Растущий рынок e-commerce сталкивается с серьезными киберугрозами, направленными на кражу личных данных покупателей и финансовое мошенничество.
Предприятия электронной коммерции — работают с большим массивом данных клиентов и онлайн транзакций. Поэтому безопасность предприятий отрасли e-commerce – это в первую очередь безопасность персональных данных и платежей клиентов онлайн магазина.
Если хакеры получат доступ к конфиденциальным данным, включая личные данные клиентов или информацию о кредитных картах это может привести к многочисленным негативным последствиям.
Мотивы атак на предприятия e-commerce: вымогательство, недобросовестная конкуренция, личные мотивы. Основные причины — кража базы пользователей, нарушение работоспособности магазина, получение доступа к отдельным учетным записям, шантаж и мошенничество с целью получения товаров.
Типы и методы кибератак на предприятия e-commerce
• Финансовые махинации
• Спам. • Фишинг
• Боты
• DDoS-атаки
• Брутфорс
• SQL-инъекции
• XSS
• Вредоносные программы
Рассказывают Рамиль Хантимиров, CEO и со-основатель StormWall и Вячеслав Железняков, директор по развитию бизнеса в SolidSoftКарантинные меры, предпринятые во многих странах в связи с пандемией коронавирусной инфекции COVID-19, привели к резкому снижению посещаемости торговых центров и магазинов, с одной стороны, и к стремительному росту интереса к заказам товаров и услуг через Интернет, с другой. Более того, в разгар первой волны пандемии лидеры рынка интернет-торговли продемонстрировали существенное увеличение прибыли. Так, операционный денежный поток Amazon во втором квартале 2020 года вырос на 89%, при этом чистая прибыль увеличилась вдвое. Даже те компании, которые прежде не придавали значения продажам через Интернет, были вынуждены срочно наращивать свои возможности электронной коммерции, чтобы обеспечить стабильный доход в условиях всеобщей «удалёнки». Некоторые, чтобы расширить продажи, постарались в кратчайшие сроки подключиться к популярным электронным маркетплейсам. Как правило, результатом спешки с разработкой и интеграцией новых функций ради скорейшего их вывода на рынок становится невнимание к вопросам информационной безопасности и появление новых и обновленных систем с многочисленными уязвимостями. Так произошло и на этот раз: в новоиспеченных системах электронной коммерции появилось множество уязвимостей, которыми не преминули воспользоваться злоумышленники: в ходе стремительного увеличения количества и интенсивности целенаправленных атак на сайты и приложения e-commerce выяснилось, что далеко не все они способны противостоять внезапно усилившимся угрозам. Угрозы атак для бизнеса электронной коммерцииНаиболее серьезными угрозами в области информационной безопасности (ИБ) сайтов и веб-приложений компаний сейчас являются следующие:
- воздействия различного рода с целью мошенничества (fraud);
- кража конфиденциальной информации (в том числе, персональных данных);
- использование сетевых и серверных ресурсов компании для реализации замыслов злоумышленника (например, майнинга криптовалют, рассылки спама, распространения вредоносных кодов и пр.);
- проникновение внутрь информационных систем организации;
- массовое несанкционированное скачивание информации с веб-страниц сайтов (веб-скрейпинг);
- нарушение работоспособности и доступности интернет-ресурсов (например, в результате DDoS-атак);
- модификация содержащейся на веб-страницах информации, в том числе замена главной страницы сайта на другую (дефейс).
Для компаний электронной коммерции наиболее чувствительными являются направленные (то есть нацеленные на конкретную организацию) атаки, цель которых – получение доступа персональным данным клиентов, различные виды мошенничества (с бонусными артефактами, акциями, личными кабинетами, электронными платежами), веб-скрейпинг (scraping) и DDoS-атаки. Особенно заметно после начала пандемии выросла интенсивность DDoS-атак, при которых атакующий генерирует большое количество вредоносных запросов к веб-приложению из различных источников. В результате эти запросы либо полностью заполняют емкость каналов связи, либо создают внезапный резкий рост нагрузки на серверы, что приводит к снижению доступности ресурса-жертвы или полной его недоступности (т. отказ в обслуживании). Таким образом, DDoS-атаки могут нести существенный ущерб для сайтов электронной коммерции в форме упущенной прибыли, поскольку клиенты во время атаки не могут оформить свои заказы, пока сайт недоступен, а также репутационных издержек, ведь недовольные клиенты наверняка поднимут волну негатива в адрес интернет-магазина, что приведет к оттоку покупателей. Нередко DDoS-атаки играют роль отвлекающего маневра: пока ИТ-персонал занят отражением этой атаки, злоумышленник пытается реализовать другое воздействие – например, проникнуть в информационные системы организации. По данным проведенного компанией StormWall исследования динамики DDoS-атак на ресурсы компаний онлайн-ритейла, в период с февраля по сентябрь 2020 года число таких атак увеличилось в 4 раза по сравнению с аналогичным периодом прошлого года. Как выяснили эксперты StormWall, количество атак на интернет-магазины одежды в период с февраля по сентябрь 2020 года увеличилось в 5 раз по сравнению с аналогичным периодом прошлого года, число атак на интернет-магазины электроники – в 7 раз, а количество атак на онлайн-магазины мебели – в 10 раз. Также выросли атаки на интернет-магазины по продаже товаров для автомобиля (в 4 раза) и товаров для ремонта (в 8 раз). Объекты и методы атакОбъектами целенаправленных атак на компании электронной коммерции могут быть различные типы приложений:
- «классические» браузерные приложения;
- корпоративные веб-приложения (предназначенные для внутренних пользователей);
- мобильные приложения;
- интерфейсы для взаимодействия между сервисами внутри компании, а также с сервисами партнеров (API-интерфейсы);
- особо критичные приложения (процессинг, биллинг и пр.).
Кроме того, атаки могут быть направлены на сети, внутри которых развернуты приложения и инфраструктура их предоставления (физические и виртуальные серверы) – они тоже могут стать объектами атак (например, DDoS), и если станут недоступными, то и работающие на них системы тоже на какое-то время окажутся «отрезанными» от пользователей. Все атаки на системы электронной коммерции можно разделить на следующие группы. По цели атак выделяют направленные и ненаправленные. По способу реализации:
- синтаксические – реализуются за счет нарушения синтаксиса работы приложения, например, путем смешения потока данных с потоком команд. На этом способе основаны, в частности, SQL-инъекции и межсайтовый скриптинг (XSS);
- логические атаки, их основной результат – нарушение бизнес-логики систем e-commerce;
- переборные – они осуществляются путем подбора легитимных паролей, промокодов и других параметров.
Замок против вора
Как известно, не существует таких замков или систем сигнализации, которые в принципе невозможно взломать или каким-то образом обойти. Задача хорошего средства защиты – максимально затруднить злоумышленнику реализацию его задач и повысить его шанс быть пойманным. Расчет делается на то, что злоумышленники предпочтут не связываться со сложной системой и выберут более простые, с точки зрения реализации своих замыслов, цели.
С системами информационной безопасности ситуация аналогичная: абсолютной защиты не существует, и взлом системы – лишь вопрос времени. Для успешного преодоления надежной системы защиты злоумышленнику требуется больше знаний, времени и усилий, и чем менее она понятна атакующему, тем ниже его шансы реализовать свой замысел незаметно для тех, кто отвечает за безопасность, тем выше вероятность быть обнаруженным.
Модель угроз
Согласно документам ФСТЭК, модель угроз для конкретной системы должна включать следующие разделы:
- Общие положения.
- Описание информационной системы и особенностей ее функционирования.
Цель и задачи, решаемые информационной системой.Описание структурно-функциональных характеристик информационной системы.Описание технологии обработки информации. - Цель и задачи, решаемые информационной системой.
- Описание структурно-функциональных характеристик информационной системы.
- Описание технологии обработки информации.
- Возможности нарушителей (модель нарушителя).
Типы и виды нарушителей.Возможные цели и потенциал нарушителей.Возможные способы реализации угроз безопасности информации. - Типы и виды нарушителей.
- Возможные цели и потенциал нарушителей.
- Возможные способы реализации угроз безопасности информации.
- Актуальные угрозы безопасности информации.
- Приложения (при необходимости).
Основываясь на модели угроз, в частности, выбираются решения для защиты от атак. Оптимальными по соотношению эффективности защиты систем e-commerce от угроз и стоимости владения в настоящий момент считаются решения, предоставляемые из облака. Среди их преимуществ – относительно невысокие затраты (взимается ежемесячная плата за подписку, приобретать оборудование и лицензии на ПО не требуется), отсутствие необходимости в дополнительном персонале (а это тоже экономия), высокая емкость защиты, быстрота подключения (от нескольких минут), высокая экспертиза специалистов провайдера. Пилотный проект внедрения решения позволит определить его применимость (с учетом особенностей защищаемых приложений) и уровень обслуживания, включая реальное время работы службы техподдержки провайдера решения и скорость ее отклика. Также он поможет убедиться в компетентности провайдера и его готовности к взаимодействию. Кроме того, весьма полезно изучить портфель заказчиков предполагаемого провайдера и попробовать связаться с его клиентами – этот простой шаг поможет избежать существенных ошибок. Если пилотный проект оказался успешным, можно приступать к заключению договора и внедрению решения для защиты всех интернет-систем компании. В договоре необходимо четко обозначить необходимый объем и порядок работ по донастройке сервиса и сопровождению заказчика, сроки реагирования на атаки и порядок оповещения об их начале и действий обеих сторон в ходе отражения атаки. В процессе внедрения решения, возможно, придется выполнить ряд дополнительных работ по интеграции решения с ИТ-системами заказчика, которые не были охвачены пилотным проектом. Также, как правило, требуется донастройка сервиса с учетом масштабов и особенностей бизнеса заказчика и его ИТ-ландшафта. После завершения всех необходимых подготовительных работ и процедур начинается этап продуктивного использования сервисов защиты и мониторинга угроз. Важно помнить, что для выстраивания надежной защиты систем электронной коммерции необходима комплексная работа как со стороны ее руководителей компаний и их ИТ-специалистов, так и со стороны провайдеров сервисов WAF и anti-DDoS, причем наибольшего успеха можно добиться лишь совместными усилиями. Также следует помнить, что любое средство защиты должно быть вписано в процессы управления информационной безопасностью, в противном случае оно не будет эффективно работать. В организации необходимо выстроить и добиться, чтобы работали, по крайней мере, следующие процессы ИБ:
- управление уязвимостями;
- управление конфигурациями;
- мониторинг и аудит;
- управление инцидентами.
Ну а чтобы защита от интернет-угроз была действительно эффективной, аспекты ИБ необходимо прорабатывать еще на стадии разработки приложений, причем желательно еще в ходе проектирования их архитектуры – это позволит снизить дальнейшие затраты на безопасность. И, конечно же, нужно понимать, что с внедрением сервисов WAF anti-DDoS работы по защите компаний от интернет-угроз не заканчиваются – напротив, всё только начинается. Мир, бизнес и ИТ не стоят на месте: в имеющиеся системы нередко вносятся различные модификации, появляются новые модули. Изменения происходят и на уровне бизнес-логики систем. Наконец, злоумышленники придумывают новые способы атак. Поэтому необходимо постоянно проверять ландшафт информационной безопасности на уязвимости и отслеживать (желательно в реальном времени) угрозы и инциденты. И, разумеется, нужно подстраивать средства и сервисы защиты под изменения, происходящие в ландшафте ИТ и ИБ, – это может делать как сам владелец систем электронной коммерции, так и его провайдеры, обеспечивающие дальнейшее сопровождение систем защиты.
Умярова София Жафяревна1, Тарасов Роман Викторович2, Макарова Людмила Викторовна31Пензенский государственный университет архитектуры и строительства, магистр техники и технологии2Пензенский государственный университет архитектуры и строительства, к. , доцент3Пензенский государственный университет архитектуры и строительства, к. , доцент
АннотацияПосле внедрения системы менеджмента качества возникает проблема оценки ее эффективности. Сложность заключается в выборе критериев оценки. В статье предлагается методика оценки эффективности системы менеджмента безопасности пищевой продукции на основе разделения основной деятельности на четыре категории: процессы, продукция, документы и ресурсы.
Umyarova Sofia Zhafyarevna1, Tarasov Roman Viktorovich2, Makarova Ludmila Viktorovna31Penza State University of Architecture and Construction, master of technics and technology2Penza State University of Architecture and Construction, Candidate of Technical Sciences, Associate Professor3Penza State University of Architecture and Construction, Candidate of Technical Sciences, Associate Professor
AbstractAfter the implementation of quality management system there is a problem of evaluation of its efficiency. The difficulty lies in choosing the evaluation criterions. In the article the methodology of evaluation the efficiency of safety management system of food products based on the separation of core activities into four categories: processes, products, documents and resources is suggested.
Упрощенно любую систему система менеджмента качества можно представить в виде четырех составляющих: процессы, продукция, документы и ресурсы. Каждая их четырех категорий может оцениваться собственными критериями.
— привлечение квалифицированных специалистов: специалист должен быть квалифицированным и должен быть в состоянии исследовать и анализировать собранную информацию, также как и предлагать способы улучшения качества и безопасности продукции;
— приобретение нового измерительного оборудования: оборудование для измерений необходимо для обеспечения свидетельства соответствия продукции установленным требованиям. Приобретение необходимого количества высококачественных приборов, сделанные по самым последним разработкам, дает гарантию достоверности информации, получаемой с помощью этого измерительного оборудования.
— постоянный состав персонала: cтабильность состава персонала является существенной предпосылкой роста производительности труда и эффективности производства. Для эффективного функционирования предприятия необходимо сформировать сильную команду, которая способна поддерживать его высокий профессиональный авторитет. Реализация всех возможностей, заложенных в новых методах управления, зависит от конкретных людей, от их знаний, компетентности, квалификации, дисциплины, мотивации, способности решать проблемы, восприимчивости к обучению;
— возможность травматизма: создание безопасных условий труда на предприятии является немаловажным фактором. Грамотная организация автоматизации процессов и организации труда, наличие при необходимости ограждений, защищающих рабочих от опасных производственных факторов, хорошее освещение, наличие хорошо организованных инструктажей рабочих и их обучение безопасным методам работы, выполнение всех санитарных норм уменьшает процент травматизма на производстве. Выполнение норм технологического режима является обязательным для обслуживающего персонала, так как это обеспечивает не только надлежащее качество готовой продукции, но и сохранность оборудования и безопасность работы;
— вовлечение персонала в создание системы: cущность принципа «вовлечение персонала» в системах менеджмента качества состоит в том, что работники всех уровней составляют основу организации, и их полное вовлечение дает возможность организации с выгодой использовать их способности. Основные направления работы организации, необходимые для вовлечения персонала и, соответственно, высокой результативности СМК и аналогичных ей систем менеджмента различных объектов (экологии, социальной ответственности и т
- организация процессов информирования и обмена информацией;
- обучение персонала и поддержание компетентности;
- создание благоприятных условий для выполнения должностных обязанностей персонала, включая владельцев процессов;
— повышение эффективности за счет устранения лишних функций и брака: главной задачей внедрения СМК является недопустимость ошибок в работе, которые могли бы привести к появлению брака или плохому качеству продукции. Для этого необходимо разработать инструкцию по выполнению правильных действий и контролировать их. Устранение лишних функций и снижение доли некачественной продукции являются важными факторами для развития предприятия;
— улучшение отношений потребителя с поставщиком (количество реклам или увеличение объема продаж): предприятие, стремящееся к увеличению объемов продаж и доходов, должно уделять достаточное количество времени и ресурсов поиску и привлечению новых потребителей. Вместе с тем необходимо удерживать имеющихся потребителей с помощью создания условий, препятствующих обращению к другим поставщикам, и полного удовлетворения потребителя. Разрабатывая рекламные сообщения и распространяя их среди потенциальных клиентов, предприятие расширяет круг своих потребителей;
— возможность сертификации: основной целью сертификации является независимое авторитетное подтверждение соответствия действующей на предприятии системы менеджмента требованиям международного стандарта на системы качества. Преимуществами сертификации являются улучшение имиджа, повышение репутации, возможность участия в тендерах на получение заказа, удовлетворение требований потребителей о наличии сертифицированной системы качества, снижение уровня брака, повышение конкурентоспособности и др.
— актуальность (соответствие современным требованиям законодательства и НД): документация системы менеджмента является основным элементом функционирования системы. Характер документации должен отвечать требованиям, которые установлены в законодательных и нормативных актах, потребностям и ожиданиям потребителей и других заинтересованных сторон;
— полнота документации: при подготовке к разработке документации следует определить полный перечень документированных процедур, требуемых для функционирования системы менеджмента.
— денежные ресурсы;
-инфраструктура: организация должна определить, обеспечить и поддерживать в рабочем состоянии инфраструктуру, необходимую для достижения соответствия продукции требованиям. Инфраструктура включает, насколько это применимо:
a) строения, сооружения, рабочее пространство и связанные с ними устройства,
b) технологическую оснастку (включая как оборудование, так и программное обеспечение);
c) подразделения обслуживания и поддержки (такие как, например, транспорт или коммуникации);
— рабочая среда: организация должна определить рабочую среду, необходимую для достижения соответствия продукции требованиям, и управлять ей;
— персонал. Организация должна:
a) определить требования к компетентности персонала, выполняющего работу, влияющую на качество,
b) обеспечивать подготовку персонала или предпринимать другие действия с целью удовлетворения этих требований;
c) оценивать результативность предпринятых действий;
d) гарантировать, что персонал осведомлен о значимости и важности их деятельности, и о том, какой вклад они вносят в достижение целей в области качества, и
Ресурсы необходимы для достижения непрерывного совершенствования производства и удовлетворения потребителей.
Разработаем методику оценки эффективности системы менеджмента безопасности. В таблице 1 представлены основные критерии оценки.
Таблица 1. Количественные оценки критериев системы менеджмента безопасности
Наименование критерия
Состояние
Количественная оценка
Установленная оценка
1
2
3
4
Процесс
Привлечение квалифицированных специалистов
Свыше 60%
1
0,8
От 30% до 60%
0,8
От 5% до 30%
0,3
менее 5%
0
Приобретение нового измерительного оборудования
Не менее 30% от фонда
1
0,5
От 15% до 30% фонда
0,5
Менее 15% от фонда
0
Постоянный состав персонала
Более 85%
1
0,7
От 70 до85%
0,7
От 35 до70%
0,3
Менее 35%
0
Возможность травматизма
Возможность производственного травматизма
1
1
Отсутствие травматизма
0
Состояние производственного оборудования
Удовлетворительное состояние
1
1
Неудовлетворительное состояние
0
Организация
Повышение компетентности персоналаПовышение квалификации вне организации
1
0,5
Повышение квалификации по месту работы
0,5
Отсутствие курсов по повышению компетентности
0
Участие персонала в создании и функционировании системыСвыше 70% от общей численности персонала
1
0,8
От 50% до 70% от общей численности персонала
0,8
Не более 50% от общей численности персонала
0
Повышение эффективности за счет оптимизации процессов и снижения уровня бракаСвыше 80%
1
0,6
От 50% до 80%
0,6
Не более 50%
0
Улучшение отношений потребителя и поставщикаУстановление доверительных отношений с потребителями
1
1
Удовлетворение потребностей покупателей
0,5
Не доверительное отношение потребителя к поставщику
0
Возможность сертификацииВозможно
1
1
Невозможно
0
Документы
Актуальность (соответствие современным требованиям законодательства и НД)
Соответствие требованиям международных стандартов
1
1
Соответствие требованиям национальных стандартов
0
Полнота
Полная база документации
1
1
Неполная база документации
0
Ресурсы
Денежные ресурсы
Наличие свободных финансовых ресурсов
1
1
Отсутствие свободных финансовых ресурсов
0
Персонал
Необходимое количество рабочих
1
1
Нехватка рабочих кадров
0
Инфраструктура
Развитая
1
0,5
Слабо развитая
0,5
Неразвитая
0
Рабочая среда
Благоприятная
1
1
Неблагоприятная
0
Таблица 2. Матрица рангов
№ критерия
Эксперты
Сумма рангов
Отклонение от среднего значения, Δ
Квадрат отклонения, Δ2
1
2
3
4
5
6
1
9
10
10
9
9
9
56
5
25
2
8
8
7
8
8
8
47
-4
16
3
2
2
2
2
1
1
10
-41
1681
4
5
6
4
6
5
5
31
-20
400
5
7
7
8
7
6
7
42
-9
81
6
11
12
11
11
11
12
68
17
289
7
1
1
1
1
2
2
8
-43
1849
8
12
11
12
13
12
11
71
20
400
9
14
14
16
14
14
14
86
35
1225
10
16
15
14
16
15
15
91
40
1600
11
15
16
15
15
16
16
93
42
1764
12
13
13
13
12
13
13
77
26
676
13
3
4
3
4
3
3
20
-31
961
14
6
5
6
5
7
6
35
-16
256
15
10
9
9
10
10
10
58
7
49
16
4
3
5
3
4
4
23
-28
784
816
S=12056
Находим среднее арифметическое рангов:
где S- сумма квадратов отклонений рангов каждого объекта от среднего арифметического;
n – число экспертов;
m – количество критерий.
W=0,98, следовательно степень согласованности можно принять вполне удовлетворительной.
где n — количество экспертов;
m — число коэффициентов весомости;
Mij- коэффициент весомости j-го объекта, данный i-м экспертом.
Результаты расчета коэффициентов весомости приведены ниже.
Необходимо установить при каком условии внедрение системы менеджмента будет эффективным.
где Мi- коэффициент весомости;
kiвн, kiуст — оценка внедрения и установленная оценка соответственно.
Разработанная методика может быть использована при внедрении системы менеджмента безопасности продукции.
Целью анализа эффективности функционирования системы качества являются:
— подготовка обоснований информации о функционировании системы качества для руководства организации;
— определение показателей качества производимых работ, выявление наиболее часто повторяющихся дефектов и определение причин их возникновения.
При определении эффективности функционирования системы качества учитываются показатели, отражающие результаты деятельности организации, экономическую эффективность и социальный эффект.
На рисунке 1 представлен алгоритм оценки эффективности внедряемой системы безопасности.
Рисунок 1- Алгоритм оценки эффективности внедряемой системы безопасности
Рассмотрим некоторые инструменты (методы) оценки результативности:
Однако аудит может выдать ошибочную оценку системы – необходимы объективные свидетельства.
Свидетельством неэффективности СМК организаций является поставка на рынок (потребителям) некачественной продукции, включая и услуги.
Данный инструмент позволяет выделить и оценить в денежном эквиваленте долю затрат на качество в общих затратах организации и, таким образом, определить приоритеты для улучшений.
Трудности исходят из следующих требований – необходимо создание системы сбора и анализа информации (здесь важным аспектом является работа с персоналом) и объективное технико-экономическое обоснование.
Самооценка систем менеджмента качества. Самооценка организации представляет собой всесторонний и систематический анализ деятельности организации и результатов.
Позволяет сравнивать достигнутые результаты с эталоном или показателями других организаций, определить области для улучшения, а также прослеживать динамику улучшений при проведении повторной самооценки.
Самооценка – это кропотливая работа, требующая высокой квалификации сотрудников проводящих её и вовлечения большого количества сотрудников организации.
Процесс оценки результативности СМК состоит из следующих основных этапов:
— разработка критериев оценки: критерии должны отражать в полном объёме деятельность каждого процесса, быть понятными для использования, и для их определения не должны привлекаться значительные дополнительные затраты;
— определение результативности СМК: после определения показателей результативности и весовых коэффициентов процесса СМК, рассчитывается результативность СМК;
— принятие решения по управлению СМК предприятия: последний этап оценки результативности СМК состоит в разработке предупреждающих и корректирующих мероприятий, действий по улучшению СМК с последующим контролем и анализом выполнения.
Итоговые результаты оценки результативности СМК могут быть представлены предприятием в орган по сертификации систем менеджмента качества в составе исходных материалов, направляемых вместе с заявкой на сертификацию или инспекционный контроль СМК.
- ГОСТ 12.2.003-91. Оборудование производственное. Общие требования безопасности. – М.: Государственный комитет СССР по управлению качеством продукции и стандартам, 1992. -11с.
- ГОСТ Р53092-2008. Системы менеджмента качества. Рекомендации по улучшению процессов в учреждениях здравоохранения. – М.: Стандартинформ, 2009, 82с.
- ГОСТ Р ИСО 9000–2008. Системы менеджмента качества. Основные положения и словарь. — М.: Стандартинформ, 2009.
- Колочева В.В., Титова В.А., Ткаченко С.Ф., Очков В.В. Оценки результативности ИСМ на примере предприятия металлургической отрасли промышленности // Методы менеджмента качества – 2009. – №3 – с. 20-25.
- Маянский В.Д., Овчинников С.А. Оценка результативности СМК промышленных предприятий // Методы менеджмента качества – 2009. – №4 – с. 25-28.
- Степанов А.В. Результативность процессов и СМК: терминологический аспект // Методы менеджмента качества – 2008. – №2. – с.44-46.
Все статьи автора «Макарова Людмила Викторовна»
Задачи ИБ в e-commerce
• Обеспечить финансовую стабильность
• Обеспечение безопасности корпоративных ресурсов (информационная инфраструктура, веб-ресурсы);
• Защита конечных устройств;
• Защита чувствительной информации и персональных данных;
• Соответствие требованиям регуляторов;
• Предотвращение утечек информации;
• Выявление внутренних злоупотреблений и нелояльных сотрудников.
Решения кибербезопасности для электронной коммерции
• Регулярные ИБ тренинги — для повышения осведомленности персонала в вопроссах информационной безопасности;
• Аудит информационной безопасности и инструменты сканирования сети для обнаружения и предотвращения эксплуатации уязвимостей, своевременного патчинга;
• Анализ безопасности кода
— для поиска потенциальных уязвимостей, ошибок и угроз безопасности приложений;
• Корректная сегментация сети — для лучшего контроля сетевого трафика и повышения эффективности систем кибербезопасности;
• Системы защиты от DDoS-атак — идентификации и фильтрации «плохого» трафик до того, как он достигнет вашего ресурса. Позволяют следить за поведением посетителей и блокировать нелегитимную активность. Использование защиты от DDoS-атак позволяет сократить время простоя ресурсов и минимизировать бизнес-риски;
• NTA (Network Traffic Analysis) — для обнаружение аномалий в трафике и выявление кибератак на ранних этапах;
• Межсетевые экраны и системы обнаружения и предотвращения вторжений (IDS/IPS) — для защита периметра сети, блокировка несанкционированного доступа и обнаружения потенциально вредоносного трафика;
• WAF (Web Application Firewall) — для защиты веб-ресурсов с помощью межсетевых экранов приложений от таких атак, как межсайтовая подделка запроса (CSRF), межсайтовый скриптинг (XSS), SQL-инъекция и других угроз;
• Защита конечных точек для снижения риска заражения программами и вирусами, шифрования информации, соблюдения соответствия политикам и регламентам ИБ;
• VPN
— для организацию безопасного удаленного доступа к сети и создания зашифрованного канала связи с помощью;
• DLP системы — для предотвращения утечки конфиденциальных материалов, а именно анализа и блокировки данных, передаваемых с помощью электронной почты, мессенджеров, интернет-ресурсов и других источников;
•
Системы управления доступом (IDM, PIM)
— для контроля жизненного цикла учетных записей и разграничения прав доступа к сегментам сети;
• Решения для управления сетевым доступом (NAC) — для инвентаризации устройств, обеспечения видимости и контроля подключений к корпоративной сети;
• Системы классификации данных — для повышения безопасности конфиденциальной информации путем классификации, определения пользователей, взаимодействовавших с документами, упрощения доступа, поиска и отслеживания данных, а также устранения дублирований;
• SIEM системы — для централизованного мониторинга информационной безопасности, сбора и анализа данных от инструментов кибербезопасности.
Требования регуляторов для предприятий электронной коммерции
• 152-ФЗ: «О защите персональных данных»,
• GDPR (персональные данные). • PCI DSS. Законы требуют от компаний принятия на себя обязательств по обеспечению безопасности данных клиентов. Любая компания, управляющая транзакциями по кредитным картам, должна соответствовать требованиям PCI-DSS, касающимся защиты данных о держателях карт