Доктрина информационной безопасности Российской Федерации

      Безопасность электронной коммерции — это состояние защищенности интересов субъектов отношений, совершающих Коммерческие операции (сделки) с помощью технологий электронной коммерции, от угроз материальных и иных потерь. 
Обеспечение безопасности независимо от форм собственности необходимо для любых предприятий и учреждений, начиная от государственных организаций и заканчивая маленькой палаткой, занимающейся розничной торговлей. Различия будут состоять лишь в том, какие средства и методы и в каком объеме требуются для обеспечения их безопасности. 

      Правила построения

      Правовые  основы обеспечения безопасности определяют соответствующие положения Конституции Российской Федерации, Закон "О безопасности", федеральные законы и другие нормативные акты.

      Правовая  защита персонала, материальных и экономических интересов предприятия от преступных посягательств обеспечивается на основе норм Уголовного и Уголовно-процессуального кодексов, законов Российской Федерации о прокуратуре, о федеральной службе безопасности, о милиции, об оперативно-розыскной деятельности, о частной детективной и охранной деятельности, об оружии и др.

      Защиту  имущественных и иных материальных интересов, деловой репутации коммерческих предприятий призваны обеспечить: гражданское, гражданско-процессуальное, арбитражное и арбитражно-процессуальное законодательство.

      Целью создания (построения) системы безопасности предприятия является комплексное воздействие на потенциальные и реальные угрозы, позволяющее организации:

·                     успешно функционировать в нестабильных условиях внешней и внутренней среды;

·                     предотвращать угрозы собственной безопасности;

·                     защищать свои законные интересы от противоправных посягательств;

·                     охранять жизнь и здоровья персонала;

·                     не допускать хищения финансовых и материально-технических средств, уничтожения имущества и ценностей, разглашения, утраты, утечки, искажения и уничтожения служебной информации, нарушения работы технических средств, обеспечения производственной деятельности, включая и средства информатизации.

Достижение  этой цели требует решения следующих  задач:

·                     выявления угроз стабильности работы предприятия и его развитию и выработка мер противодействия;

·                     обеспечения защиты технологических процессов;

·                     реализации мер противодействия всем видам шпионажа (промышленного, научно-технического, экономического и т.д.);

·                     своевременного информирования руководства предприятия о фактах нарушения законодательства со стороны государственных и муниципальных органов, коммерческих и некоммерческих организаций, затрагивающих интересы предприятия;

·                     предупреждения переманивания сотрудников предприятия, обладающих конфиденциальной информацией;

·                     всестороннего изучения деловых партнеров;

·                     своевременного выявления и адекватного реагирования на дезинформационные мероприятия;

·                     разработки и совершенствования правовых актов предприятия, направленных на обеспечение его безопасности;

·                     реализации мер по защите коммерческой и иной информации;

·                     организации мероприятий по противодействию недобросовестной конкуренции;

·                     обеспечения защиты всех видов ресурсов предприятия;

·                     реализации мер по защите интеллектуальной собственности;

·                     организации и проведения мер по предотвращению чрезвычайных ситуаций;

·                     выявления негативных тенденций среди персонала предприятия, информирования о них руководства предприятия и разработки соответствующих рекомендаций;

·                     организации взаимодействия с правоохранительными и контрольными органами в целях предупреждения и пресечения правонарушений, направленных против интересов предприятия;

·                     разработки и реализации мер по предупреждению угроз физической безопасности имуществу предприятия и его персоналу;

·                     возмещения материального и морального ущерба, нанесенного предприятию в результате неправомерных действий организаций и отдельных физических лиц.

      Результатом деятельности по обеспечению комплексной  безопасности предприятия являются: стабильность (надежность) его функционирования и финансово-экономического состояния, личная безопасность персонала.

      Система безопасности предприятия должна быть построена с соблюдением следующих  правил:

      Профилактика  возможных угроз.

      Необходимо  своевременное выявление возможных  угроз безопасности предприятия. Анализ которых, позволит разработать соответствующие профилактические меры.

      Законность.

      Меры  по обеспечению безопасности разрабатываются  на основе и в рамках действующих  правовых актов. Локальные правовые акты предприятия не должны противоречить законам и подзаконным актам.

      Комплексное использование сил  и средств.

      Для обеспечения безопасности используются все имеющиеся в распоряжении предприятия силы и средства. Каждый сотрудник должен, в рамках своей  компетенции, участвовать в обеспечении безопасности предприятия. Организационной формой комплексного использования сил и средств является программа (план работ) обеспечения безопасности предприятия.

      Координация и взаимодействие внутри и вне предприятия.

      Меры  противодействия угрозам осуществляются на основе взаимодействия и координации усилий всех подразделений, служб предприятия, а также установления необходимых контактов с внешними организациями, способными оказать необходимое содействие в обеспечении безопасности предприятия. Организовать координацию и взаимодействие внутри и вне предприятия может служба безопасности (СБ) предприятия (либо руководитель предприятия, если СБ в организации нет).

      Сочетание гласности с секретностью.

      Доведение информации до сведения персонала предприятия и общественности в допустимых пределах мер безопасности выполняет важнейшую роль - предотвращение потенциальных и реальных угроз.

      Компетентность.

      Сотрудники  должны решать вопросы обеспечения  безопасности на профессиональном уровне, а в необходимых случаях специализироваться по основным его направлениям.

      Экономическая целесообразность.

      Стоимость финансовых затрат на обеспечение безопасности не должна превышать тот оптимальный  уровень, при котором теряется экономический  смысл их применения.

      Плановая  основа деятельности.

      Деятельность  по обеспечению безопасности должна строиться на основе комплексной  программы обеспечения безопасности предприятия, подпрограмм обеспечения  безопасности по основным его видам (экономическая, научно-техническая, экологическая, технологическая и т.д.) и разрабатываемых для их исполнения планов работы подразделений предприятия и отдельных сотрудников.

      Системность.

      Этот  принцип предполагает учет всех факторов, оказывающих влияние на безопасность предприятия, включение в деятельность по его обеспечению всех сотрудников, использование всех сил и средств.

      В настоящее время в России, деятельностью  любого хозяйствующего субъекта в основном интересуются: государство, конкуренты, криминальные структуры и его собственный персонал.

      Государство в основном контролирует правовую основу  деятельности - зарегистрировано ли предприятие, есть ли лицензии, соответствующие вашему виду деятельности и исправно ли вы платите налоги.

      Одной из угроз национальной безопасности является возрастающее влияние информационных процессов на экономику государства. Как отмечено в Доктрине, «обеспечение информационной безопасности в сфере экономики играет ключевую роль в обеспечении национальной безопасности Российской Федерации.

      Воздействию информационных угроз в сфере  экономики наиболее подвержены:

• система государственной статистики;
• кредитно-финансовая система;
• информационные и учетные автоматизированные системы федеральных органов исполнительной власти, обеспечивающих деятельность общества и государства в сфере экономики;
• системы бухгалтерского учета предприятий, учреждений и организаций независимо от форм собственности;
• системы сбора, обработки, хранения и передачи финансовой, биржевой, налоговой, таможенной и внешнеэкономической деятельности государства, а также предприятий, учреждений и организаций независимо от форм собственности».

      Кроме того, «серьезную угрозу для нормального  функционирования экономики в целом  представляют компьютерные преступления, связанные с проникновением в  компьютерные системы и сети банков и иных кредитных организаций». Все  это приводит к реальному ущербу в деятельности субъектов хозяйственной деятельности, что для государства выражается в недополучении налоговых платежей в бюджет и ухудшении экономических показателей.

      Весь  мир серьезно озабочен состоянием защиты национальных информационных ресурсов вследствие возможности широкого, неконтролируемого доступа к ним через открытые информационные сети. Более 80 % компьютерных преступлений происходят с использованием глобальной сети Интернет. При рассмотрении любых связанных с ними количественных оценок необходимо учитывать, что все они весьма условны: любая статистика, приводимая в современной литературе, это лишь видимая часть «айсберга» под названием «информационные угрозы и их последствия».

      В отчете «Исследование в области  информационной безопасности в России и СНГ» в 2001 году компания «Эрнст и Янг» привела следующие данные:

      

      Все эти угрозы имеют отношение к  системе электронной торговли. Рассмотрим более подробно проблемы, связанные с ее становлением и развитием в России. Электронная коммерция есть заключение и исполнение сделок в электронной форме, что влечет за собой необходимость решения вопросов ее правового, финансового, организационного, информационного и технического обеспечения. Электронная торговля включает в себя заказ товаров и их оплату с использованием сети Интернет, что является частью электронной коммерции.

      

      Рис. 1. Структура классификаций: а) «Источники угроз»; б) «Уязвимости»; в) «Методы реализации»

      В настоящее время получили развитие две модели глобальной электронной  коммерции: B2B (business-to-business) – торговые отношения между предприятиями  и B2С (business-to-customer) – торговые отношения между предприятием и покупателем.

      Решение проблемы обеспечения экономической  безопасности электронной коммерции  в первую очередь связано с  решением вопросов защиты информационных технологий, применяемых в ней, то есть с обеспечением информационной безопасности.