Анализ систем электронных расчетов в банковском деле

   На клиента также возлагается выполнение ряда требований организационно - технического характера. Он обязан располагать компьютерами, модемами и другими техническими устройствами в достаточном количестве и с определенными техническими характеристиками; после установки программного обеспечения создать ключи электронных подписей директора и главного бухгалтера, передать банку и зарегистрировать открытые ключи подписей операционистов банка; выполнить ряд других обязанностей сторон по обеспечению безопасности электронных платежей. Учитывая, что электронная передача средств всегда сопряжена с повышенным риском хищения денег, такие договоры должны предусматривать комплекс обязанностей сторон по обеспечению безопасности платежей.

2.2. Обеспечение достоверности и конфиденциальности расчетов

   Расширяющееся применение информационных технологий при создании, обработке, передаче и хранении документов требует в определенных случаях сохранения конфиденциальности их содержания, обеспечения полноты и достоверности.

   Одним из эффективных направлений защиты информации является криптография (криптографическая информация), широко применяемая в различных сферах деятельности в государственных и коммерческих структурах.

   Криптографические методы защиты информации являются объектом серьезных научных исследований и стандартизации на национальных, региональных и международных уровнях.

   В отличие от традиционных систем шифрования, в которых один и тот же ключ используется и для шифрования, и для дешифрования, в методах несимметричного шифрования (системах с открытым ключом) предусмотрены два ключа, каждый из которых невозможно вычислить из другого. Один ключ (открытый) используется отправителем для шифрования информации, другим (закрытым) получатель расшифровывает полученный шифротекст.

   Если в системе несимметричного шифрования поменять роли секретного и открытого ключей, то в качестве электронной подписи может выступать само сообщение, подписанное на секретном ключе. Тем самым подписать сообщение может только владелец секретного ключа, но каждый, кто имеет его открытый ключ, может проверить подпись, обработав ее на известном ключе.

   Электронная цифровая подпись обеспечивает целостность сообщений (документов), передаваемых по незащищенным телекоммуникационным каналам общего пользования в системах обработки информации различного назначения, с гарантированной идентификацией ее автора (лица, подписавшего документ)./ ГОСТ Р 34.10-94/

   Итак, в современных криптографических системах, в том числе финансовых, используется так называемая технология "криптографии с открытым ключом". Надежность этой технологии основана на доказуемой эквивалентности задачи "взлома" криптосистемы какой-либо вычислительно сложной задаче. Например, при использовании одного из самых распространенных алгоритмов RSA, каждый участник криптосистемы генерирует два случайных больших простых числа p и q, выбирает число e, меньшее pq и не имеющее общего делителя с (p-1)(q-1), и число d, такое, что (ed-1) делится на (p-1)(q-1). Затем он вычисляет n=pq, а p и q уничтожает.

   Пара (n, e) называется "открытым ключом", а пара (n, d) -- "закрытым ключом". Открытый ключ передается всем остальным участникам криптосистемы, а закрытый сохраняется в тайне. Стойкость RSA есть функция сложности разложения произведения pq на простые множители p и q (эту задачу придется решать тому, кто вознамерится "вычислить" закрытый ключ из открытого). При достаточной длине этих простых чисел (несколько тысяч двоичных разрядов) такое разложение вычислительно невозможно (т.е. требует ресурсов, недоступных в этом мире).

   Для обеспечения конфиденциальности, участник А "шифрует" сообщение m участнику Б с помощью открытого ключа Б: c := me mod n, а участник Б "расшифровывает его" с помощью своего закрытого ключа: m:= cd mod n. Для наложения "цифровой подписи" участник А "шифрует" сообщение m участнику Б с помощью своего закрытого ключа s := md mod n, и отправляет "подпись" s вместе с сообщением m. Участник Б может верифицировать подпись участника А с помощью открытого ключа А, проверив равенство.

   Возможности и функции телефонного банковского обслуживания (Phone Banking) совпадают с возможностями и функциями домашнего банковского обслуживания (Home Banking). Основное отличие заключается в использовании технических средств, поддерживающих каналы телефонного банковского обслуживания. В качестве таких технических средств применяются так называемые телефонные голосовые интерактивные автоответчики (IVR), позволяющие клиенту получать банковские услуги с помощью обычного телефона. Эти устройства снабжены средствами синтезирования голосовых фраз, проигрываемых клиенту в качестве "звукового меню" или в ответ на его запросы, а также могут распознавать тональный набор цифр на телефонном аппарате, отдельные команды голосом или даже целые фразы, произносимые клиентом. 

   Безопасность выполнения операций телефонного банковского обслуживания обеспечивается с помощью процедуры идентификации клиентов по имени и паролю (PIN-коду), который клиент может выбрать и сменить в любой момент с помощью тех же средств телефонного обслуживания.  
 

2.3. Достоинства и недостатки электронных банковских услуг

   С внедрением банками систем класса "Клиент-Банк" процесс осуществления операций юридических лиц с банковским счетом значительно упростился: бухгалтер предприятия, имеющего персональный компьютер с модемом, получил возможность работать с банковским счетом, не покидая стен своего кабинета. Все, что для этого нужно, установить специальную программу и получить в банке дискеты с цифровыми подписями. (В некоторых банках обслуживание по системе "Клиент-Банк" предусматривает установку в компьютер клиента специального шифрующего блока. Роль носителя цифровых подписей в этом случае выполняют не дискеты, а специальные криптографические карты.)

   Используя "Клиент-Банк", можно не только оплатить свои счета, но и узнать сальдо, движение по счету, перечень поступлений за день. Важным достоинством использования данной системы является то, что свежую информацию в идеале можно получать так часто, как это необходимо, и всего за несколько минут. Кроме того, использование "Клиент-Банка" позволяет в известной мере абстрагироваться от фактора территориальной близости при выборе банка. Вместо этого внимание можно перенести на наиболее важные параметры банковских учреждений - надежность, прибыльность, наличие интересующих услуг, их качество, стоимость и т. п.

    Сегодня нередки случаи, когда благодаря наличию системы "Клиент-Банк" предприятия получают возможность остановить свой выбор на банках, находящихся не только в других городах, но и в другом конце страны. А предприятия из глубинки могут не ограничивать свой выбор филиалами банков, работающих в их городе, при необходимости открыв счет в центральном офисе любого банка. Хотя для осуществления некоторых операций (например, инкассация) без дополнительного счета в местном банке все же не обойтись.

   В зависимости от реализации системы "клиент-банк" могут решать различные задачи - от организации обмена информацией типа "платежное поручение - выписка по счету" до полной автоматизации всего документооборота между клиентом и банком. Чтобы быть эффективной, система "клиент-банк" должна не только ограничиваться предоставлением возможности обмена простым набором документов типа тех же платежных поручений и выписок со счетов, но и пропускать через себя подавляющее большинство документов клиента.

   Ответ на вопрос, стоит ли внедрять систему, банк может получить, рассмотрев достоинства и недостатки такого внедрения для себя и своих клиентов (табл. 1 и 2).

Достоинства и недостатки внедрения системы "клиент-банк" для банка

Таблица 2

2.4. Возможные схемы платежных систем в Интернет.

   Особый порядок распоряжения денежными средствами на счете.

Данная  схема выполняет перевод денежных средств от одного юридического лица другому, при этом поручение о  переводе денежных средств направляется банку по каналам связи сети Интернет.

    Рассмотрим процедуру осуществления таких расчетов:

А) Подписание договора банковского счета, закрепляющего  возможность распоряжения денежными  средствами на счете с помощью  сети Интернет (п. 3 ст. 847 ГК РФ). Подписание соглашения об использовании ЭЦП  в качестве аналога собственноручной подписи (п.2 ст. 160 ГК);

Б) Установка  на клиентский компьютер необходимого программного обеспечения (ПО);

В) Составление  с помощью установленного ПО ЭПД  со всеми предусмотренными законодательством  реквизитами, установленными п. 2.1. “Положения о безналичных расчетах в РФ”, письмом ЦБР от 01.03.96 № 243, письмом ЦБР от 14.10.97 № 529; ПО должно предусматривать возможность распечатки ЭПД на бумажном носителе с сохранением всех реквизитов платежного документа (п. 2.9. ВП №17-П);

Г) Подписание ЭПД ЭЦП уполномоченного лица.

Д) Отправка подписанного ЭПД на сервер банка  с использованием средств шифрации данных (SSL 2.0; SSL 3.0; TLS 1.0 и т.п.). Шифрация необходима для предотвращения перехвата  третьими лицами данных, составляющих банковскую тайну (п.1 ст. 857 ГК РФ, ст. 26 ФЗ “О банках и банковской деятельности”). Согласно п. 2.3. ВП №17-П “платежные поручения, подписанные АСП, признаются имеющими равную юридическую силу с другими формами поручений владельцев счетов, подписанными ими собственноручно”

Е) Обработка полученного ЭПД сервером банка:

- проверка  наличия всех обязательных реквизитов  платежного документа; 

- проверка  подлинности ЭЦП клиента; 

- проверка  на возможность исполнения (сравнение  остатка на счете с суммой  платежа).

Ж) В случае отрицательного результата проверки ЭПД банк направляет клиенту ЭСИД с указаниями конкретных причин отказа. В случае положительного результата проверки ЭПД банк принимает платежный документ к исполнению, о чем клиенту направляется ЭСИД с обязательным указанием времени принятия документа.