Нормативно- правовая база в системе ЭК

     • обязательная сертификация на соответствие требованиям электромагнитной совместимости, а также требованиям, обеспечивающим безопасность жизни, здоровья, имущества потребителей;

     • обязательная сертификация средств защиты информации;

     • добровольная сертификация функциональных параметров средств и систем информатизации, по номенклатуре и характеристикам, устанавливаемым отраслевыми (фирменными) стандартами, и учитывающим различные аспекты применения аппаратуры и программного обеспечения.

     Сертификация  средств информатизации по требованиям  электромагнитной совместимости и параметрам безопасности проводится органами (центрами) сертификации, аккредитованными Госстандартом в рамках Системы сертификации ГОСТ Р. Для получения сертификата изготовитель или поставщик технических средств информатизации должен обратиться в аккредитованный Госстандартом России орган сертификации, представив комплект документов, определяемый правилами сертификации. Орган сертификации организует проведение соответствующих испытаний (проверок) и при положительном результате испытаний выдает сертификат соответствия. В тексте сертификата указываются конкретные виды требований, по которым проведены испытания, и соответствующие им нормативные документы.

     Порядок сертификации средств защиты информации в Российской Федерации, и ее учреждениях за рубежом, установлен Положением «О сертификации средств защиты информацию», утвержденным Постановлением Правительства Российской Федерации от 26 июня 1995 года № 608. Это Положение определяет области деятельности и сферу компетенции различных государственных органов при сертификации средств защиты информации. Основной объем работ по сертификации средств защиты информации в пределах Российской Федерации возлагается на Гостехкомиссию России и Федеральное агентство правительственной связи и информации (ФАПСИ). Координация работ по организации сертификации этой продукции возложена на Межведомственную комиссию по защите государственной тайны.

     Добровольная  сертификация применяется для средств  информатизации, не подлежащих в соответствии с законодательными актами Российской Федерации обязательной сертификации, и проводится по требованиям, на соответствие которым законодательными актами Российской Федерации не предусмотрено проведение обязательной сертификации. Она проводится для удостоверения качества средств и систем информатизации с целью повышения их конкурентоспособности, расширения сферы использования и получения дополнительных экономических преимуществ.

     В общем случае упрощенную схему добровольной сертификации можно представить  следующим образом. Необходимость добровольной сертификации обычно определяет разработчик или поставщик программно-технических средств, руководствуясь при этом указанными выше соображениями. Разработчик или поставщик обращается в аккредитованный в установленном порядке сертификационный центр и финансирует проведение работ по сертификации. Совокупность и значения показателей качества, по которым проводится сертификация, формируются совместно заявителем и сертификационным центром. При положительных результатах испытаний заявитель получает сертификат соответствия, который используется, например, для рекламы при взаимодействии с потенциальным пользователем или потребителем (клиентом, заказчиком).

В соответствии с действующим законодательством  добровольная сертификация может проводиться в уже упоминавшейся Системе сертификации ГОСТ Р и в других системах сертификации, зарегистрированных Госстандартом России в установленном порядке. В качестве примера можно назвать Систему добровольной сертификации средств и систем в сфере информатизации «Росинфосерт» Министерства Российской Федерации по связи и информатизации, являющейся одним из инструментов проведения единой государственной научно-технической поли- тики в сфере информатизации России.

     В последние годы предметом особо  пристального внимания специалистов во всем мире стали вопросы потенциальной уязвимости систем обработки и передачи информации и мер по защите информационных ресурсов организаций и частных лиц — участников глобального информационного обмена, в том числе и в процессе ведения ЭК.

     В этой связи самого серьезного внимания заслуживает применение специализированных программных и программно-аппаратных средств защиты, отвечающих требованиям  Государственной системы сертификации по требованиям безопасности информации.

     Сертификационные испытания средств защиты в рамках данной системы сертификации предусматривают комплекс мероприятий по проверке соответствия этих средств формальным требованиям по обеспечению безопасности информации, изложенным в Руководящих документах Гостехкомиссии России. Использование формальных критериев оценки позволяет сделать обоснованный вывод о возможности средства защиты выполнять свои функции не только на качественном уровне, но и на количественном — в зависимости от степени соответствия средства защиты предъявляемой к нему совокупности формальных требований может быть сделан вывод о возможности либо невозможности использования сертифицируемого средства для защиты информации в зависимости от степени ее конфиденциальности.

     При проведении сертификационных испытаний средство защиты подвергается разнообразным попыткам атак на его устойчивость к ним, причем, даже более жестким, чем это может быть в условиях реального ведения ЭК. При этом целенаправленно используются как штатные, доступные широкому кругу потенциальных нарушителей, средства нарушения механизмов защиты, так и специализированные инструменты и методы воздействия на средство защиты, позволяющие получать вполне объективную оценку его пригодности для обеспечения защиты информационных ресурсов. Объективность результатов испытаний при этом обусловлена тем обстоятельством, что они проводятся высококвалифицированными специалистами на основе специализированных знаний в данной предметной области. При этом при попытках нарушения защитных механизмов сертифицируемого средства максимально учитываются особенности его функционирования, реализации, области применения и т.д.

     Дополнительным  фактором, обуславливающим  повышение степени  доверия к средству защиты, может служить  проверка на отсутствие так называемых не декларированных возможностей, проводимая в соответствии с требованиями соответствующего Руководящего документа Гостехкомиссии России, введенного в действие Приказом Председателя Гостехкомиссии России от 4 июня 1999 года № 14.

     Данная  проверка позволяет получить формальное подтверждение отсутствия в средстве защиты преднамеренных или случайно внесенных разработчиком изменений, позволяющих производить действия по нарушению целостности защищаемой информации, как самим разработчиком средства защиты, так и третьими лицами. При проведении такой проверки сертифицируемое средство защиты анализируется на наличие как явных конструкций, использование которых предполагает нарушение целостности защищаемой информации, так и на наличие так называемых критичных конструкций, способных при определенных условиях спровоцировать нештатные действия. Проверка на отсутствие не декларированных возможностей связана с анализом исходных текстов программного обеспечения средств защиты информации, что позволяет проводить углубленное исследование объекта сертификации от уровня проектных спецификаций до уровня практической реализации.

     В настоящее время существует целый  ряд отечественных средств защиты информации, имеющих соответствующие  сертификаты по требованиям безопасности информации. Данные средства различаются как по функциональному назначению, так и по механизмам реализации защитных функций. Информация о сертифицированных средствах защиты, их функциональном назначении, степени их соответствия предъявляемым к продукции такого рода требованиям, условиях и рекомендациях по их применению носит открытый характер и доступна для потенциальных потребителей.

2. Платежная система Web Money. Экспресс-анализ платежной системы Web Money

   Обзор самых влиятельных платежных систем Рунета был бы неполным, если бы мы забыли упомянуть о главной из них – системе электронных платежей WebMoney Transfer. Мы не станем слишком акцентировать внимание на том, как много значит “Желтый муравей” для пользователей русскоязычного сегмента сети Интернет (думается, это и так ясно), а просто постараемся предоставить лаконичную характеристику самой популярной из платежек.

                     2.1 Общие сведения.

   История платежной системы WebMoney (www.webmoney.ru) началась в конце прошлого века – 1998 год. За 12 лет активной деятельности эта отечественная ЭПС смогла превратиться в крупнейшего оператора электронных платежей на территории бывшего Союза. На сегодняшний день в системе зарегистрировано почти 11 миллионов аккаунтов! Около 150 тысяч из них принадлежат активным участникам системы. Ряды платежки ежедневно пополняет примерно 10 тысяч новых пользователей.

    Финансовая сторона деятельности WebMoney Transfer выглядит следующим образом. Ежедневно в рамках этого платежного инструмента его пользователями совершается почти (!!!) 300 тысяч трансакций. Суммарный оборот последних в день колеблется в пределах 20-30 миллионов условных единиц. Солидные показатели, что и говорить. Более того, они имеют тенденцию к стабильному росту. Так, уже стало традицией, что по итогам года основные финансовые показатели работы международной платежной системы WebMoney вырастают вдвое, а в некоторых случаях – втрое. Главные причины, которые способствуют этому: повсеместная “интернетизация” общественной жизни, а также конкурентные преимущества платежного инструмента WebMoney Transfer, если сравнивать с другими ЭПС.

                2.2  Возможности.

Как правило, эти преимущества ассоциируются  с теми возможностями, которые открываются  после регистрации в системе. Итак, став активным участником системы электронных платежей WebMoney, физическое или юридическое лицо может:

- в режиме  реального времени мгновенно  осуществлять денежные переводы  другим пользователям системы; 

- совершать  оплату товаров и услуг в  Интернет-магазинах (количество  веб-порталов, принадлежащих к сообществу пользователей WebMoney, приближается к 40 тысячам);

- производить  массовые выплаты; 

- принимать  денежные переводы от других  участников ЭПС (как путем личных  контактов, так и в качестве  автоматизированной оплаты приобретенных товаров и услуг);

- вести  активную кредиторскую или дебиторскую  деятельность (получать или выдавать  кредиты);

- страховать  риски в ходе реализации онлайн-сделок;

- осуществлять  автоматическое управление бюджетом  компании, предприятия, фирмы, организации и т.д.;

- выпускать  чеки и рассчитываться с их  помощью; 

- стать  деловым партнером WebMoney Transfer;

             2.3.  О достоинствах…

   На наш взгляд, национальная система электронных платежей WebMoney Transfer владеет букетом различных преимуществ. Вот лишь некоторые из них:

- высочайший  уровень конфиденциальности и  безопасности участия в системе  (к примеру, если речь идет  о безопасности, то ее, в зависимости  от ситуации, могут обеспечивать  секретные пароли, WM-идентификаторы, файлы секретных ключей, персональные цифровые сертификаты, а также система авторизации e-Num);

- вариативность  способов пополнения счета (WM-карты;  предоплаченные карты и ваучеры  Ukash; почтовые и банковские переводы; денежные переводы CONTACT, ЮниСтрим  и Анелик; специализированные терминалы и банкоматы на территории России и Украины; пополнение электронных кошельков WebMoney в аттестованных обменных пунктах; пополнение счета через авторизованного дилера и т.п.);

- вариативность  способов вывода средств из  системы (вывод на счет в банке; перевод на банковскую карту; обмен на наличные в аттестованных обменных пунктах; почтовым переводом с предшествующим обменом на российские рубли, если требуется; обналичивание посредством денежных переводов для России и Украины);

- беспрецедентно  широкая сфера использования  электронных денег WebMoney (для оплаты  мобильной связи, кабельного телевидения,  услуг ЖКХ, услуг Интернет-провайдеров;  для покупки газет и журналов, электронных книг, программного  обеспечения и билетов; для  страхования в режиме онлайн и много другого);

- взвешенные  комиссионные (любые трансакции  в системе – 0.8%).

     Помимо упомянутых, платежная система WebMoney располагает рядом других достоинств. Так, ее пользователи в случае необходимости могут пользоваться услугами внутренней почты. Очень удобно, знаете ли, – нет надобности прибегать к помощи специальных программных приложений на подобие ICQ или QIP. Услуги внутренней почты особенно актуальны, когда нет другой контактной информации.