3. За наявності копії шифрованого архіву учасника сеп Національний банк розшифровує цей архів та з абсолютною достовірністю визначає:

ідентифікатор банку - учасника СЕП, який надіслав (зашифрував) електронний банківський документ;

ідентифікатор банку - учасника СЕП, якому адресовано електронний банківський документ;

дату, годину та хвилину виконання шифрування електронного банківського документа;

дату, годину та хвилину розшифрування електронного банківського документа;

відповідність усіх електронних цифрових підписів, якими був захищений від модифікації електронний банківський документ.

Під час використання АКЗІ додатково визначаються:

номер апаратури захисту, на якій виконувалося шифрування або розшифрування електронного банківського документа;

номер смарт-картки, якою користувалися під час шифрування або розшифрування електронного банківського документа.

4. Національний банк надає послуги щодо розшифрування інформації за електронними банківськими документами, якщо учасники сеп:

кожного робочого дня формують і надійно зберігають архіви роботи АРМ-НБУ, до яких мають входити журнали програмного та апаратного шифрування та захищені від модифікації протоколи роботи АРМ-НБУ;

подають копії архівів АРМ-НБУ за відповідний банківський день.

5. Якщо між учасниками СЕП виникли спори з питань, пов'язаних з електронними банківськими документами, то Національний банк надає послуги щодо розшифрування інформації за електронними банківськими документами в разі:

невиконання автентифікації або розшифрування електронного банківського документа;

відмови від факту одержання електронного банківського документа;

відмови від факту формування та надсилання електронного банківського документа;

ствердження, що одержувачу надійшов електронний банківський документ, а насправді він не надсилався;

ствердження, що електронний банківський документ був сформований та надісланий, а він не формувався або було надіслане інше повідомлення;

виникнення спору щодо змісту одного й того самого електронного банківського документа, сформованого та надісланого відправником і одержаного та правильно автентифікованого одержувачем;

роботи з архівом учасника СЕП під час проведення ревізій тощо.

6. Національний банк надає учасникам сеп письмові відповіді щодо порушених питань.

Екзаменаційний білет № 19

1.Охарактеризуйте платіжні засоби: пряме дебетування, міжбанківські перекази, векселі.

Прямое дебетование (direct debit). Прямое дебетование используется для периодических платежей (например, оплата счетов за электроэнергию). Для инициализации прямого дебетования плательщик оформляет длительное поручение на оплату будущих счетов. Поручение может быть оформлено в электронном виде. Источники больших счетов, такие, как телекоммуникационные компании, находят эти инструменты очень удобными, но их развитие затруднено общественным недоверием к подобным системам.

Межбанковские переводы (interbank transfers). Система межбанковских переводов Tip впервые была представлена во Франции в 1988 г. Система отличается от обычных переводов тем, что для каждого платежа требуется подпись на специальной форме, поставляемой кредитором. Она легко интегрируется в различные системы удаленных платежей, использующих компьютеры или телефоны. В случае, если кредитор все еще пользуется почтовой системой доставки счетов, с помощью компьютера или телефона клиент может оплатить и подписать счет. Существует две версии системы:

 tele-Tip, где подпись передается по каналам Minitel;

 audio-Tip, где пользователь аутентифицируется после ввода специального кода по телефону.

Векселя (bills of exchange). Вексель - это платежное средство, предназначенное для профессиональных торговых отношений, предоставляющее должнику (дебитору) или кредитору инициативу платежа. Если дебитор является инициатором платежа, то инструмент называется простым векселем или долговым обязательством, если платеж инициирует кредитор, то это тратта. В любом случае кредитор передает документы в банк, который затем пересылает вексель в банк дебитора. Тратта похожа на чек с гарантией платежа и возможностью получения скидки (дисконта) для бенефициара.

2.Який порядок засвідчення наявності електронного документа (електронних даних) на певний момент часу?

1. Цей Порядок визначає умови та вимоги до процедури засвідчення наявності електронного документа (електронних даних) на певний момент часу

3. Надання послуги фіксування часу включає:

реєстрацію звернень, на підставі яких формується позначка часу;

формування позначки часу за допомогою особистого ключа центру сертифікації;

передачу користувачеві послуги фіксування часу сформованої позначки часу;

реєстрацію та збереження позначки часу, переданої користувачеві послуги фіксування часу.

3.Які протоколи може захищати SSL протокол?

4.Що дає процедура подвійного підпису в протоколі SET?

Одной из инноваций, представленных в SET, является процедура двойной подписи. Эта процедура позволяет связывать элементы двух сообщений, каждое из которых отсылается своему адресату с одной сигнатурой во избежание лишнего обмена данными. При помощи такой процедуры каждый получатель может прочитать сообщение, адресованное лично ему и проверить целостность остальных сообщений, не читая их. Например: предположим, что покупатель одновременно посылает (через платежный шлюз) продавцу ордер заказа, a банку ‑ платежную инструкцию. Конечно, покупатель предпочтет, чтобы его платежи инструкции выполнились только после того, как продавец примет ордер заказа.

Пусть m1 - сообщение, адресованное продавцу, a m2 - сообщение для платежного шлюза. Покупатель объединяет дайджесты сообщений для создания нового сообщения m3.

m3 = H(m1)||H(m2).

Затем покупатель применяет хеш-функцию H() к новому сообщению m3. Соответственно сообщение, отправляемое продавцу, состоит из следующих элементов:

m1, H(m2), {m2, H(m2)}PK_G, {H(m3)}SK_C,

где PK_G ‑ открытый ключ платежного шлюза,

SK_C ‑ закрытый ключ покупателя.

Продавец может извлечь сообщение, которое адресовано лично ему, расшифровать H(m3) открытым ключом клиента и заново вычислить дайджест полученного сообщения. Продавец объединяет вычисленный дайджест с дайджестом другого сообщения, которое покупатель отправил шлюзу, если продавец согласен с целостностью сообщения. Сообщение отсылается в шлюз в виде:

{m2, H(m2)}PK_G, {H(m3)}SK_C, H(m1).

Шлюз может выделить H(m2) и, присоединив H(m1), проверить, что величина H(m3) - та же, что и полученная при помощи открытого ключа клиента. Это означает, что продавец согласен с предложением клиента, так как именно продавец передал предложение клиента в платежный шлюз.

Таким образом, платеж не выполняется до тех пор, пока продавец не акцептует предложение покупателя, поскольку продажа эффективна, только если банк утвердит платежную инструкцию. В то же время платежный шлюз не имеет доступа к ордеру заказа (m1), а платежная инструкция (m2) остается тайной для продавца.

5.Яким чином здійснюється контроль територіальним управлінням НБУ за виконанням вимог щодо захисту інформації банками учасниками СЕП?

1. Для забезпечення контролю за виконанням вимог щодо захисту інформації банками (філіями) територіальні управління мають виконувати планові та позапланові перевірки всіх учасників СЕП, що використовують засоби захисту інформації Національного банку.

Планові перевірки учасників СЕП мають виконуватися не менше одного разу на два роки. Підставою для виконання позапланових перевірок є створення банку (філії), переведення на будь-яку модель обслуговування консолідованого кореспондентського рахунку, зміна місцезнаходження тощо. Банк (філія) протягом трьох робочих днів має повідомити територіальне управління, у якому він отримав засоби захисту інформації, про зміну свого місцезнаходження та зміну розміщення робочих місць, на яких використовуються засоби захисту інформації.

2. На письмову вимогу територіального управління службові особи учасника СЕП, відповідальні за здійснення захисту електронних банківських документів, зобов'язані надавати письмову або усну інформацію про стан засобів захисту інформації та їх використання, а також інформацію про стан захисту інформації в програмному забезпеченні САБ (у тому числі системи "клієнт-банк"), про технологію оброблення електронних банківських документів і систему захисту інформації під час їх оброблення.

Екзаменаційний білет № 20

1.Якими є види пластикових карт?

Пластиковые карты (payment cards). В зависимости от предлагаемых услуг существует несколько видов пластиковых карт:

• карты гарантии чека (check guarantee cards);

• карты для выдачи наличности (card withdrawal cards);

• банковские платежные карты (bank payment cards);

• дебетовые карты, снятие денег со счета происходит в момент совершения транзакции;

• карты отложенных платежей, платеж происходит в указанную дату, например в конце месяца;

• кредитные карты;

• карты ограниченного использования (restricted usage cards);

• кредитные карты, такие, как American Express или Diner's Card, которые позиционируются как «международные карты отложенных платежей» и отличаются от банковских карт тем, что выпускаются кредитными организациями, имеющими широкую международную сеть филиалов;

• частные карты (private fidelity cards), выпускаемые торговцами для удержания клиентов и предлагающие набор кредитных услуг (с помощью кредитных организаций); одно из применений таких карт - сбор информации о потребителе для проведения маркетинговых кампаний;

• карты для различных потребностей бизнеса:

• корпоративные карты, позволяющие компании оптимизировать представительские траты сотрудников;

• закупочные карты, представляющие собой дебетовые карты, используемые для разовых платежей на небольшие суммы; если держатель карты представляет предприятие при закупке товаров, то при расчетах используется счет этого предприятия; при обработке транзакций по таким картам создается весь необходимый набор финансовой отчетности.

2.Яким чином передбачено обіг електронних документів в інформаційно-телекомунікаційних системах?

Стаття 3. Законодавство про електронні документи та електронний документообіг

Відносини, пов'язані з електронним документообігом та використанням електронних документів, регулюються Конституцією України, Цивільним кодексом України, законами України "Про інформацію", "Про захист інформації в автоматизованих системах", "Про державну таємницю", "Про телекомунікації", "Про обов'язковий примірник документів", "Про Національний архівний фонд та архівні установи", цим Законом, а також іншими нормативно-правовими актами.

Якщо міжнародним договором України, згода на обов'язковість якого надана Верховною Радою України, встановлено інші правила, ніж ті, що передбачені цим Законом, застосовуються правила міжнародного договору.

Стаття 4. Державне регулювання електронного документообігу

Кабінет Міністрів України та інші органи виконавчої влади в межах повноважень, визначених законом, реалізують державну політику електронного документообігу.

Державне регулювання у сфері електронного документообігу спрямовано на:

реалізацію єдиної державної політики електронного документообігу;

забезпечення прав і законних інтересів суб'єктів електронного документообігу;

нормативно-правове забезпечення технології оброблення, створення, передавання, одержання, зберігання, використання та знищення електронних документів.

3.Яке місце займає SSL протокол в ієрархії моделі OSI?

SSL дополняет стандарт Winsock, работает на уровне сокетов, обеспечивая безопасность ряда других протоколов, использующих сокеты.

4.Яка довжина ключа RSA, використовуваного для шифрування сеансового ключа в протоколі SET?

Число n повинне мати розмір не менше 512 біт. На 2007 рік система шифрування на основі RSA вважалась надійною, починаючи з величини N в 1024 біти.

5.Які організаційні заходи інформаційної безпеки необхідно здійснити учаснику СЕП?

Учасник СЕП має забезпечувати дотримання адміністративних вимог щодо безпечного використання, зберігання та обліку засобів захисту інформації, розподілу повноважень між службовими особами банку (філії), які беруть участь в обробленні електронних банківських документів.

2. Усі засоби захисту інформації Національного банку, що використовуються в СЕП, надаються учасникам СЕП територіальними управліннями за умови виконання таких вимог:

укладення договору про використання криптографічних засобів захисту інформації в системі електронних платежів Національного банку України (додаток 6) між банком (філією) і територіальним управлінням тієї області, у якій розташований банк (філія), незалежно від моделі обслуговування консолідованого кореспондентського рахунку;

забезпечення відповідності приміщень, у яких обробляються електронні банківські документи, використовуються та зберігаються в неробочий час засоби захисту інформації, вимогам до приміщень учасників СЕП, які використовують засоби захисту інформації Національного банку, що визначені нормативно-правовими актами Національного банку щодо правил організації захисту електронних банківських документів;

призначення службових осіб, які відповідають за зберігання та використання засобів захисту інформації з поданням належно завіреної копії наказу про призначення до територіального управління;

подання листа-доручення про отримання конкретних засобів захисту інформації.

Засоби захисту інформації для банку (філії) виготовляються Департаментом інформатизації на замовлення територіального управління. Замовлення на виготовлення засобів захисту інформації має подаватися не пізніше ніж за 10 календарних днів до включення банку (філії) до Довідника учасників СЕП.

У разі виключення банку (філії) з Довідника учасників СЕП або переходу на роботу в СЕП за моделлю обслуговування консолідованого кореспондентського рахунку, яка передбачає використання власної внутрішньобанківської платіжної системи, банк (філія) зобов'язаний повернути засоби захисту інформації територіальному управлінню згідно з укладеним договором.