организации секретного канала по передаче ключа для симметричного алгоритма;

Ø большая сложность во взломе сообщения.

Основные недостатки асимметричных алгоритмов:

Ø большая вычислительная сложность для зашифрования (расшифрования);

Ø возможность использования только для небольших объёмов информации;

Ø сильная зависимость времени работы алгоритма от длины ключа.

Цифровой сертификат – электронный документ, выданный и заверенный удостоверяющим центром.

Цифровой сертификат можно рассматривать как электронное удостоверение пользователя по аналогии с традиционным удостоверением (паспортом), которое позволяет удостовериться в том, что при обмене электронными документами Вы имеете дело с определённым лицом.

По своей сути цифровой сертификат – это небольшой файл, содержащий в себе следующую информацию:

Ø имя и идентификатор владельца сертификата;

Ø открытый ключ;

Ø имя, идентификатор и цифровую подпись удостоверяющего центра;

Ø серийный номер, версия и срок действия сертификата.

Таким образом, цель создания цифрового сертификата – сопоставить открытый ключ (обычное число) и понятное человеку «имя владельца», при котором достоверность такого сопоставления подтверждается третьей стороной.

Электронная цифровая подпись (ЭЦП) – реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.

 

Контрольные вопросы и задания

1. Дайте определения понятий «опасность», «безопасность» и «угроза».

2. Перечислите составляющие безопасности и дайте им характеристику.

3. Охарактеризуйте принципы создания системы безопасности.

4. В чём суть методики построения системы безопасности?

5. Каковы виды и источники угроз безопасности электронной коммерции?

6. Назовите факторы, определяющие содержание угроз информационной безопасности системам электронной коммерции.

7. Каковы основные способы оценки эффективности системы безопасности электронной коммерции?

8. Сформулируйте критерий оценки эффективности системы безопасности.

9. В чём суть методического подхода к оценке безопасности?

10. Раскройте содержание правового регулирования безопасности электронной коммерции.

11. Назовите основные методы обеспечения информационной безопасности.

12. Дайте общую характеристику рисков предпринимательской деятельности.

13. Перечислите и охарактеризуйте риски в электронной коммерции.

 

Методические указания по выполнению лабораторной работы № 10 «Применение электронной цифровой подписи в электронной коммерции»

 

Цель работы:

Знакомство с действующим законодательством по ЭЦП, а также представленными в глобальной сети Интернет удостоверяющими центрами по выдаче ЭЦП для электронной коммерции. Сравнительная характеристика по заданным параметрам (возможно дополнение параметров).

Задание на выполнение работы

1. Найдите представленные в глобальной сети удостоверяющие центры по выдаче ЭЦП.

2. Сравните по заданным показателям, занесите в таблицу.

Критерии оценки	УЦ 1	УЦ 2	УЦ 3
1. Параметры выдаваемых ЭЦП
2. Территориальное действие ЭЦП
3. Возможность участия в госзаказе
…

 

ТЕМА 9. ПРОБЛЕМНЫЕ ВОПРОСЫ РАЗВИТИЯ ЭЛЕКТРОННОЙ КОММЕРЦИИ

 

В Российской Федерации правовое регулирование отношений в области электронного документооборота и электронной коммерции осуществляется в соответствии с Гражданским кодексом РФ, федеральными законами «Об информации, информатизации и защите информации», «О связи», «Об электронной цифровой подписи», «Об участии в международном информационном обмене» и другими и принимаемыми в соответствии с ними иными нормативными правовыми актами.

Что касается международного права, регулирующего сферу электронного бизнеса, то ещё в 1996 г. Генеральная Ассамблея ООН приняла Типовой закон об электронной торговле, разработанный и утверждённый Комиссией ООН по праву международной торговли (ЮНСИТРАЛ) и руководство по его применению. Этот Закон применяется к любому виду информации в форме сообщения данных, используемой в контексте торговой деятельности. Под термином " сообщение данных" понимается информация, подготовленная, отправленная, полученная или хранимая с помощью электронных, оптических или аналогичных средств, включая электронный обмен данными, электронную почту, телеграмму, телекс или телефакс. Основной правовой принцип электронной коммерции, который работает как на международных, так и на внутренних рынках, заключается в следующем: стороны, заключившие электронную сделку, не могут ставить её под сомнение только на том основании, что она заключена, а часто исполняется (как в финансовой сфере) электронным способом и в основе её не лежит традиционный бумажный документооборот, сопровождаемый традиционной собственноручной подписью.

Необходимо отметить также, что правила использования технологий электронных коммуникаций в законодательстве Российской Федерации изложены в наиболее общем виде. Например, в Федеральном законе РФ от 4 июля 1996 г. № 85-ФЗ «Об участии в международном информационном обмене» отсутствует упоминание о правилах участия в обмене информацией с использованием сети Интернет, не учитывается тот факт, что по компьютерным сетям можно передавать не только содержание, но и реквизиты документов. Кроме того, законодательно не определена единая система доказательств, принимаемых и применяемых в судебной практике при рассмотрении споров.

Помимо этого, нужны также разъяснительные документы по сертификации криптографических средств связи. Сейчас их сертификация осуществляется в нескольких местах (ФАПСИ, Гостехкомиссия и т.д.), что создаёт определённые трудности.

В России система правового регулирования электронного бизнеса пока полностью не сложилась, но она будет формироваться в процессе создания взаимосвязанной системы норм на международном и национальном уровнях. При этом необходимо идти по пути заключения многосторонних договоров, фиксирующих цели и принципы функционирования глобальных компьютерных сетей, финансирование и технические параметры их развития на базе существующих средств коммуникаций. К разработке вопросов совершенствования гражданско-правового законодательства целесообразно привлекать компании, занятые бизнесом в сети Интернет, и организации, которые обеспечивают работу самой сети в целом. Для России сегодня важно не отставать от тех процессов, которые происходят в области электронного бизнеса при формировании соответствующего международного законодательства и интеграции в мировую экономику.

Контрольные вопросы и задания

1. В чём выражается актуальность проблемы правового регулирования интеллектуальной собственности в сети Интернет?

2. Как сеть Интернет влияет на общественные отношения по поводу интеллектуальной собственности?

3. В чём выражаются основные сложности защиты прав на объекты интеллектуальной собственности в сети Интернет и каковы возможные пути их преодоления? Что такое «цифровая дилемма»?

4. Дайте общую характеристику объектов интеллектуальной собственности в сети Интернет.

5. Перечислите основные законодательные акты РФ в области охраны интеллектуальной собственности. Соответствуют ли они современным задачам?

6. Какие документы, регулирующие отношения по поводу интеллектуальной собственности, приняты за рубежом? Дайте их основную характеристику.

7. В чём заключается основные проблемы правового регулирования объектов авторского права в сети Интернет?

Методические указания по выполнению лабораторной работы № 11

«Правовое регулирование на этапе регистрации электронной коммерции»

 

Цель работы:

· ознакомиться с типовыми договорами, необходимыми для электронной торговли;

· выяснить, в каких случаях составляются те или иные договорные соглашения;

· изучить права и обязанности сторон участвующих в электронной торговле.

Задание на выполнение работы

1. Найдите в Интернете или системе «Консультант +» следующие типовые договора:

· Договор поддержки web-сервера;

· Соглашение о договорной цене (Приложение №1 к договору поддержки web-сервера;

· Лицензионный договор на использование программы для ЭВМ;

· Договор на предоставление услуг по распространению рекламы через сеть Интернет;

· Договор оказания юридических услуг.

 

2. Заполните соответствующие договоры для предприятия электронной коммерции по вашему варианту (вариант назначает преподаватель).

 

Вариант 1

Компания «Юника Арт» занимается производством и установкой жалюзи для юридических и физических лиц. Заказы могут включать как простые заказы по каталогу любого вида продукции в необходимом количестве, так и разработку специальной конфигурации, дизайна и других характеристик по требованию заказчика. В связи с этим специфические заказы обрабатываются и контролируются менеджерами на всех стадиях согласования параметров. После окончательного оформления клиент имеет возможность просмотреть детали и итоговую стоимость заказа и произвести расчёт как традиционным способом, так и на сайте. По факту оплаты заказ доставляется клиенту. На всех этапах клиент имеет возможность отслеживать состояние заявки.

 

Вариант 2

ОАО BaySoft занимается продажей программного обеспечения. Компания предлагает полный набор услуг по продаже программного обеспечения Microsoft, Лаборатории Касперского, Dr.Web, Eset, Corel, Acronis, Adobe, Abbyy, Autodesk, Ascon, GFI и других ведущих производителей. В ассортимент программного обеспечения входят коробочные продукты, корпоративные лицензии.

Основными видами деятельности компании являются:

· приём заказов от потребителей на соответствующее программное обеспечение;

· заключение договоров с производителями и распространителями (поставщиками) программного обеспечения на право продажи соответствующего товара;

· учёт заказанного и проданного программного обеспечения;

· обеспечение функционирования WEB-сайта компании, на котором заказчики могут ознакомиться с номенклатурой предлагаемого программного обеспечения и осуществить заказ;

· доставка программного обеспечения заказчикам.

 

Вариант 3.

Компания ООО «Parfi» представляет собой online магазин, специализирующийся на розничной торговле парфюмерией, без offline поддержки. Налаженные отношения с поставщиками позволяют вести бизнес без использования собственного склада (товар поставляется напрямую со склада компании-производителя), что значительно снижает издержки фирмы. Доставка товара клиенту осуществляется либо курьером, либо почтой (государственной или DHL). Оплата товара может осуществляться следующими способами: наложным платежом (при доставке товара почтой), наличными (при доставке товара курьером), электронными наличными (webMoney, Яndex-деньги). В случае выбора клиентом способа доставки курьером, покупателю необходимо подтвердить заказ (система формирует уведомление, которое отправляет на e-mail покупателя). В остальных случаях товар доставляется по факту оплаты.

 

Методические указания по выполнению лабораторной работы № 12

«Регламентирование деятельности Интернет-магазина»

Цель работы:

· изучение принципов регламентации деятельности интернет-магазина;

· рассмотрение отношение сторон на разных этапах электронной коммерции;

· изучение законодательных актов, действующих на различных этапах электронной коммерции.

Задание на выполнение работы

1. Сформулируйте, в чём заключается деятельность электронного магазина.

2. Перечислите нормативно - правовые акты, регламентирующие деятельность интернет-магазина.

3. Перечислите какие требования предусмотрены законодательством РФ для деятельности интернет-магазина, например, «Электронный магазин должен быть зарегистрирован в торговом органе» и т.д.

4. Сравните различные виды web-ресурсов с точки зрения права. Приведите примеры 3–4 различий. Обратите внимание, как будет использоваться ФЗ «О рекламе», будут ли различия в начислении налогов. Выводы занесите в таблицу.

Сравнительный критерий	Сайт-визитка	Web-представительство	Интернет-магазин
Использование баннерной рекламы
Обеспечение информационной безопасности