Главная Контакты Карта сайта
Ваше благополучие зависит от ваших собственных решений.

Джон Дэвисон Рокфеллер

Рекламодателям | Партнерам | Новости | RSS
С марта до августа 1998 года мы развивали сеть «Руснет» и всячески привлекали Клиентов. После технической революции, перехода на ОС Unix и последовавшего за этим ухода Сергея с Александром технические проблемы сместились на второй план. Главными стали чисто коммерческие вопросы. Компания продолжала каждый месяц тратить больше денег, чем получала от своих Клиентов.
Меню сайта
Финансы
Доставка из Китая
Пенсионное страхование
Политика
Новости
Реклама
Облако Тегов
Архив
Реклама
Вести экономика

АУДИТ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ В ЕЛЕКТРОННОЇ КОМЕРЦІЇ

Оладько В.С.

Кандидат технічних наук, Волгоградський державний університет

АУДИТ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ В ЕЛЕКТРОННОЇ КОМЕРЦІЇ

анотація

Розглянуто проблему порушення безпеки суб'єктів і об'єктів в електронній комерції. Обґрунтовано необхідність проведення аудиту інформаційної безпеки в системах електронної комерції. Описано процес і етапи проведення аудиту. Охарактеризовані можливі варіанти висновків, щодо відповідності системи вимогам безпеки.

Ключові слова: ризик, захищеність, платіжна система, система захисту, інтернет, загроза.

Oladko VS

PhD in Engineering, Volgograd State University

THE INFORMATION SECURITY AUDIT IN E-COMMERCE

Abstract

The problem of security breaches subjects and objects in e -commerce is considered in the article. The need for audit of information security in electronic commerce systems proved . It describes the process and stages of the audit . Possible conclusions regarding the compliance of safety requirements are described .

Keywords: risk, security, payment system, security system, internet, threat.

Електронна комерція (ЕК), на сьогоднішній день, є одним з найбільш перспективних і зростаючих секторів економіки, її оборот в Росії, за даними [1], в 2014 році склав 639,7 млрд. Рублів. Найбільш активно ЕК застосовується в таких галузях як фінансовий сервіс, високотехнологічне виробництво, туризм, транспорт, оптова та роздрібна Інтернет-торгівля, надання державних послуг і здійснення закупівель. Існує безліч моделей систем електронної комерції (СЕК), в рамках яких реалізуються основні фінансові операції, транзакції і бізнес-процеси. Основними суб'єктами в ПЕК є: держава, фінансові організації, продавці, виробники, постачальники і споживачі, об'єктами - персональні дані користувачів, платіжні дані та інформація про банківські картки та рахунки, грошові кошти та електронні заступники та інші види конфіденційної інформації. Вся ця інформація схильна до ряду загроз і деструктивних впливів випадкового і навмисного характеру [2,3], в результаті яких може бути порушена конфіденційність і цілісність інформації, доступність даних і сервісів СЕК, а також відбутися переривання бізнес-процесів. Тому відповідно до вимог регуляторів - ФСТЕК Росії, ФСБ Росії і ЦБ Росії СЕК і її платіжні сервіси повинні підлягати захисту.

Склад системи захисту, може бути різний для державних і комерційних СЕК, і визначається вимогами регуляторів. А для того що б перевірити ступінь виконання вимог власниками СЕК необхідно на регулярній основі проводити аудит інформаційної безпеки, наприклад, для електронних платіжних систем за вимогами ЦБ Росії повинен проводитися не рідше одного разу на два роки.

Аудит інформаційної безпеки (ІБ) ділиться на внутрішній і зовнішній, може проводитися сторонніми ліцензованими організаціями та власним підрозділом безпеки організації - власника ЗЕК. В рамках аудиту, вирішуються завдання перевірки відповідності поточного рівня безпеки ПЕК вимогам регуляторів, виявлення вразливостей і потенційних ризиків, а також видача звіту і рекомендацій щодо подальших дій. При цьому зовнішній аудит, як правило, здійснюється або в рамках атестаційних випробувань і за вимогами нормативно-методичної документації регулюючих органів або з ініціативи керівництва. У більшості випадках є обов'язковим для державних СЕК (портал державних послуг, державні інформаційні системи електронних торговельних майданчиків і т.п.). Внутрішній аудит потрібен для регулярного контролю над станом безпеки власної СЕК з метою управління інцидентами ІБ і підтримки прийнятного рівня захищеності системи, також може здійснюватися для підготовки до проходження зовнішнього аудиту або з метою отримання сертифіката відповідності.

Аудит може проводитися експертним шляхом і / або за допомогою спеціалізованих інструментальних засобів оцінки та підтримки прийняття рішень. Найбільш часто при проведенні аудиту ІБ використовуються системи ГРИФ, КОНДОР, CRAMM, RiskWatch.

В аудиті ІБ умовно виділяють три етапи (див. Рис. 1):

  • оцінка поточного стану захисту СЕК,
  • оцінка ризиків і загального рівня захищеності СЕК,
  • формування звіту та видача рекомендацій.

За результатами проведеного дослідження аудиторською групою може бути підготовлено чотири типи висновків:

  • безумовно позитивне;
  • умовно позитивне;
  • негативне;
  • відмова від висловлення висновку.

безумовно позитивне; умовно позитивне; негативне; відмова від висловлення висновку

Мал. 1. Схема проведення аудиту інформаційної безпеки в ПЕК

В даних висновках повинні бути охоплені питання пов'язані:

  • зі ступенем відповідності перевіряється СЕК критеріям аудиту ІБ;
  • з оцінкою стану і якості системи внутрішнього контролю та / або моніторингу ІБ перевіряється СЕК;
  • зі здатністю керівництва організації-власника СЕК забезпечити постійну придатність, адекватність, результативність захисту СЕК і її вдосконалення.

Отримані в результаті аудиту ІБ звіт і рекомендації можуть використовуватися:

  • в разі відповідності вимогам безпеки, для отримання спеціального сертифікату безпеки, що підтверджує високу захищеність СЕК від випадкових загроз і атак зловмисника, що може істотно підвищити репутацію і привабливість СЕК для потенційних клієнтів і користувачів;
  • в разі невідповідності, на підставі виданих рекомендацій, зробити реконфігурацію і модернізацію поточної системи захисту, усунути неприпустимі ризики і підвищити загальну захищеність ЗЕК.

література

  1. Кім Б. Показники ринку електронної комерції. URL: http://spbit.ru/news/n82562/ (дата звернення 17.11.2015).
  2. Оладько В.С. Модель дій зловмисника в системах електронної комерції // Міжнародний науково-дослідний журнал.2015. №7-1 (38). С. 83-85. URL: https://research-journal.org/technical/model-dejstvij-zloumyshlennika-v-sistemax-elektronnoj-kommercii/ (дата звернення 17.11.2015).
  3. Аткіна В.С. Аналіз катастрофічних впливів на інформаційну систему // Актуальні проблеми гуманітарних та природничих наук. 2010.№1.С. 15-19.

References

  1. Kim B. Pokazateli rynka jelektronnoj kommercii. URL: http://spbit.ru/news/n82562/ (data obrashhenija 17.11.2015).
  2. Olad'ko VS Model 'deystviy zloumyshlennika v sistemakh elektronnoy kommertsii // Mezhdunarodnyy nauchno-issledovatel'skiy zhurnal.2015. №7-1 (38). S. 83-85. URL: https://research-journal.org/technical/model-dejstvij-zloumyshlennika-v-sistemax-elektronnoj-kommercii/ (data obrashcheniya 17.11.2015).
  3. Atkina VS Analiz katastroficheskikh vozdeystviy na informatsionnuyu sistemu // Aktual'nyye problemy gumanitarnykh i yestestvennykh nauk. 2010.№1.S. 15-19.

Профиль
Реклама
Деловой календарь
Реклама
Наверх
   
p329249_energy © 2016