Международный стандарт iso 17799
Безопасность носителей при передаче
жүктеу/скачать 0.79 Mb. Pdf көрінісі
|
- Бұл бет үшін навигация:
- ISO/EIC 17799:2000 © ISO/EIC 2000, © Перевод компании Информзащита 2004 47 8.7.3 Безопасность электронной коммерции
| 8.7.2 Безопасность носителей при передаче
Во время физической передачи (например, при пересылке носителей по почте или с курьером) может возникнуть опасность несанкционированного доступа, неправомерного использования или повреждения информации. Для защиты компьютерных носителей, передаваемых между различными территориями, необходимы следующие меры: a) Должен использоваться надежный транспорт или курьеры. Необходимо согласовать с руководством список уполномоченных курьеров и внедрить процедуру проверки личности курьеров. b) Упаковка должна в достаточной мере защищать содержимое от физических повреждений, которые могут произойти при пересылке, и соответствовать требованиям производителя. c) При необходимости следует ввести специальные меры для защиты конфиденциальной информации от несанкционированного раскрытия или модификации. Вот несколько примеров: 1) использование закрытых контейнеров; 2) личная доставка; 3) упаковка, которую нельзя незаметно вскрыть (такая упаковка позволит заметить попытки получить доступ); 4) в исключительных случаях рекомендуется разделять передаваемую информацию на несколько частей и передавать эти части разными путями; 5) использование цифровых подписей и шифрования (см. раздел 10.3). ISO/EIC 17799:2000 © ISO/EIC 2000, © Перевод компании Информзащита 2004 47 8.7.3 Безопасность электронной коммерции В электронной коммерции могут использоваться средства электронного обмена данными, электронная почта и онлайновые транзакции через общественные сети, например, через Интернет. Электронная коммерция уязвима для различных опасностей, связанных с сетью, что может привести к мошеннической деятельности, спорам по контрактам и раскрытию или модификации информации. Необходимо ввести меры по защите средств электронной коммерции от этих опасностей. Для обеспечения безопасности электронной коммерции рекомендуется рассмотреть следующие меры: a) Аутентификация. Какая степень доверия необходима продавцу и покупателю к заявленным каждым из них персональным данным? b) Авторизация. Кто имеет право устанавливать цены и выдавать или подписывать основные торговые документы? Как узнает об этом торговый партнер? c) Процессы заключения контрактов и тендеры. Каковы требования к конфиденциальности, целостности, подтверждению отправки и получения основных документов и неотказуемости от контрактов? d) Сведения о ценах. Насколько можно доверять целостности рекламного прейскуранта и конфиденциальности соглашений о скидках? e) Операции с заказами. Как обеспечивается конфиденциальность и целостность заказов, сведений о платежах и доставки и подтверждения приема? f) Контрольная проверка. Проверку какого уровня должна проходить информация о платежах, переданная заказчиком? g) Расчет. Какая форма платежей лучше всего подходит для защиты от мошенничества? h) Заказ. Какая защита необходима для сохранения конфиденциальности и целостности информации заказов и для предотвращения потерь или дублирования транзакций? i) Ответственность. На кого возлагается риск, связанный с мошенническими операциями? Многие из перечисленных выше проблем могут решаться путем применения криптографических методов, упоминаемых в разделе 10.3. При этом следует учитывать соответствие требованиям законодательства (см. раздел 12.1; сведения о законах, касающихся криптографии, приводятся в разделе 12.1.6). Электронные коммерческие соглашения между торговыми партнерами должны поддерживаться документированным соглашением, в котором обе стороны фиксируют условия торговых операций, в том числе сведения об авторизации (см. пункт «б» выше). Кроме того, могут потребоваться и другие соглашения с владельцами информационных служб и поставщиками дополнительных сетевых услуг. Общедоступные торговые системы должны опубликовать условия ведения своей деятельности и предоставлять эту информацию заказчикам. Следует проанализировать устойчивость к атакам хоста, используемого для электронной коммерции, а также уровень вопросы безопасности, возникающие при осуществлении сетевых подключений, необходимых для реализации этой деятельности (см. раздел 9.4.7). жүктеу/скачать 0.79 Mb. Достарыңызбен бөлісу:
|