 |
Правовые основы электронной коммерции. Безопасность в информационных системах.
|
|
|
|
В настоящее время в России наблюдается активное развитие коммерческой деятельности предпринимательских структур на базе новейших информационных технологий и сети Интернет. Этот процесс ставит формирование нормативно-правового обеспечения системы электронной коммерции в ряд приоритетных задач.
До последнего времени такой вид предпринимательской деятельности как электронная коммерция практически не регулировался специальным законодательством и другими нормативно-правовыми актами. На практике применялись общие традиционные положения законодательства, такие как Конституция РФ; Гражданский, Уголовный, Налоговый, Таможенный кодексы РФ; Арбитражный и Уголовно-процессуальный кодексы РФ; Кодекс РФ «Об административных правонарушениях»;Закон РФ «О защите прав потребителей».Однако для эффективного функционирования электронной коммерции потребовалось дальнейшее развитие законодательной и нормативной базы, регулирующей ее деятельность [2, c. 90].
Так, в России к концу 2006 года сформировалась правовая, технологическая и финансовая инфраструктура для эффективного ведения электронного бизнеса. Российские организации, занимающиеся правовым обеспечением и организационными вопросами в сфере электронного бизнеса, разработали и приняли ряд законов и правовых норм, которые позволяют нормально функционировать электронной коммерции. Но, несмотря на это, остаются нерешенными вопросы, касающиеся заключения сделок в сети, исполнения денежных обязательств, соблюдения прав покупателей и продавцов, способов разрешения конфликтов [5, c. 216].
Сегодня всю совокупность нормативно-правового обеспечения электронной коммерции можно дифференцировать на четыре группы.
|
|
|
К первой группе следует отнести законы и правовые нормы, регламентирующие ведение электронной коммерции, электронного документооборота и применение электронной цифровой подписи. Среди них:
· «Рекомендации по организации деятельности лиц в сфере Интернет-коммерции в Российской Федерации», которые содержат общие положения по ведению электронной коммерции;
· Федеральный Закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и защите информации», где определены понятия электронного сообщения, документированной информации, утверждается равнозначность электронного сообщения, подписанного электронной цифровой подписью и собственноручной подписью;
· Положение ЦБ РФ от 12.03.1998 г. № 20-П «О правилах обмена электронными документами между Банком России, кредитными организациями (филиалами) и другими клиентами Банка России при осуществлении расчетов через расчетную сеть Банка России». В пункте 1.1. Положения № 20-П дается определение электронной цифровой подписи;
· Закон РФ № 2180-IIIГД «Об электронной цифровой подписи». Основной задачей, которого является обеспечение системы идентификации участников рынка информационных технологий, в том числе и участников электронной торговли;
К законам и правовым актам данной группы также относятся Гражданский кодекс РФ (часть 1, статьи 160, 434), Арбитражный процессуальный кодекс РФ от 24.07.2002 г. №95-ФЗ (статья 75, пункт 3), Федеральные Законы РФ «Об основах государственного регулирования внешнеторговой деятельности» №164-ФЗ от 8.12.2003 г. и «Об основах государственного регулирования торговой деятельности в Российской Федерации» от 28 декабря 2009 г. N 381-ФЗ [3, c. 284‑285].
Вторую группу нормативно-правового обеспечения электронной коммерции составляют законы и нормативные акты, регламентирующие безопасность электронного бизнеса, предпринимательскую деятельность, лицензирование, финансирование и инвестиции.
|
|
|
1) Правовую основу безопасности электронного бизнеса образуют следующие законы и правовые акты:
· Закон РФ «О защите прав потребителей» № 2300-1;
· Закон «Об авторском праве и смежных правах» от 09.07.1993 г. № 5351-1;
· Закон «О правовой охране программ для электронных вычислительных машин и баз данных» № 3532-1;
· Федеральный Закон «О коммерческой тайне» № 19-ФЗ;
· Федеральный Закон «О персональных данных» № 152-ФЗ;
· Федеральный Закон «Об информации, информационных технологиях и защите информации от 27.07.2006 г. № 149-ФЗ;
· Доктрина информационной безопасности РФ от 09.09.2000 г. № Пр‑1895;
· Уголовный кодекс РФ (глава «Преступления в сфере компьютерной информации»);
· Гражданский кодекс РФ часть 1, статьи 128,139 [3, c. 289‑290].
Каждый из перечисленных документов направлен на определённый объект регулирования. Рассмотрим некоторые из них.
1.Закон РФ «О защите прав потребителей» № 2300-1 регламентирует отношения, возникающие между потребителями и изготовителями, исполнителями и продавцами при продаже товаров и предоставлении услуг. В 2004 году Закон был дополнен статьей 26.1 «Дистанционный способ продажи товаров», в которой были установлены дополнительные гарантии для потребителей при осуществлении продаж;
2.В Федеральном Законе «Об информации, информационных технологиях и защите информации от 27.07.2006 г. № 149-ФЗ рассмотрены принципы правового регулирования отношений в сфере информации и информационных технологий, вопросы государственного регулирования информационных систем и сетей, изложены основные положения, связанные с безопасностью и защитой информации;
3.Определение таких понятий как программы и базы данных дано в Законе «О правовой охране программ для электронных вычислительных машин и баз данных» № 3532-1;
4.Закон «Об авторском праве и смежных правах» от 09.07.1993 г. № 5351-1 регулирует отношения, возникающие в связи с созданием, использованием произведений науки, литературы и искусства, фонограмм, исполнений, постановок, передач организаций эфирного и кабельного вещания;
5.В Федеральном Законе «О коммерческой тайне» № 19-ФЗ в статье 3 представлены основные понятия, относящиеся к коммерческой тайне, в статье 7 определены права обладателя информации, составляющей коммерческую тайну.
|
|
|
2) Сферу предпринимательской деятельности регламентируют законы и нормативные акты общего свойства, включающие регламентацию форм электронной сделки, способа размещения публичной оферты, определение договора купли-продажи, условия договора о продаже, а также нормативные акты, связанные с оформлением и ликвидацией торгового предприятия, в том числе и сертификация товаров или услуг.
Эта группа документов представлена Гражданским кодексом РФ (часть 1, статьи 153-181, 432-491, 500-524); Законами РФ: «О малом предпринимательстве», «О государственной поддержке малого предпринимательства в РФ» № 88-ФЗ от 14.06.95 г. «О государственной регистрации юридических лиц и индивидуальных предпринимателей» № 129‑ФЗ, «О товарных знаках, знаках обслуживания и наименования мест происхождения товаров» № 3520-1 от 23.02.1992 г. [3, c. 303‑304].
3) В сфере конкуренции, монополии, инвестиций и лицензирования основными законами являются Законы «О естественных монополиях» № 147‑ФЗ, «О лицензировании отдельных видов деятельности» № 128‑ФЗ, «О техническом регулировании» № 1874‑ФЗ, «Об инвестиционной деятельности в Российской Федерации, осуществляемой в форме капиталовложений»; Федеральный Закон «О защите конкуренции» № 135‑ФЗ от 6.07.2006 г.; Конституция РФ [3, c. 299‑-300].
Третья группа образуется из законов и правовых актов, связанных с правовым обеспечением деятельности электронных платежных систем, банковской деятельности и бухгалтерского учета. К ним относятся:
· Федеральный закон от 02.12.1990 № 395 «О банках и банковской деятельности»;
· Федеральный закон от 10.07.2002 № 86-ФЗ «О центральном банке РФ (Банке России)»;
· Федеральный закон от 22.05.2003 № 54-ФЗ «О применении контрольно-кассовой техники при осуществлении денежных расчетов с использованием платежных карт»;
· Указание ЦБ РФ от 01.03.2004 «О порядке информирования кредитными организациями ЦБ РФ об использовании в своей деятельности Интернет-технологий»;
|
|
|
· Положение ЦБ РФ от 24.12.2004 № 266-ФЗ «Об эмиссии банковских карт и об операциях, совершаемых с использованием платежных карт»;
· Письмо ФНС от 20.09.2006 № 06-9-10/332 «О применении торговых и других автоматов по приему денежных средств»;
· Письмо ЦБ РФ от 5.04.2007 № 44-т «О проверке осуществления кредитными организациями идентификации клиентов, обслуживаемых с использованием технологий дистанционного банковского обслуживания (включая интернет-банкинг);
· Федеральный закон «О бухгалтерском учете» от 2.11.1996 № 129‑ФЗ [3, c. 315‑316].
Рассмотрим основные положения приведённых выше документов:
1.В Федеральном Законе № 86-ФЗ от 10 июля 2002 года, в статье 3 перечислены цели деятельности Центрального Банка РФ, в статье 4 рассмотрены его функции.
2.Понятие кредитных организаций, банка и банковской деятельности дано в Федеральном Законе № 395 «О банках и банковской деятельности».
3.В Письме ЦБ РФ от 5 апреля 2007 г. № 44-т описана технология проверки кредитной организации, использующей технологии дистанционного банковского обслуживания.
4.Понятие бухгалтерского учета, его объекты и основные задачи определены в Федеральном Законе «О бухгалтерском учете» от 2.11.1996 № 129‑ФЗ.
Четвертую группу нормативно-правового обеспечения электронной коммерции составляют законы и правовые акты, связанные с регулированием строительства, эксплуатации беспроводных линий связи, а также ведением конкретных видов бизнес-процессов.
Налоговая деятельность, выполняемая электронными средствами, регламентируется Налоговым Кодексом РФ, деятельность в сфере телекоммуникаций - Федеральным Законом от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и защите информации", рекламная деятельность - Федеральным Законом от 13.03.2006 № 38-ФЗ «О рекламе». Основным законом, связанным с обеспечением беспроводной связи является Закон «О связи» № 15-ФЗ от 16.02.1995 года, его новая версия подписана 7 июля 2003 года. В Законе учтены все стороны современного развития рынка телекоммуникаций.
Отдельно следует отметить нормативно-правовые документы, определяющие последующее развитие электронной коммерции в России. Ими являются Постановление Правительства РФ от 28.01.2002 г. № 65 «О федеральной целевой программе «Электронная России» (2002-2010 годы), Концепции развития рынка телекоммуникационных услуг до 2010 года, Концепции использования информационных технологий в деятельности федеральных органов власти до 2010 года [4, c. 97].
Таким образом, в России система правового регулирования электронного бизнеса пока полностью не сложилась, но она будет формироваться в процессе создания взаимосвязанной системы норм на международных и национальных уровнях. При этом необходимо идти по пути заключения многосторонних договоров, фиксирующие цели и принципы функционирования глобальных компьютерных сетей, финансирование и технические параметры их развития на базе существующих средств коммуникаций. К разработке вопросов совершенствования гражданско-правового законодательства целесообразно привлекать компании, занятые бизнесом в сети Интернет, и организации, которые обеспечивают работу самой сети в целом [6, c. 185].
|
|
|
По нашему мнению, одним из реальных шагов на пути совершенствования правового обеспечения бизнеса и укрепления нормативно-правовой базы электронной коммерции является принятие Федерального Закона «Об электронной торговле». Проект закона находится на стадии очередного чтения в Государственной Думе РФ.
+
Информационная безопасность электронной коммерции (ЭК)
Количество пользователей Интернета достигло несколько сот миллионов и появилось новое качество в виде «виртуальной экономики». В ней покупки совершаются через торговые сайты, с использованием новых моделей ведения бизнеса, своей стратегией маркетинга и пр.
Электронная коммерция (ЭК) – это предпринимательская деятельность по продаже товаров через Интернет. Как правило выделяются две формы ЭК: *
торговля между предприятиями (business to business, B2B); *
торговля между предприятиями и физическими лицами, т.е. потребителями (business to consumer, B2С).
ЭК породила такие новые понятия как: *
Электронный магазин – витрина и торговые системы, которые используются производителями или дилерами при наличии спроса на товары. *
Электронный каталог – с большим ассортиментом товаров от различных производителей. *
Электронный аукцион – аналог классического аукциона с использованием Интернет-технологий, с характерной привязкой к мультимедийному интерфейсу, каналу доступа в Интернет и показом особенностей товара. *
Электронный универмаг – аналог обычного универмага, где обычные фирмы выставляют свой товар, с эффективным товарным брендом (Гостиный двор, ГУМ и т.д.). *
Виртуальные комъюнити (сообщества), в которых покупатели организуются по группам интересов (клубы болельщиков, ассоциации и т.д.).
Интернет в области ЭК приносит существенные выгоды: *
экономия крупных частных компаний от перевода закупок сырья и комплектующих на Интернет-биржи достигает 25 - 30%; *
участие в аукционе конкурирующих поставщиков со всего мира в реальном масштабе времени приводит к снижению запрограммированных ими за поставку товаров или услуг цен; *
повышение цен за товары или услуги в результате конкуренции покупателей со всего мира; *
экономия за счет сокращения числа необходимых сотрудников и объема бумажного делопроизводства.
Доминирующее положение в ЭК в западных странах стал сектор В2В, который к 2007 году по разным оценкам достигнет от 3 до 6 трлн. долларов.
Первыми получили преимущества от перевода своего бизнеса в Интернет компании, продающие аппаратно-программные средства и представляющие компьютерные и телекоммуникационные услуги.
Каждый интернет-магазин включает две основных составляющих: электронную витрину и торговую систему.
Электронная витрина содержит на Web-сайте информацию о продаваемых товарах, обеспечивает доступ к базе данных магазина, регистрирует покупателей, работает с электронной «корзиной» покупателя, оформляет заказы, собирает маркетинговую информацию, передает сведения в торговую систему.
Торговая система доставляет товар и оформляет платеж за него. Торговая система - это совокупность магазинов, владельцами которых являются разные фирмы, берущие в аренду место на Web-сервере, который принадлежит отдельной компании.
Технология функционирования интернет-магазина выглядит следующим образом:
Покупатель на электронной витрине с каталогом товаров и цен (Web-сайт) выбирает нужный товар и заполняет форму с личными данными (ФИО, почтовый и электронный адреса, предпочитаемый способ доставки и оплаты). Если происходит оплата через Интернет, то особое внимание уделяется информационной безопасности.
Передача оформленного товара в торговую систему интернет-магазина, где происходит комплектация заказа. Торговая система функционирует ручным или автоматизированным способом. Ручная система функционирует по принципу Посылторга, при невозможности приобретения и наладки автоматизированной системы, как правило, при незначительном объеме товаров.
Доставка и оплата товара. Доставка товара покупателю осуществляется одним из возможных способов: *
курьером магазина в пределах города и окрестностей; *
специализированной курьерской службой (в том числе из-за границы); *
почтой; *
самовывозом; *
по телекоммуникационным сетям доставляется такой специфический товар как информация.
Оплата товара может осуществляться следующими способами: *
предварительной или в момент получения товара; *
наличными курьеру или при визите в реальный магазин; *
почтовым переводом; *
банковским переводом; *
наложенным платежом; *
при помощи кредитных карт (VISA, MASTER CARD и др);
посредством электронных платежных систем через отдельные коммерческие банки (ТЕЛЕБАНК, ASSIST и др.).
В последнее время электронная коммерция или торговля посредством сети Интернет в мире развивается достаточно бурно. Естественно, что этот процесс осуществляется при непосредственном участии кредитно-финансовых организаций. И этот способ торговли становится все более популярным, по крайней мере, там, где новым электронным рынком можно воспользоваться значительной части предприятий и населения.
Коммерческая деятельность в электронных сетях снимает некоторые физические ограничения. Компании, подключая свои компьютерные системы к Интернет, способны предоставить клиентам поддержку 24 часа в сутки без праздников и выходных. Заказы на продукцию могут приниматься в любое время из любого места.
Однако у этой «медали» есть своя оборотная сторона. За рубежом, где наиболее широко развивается электронная коммерция, сделки или стоимость товаров часто ограничиваются величиной 300-400 долларов. Это объясняется недостаточным решением проблем информационной безопасности в сетях ЭВМ. По оценке Комитета ООН по предупреждению преступности и борьбе с ней, компьютерная преступность вышла на уровень одной из международных проблем. В США этот вид преступной деятельности по доходности занимает третье место после торговли оружием и наркотиками.
Объем мирового оборота электронной коммерции через Интернет в 2006 году, по прогнозам компании Forrester Tech., может составить от 1,8 до,2 трлн. долл. Столь широкий диапазон прогноза определяется проблемой обеспечения экономической безопасности электронной коммерции. Если уровень безопасности сохранится на сегодняшнем уровне, то мировой оборот электронной коммерции может оказаться еще меньшим. Отсюда следует, что именно низкая защищенность системы электронной коммерции является сдерживающим фактором развития электронного бизнеса.
Решение проблемы обеспечения экономической безопасности электронной коммерции в первую очередь связано с решением вопросов защиты информационных технологий, применяемых в ней, то есть с обеспечением информационной безопасности.
Интеграция бизнес-процессов в среду Интернет приводит к кардинальному изменению положения с обеспечением безопасности. Порождение прав и ответственности на основании электронного документа требует всесторонней защиты от всей совокупности угроз, как отправителя документа, так и его получателя.
К сожалению, руководители предприятий электронной коммерции в должной степени осознают серьезность информационных угроз и важность организации защиты своих ресурсов только после того, как последние подвергнуться информационным атакам. Как видно, все перечисленные препятствия относятся к сфере информационной безопасности.
Среди основных требований к проведению коммерческих операций – конфиденциальность, целостность, аутентификация, авторизация, гарантии и сохранение тайны.
При достижении безопасности информации обеспечение ее доступности, конфиденциальности, целостности и юридической значимости являются базовыми задачами. Каждая угроза должна рассматриваться с точки зрения того, как она может затронуть эти четыре свойства или качества безопасной информации. Конфиденциальность означает, что информация ограниченного доступа должна быть доступна только тому, кому она предназначена. Под целостностью информации понимается ее свойство существования в неискаженном виде. Доступность информации определяется способностью системы обеспечивать своевременный беспрепятственный доступ к информации субъектов, имеющих на это надлежащие полномочия. Юридическая значимость информации приобретает важность в последнее время, вместе с созданием нормативно-правовой базы безопасности информации в нашей стране.
Если первые четыре требования можно обеспечить техническими средствами, то выполнение двух последних зависит и от технических средств, и от ответственности отдельных лиц и организаций, а также от соблюдения законов, защищающих потребителя от возможного мошенничества продавцов.
В рамках обеспечения комплексной информационной безопасности, прежде всего, следует выделить ключевые проблемы в области безопасности электронного бизнеса, которые включают: защиту информации при ее передаче по каналам связи; защиту компьютерных систем, баз данных и электронного документооборота; обеспечение долгосрочного хранения информации в электронном виде; обеспечение безопасности транзакций, секретность коммерческой информации, аутентификацию, защиту интеллектуальной собственности и др.
Существует несколько видов угроз электронной коммерции: *
Проникновение в систему извне. *
Несанкционированный доступ внутри компании. *
Преднамеренный перехват и чтение информации. *
Преднамеренное нарушение данных или сетей. *
Неправильная (с мошенническими целями) идентификация пользователя. *
Взлом программно-аппаратной защиты. *
Несанкционированный доступ пользователя из одной сети в другую. *
Вирусные атаки. *
Отказ в обслуживании. *
Финансовое мошенничество.
Для противодействия этим угрозам используется целый ряд методов, основанных на различных технологиях, а именно: шифрование – кодирование данных, препятствующее их прочтению или искажению; цифровые подписи, проверяющие подлинность личности отправителя и получателя; stealth-технологии с использованием электронных ключей; брандмауэры; виртуальные и частные сети.
Ни один из методов защиты не является универсальным, например, брандмауэры не осуществляют проверку на наличие вирусов и не способны обеспечить целостность данных. Не существует абсолютно надежного способа противодействия взлому автоматической защиты, и ее взлом – это лишь вопрос времени. Но время взлома такой защиты, в свою очередь, зависит от ее качества. Надо сказать, что программное и аппаратное обеспечение для защиты соединений и приложений в Интернет разрабатывается уже давно, хотя внедряются новые технологии несколько неравномерно.
Какие угрозы подстерегают компанию, ведущую электронную коммерцию на каждом этапе: *
подмена web-страницы сервера электронного магазина (переадресация запросов на другой сервер), делающая доступными сведения о клиенте, особенно о его кредитных картах, сторонним лицам; *
создание ложных заказов и разнообразные формы мошенничества со стороны сотрудников электронного магазина, например, манипуляции с базами данных (статистика свидетельствует о том, что больше половины компьютерных инцидентов связано с деятельностью собственных сотрудников); *
перехват данных, передаваемых по сетям электронной коммерции; *
проникновение злоумышленников во внутреннюю сеть компании и компрометация компонентов электронного магазина; *
реализация атак типа «отказ в обслуживании» и нарушение функционирования или вывода из строя узла электронной коммерции.
В результате реализации таких угроз компания теряет доверие клиентов, теряет деньги от потенциальных и/или несовершенных сделок, нарушается деятельность электронного магазина, затрачивает время, деньги и человеческие ресурсы на восстановление функционирования.
Конечно, угрозы, связанные с перехватом передаваемой через Интернет информации, присущи не только сфере электронной коммерции. Особое значение применительно к последней представляет то, что в ее системах обращаются сведения, имеющие важное экономическое значение: номера кредитных карт, номера счетов, содержание договоров и т. п.
На первый взгляд, может показаться, что каждый подобный инцидент – не более чем внутреннее дело конкретного субъекта электронного бизнеса. Однако вспомним 2000-й год, который был ознаменован случаями массового выхода из строя ведущих серверов электронного бизнеса, деятельность которых носит поистине общенациональный характер: Yahoo!, eBay, Amazon, Buy, CNN, ZDNet, Datek и E*Trade. Расследование, проведенное ФБР, показало, что указанные серверы вышли из строя из-за многократно возросшего числа направленных в их адрес запросов на обслуживание в результате реализованных DoS-атак.
Например, потоки запросов на сервер Buy превысили средние показатели в 24 раза, а предельные – в 8 раз. По разным оценкам, экономический ущерб, понесенный американской экономикой от этих акций, колеблется вокруг полуторамиллиардной отметки.
Обеспечение безопасности является не только необходимым условием успешного ведения электронного бизнеса, но и фундаментом для доверительных отношений между контрагентами. Сама суть электронного бизнеса предполагает активный информационный обмен, проведение транзакций через незащищенную сеть общего доступа, которые попросту невозможны без доверительных отношений между субъектами бизнеса. Поэтому обеспечение безопасности имеет комплексный характер, включая такие задачи, как доступ к Web-серверам и Web-приложениям, аутентификация и авторизация пользователей, обеспечение целостности и конфиденциальности данных, реализация электронной цифровой подписи и проч.
С ростом коммерциализации Интернет вопросам защиты передаваемой по сети информации уделяется все больше внимания. Специализированные протоколы, предназначенные для организации защищенного взаимодействия через Интернет (например, SET, SOCKS5, SSL, SHTTP и др.), получили широкое признание во всем мире и успешно используются зарубежными разработчиками для создания банковских и торговых электронных систем на базе Интернет.
За рубежом решением проблемы информационной безопасности электронного бизнеса занимается независимый консорциум – Internet Security Task Force (ISTF) – общественная организация, состоящая из представ
|
|
|
