Протокол SSL, розроблений американською компанією Netscape Communications Corp., дозволяє серверу і клієнту пе-ред початком інформаційної взаємодії аутентифікувати чи про-вести перевірку дійсності один одного. Він призначений для розв'язання традиційних завдань забезпечення захисту інфор-маційної взаємодії, які у середовищі «клієнт-сервер» інтерпре-туються таким чином:

при підключенні користувач і сервер повинні бути взаємно впевнені, що вони обмінюються інформацією не з підставними абонентами, не обмежуючись паролевим захистом; після встановлення з'єднання між сервером і клієнтом весь інформаційний потік повинен бути захищений від не-санкціонованого доступу;

при обміні інформацією сторони повинні бути впевнені у відсутності випадкових чи навмисних спотворень при її пере-дачі.

Широке розповсюдження протоколу SSL пояснюється в першу чергу тим, що не є складовою частиною усіх відомих бра-узерів і Web-серверів.

Найрозповсюдженіший закордонний досвід вирішення пи-тань керування криптографічними ключами електронного доку-ментообігу ґрунтується на використанні інфраструктури відкритих ключів3. Цим терміном описується повний комплекс програмно-апаратних засобів і організаційно-технічних заходів, необхідних для використання технології з відкритими ключами.

Ця інфраструктура передбачає використання цифрових сертифікатів і розгорнутої мережі центрів сертифікації, які за-безпечують видачу і супровід цифрових сертифікатів для всіх учасників електронного обміну документами. За своїми функціями цифрові сертифікати аналогічні звичайній печатці, яка засвідчує підпис иа паперових документах.

Цифрові сертифікати містять відкриті криптографічні ключі абонентів, завірені електронним цифровим підписом центру сер-тифікації, і забезпечують однозначну аутентифікацію учасників обміну. Цифровий сертифікат - це певна послідовність бітів, за-снованих на криптографії з відкритим ключем, що представляє собою сукупність персональних даних власника і відкритого ключа його електронного підпису (при необхідності, і шифру-вання), зв'язаних у єдине незмінне ціле електронним підписом центру сертифікації. Цифровий сертифікат оформляється у ви-гляді файла або ділянки пам'яті і може бути записаний на диске-ту, інтелектуальну карту, елемент touch-memory, будь-який інший носій даних.

Цифрові сертифікати запобігають можливості підробок, від яких не застраховані існуючі віртуальні системи, Сертифікати також дають впевненість власнику карти і продавцю в тому, що їхні трансакції будуть оброблені з таким же високим рівнем за-хисту, що й традиційні трансакції.

За такою схемою розгортаються багато сучасних міжнародних систем обміну інформацією у відкритих мережах. Серед центрів сертифікації - відомі американські компанії Verisign і GTE.

Найбільш перспективний протокол чи стандарт безпечних електронних трансакцій у мережі Інтернет SET, призначений для організації електронної торгівлі через Інтернет. У багатьох країнах світу вже існує безліч державних, відомчих і корпоратив-них центрів сертифікації, які забезпечують ключове керування.

Відкритий стандартний багатосторонній протокол SET роз-роблений компаніями MasterCard і Visa за участю IBM, GlobeSet та інших партнерів. Він дозволяє покупцям здобувати товари через Інтернет за допомогою пластикових карток, вико-ристовуючи найзахищеніший нині механізм виконання платежів. SET забезпечує крос-аутентифікацію рахунка власника карти, продавця і банку продавця для перевірки готовності оп-лати, цілісність і таємність повідомлення, шифрування цінних і уразливих даних. Тому SET правильніше називати стандартною технологією чи системою протоколів виконання безпечних пла-тежів з використанням пластикових карт через Інтернет.

Обсяг потенційних продажів у галузі електронної комерції обмежується досягненням необхідного рівня безпеки інфор-мації, який забезпечують спільно покупці, продавці і фінансові інститути. На відміну від інших протоколів, SET дозволяє вирішувати базові завдання захисту інформації в цілому.

Зокрема, SET забезпечує такі спеціальні вимоги захисту операцій електронної комерції:

таємність даних оплати і конфіденційність інформації замовлення, переданої разом з даними про оплату;

збереження цілісності даних платежів, що забезпе-чується за допомогою цифрового підпису;

спеціальну криптографію з відкритим ключем для про-ведення аутентифікації;

аутентифікацію власника по кредитній картці із застосу-ванням цифрового підпису і сертифікатів власника карт;

аутентифікацію продавця і його можливості приймати платежі по пластикових картках із застосуванням цифрового підпису і сертифікатів продавця;

аутентифікацію банку продавця як діючої організації, яка може приймати платежі по пластикових картках через зв'язок із процесинговою картковою системою. Аутентифікація здійснюється з використанням цифрового підпису і сер-тифікатів банку продавця;

готовність оплати трансакцій у результаті аутен-тифікації сертифіката з відкритим ключем для всіх сторін;

безпека передачі даних за допомогою переважного вико-ристання криптографії.

Основна перевага SET полягає в застосуванні цифрових сертифікатів, що асоціюють власника карти, продавця і банк продавця з рядом банківських установ, які входять до платіжних систем Visa і MasterCard.

Крім того, протокол SET дозволяє зберегти існуючі відно-сини між банком, власниками карт, продавцями і може бути інтегрований в існуючі системи.

Інформаційна безпека часто залежить від так званого людського фактору, пов'язаного з тим, що системи електрон-ного бізнесу створюються, модернізуються і керуються людьми, і від їхньої чесності, професійних якостей і майстерності зале-жить довіра споживачів та загальний успіх усього підприємства. Результати безлічі досліджень показують, що найбільше занепо-коєння в компаній викликає саме внутрішня загроза - навмисні чи ненавмисні дії власних працівників.

У проблемі захисту від внутрішніх загроз розрізняють два аспекти: технічний і організаційний. Технічний аспект полягає в прагненні виключити будь-яку імовірність несанкціонованого доступу до інформації. Для цього застосовуються такі засоби:

підтримка системи паролів та їх регулярна зміна;

надання мінімуму прав, необхідних для роботи в сис-темі;

наявність стандартних процедур своєчасної зміни груп доступу при кадрових змінах і негайному знищенні доступу після звільнення працівника.

Організаційний аспект полягає в розробці раціональної політики внутрішнього захисту, яка перетворює в рутинні опе-рації такі способи захисту і запобігання зламування:

введення загальної культури дотримання безпеки в ком-панії;

створення системи розподілу повноважень і колективної відповідальності;

тестування програмного забезпечення на предмет не-санкціонованого втручання; .

відстеження спроб несанкціонованого втручання і їхнє ретельне розслідування;

проведення періодичних тренінгів для персоналу з пи-тань безпеки і кіберзлочинності, які містять інформацію про конкретні