3. Банк (філія) - учасник сеп не має права передавати засоби захисту інформації іншій установі.

Учасник СЕП має забезпечити реєстрацію в окремому журналі такої інформації:

облік апаратних та програмних засобів захисту інформації із зазначенням нормативно-правових актів Національного банку, що регулюють порядок їх використання;

перелік службових осіб, відповідальних за користування та зберігання отриманих засобів захисту інформації;

перелік службових осіб, на яких згідно з наказом керівника банку (філії) покладено виконання криптографічного захисту електронних банківських документів.

Екзаменаційний білет № 21

1.Зобразити та пояснити обмін повідомленнями при проведенні трансакції з використанням банківських карт.

Правила проведения операций с банковскими картами предполагают присутствие дополнительных участников при проведении сделки между покупателем и продавцом, а именно банков каждой из сторон и системы банковских карт, например Visa или MasterCard. Банк поставщика товаров или услуг называется банком-эквайером (или банком - получателем платежа), банк покупателя ‑ банком-эмитентом, он выпускает карты для своих клиентов. Платежные системы предусматривают использование серверов авторизации, подключенных к операторским центрам (call center), чья функция заключается в фильтрации незаконных транзакций. Процесс фильтрации использует некий заранее установленный критерий, к примеру, лимит суммы на транзакцию или количество транзакций в единицу времени. На завершающей стадии производятся окончательные расчеты (клиринг) между банками, для которых используется национальная или международная система платежей (рис. 1).

Рис. 1. Обмен сообщениями при проведении транзакции с использованием банковских карт

2.Як законодавчо визначено поняття електронних документів?

Електронний документ - документ, інформація в якому зафіксована у вигляді електронних даних, включаючи обов'язкові реквізити документа.

Склад та порядок розміщення обов'язкових реквізитів електронних документів визначається законодавством.

Електронний документ може бути створений, переданий, збережений і перетворений електронними засобами у візуальну форму.

Візуальною формою подання електронного документа є відображення даних, які він містить, електронними засобами або на папері у формі, придатній для приймання його змісту людиною

3.З яких етапів у версії 3 протоколу SSL складається обмін даними при встановленні нового сеансу?

4.Які типи відкритих ключів можуть бути в трансакції протоколу SET?

В середовищі SET інфраструктура відкритих ключів є фундаментом, на якій основана вся система автентифікації учасників розрахунків. Цифрові сертифікати, які тут також називають електронними мандатами або цифровими посвідченнями особи, використовують для зв'язування відкритих ключів та суб'єктів. Їх випускає довірена третя сторона або компанія — завірчий центр^[3].

Конфіденційність та цілісність повідомлень, якими обмінюються учасники захищених електронних транзакцій, забпезпечена механізмом подвійних підписів. Вміст кожного повідомлення шифрується із допомогою випадково згенерованого симетричного ключа шифрування. Цей ключ, в свою чергу, шифрується із використанням відкритого ключа отримувача повідомлення. Отриманий в результаті останньої операції так званий цифровий конверт відправляється отримувачу разом із зашифрованим повідомленням. Після отримання цифрового конверту, отримувач розшифровує його своїм особистим ключем, аби отримати випадково згенерований симетричний ключ для розшифровування вмісту повідомлення відправника^[3].

Протокол SET надає послугу автентифікації для учасників завдяки використанню сертифікатів формату X.509 та має засоби анулювання, реалізовані у вигляді списку анульованих сертифікатів. В SET визначені власні специфічні доповнення сертифікатів, які мають підтримку лише в SET-сумісних системах^[3].

5.Які носії ключової інформації передбачені для учасника СЕП?

Основою криптографічного захисту є ключова інформація та ключі.

Ключова інформація містить ключі асиметричного криптографічного алгоритму, що генеруються учасником СЕП за допомогою наданих генераторів ключів та АРМ-НБУ для АКЗІ, а також ключів, що використовуються для апаратного шифрування у формі захищених записів на смарт-картках АКЗІ. Ключова інформація під час роботи АКЗІ використовується виключно всередині смарт-картки, що унеможливлює підроблення та перехоплення ключової інформації. Департамент інформатизації виготовляє АКЗІ та смарт-картки для кожного учасника СЕП на замовлення територіального управління, яке надає їх учасникам СЕП відповідно до умов договору.

Ключова інформація для програмного шифрування та для ЕЦП має генеруватися безпосередньо відповідальною особою банку (філії) у присутності адміністратора захисту інформації банку (філії) за допомогою генератора ключів, який надається учаснику СЕП територіальним управлінням. Генератори ключів є персональними для кожного учасника СЕП, мають убудований унікальний ідентифікатор учасника СЕП, який не може бути вилучений або змінений. Генератори мають змогу запису таємного ключа на носії двох видів - на дискету або на Touch Memory³, у якому додатково вбудований захист від копіювання ключової інформації з одного носія на інший. Таємні ключі, які зберігаються на дискетах, обов'язково мають бути захищені паролем, що забезпечує додатковий захист від спроб несанкціонованого використання скопійованих таємних ключів. Довжина пароля становить шість символів і не може бути зменшена.

Рис. 6. Носії ключової інформації

Підготовка генераторів ключів, АКЗІ зі смарт-картками, контроль за їх обліком і використанням, техніко-експлуатаційне обслуговування та ремонт АКЗІ, а також сертифікація відкритих ключів покладаються на Департамент інформатизації

Екзаменаційний білет № 22

1.Охарактеризуйте поняття «кліринг».

Понятия «клиринг» (clearance) и «взаиморасчет» (settlement) между финансовыми институтами помогают выделить основные принципы функционирования системы скриптуальных платежей.

Классификация клиринговых сетей может базироваться на некоторых из нижеследующих критериев:

• характер процессинга:

  • системы для крупных платежей;

  • системы массовых платежей на относительно небольшие суммы;

• принадлежность и менеджмент сети:

  • публичная сеть в собственности центрального банка;

  • частная сеть, принадлежащая группе банков;

  • частная сеть, арендуемая банками;

• способ взаиморасчетов:

  • в режиме реального времени;

  • с использованием неттинга (netting), иначе говоря, взаимной компенсации требований и обязательств;

  • с использованием группировки при расчетах между подразделениями одних и тех же компаний для исключения многократной уплаты налогов.

2.Яка інформація відноситься до банківської таємниці?

Стаття 60. Банківська таємниця

Інформація щодо діяльності та фінансового стану клієнта, яка стала відомою банку у процесі обслуговування клієнта та взаємовідносин з ним чи третім особам при наданні послуг банку і розголошення якої може завдати матеріальної чи моральної шкоди клієнту, є банківською таємницею.

Банківською таємницею, зокрема, є:

1) відомості про стан рахунків клієнтів, у тому числі стан кореспондентських рахунків банків у Національному банку України;

2) операції, які були проведені на користь чи за дорученням клієнта, здійснені ним угоди;

3) фінансово-економічний стан клієнтів;

4) системи охорони банку та клієнтів;

5) інформація про організаційно-правову структуру юридичної особи - клієнта, її керівників, напрями діяльності;

6) відомості стосовно комерційної діяльності клієнтів чи комерційної таємниці, будь-якого проекту, винаходів, зразків продукції та інша комерційна інформація;

7) інформація щодо звітності по окремому банку, за винятком тієї, що підлягає опублікуванню;

8) коди, що використовуються банками для захисту інформації.

Інформація про банки чи клієнтів, що збирається під час проведення банківського нагляду, становить банківську таємницю.

3.Які використовуються змінні при створенні головного розділяємого клієнтом і сервером ключа MasterSecret на початку сеансу SSL з'єднання?

4.Які криптографічні алгоритми використовуються в протоколі SET?вір

5.Яки типи криптографічних ключів і для яких операцій використовуються в СЕП України?

Екзаменаційний білет № 23

1.Що таке "електронні гроші" (electronic money)?

Согласно определению Банка международных расчетов (BIS - Bank for International Settlements) «электронные деньги могут быть определены как денежная стоимость, измеренная в фидуциарных единицах и хранящаяся в электронном устройстве, принадлежащем потребителю или доступном для него». Таким образом, это не что иное, как мобильное скриптуальное средство платежа, хранящее суммы в единицах платежа в неком электронном хранилище. Это определение главным образом соотносится с двоичной формой скриптуальных денег, хранящихся в неком портативном устройстве, например смарт-карте. Скриптуальный характер электронных денег связан со статусом эмитента (так как они выпускаются не центральным банком), а также с возможностью оперативного контроля транзакций и движения денег. Единицы платежа, содержащиеся в картах или в программном обеспечении, покупаются либо за наличность, либо путем пополнения банковского счета. Покупательная способность таких условных единиц ограничена кругом организаций, принимающих платежи.

2.Яка інформація в банківській системі складає державну таємницю?

2.4.3. Відомості за сукупністю всіх складових показників про організацію охорони перевезення спеціальних вантажів - Т.

2.4.4. Відомості за сукупністю всіх показників про строки, маршрути перевезення спеціальних вантажів у системі – Т.

2.4.5. Відомості про порушення встановлених у НБ (Національний банк) вимог щодо організації або здійснення охорони цінностей (у ході їх виготовлення або транспортування чи зберігання), розголошення яких може спричинити розкрадання цих цінностей - Т.

2.5.1. Відомості (до офіційного повідомлення НБ з цих питань) за сукупністю всіх показників про технічні характеристики, систему захисту від підроблення розмінних (обігових) монет України нових зразків чи їх проектів (крім реверсу розмінних (обігових) монет за тематикою) ‑ Т.

2.5.2. Відомості за окремими показниками про технічні характеристики, систему захисту від підроблення, схему розміщення всіх елементів захисту від підроблення банкнот України нових зразків або їх проектів до офіційного повідомлення НБ з цих питань ‑ Т.

2.5.3. Відомості про рецептурний склад маркера для металевого сплаву вітчизняного виробництва, з якого виготовляються розмінні та обігові монети України ‑ ЦТ.

2.5.4. Відомості про рецептуру захисних поліграфічних фарб, які розробляються та застосовуються Банкнотно-монетним двором НБ для виготовлення банкнот України або цінних паперів ‑ ЦТ .

3.Які методи обміну ключами підтримує протокол SSL?

Протокол SSL поддерживает следующие методы обмена ключами

21. RSA. Секретный ключ шифруется с помощью открытого ключа получателя. Для этого отправителю должен быть доступен сертификат этого открытого ключа.

22. Анонимный метод Диффи-Хеллмана. Используется базовый алгоритм Диффи-Хеллмана, но без аутентификации сторон. Такой режим уязвим для вторжений типа «человек в середине» (man-in-the-middle), что делает его непригодным для коммерческого использования.

23. Метод Диффи-Хеллмана с фиксированными параметрами. Используется базовый алгоритм Диффи-Хеллмана, при этом сертификат сервера содержит открытые параметры алгоритма. Клиент посылает свои открытые параметры будущего ключа либо в сертификате, если требуется аутентификация клиента, либо в сообщении обмена ключами.

24. Метод Диффи-Хеллмана с одноразовыми параметрами (Ephemeral Diffie-Hellman) самый безопасный из трех представленных модификаций метода Диффи-Хеллмана. Предполагает использование временных (одноразовых) секретных ключей. Стороны обмениваются открытыми параметрами базового алгоритма Диффи-Хеллмана, подписанными с помощью закрытых ключей (RSA или DSS) отправителя. Получатель для проверки подписи использует соответствующий сертифицированный открытый ключ.

25. Fortezza. Метод, используемый в одноименной схеме шифрования.

4.Які умови строгого виконання зобов'язань, пов'язаних з трансакцією протоколу SET?

для строгого выполнения обязательств, связанных с транзакцией, является сертификация владельца карты. Другие необходимые условия - использование надежного механизма временных меток и безупречный центр авторизации. Проверку точности платежных инструкций производит не продавец, а платежный шлюз, поэтому именно шлюз привлекается для разрешения конфликтных ситуаций. Отметим, что для облегчения распространения протокола в версии 1.0 спецификации SET сертификат покупателя является необязательным.

5.Яким чином здійснюється шифрування електронних банківських документів в СЕП?

Для забезпечення конфіденційності інформація СЕП обробляється АРМ-НБУ, яке включає вбудовані засоби захисту інформації та забезпечує апаратне і програмне шифрування (розшифрування) інформації.

Основним засобом шифрування файлів (пакетів) СЕП є АКЗІ. Робота АКЗІ контролюється вбудованими в АРМ-НБУ програмними засобами захисту інформації і забезпечує апаратне шифрування (розшифрування) інформації за стандартом ГОСТ 28147.

Як резервний засіб шифрування в СЕП використовується вбудована в АРМ-НБУ функція програмного шифрування. Для кожного файла (пакета) СЕП, що обробляється АРМ-НБУ, генерується одноразовий ключ шифрування для алгоритму ГОСТ 28147-89, який обробляється відповідно до стандарту ISO 11166-94 і додається до повідомлення в зашифрованому вигляді. Такий спосіб передавання повідомлень забезпечує, що лише дійсний отримувач повідомлення має змогу виконати його розшифрування.

Рис. 4. Спосіб передавання повідомлень

Засоби шифрування АРМ-НБУ (як АКЗІ, так і програмне шифрування) забезпечують сувору автентифікацію відправника та отримувача електронного банківського документа, цілісність кожного документа в результаті неможливості його підроблення або несанкціонованого модифікування в шифрованому вигляді.

АРМ-НБУ в режимі реального часу забезпечує додаткову сувору взаємну автентифікацію АРМ-НБУ учасника СЕП та ЦОСЕП під час встановлення сеансу зв'язку.

Під час роботи АРМ-НБУ створює шифровані архіви оброблених електронних банківських документів та захищений від модифікації протокол роботи АРМ-НБУ, у якому фіксуються всі дії, що ним виконуються, із зазначенням дати та часу оброблення електронних банківських документів. Наприкінці банківського дня шифровані архіви та протокол роботи АРМ-НБУ підлягають обов'язковому збереженню в архіві. Цей архів використовується для надання Національним банком інформаційних послуг відповідно до глави 6 цього розділу.

Екзаменаційний білет № 24

1.Визначте понятття "віртуальні гроші" (virtual money).

Виртуальные деньги отличаются от электронных тем, что их поддержка, представление и способ использования нематериальны. Они могут даже содержаться в ПО, поддерживающем платежи по открытым сетям, таким, как Интернет. Можно рассматривать виртуальные деньги как некую ссылку на банковский счет. Скриптуальный характер виртуальных денег также привязан к статусу эмитента (они не выпускаются центральным банком) и к возможности отслеживания транзакции. В особых случаях виртуальные деньги могут принимать вид виртуальных токенов (или жетонов), выпускаемых ответственным эмитентом для ограниченного использования. Жетоны отличаются от электронных версий законных платежных средств тем, что имеют уникальное назначение и ограниченное хождение3 . В этом состоит их отличие от электронных денег, которые представляют собой многофункциональное, повсеместно признаваемое платежное средство. Например, Millicent4 представляет собой систему, предлагающую для расчетов виртуальный жетон - скрип (scrip). Поставщик услуг эмитирует скрип, который не связан напрямую с банковской системой, но является предоплаченной услугой - обещанием выполнить услугу в будущем. Поставщик услуги может эмитировать жетоны и даже привязывать их к собственным банковским счетам, оставаясь в рамках закона до тех пор, пока хождение выпущенных жетонов ограничено и строго регламентировано. Телефонные карты являются особым типом виртуальных кошельков, выпускаемых телефонными компаниями. Это предоплаченные карты, предназначенные для оплаты услуг телефонной связи определенного оператора. Покупательная способность карты выражается в условных единицах - «телефонных жетонах». Межбанковские отношения строго регулируются законодательством и находятся под наблюдением руководящих денежно-кредитных учреждений в каждой стране. Предполагается, что правом печатать деньги обладает только центральный банк. Причина, по которой телефонные карты вообще разрешены, кроется в том, что телефонные токены представляют собой услуги, которые будут оказаны в будущем, оплаченные законными деньгами. К тому же банкам в подобных ситуациях очень трудно предложить другой вариант процедур оплаты и сбора сумм. Пример телефонных карт, как одноразовых, так и перезаряжаемых, может стимулировать телефонные компании выступать посредниками в электронной коммерции, особенно в случае микроплатежей. Однако это требует перехода от режима «виртуального кошелька» к режиму «электронного кошелька». Другими словами, значение, хранимое в телефонной карте (например, «условные единицы»), должно восприниматься как новые скриптуальные универсальные деньги, представленные в двоичной форме. Это порождает новую проблему регулирования для представителей власти.

2.Які функції покладені на НБУ щодо захисту інформації в банківській системі України?

Національний банк виконує такі функції:

……………………………………………………….

7) визначає напрями розвитку сучасних електронних банківських технологій, створює, координує та контролює створення електронних платіжних засобів, платіжних систем, автоматизації банківської діяльності та засобів захисту банківської інформації;

………………………………………………………….

18) реалізує державну політику з питань захисту державних секретів у системі Національного банку;

…………………………………………………………..

22) здійснює методологічне забезпечення з питань зберігання, захисту, використання та розкриття інформації, що становить банківську таємницю;

3.Скільки є етапів в SSL протоколі при обміні даними?

Обмен осуществляется в два этапа.

На предварительном этапе происходит идентификация сторон, согласование используемых криптографических атрибутов, генерация и разделение ключей.

При обмене данными безопасность зависит от алгоритмов и параметров, установленных на предварительном этапе.

В любой момент сохраняется возможность появления сигнала о вторжении в обмен данными или об ошибке.

SSL реализует идею приведения пользовательского сеанса TCP/IP к новому уровню безопасности. Всякий раз, когда клиент подсоединяется к серверу, начинается сеанс SSL. Если клиент подсоединится к другому серверу, новый сеанс начинается без разрыва прежнего сеанса. Если клиент позже вернется к первому серверу и захочет, чтобы соединение возобновилось с использованием ранее установленных параметров, будет передан запрос о возобновлении ранее установленного сеанса вместо инициализации нового. Таким образом, сеанс SSL - это связь между двумя сущностями, имеющими определенный набор параметров и криптографических атрибутов. Для ограничения риска атаки перехвата сообщений и повтора спецификация SSL предполагает ограничение времени действия идентификатора сеанса в течение 24 часов; однако реальная длительность сеанса определяется сервером. Прерванный сеанс может быть возобновлен, только если были использованы специальные процедуры приостановки сеанса.

В первоначальной концепции соединения SSL была заложена возможность изменять некоторые атрибуты сеанса (например, ключ) без влияния на другие атрибуты, установленные в начале сеанса. Сеанс может содержать несколько соединений под управлением приложений. Концепция сеансов SSL может быть проиллюстрирована с помощью переменных состояния и связанных с ними параметров безопасности.

4.Який набір послуг надають трансакції протоколу SET?

Транзакции SET предоставляют следующий набор услуг:

• регистрация владельцев карт и продавцов центром сертификации;

• доставка сертификатов владельцам карт и продавцам;

• обеспечение аутентичности, конфиденциальности и целостности данных в процессе информационного обмена;

• авторизация платежей;

• сбор информации по платежам для выставления клиринговых запросов по поручению продавца.

5.Яким чином в СЕП здійснюється перевірка ЕЦП електронного банківського документу?

Учасник СЕП зобов'язаний забезпечити дотримання механізму накладання (перевірки) ЕЦП згідно з вимогами цієї глави, які унеможливлюють формування та відсилання електронного банківського документа однією службовою особою.

Під час формування електронного банківського документа на робочому місці операціоніста САБ відповідальна особа, яка формує цей документ, має накладати ЕЦП на документ за допомогою свого таємного ключа. Під час формування файла (пакета) електронних банківських документів на робочому місці бухгалтера САБ накладається ЕЦП на цей файл (пакет) у цілому, що забезпечує його захист від модифікації. Сформований таким чином файл (пакет) обробляється АРМ-НБУ, де виконується перевірка ЕЦП операціоніста на кожному електронному банківському документі та накладається ЕЦП АРМ-НБУ, який можуть перевірити всі учасники СЕП. Під час оброблення файлів (пакетів) ЦОСЕП виконує перевірку підписів на кожному електронному банківському документі та файлі (пакеті) у цілому та після формування файлів (пакетів) відповідних платежів накладає ЕЦП на файл (пакет) у цілому за допомогою таємного ключа ЦОСЕП. Разом з цим на кожному електронному банківському документі залишається ЕЦП АРМ-НБУ учасника СЕП, який відправляв цей електронний банківський документ. Під час отримання файлів (пакетів) відповідних платежів виконується така сама перевірка (накладання) ЕЦП до часу остаточного оброблення документів операціоністом САБ отримувача.

Рис. 3. Накладання (перевірка) ЕЦП

Технологія оброблення платежів у САБ учасника СЕП забезпечує надійний розподіл доступу під час оброблення електронних банківських документів і захист цих документів від модифікації в локальній мережі банку. Виконання технології використання ЕЦП на всіх етапах оброблення електронних банківських документів є обов'язковою вимогою для всіх типів САБ, які працюють у банках (філіях), незалежно від моделі обслуговування консолідованого кореспондентського рахунку.

Екзаменаційний білет № 25

1.Що таке "цифрові гроші" (digital money)?

Цифровые деньги - это оригинальная попытка решения проблемы онлайн-платежей. Как и обычные деньги, каждая цифровая купюра имеет свой серийный номер. Однако поддержка этих денег виртуальна, значение номинала хранится в виде алгоритма в памяти компьютера пользователя, на жестком диске или в памяти смарт-карты. Одной из самых выдающихся особенностей цифровых денег DigiCash является то, что «печатает» эти деньги клиент, а их подлинность подтверждается банком. Кредитор, получающий цифровые деньги в обмен на продукт или услугу, проверяет их подлинность при помощи открытого ключа банка эмитента. Таким образом, гарантируется анонимность, но возникает проблема передачи стоимости между участниками сделки без вмешательства банка эмитента. К тому же вследствие того, что каждый шаг алгоритма ассоциирован с фиксированной суммой, сложности возникают со сдачей. На новом этапе дематериализации цифровая денежная единица превращается в денежный знак, наделенный реальной покупательной способностью, который может использоваться для платежей в максимально широком экономическом пространстве. Обмен стоимостью происходит в реальном времени в сети, использующей зашифрованные цифровые монеты, однако расчет может происходить как в реальном, так и не в реальном времени. Цифровые деньги могут быть обменяны на реальные деньги в банковских организациях после проверки их подлинности по специальной базе данных, которая может быть централизованной или распределенной. Одной из характеристик, отличающих цифровые деньги от других электронных средств платежа, является возможность совершения полностью анонимных транзакций, т. е. транзакций, в которых отсутствует связь между собственно средством платежа и личностью его держателя, как это происходит в случае фидуциарных денег. Дестабилизирующим аспектом технологии цифровых денег является возможность появления универсальных денег, не зависящих от действующей денежной системы. По этой причине попытки создания цифровых денег связаны со всевозможными проблемами технического и законодательного характера. Действительно, международная цифровая валюта будет конфликтовать с различными региональными и национальными валютами и в результате создавать проблемы экономике отдельных стран. Иначе говоря, создание таких денег является не только технологической проблемой, но затрагивает национальный суверенитет. Экономические и политические последствия введения цифровых денег могут быть колоссальны, и их обсуждение выходит далеко за рамки чисто юридических диспутов.

2.Яка інформація відповідно до законодавства є об'єктом захисту?

Рис. 5

В “Концепції технічного захисту інформації в Україні” визначається технічний захист інформації, як діяльність, спрямована на обов’язкове забезпечення захисту інженерно-технічними заходами:

• інформації, яка складає державну і іншу передбачену законом таємницю;

• конфіденційної інформації, яка є власністю держави;

• відкритої інформації, важливої для держави, незалежно від того, де вказана інформація циркулює;

• відкритої інформації, важливої для особи і суспільства, якщо ця інформація циркулює в державних органах, підприємствах, установах і організаціях.

Виходячи з вище наведеного та статусу Національного банку України, можна зробити висновок, що також підлягає захисту цілісність та доступність відкритої інформації, яка циркулює в інформаційно-телекомунікаційній системі Національного банку України.

3.З яких субпротоколів складається SSL протокол?

Субпротоколы SSL

Протокол SSL состоит из четырех субпротоколов (далее - просто протоколы):

• Handshake,

• Record,

• ChangeCipherSpec (CCS),

• Alert.

Ha рис. 3 отражено их взаимодействие. Протокол Record находится непосредственно поверх транспортного слоя TCP, в то время как остальные три протокола - между слоем Record и приложением.

Рис. 3. Стек субпротоколов SSL

Протокол Handshake (рукопожатие) отвечает за аутентификацию сторон, за установление параметров алгоритмов шифрования и хеширования, а также за обмен секретным ключом PreMasterSecret. Функция протокола CCS - сигнализировать слою Record о любых изменениях в параметрах безопасности. Наконец, протокол Alert отражает ошибки, обнаруженные при проверке сообщения, так же как и любые проблемы совместимости, которые могут возникнуть при инициализации с помощью Handshake. Протокол Record применяет все установленные при инициализации параметры безопасности для защиты данных приложения, а также сообщений протоколов Handshake, CCS и Alert.

4.Що підписується подвійним підписом в SET?

Эта процедура позволяет связывать элементы двух сообщений, каждое из которых отсылается своему адресату с одной сигнатурой во избежание лишнего обмена данными. При помощи такой процедуры каждый получатель может прочитать сообщение, адресованное лично ему и проверить целостность остальных сообщений, не читая их. Например: предположим, что покупатель одновременно посылает (через платежный шлюз) продавцу ордер заказа, a банку ‑ платежную инструкцию. Конечно, покупатель предпочтет, чтобы его платежи инструкции выполнились только после того, как продавец примет ордер заказа.

Пусть m1 - сообщение, адресованное продавцу, a m2 - сообщение для платежного шлюза. Покупатель объединяет дайджесты сообщений для создания нового сообщения m3.

m3 = H(m1)||H(m2).

Затем покупатель применяет хеш-функцию H() к новому сообщению m3. Соответственно сообщение, отправляемое продавцу, состоит из следующих элементов:

m1, H(m2), {m2, H(m2)}PK_G, {H(m3)}SK_C,

где PK_G ‑ открытый ключ платежного шлюза,

SK_C ‑ закрытый ключ покупателя.

5.Яким чином в СЕП здійснюється накладання ЕЦП електронного банківського документу?

Для накладання ЕЦП використовується таємний (особистий) ключ, а для його перевірки – відкритий (загальновідомий) ключ.

Алгоритм роботи системи побудовано таким чином, що коли користувач має доступ до відкритого ключа, то він не може відтворити таємний ключ або поставити цифровий підпис – його можна тільки перевірити.

Доцільно зазначити, що таємний (особистий) ключ підписувача є повною особистою власністю підписувача і не надається будь-яким іншім особам (навіть центру сертифікації ключів). Будь-хто може перевірити цифровий підпис, використовуючи тільки відкритий ключ.

Накладання електронного цифрового підпису (підписування) - це операція, яка здійснюється відправником (підписувачем) документу із використанням його таємного ключа. При виконанні цієї операції на вхід відповідної програми подаються дані, які треба підписати, та таємний ключ підписувача. Програма створює із даних за допомогою таємного ключа унікальний блок даних фіксованого розміру (власне ЕЦП), який може бути справжнім тільки для цього таємного ключа та саме для цих вхідних даних. Тобто, ЕЦП – це своєрідний «цифровий відбиток таємного ключа і документа».

У подальшому ЕЦП, як правило, додається до вхідного документа (або розміщується в окремому полі документу) і така комбінація даних (документ + ЕЦП) утворює захищений електронний документ.

Учасник СЕП зобов'язаний забезпечити дотримання механізму накладання (перевірки) ЕЦП згідно з вимогами цієї глави, які унеможливлюють формування та відсилання електронного банківського документа однією службовою особою.

Під час формування електронного банківського документа на робочому місці операціоніста САБ відповідальна особа, яка формує цей документ, має накладати ЕЦП на документ за допомогою свого таємного ключа. Під час формування файла (пакета) електронних банківських документів на робочому місці бухгалтера САБ накладається ЕЦП на цей файл (пакет) у цілому, що забезпечує його захист від модифікації. Сформований таким чином файл (пакет) обробляється АРМ-НБУ, де виконується перевірка ЕЦП операціоніста на кожному електронному банківському документі та накладається ЕЦП АРМ-НБУ, який можуть перевірити всі учасники СЕП. Під час оброблення файлів (пакетів) ЦОСЕП виконує перевірку підписів на кожному електронному банківському документі та файлі (пакеті) у цілому та після формування файлів (пакетів) відповідних платежів накладає ЕЦП на файл (пакет) у цілому за допомогою таємного ключа ЦОСЕП. Разом з цим на кожному електронному банківському документі залишається ЕЦП АРМ-НБУ учасника СЕП, який відправляв цей електронний банківський документ. Під час отримання файлів (пакетів) відповідних платежів виконується така сама перевірка (накладання) ЕЦП до часу остаточного оброблення документів операціоністом САБ отримувача.

Рис. 3. Накладання (перевірка) ЕЦП

Технологія оброблення платежів у САБ учасника СЕП забезпечує надійний розподіл доступу під час оброблення електронних банківських документів і захист цих документів від модифікації в локальній мережі банку. Виконання технології використання ЕЦП на всіх етапах оброблення електронних банківських документів є обов'язковою вимогою для всіх типів САБ, які працюють у банках (філіях), незалежно від моделі обслуговування консолідованого кореспондентського рахунку.

Екзаменаційний білет № 26

1.Охарактеризуйте електронні гаманці (electronic purses) і гаманці електронних жетонів (electronic jetton holder).

По определению BIS электронный кошелек - это «перезаряжаемая многофункциональная предоплаченная карта, используемая в розничной торговле и других платежах коммерции face-to-face». Такое средство платежа может по желанию его владельца служить заменителем других форм денег. Таким образом, электронный кошелек - это устройство с памятью, в которой учитываются средства, которыми физически обладает владелец кошелька. В памяти содержится предварительно записанное значение — сумма денег, которая может служить инструментом обмена в открытом денежном обращении. Защита хранимого значения основана на невозможности создания фальшивой карты или осуществления операций с ячейками памяти. В данном случае идея «открытого использования» подразумевает беспрепятственное использование средств платежа, независимо от эмитента. Такая идея «открытости» отличается от случая телекоммуникационных сетей, где сеть может быть открытой или закрытой в зависимости от используемых протоколов.

Применение электронных кошельков зависит от эмитента (торговое предприятие, банк, торговая ассоциация и т. п.) и его прав по закону. Банковские сети по определению открыты всюду, где электронные деньги соответствуют официальной валюте. Напротив, кошелек, эмитированный не банком, имеет ограниченное использование, так как он содержит только жетоны, которые имеют ограниченное хождение и используются для предопределенных транзакций с привлечением эмитента.

Кошельки электронных жетонов аналогичны частным средствам платежа, таким, как телефонные карты, дающие право на предоплаченное телефонное соединение.

Электронные кошельки привлекательны для банков, потому что они позволяют снизить стоимость транзакции и заменить собой монеты, билеты или чеки на небольшие суммы. Они могут рассматриваться как кибернетическая форма дорожных чеков, впервые представленных American Express в 1980 году.

Электронные кошельки и кошельки электронных жетонов уже доказали свою экономическую эффективность в коммерции face-to-face и автоматизированных платежах. Они имеют преимущество перед традиционными платежными картами, которые не подходят для микроплатежей и даже для face-to-face-коммерции, так как стоимость транзакции вполне может превысить размер платежа. Тем не менее, возможно объединение электронного кошелька и кошелька электронных токенов на одной карте, поддерживающей несколько приложений. Торговец может быть связан с банком, и выпускать дисконтные карты5 (fidelity card), одновременно предлагая кредиты (под управлением банка). В таблице 1 отражены финансовые и законодательные отличия между электронными кошельками и кошельками электронных жетонов.

2.На які питання у контексті системи банківської безпеки дають відповідь нормативні документи України?

Ці нормативні документи дозволяють у контексті системи банківської безпеки знайти відповіді на наступні запитання.