ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология. Практические правила управления информационной безопасностью.

В электронной торговле могут использоваться различные способы обмена данными, например, в электронном виде (EDI), через электронную почту и транзакции в режиме он-лайн через общедоступные сети, в частности, Интернет. Электронная торговля подвержена ряду сетевых угроз, которые могут привести к краже, оспариванию контрактов, а также раскрытию или модификации информации. Чтобы защитить электронную торговлю от таких угроз, необходимо применять соответствующие мероприятия по управлению информационной безопасностью. Для обеспечения безопасности электронной торговли необходимо проанализировать степень достоверности и обоснованности предлагаемых поставщиками мер обеспечения информационной безопасности:

- аутентификация. С какой степенью клиенту и продавцу следует проверять идентификацию друг друга?

- авторизация. Кто уполномочен устанавливать цены, подготавливать или подписывать ключевые коммерческие документы? Каким образом об этом может быть проинформирован торговый партнер?

- процессы в отношении контрактов и тендеров. Какие требования существуют в отношении конфиденциальности, целостности, подтверждения отправки и получения ключевых документов, а также в невозможности отказа от совершенных сделок?

- информация о ценах. Насколько можно доверять рекламе прайс-листов и конфиденциальности в отношении существенных скидок?

- обработка заказов. Как обеспечиваются конфиденциальность и целостность деталей заказа, условий оплаты и адреса поставки, а также подтверждение при его получении?

- контрольные проверки. Какая степень контроля является достаточной, чтобы проверить информацию об оплате, представленную клиентом?

- расчеты. Какая форма оплаты является наиболее защищенной от мошенничества?

- оформление заказов. Какая требуется защита, чтобы обеспечить конфиденциальность и целостность информации о заказах, а также избежать потери или дублирования сделок?

- ответственность. Кто несет ответственность за риск любых мошеннических сделок?

Многие из вышеупомянутых проблем могут быть решены с использованием криптографических методов, изложенных в 10.3, при этом необходимо обеспечивать соответствие требованиям законодательства (12.1, 12.1.6 относительно законодательства в области криптозащиты).

Соглашения между партнерами в области электронной торговли следует сопровождать документально оформленными договорами, которые устанавливают и документально оформляют между сторонами условия заключения сделок, включая детали авторизации. Могут потребоваться также дополнительные соглашения с поставщиками сетевых и информационных услуг.

Магазины (сети) электронной торговли, ориентированные на массового потребителя, должны обнародовать условия заключения сделок.

Необходимо обеспечивать устойчивость к вирусным атакам в процессе проведения электронной торговли, а также предусматривать последствия для безопасности всех сетевых взаимосвязей при ее осуществлении (9.4.7).

8.7.4 Безопасность электронной почты

8.7.4.1 Риски безопасности

Электронная почта используется для обмена служебной информацией, заменяя традиционные формы связи, такие как телекс и почта. Электронная почта отличается от традиционных форм бизнес-коммуникаций скоростью, структурой сообщений, определенной упрощенностью, а также уязвимостью к неавторизованным действиям. При этом необходимо учитывать потребность в средствах контроля для уменьшения рисков безопасности, связанных с электронной почтой. При оценке рисков безопасности необходимо учитывать, в частности:

- уязвимость сообщений по отношению к возможности неавторизованного доступа или модификации, а также к отказу в обслуживании;

- повышенную чувствительность к ошибкам, например указанию ошибочного или неверного адреса, а также к общей надежности и доступность данной услуги;