Руководство пользователя по установке и настройке подсистемы «Интернет-Клиент»

Листов 56

2013г

Рекомендуется установить в Windows язык ввода по умолчанию – английский, значение клавиши Caps Lock на клавиатуре - выключено. Это поможет предотвратить ошибки при вводе паролей и PIN-кодов во время инсталляции программного обеспечения клиентского АРМ, а так же блокировку доступа к USB-ключам eToken во время эксплуатации АРМ при превышении допустимого количества попыток ввода (3 попытки ввода PIN-кода доступа к eToken).

Необходимо, также, наличие на компьютере установленного веб-браузера Microsoft Internet Explorer версии не ниже 7.0. (подсистема «Интернет-Клиент» не поддерживает работу с веб - браузерами других фирм изготовителей).

Для операционной системы Windows 7, Vista и 8 необходимо выполнить настройки, связанные с отключением контроля учетных записей. Порядок их выполнения представлен в Приложении 3.

1. Настройка параметров Microsoft Internet Explorer версий 7.х - 9.х

Настройка параметров Microsoft Internet Explorer имеет важное значение для устойчивой работы подсистемы «Интернет-Клиент». Настройки разных версий Internet Explorer могут отличаться. Определить версию можно открыв Explorer и выбрав пункты меню Справка – О программе.

Для настройки параметров Internet Explorer выберите пункт меню Сервис-Свойства обозревателя, закладка Дополнительно (рис. 1.1 и рис. 1.2). На этой закладке необходимо убедиться, что в параметрах включен протокол защищенного соединения SSL 3.0.

В некоторых версиях Internet Explorer версий 7.х и 9.х имеется параметр «Включить защиту памяти для снижения риска атаки из Интернет» (рис. 1.3 и рис. 1.4). Его необходимо отключить (убрать «галочку»).

Далее, рассмотрим настройки Internet Explorer на примере версии 6.0.

Щелкнув по закладке Безопасность, выберете зону настройки параметров безопасности. Необходимо иметь ввиду, что для нормальной работы подсистемы «Интернет-Клиент» достаточно настроить только одну зону - «Надежные узлы» (рис. 1.5). Настройки других зон могут быть произвольными и зависят от потребностей клиентов.

Добавьте в зону «Надежные узлы» адрес (URL) веб-сервера Банка. Для этого, в поле «Добавить узел в зону:» (рис. 1.6), введите https://dbo.voz.ru и нажмите клавишу Добавить. В результате адрес узла попадает в поле «Веб-узлы:» (рис. 1.7).

Нажав клавишу ОК, переходим в окно «Свойства обозревателя» закладка Безопасность (рис. 1.8), в котором уровень безопасности для зоны «Надежные узлы» устанавливаем по умолчанию. Это происходит при нажатии клавиши По умолчанию.

Для снятия блокировки всплывающих окон необходимо вызвать окно «Параметры безопасности», нажав на клавишу Другой (рис. 1.9). В открывшемся окне (рис. 1.10) установить переключатель «Блокировать всплывающие окна в положение Отключить.

Дополнительно необходимо проверить установку следующих параметров безопасности, которые должны быть установлены в положение «Разрешить» («Включить»):

üЗагрузка подписанных элементов ActiveX

üЗапуск элементов ActiveX и модулей подключения

üВыполнять сценарии элементов ActiveX, помеченных как безопасные

üПоведение двоичного кодов и сценариев

üАктивные сценарии

üРазрешить сценарии

В Internet Explorer версий 7.х и 9.х иногда, вместо установки выше рассмотренных параметров, достаточно нажать последовательно кнопки Сброс и Восстановить дополнительные параметры (рис. 1.2).

2.  Установка драйвера ключевого носителя eToken

Драйвер eToken PKI Client 5.1 SP1 32-бит (64-бит) применяется для ОС Windows XP/2003/Vista/7/2008.

Драйвер SafeNet Authentication Client бит (64-бит) применяется для ОС Windows 8.

Внимание! Не вставляйте eToken в USB порт до установки и в процессе установки драйвера eToken PKI Client 5.1 SP1 или SafeNet Authentication Client 8.2.

2.1.Установка драйвера ключевого носителя eToken PKI Client 5.1 SP1

Для установки драйвера eToken PKI Client 5.1 SP1 выполните следующие действия:

1.  Нажмите кнопку “Пуск - Выполнить”. В открывшемся окне укажите путь к файлу, выбранному в зависимости от разрядности операционной системы 32-бит (64 - бит) PKIClient-x32-5.1-SP1.msi (PKIClient-x64-5.1-SP1.msi), находящемуся на CD-R в папке СКЗИ и нажмите OK. На экране появится окно приветствия программы установки eToken PKI Client 5.1 SP1 (рис. 2.1). Нажмите кнопку Next.

2.  В окне выбора языка установки (рис. 2.2) выберите язык установки драйвера Russian и нажмите кнопку Next (рис. 2.3).

3.  В окне Лицензионного соглашения (рис. 2.4) ознакомьтесь с Лицензионным соглашением, выберите I accept the license agreement и нажмите Next.

Важно! Если к вашему компьютеру подключен какой-либо eToken - отключите его.

4.  Далее, при необходимости, можно выбрать папку установки драйвера и следовать указаниям Мастера установки, нажимая последовательно кнопки Next и Finish (рис. 2.5, 2.6).

2.2.Установка драйвера ключевого носителя SafeNet Authentication Client 8.2

Для установки драйвера SafeNet Authentication Client 8.2 выполните следующие действия:

1.  Нажмите кнопку “Пуск - Выполнить”. В открывшемся окне укажите путь к файлу SafeNetAuthenticationClient-x32-x64-8.2.exe, находящемуся на CD-R в папке СКЗИ и нажмите OK. На экране появится окно приветствия программы установки SafeNet Authentication Client 8.2 (рис. 2.7). Нажмите кнопку Next.

2.  В окне выбора языка установки (рис. 2.8) выберите язык установки драйвера Russian и нажмите кнопку Next (рис. 2.9).

3.  В окне Лицензионного соглашения (рис. 2.10) ознакомьтесь с Лицензионным соглашением, выберите I accept the license agreement и нажмите Next.

Важно! Если к вашему компьютеру подключен какой-либо eToken – отключите его.

4.  В окне выбора типа установки (рис. 2.11) выберите тип установки Standard и нажмите Next.

5.  Далее, при необходимости, можно выбрать папку установки драйвера и следовать указаниям Мастера установки, нажимая последовательно кнопки Next и Finish (рис. 2.12, 2.13).

3. Установка и настройка КриптоПро CSP 3.6. Работа с ключевым носителем eToken

Средство криптографической защиты информации КриптоПро CSP 3.6 R2 используется с ОС Windows XP/2003/Vista/7/2008.

Средство криптографической защиты информации КриптоПро CSP 3.6 R3 используется с ОС Windows 8.

Внимание! Установку средства криптографической защиты информации КриптоПро CSP 3.6 необходимо проводить только! с дистрибутива на учтенном диске, полученного по акту у сотрудника Банка. Полученный дистрибутив на учтенном диске и лицензию к нему следует хранить как эталонную копию СКЗИ до получения из Банка новых версий СКЗИ вышеуказанным способом.

Важно!!! Банк ни при каких обстоятельствах не будет рассылать дистрибутивы СКЗИ через почтовые рассылки. Полученные таким образом диски с якобы обновлениями или новыми версиями СКЗИ и предложениями немедленно провести установку являются средствами для совершения мошеннических действий.

Важно! Перед установкой дистрибутива КриптоПро CSP 3.6 убедитесь, что на АРМ системы ДБО установлено лицензионное антивирусное ПО в соответствии с требованиями, указанными в формуляре на СКЗИ. В соответствии с п. 4 раздела 2 формуляра СКЗИ КриптоПро CSP 3.6 R2 ЖТЯИ. должно использоваться со средствами антивирусной защиты, сертифицированными ФСБ России.

Перечень средств защиты информации (в том числе средств антивирусной защиты), сертифицированных ФСБ России:

http://clsz. *****/certification. htm, http://clsz. *****/files/download/sved_po_sertif. pdf.

Например:

Антивирус Касперского 6.0 для Windows Workstations MP4, регистрационный номер сертификата соответствия – СФ/ или

Антивирусное средство Dr. Web для Windows версии 6.0, регистрационный номер сертификата соответствия – СФ/.

Перед установкой необходимо удалить все ранее установленные версии КриптоПро CSP и КриптоПро TLS. Если модуль криптографической поддержки не удален, то новая версия не будет установлена.

3.1.Установка КриптоПро CSP 3.6 R2

Для установки КриптоПро CSP необходимо выполнить следующую последовательность действий:

1.  Нажмите кнопку Пуск - Выполнить. Введите путь к файлу csp-win32-kc1-rus. msi для установки 32-х разрядной версии или csp-x64-kc1-rus. msi для установки 64-х разрядной версии, находящимся на CD-R в папке СКЗИ и нажмите OK. На экране появится окно приветствия программы установки Установка КриптоПро CSP (КС1). Нажмите кнопку Далее.

2.  В окне Лицензионное соглашение ознакомьтесь с Лицензионным соглашением, выберите Я принимаю условия лицензионного соглашения и нажмите Далее (рис. 3.1).

3.  В окне Сведения о пользователе укажите сведения о пользователе, сведения об организации и введите серийный номер КриптоПро CSP с Лицензии из установочного комплекта АРМ Клиента. Нажмите Далее (рис. 3.2).

Внимание! Без введенного серийного номера СКЗИ КриптоПро CSP проработает срок, установленный для тестовой эксплуатации и далее работать не будет. С введенным серийным номером срок эксплуатации не ограничен.

По условиям лицензионного договора с компанией КриптоПро запрещается устанавливать одну и ту же лицензию более, чем на один компьютер. При необходимости установки СКЗИ КриптоПро CSP на несколько компьютеров, следует заказать у банка необходимое количество лицензий.

4.  В окне Вид установки выберите установку Выборочная и нажмите кнопку Далее (рис. 3.3).

5.  В окне Выборочная установка добавьте все компоненты кроме Криптопровайдер уровня ядра ОС и нажмите кнопку Далее (рис. 3.4-3.7).

Рис. 3.7. Выбранные компоненты программы

6.  В окне Последние приготовления к установке программы зарегистрируйте считыватель смарт-карт, снимите «галочку» с других считывателей и нажмите кнопку Установить (рис. 3.8).

Важно!!! С целью исключения возможности записи рабочих закрытых (секретных) ключей Клиентов при перегенерации на любые другие носители ключевой информации, кроме USB-ключей eToken PRO (считыватель смарт-карт) запрещается регистрировать на АРМ Клиента какие либо считыватели, кроме считывателя смарт-карт (запрещается регистрировать все съёмные диски и реестр)

В случае установки КриптоПро на ОС Windows Vista/7/2008 система может выдать запрос, доверять ли программному обеспечению “Crypto-Pro”. Установите галочку Всегда доверять программному обеспечению “Crypto-Pro” и нажмите кнопку Установить.

7.  После окончания копирования файлов на жесткий диск, появится окно завершения установки. Нажмите кнопку Готово (рис. 3.9).

8.  Программа установки попросит вас перезагрузить систему. Нажмите кнопку Да для перезагрузки системы (рис. 3.10).

Рис. 3.10.Сообщение о необходимости выполнить перезагрузку системы

3.2.Установка КриптоПро CSP 3.6 R3

Для установки КриптоПро CSP 3.6 R3 необходимо выполнить следующую последовательность действий:

1.  Нажмите кнопку Пуск - Выполнить. Введите путь к файлу CSPSetup. exe, находящимся на CD-R в папке СКЗИ и нажмите OK. Появится окно начала установки КриптоПро CSP 3.6 R3 (рис. 3.11). Нажмите на кнопку Опции и убедитесь, что в окне опций установки (рис. 3.12). параметр Язык установки выставлен в Русский, а Уровень безопасности в КС1. Нажмите кнопку Далее.

2.  На экране появится окно приветствия программы установки Установка КриптоПро CSP (КС1) (рис. 3.13). Нажмите кнопку Далее.

3.  В окне Лицензионное соглашение ознакомьтесь с Лицензионным соглашением, выберите Я принимаю условия лицензионного соглашения и нажмите Далее (рис. 3.14).

4.  В окне Сведения о пользователе укажите сведения о пользователе, сведения об организации и введите серийный номер КриптоПро CSP 3.6 R3 с Лицензии из установочного комплекта АРМ Клиента. Нажмите Далее (рис. 3.15).

Внимание! Без введенного серийного номера СКЗИ КриптоПро CSP 3.6 R3 проработает срок, установленный для тестовой эксплуатации и далее работать не будет. С введенным серийным номером срок эксплуатации не ограничен.

По условиям лицензионного договора с компанией КриптоПро запрещается устанавливать одну и ту же лицензию более чем на один компьютер. При необходимости установки СКЗИ КриптоПро CSP 3.6 R3 на несколько компьютеров, следует заказать у банка необходимое количество лицензий.

5.  В окне Вид установки выберите установку Выборочная и нажмите кнопку Далее (рис. 3.16).

6.  В окне Выборочная установка добавьте все компоненты кроме Криптопровайдер уровня ядра ОС и нажмите кнопку Далее (рис. 3

7.  В окне Последние приготовления к установке программы зарегистрируйте считыватель смарт-карт, снимите «галочку» с других считывателей и Не сохранять информацию о использованных съемных носителях и нажмите кнопку Установить (рис. 3.21).

Рис. 3.21. Окно Последние приготовления к установке программы

Важно!!! С целью исключения возможности записи рабочих ключей подписи при перегенерации на любые другие носители ключевой информации, кроме USB-ключей eToken PRO (считыватель смарт-карт) запрещается регистрировать на АРМ Клиента какие либо считыватели, кроме считывателя смарт-карт (запрещается регистрировать все съёмные диски и реестр)

Далее система может выдать запрос, доверять ли программному обеспечению “Crypto-Pro”. Установите галочку Всегда доверять программному обеспечению “Crypto-Pro” и нажмите кнопку Установить.

8.  После окончания копирования файлов на жесткий диск, появится окно завершения установки. Нажмите кнопку Готово (рис. 3.22).

9.  Программа установки предложит Вам перезагрузить систему. Нажмите кнопку Да для перезагрузки системы (рис. 3.23).

3.3.Ввод серийного номера КриптоПро CSP 3.6 без переустановки

Внимание! Если, по каким-либо причинам, серийный номер СКЗИ КриптоПро CSP 3.6 не был введен при первоначальной установке (Рис. 3.2) или СКЗИ эксплуатировалось в тестовом режиме, то имеется возможность ввода этого номера без переустановки КриптоПро CSP.

Для этого, необходимо выбрать пункт меню Пуск – Программы – Крипто-Про – Управление лицензиями КриптоПро PKI (рис. 3.24). Откроется окно оснастки MMC «КриптоПро PKI» (рис. 3.25).

Рис. 3.24. Окно Свойства: КриптоПро CSP

В оснастке выберите раздел Управление лицензиями, а в нем - СКЗИ КриптоПро CSP. Правой клавишей мыши вызовите контекстно – зависимое меню, в котором выберите пункт Все задачи – Ввести серийный номер… .

Рис. 3.25. Окно оснастки MMC «КриптоПро PKI».

В результате откроется окно Сведения о пользователе (рис. 3.2), в котором необходимо ввести серийный номер СКЗИ КриптоПро CSP 3.6.

3.4.Настройка КриптоПро CSP 3.6

Настройка КриптоПро CSP включает в себя выбор режима работы CSP, настройку режима хранения ключей и настройку работы с паролями (PIN-кодами).

Для работы с системой ДБО используется СКЗИ КриптоПро CSP сертифицированное по уровню КС1. Для настройки CSP по уровню КС1 необходимо нажать кнопку Пуск – Настройка - Панель управления и выбрать КриптоПро CSP. В окне Свойства: КриптоПро CSP панели настройки СКЗИ КриптоПро CSP выберите вкладку Безопасность (рис. 3.26).

На вкладке Безопасность в панели Назначенные по умолчанию CSP для указанных типов оставьте тип Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider.

Если на компьютере установлена операционная система Windows XP или Windows 2003 в панели Режим работы CSP выберите опцию Использовать службу хранения ключей (рис. 3.26).

В панели Настройки кэширования закрытых ключей в окне Выберите CSP для настройки оставьте тип Crypto-Pro GOST R 34.10-2001 Cryptographic Service Provider.

Внимание! ЗАПРЕЩАЕТСЯ устанавливать галку Включить кэширование!

Если на компьютере установлена операционная система Windows Vista/7/2008/8 в панели Режим работы CSP выберите опцию Хранить ключи в памяти приложений (рис. 3.27).

Внимание!

1.  ЗАПРЕЩАЕТСЯ устанавливать галку «Включить кэширование» в настройках режима работы CSP. Кэширование заключается в том, что считанные с ключевого носителя eToken ключи останутся загруженными в памяти сервиса CryptoPro CSP key storage и будут доступны любому приложению после извлечения eToken из считывателя и до завершения работы компьютера. Это означает, что в случае хакерской атаки на Ваш компьютер, злоумышленник сможет воспользоваться загруженными ключами для подписи мошеннического платежа от Вашего имени.

2.  Банк выдает PIN-коды доступа к ключевым носителям eToken в 2-х PIN-конвертах: пользовательском и администраторском. Пользовательский PIN-код предназначен для повседневного применения. Администраторский PIN-код предназначен для разблокировки eToken при превышении допустимого количества попыток ввода PIN-кода. В случае блокировки пользовательского, а затем и администраторского PIN-кодов, eToken становится недоступным и подлежит возврату в Банк для форматирования. Все криптографические ключи в нем будут стерты. Не допускайте блокировки администраторского PIN-кода.

3.  Не передавайте кому бы то ни было Ваш персональный eToken и PIN-коды доступа к нему, подключайте eToken к USB-порту компьютера только на время Вашей работы с Банком, не оставляйте eToken и PIN-коды доступа к нему без присмотра, при уходе с рабочего места забирайте eToken и PIN-коды доступа с собой.

4.  Если вам в течение сеанса работы с Банком приходится многократно использовать ключевой носитель eToken, для ускорения работы используйте настройку КриптоПро CSP «Запомнить пароль» (рис. 3.29). После завершения сеанса работы с Банком удалите запомненные пароли, для чего в окне Свойства: КриптоПро CSP выберите вкладку Сервис и нажмите кнопку Удалить запомненные пароли (рис. 3.28), после чего в окне Удаление запомненных паролей выберите Удалить все запомненные пароли закрытых ключей и поставьте галку Пользователя (рис. 3.30).

Порядок проверки (при необходимости) работоспособности СКЗИ КриптоПро CSP, ключевого носителя eToken, ключа и сертификата, а так же установленного драйвера изложен в Приложении 4.

Приложение 1

Приложение 1. Перечень сокращений, термины и определения

Перечень сокращений

Термины и определения

Назад

Поскольку клиентская часть подсистемы «Интернет-Клиент» в процессе своей работы обращается к файлам жесткого диска, то для полноценной работы требуется либо постоянное подтверждение необходимости выполнение действия, либо отключение контроля учетных записей.

Отключить контроль учетных записей можно следующим образом:

1.  Отобразите панель управления Windows (Control Panel).

2.  Выберите пункт Учетные записи пользователей. Система отобразит окно настройки учетных записей пользователей.

3.  Выберите пункт Учетные записи пользователей. Система отобразит окно изменения параметров учетной записи пользователя.

4.  Выберите пункт Включение или отключение контроля учетных записей (UAC). Система отобразит сообщение UAC о необходимости подтверждения действия.

5.  Нажмите кнопку Продолжить. Система отобразит окно изменения параметров UAC.

Рис. П3.1.Окно свойств КриптоПро CSP

6.  Снимите (уберите «галочку») заполнение поля Используйте контроль учетных записей (UAC) для защиты компьютера в ОС Windows Vista или выберите необходимую степень защиты в ОС Windows 7/8.

7.  Нажмите кнопку ОК. Система выведет предложение произвести перезагрузку системы.

8.  Нажмите кнопку Перезагрузить сейчас. Система осуществит перезагрузку системы.

После выполнения указанных действий контроль учетных записей пользователей будет отключен.

Назад

Приложение 4

Приложение 4. Проверка работоспособности КриптоПро CSP 3.6

Для проверки работоспособности СКЗИ КриптоПро CSP, ключевого носителя eToken и правильности установки драйвера необходимо проверить наличие контейнера с ключевым набором на eToken.

Установите USB-ключ eToken в свободный работающий USB-порт через удлинительный кабель. Откройте панель управления компьютером, используя пункты меню Пуск-> Настройка->Панель управления и в окне панели управления выберите КриптоПро CSP - Сервис. Нажмите кнопку «Протестировать…» (рис. П4.1).

Рис. П4.1.Окно свойств КриптоПро CSP

В открывшемся окне «Тестирование контейнера закрытого ключа» (рис. П4.2) нажмите кнопку «Обзор» и выберите контейнер открытого ключа (рис. П4.3).

Внимание! В память USB-ключей eToken Pro/32К по умолчанию может быть записано не более восьми ключевых контейнеров СКЗИ КриптоПро CSP, а eToken Pro/64К - не более 16, а в eToken Pro Java/72К - не более 14. Для того, чтобы в eToken PRO/64К помещалось 16 ключевых контейнеров, а в eToken Pro Java/72К помещалось 14 ключевых контейнеров необходимо отредактировать реестр (См. Примечание).

Примечание. Параметр, определяющий максимальное число контейнеров – строковый параметр с именем Folders, который расположен в ветке:

HKEY_LOCAL_MACHINE\\SOFTWARE\\CryptoPro\\Cryptography\\CurrentVersion\\KeyCarriers\\eToken_PRO_M420\\Default для eToken Pro/64К и HKEY_LOCAL_MACHINE\\SOFTWARE\\CryptoPro\\Cryptography\\CurrentVersion\\KeyCarriers\\eToken_JAVA_10\\Default для eToken Pro Java/72К.

По умолчанию значение этого параметра равно:

CC00\\CC01\\CC02\\CC03\\CC04\\CC05\\CC06\\CC07\\CC08\\CC09.

Для увеличения максимального числа контейнеров до 16-ти необходимо присвоить параметру значение:

CC00\\CC01\\CC02\\CC03\\CC04\\CC05\\CC06\\CC07\\CC08\\CC09\\CC10\\CC11\\CC12\\CC13\\CC14\\CC15.

Для увеличения максимального числа контейнеров до 14-ти необходимо присвоить параметру значение:

CC00\\CC01\\CC02\\CC03\\CC04\\CC05\\CC06\\CC07\\CC08\\CC09\\CC10\\CC11\\CC12\\CC13.

В мастере просмотра сертификата нажмите кнопку «Далее» (рис. П4.4).После определения ключевого устройства появится окно проверки контейнера (рис. П4.5).

Если в окне проверки контейнера отсутствуют ошибки, то это свидетельствует о работоспособности СКЗИ КриптоПро CSP, ключевого носителя eToken, ключа и сертификата в нем, а так же установленного набора драйверов. В противном случае дальнейшая работа по установке клиентского АРМ не имеет смысла.

Назад

Приложение 5

Приложение 5. Компоненты дистрибутива «Интернет-Клиент»

Перед установкой дистрибутива клиентской части подсистемы «Интернет-Клиент» желательно проверить в нем

наличие сертификатов:

-  \ № сертификата\PUBLIC\\CA\c0.cer и С01.cer – сертификаты ключа проверки электронной подписи уполномоченного лица Удостоверяющего центра,

-  \ № сертификата \CRYPTO\PUBLIC\\№ сертификата. cer – технологического сертификата ключа проверки электронной подписи Клиента,

а также сертификатов ключа проверки электронной подписи Администраторов ЦС ДБО банка.

-  \ № сертификата \CRYPTO\PUBLIC\\ABONENT\08aХХ. cer

-  \ № сертификата \CRYPTO\PUBLIC\\ABONENT\08aХХ. cer

Номера и количество технологических сертификатов может быть произвольным и зависит от количества ЭП, используемых в организации Клиента.

Также в составе дистрибутива может находиться текстовый файл, например, c именем 1.txt, в котором указаны ЛОГИН и ПАРОЛЬ для авторизации Клиента. В случае отсутствия файла ЛОГИН и ПАРОЛЬ для регистрации Клиента следует получить у сотрудников филиала Банка.

Назад

Приложение 6

Приложение 6. Проверка состояния ключевого носителя eToken

Внимание! Данный пункт инструкции выполняется в том случае, когда имеются подозрения, что в процессе ввода PIN-кода eToken было сделано более трех последовательных попыток его неправильного ввода.

В процессе работы с eToken может возникнуть ситуация, когда пользователем было сделано более трех последовательных попыток неправильного ввода PIN-кода. В этом случае eToken блокируется. Проверить состояние eToken (блокирован или не блокирован) можно следующим образом.

П6.1. Проверка состояния ключевого носителя eToken при использовании драйвера RTE 3.66

1. Подключите eToken к USB-порту компьютера. Световой индикатор USB-ключа eToken должен гореть.

2. Перейдите в меню Пуск – Программы – eToken и выберите пункт eToken Properties.

3. В окне Свойства eToken (рис. П6.1) выберите вставленный eToken на панели слева и нажмите кнопку Дополнительно….

1.  В появившемся окне (рис. П6.2) введите пароль (PIN-код) пользователя eToken и нажмите OK.

2.  Если появляется окно сообщения рис. П6.3, то eToken блокирован. Если данное окно не появляется, то eToken не заблокирован и проверку следует прекратить, закрыв окно Свойства.

П6.2. Разблокирование ключевого носителя eToken при использовании драйвера RTE 3.66

Для разблокирования eToken необходимо иметь PIN-код администратора и выполнить следующие действия.

Внимание! При отсутствии PIN-кода администратора для разблокировки eToken необходимо приехать с ним в Банк к администратору безопасности.

1.  В окне Свойства eToken (рис. П6.4) выберите вставленный eToken на панели слева и нажмите кнопку Дополнительно. В появившемся окне (рис. П6.5) введите пароль (PIN-код) администратора eToken, заполните поле (поставьте «галочку») Введен пароль Администратора и нажмите OK.

2.  В окне Свойства eToken (рис. П6.6) выберите закладку Администратор и нажмите кнопку Задать PIN-код.

3.  В окне Назначение нового PIN-кода (рис. П6.7) введите новый PIN-код (запомните новый PIN-код), его подтверждение и нажмите ОК. При успешном вводе появится информационное окно рис. П6.8, в котором нажмите ОК.

В дальнейшем, для работы с eToken используйте новый PIN-код

П6.3. Проверка состояния ключевого носителя eToken при использовании драйвера PKI Client 5.1 SP1

Проверить состояние eToken при использовании драйвера PKI Client 5.1 SP1 (заблокирован или не заблокирован) можно следующим образом.

1. Подключите eToken и убедитесь, что световой индикатор eToken светится.

2. В меню Пуск выберите Программы – eToken - eToken PKI Client - eToken Properties.

3. В окне Свойства eToken нажмите кнопку Просмотр данных о eToken (рис. П6.9).

Рис. П6.9. Информация о eToken

Если в окне Информация о eToken в строке Попыток пароля пользователя - Осталось стоит число 0 , то eToken заблокирован (рис. П6.10). При наличии числа отличного от 0 - eToken не заблокирован (рис. П6.11).

П6.4. Разблокирование ключевого носителя eToken при использовании драйвера PKI Client 5.1 SP1

Для разблокирования eToken выполните следующие действия:

1.  В окне Свойства eToken (рис. П6.12) выберите на панели слева вставленный eToken и нажмите пиктограмму Подробный вид.

2.  В открывшемся окне (рис. П6.13) на панели слева в меню Устройства выберите вставленный eToken, после чего, на панели инструментов справа, нажмите пиктограмму Вход с правами Администратора (рис. П6.14).

3.  В открывшемся окне Вход с правами администратора на eToken (рис. П6.15) в поле Пароль введите пароль (PIN-код) администратора eToken и нажмите кнопку OK.

4.  В окне Свойства eToken на панели инструментов (рис. П6.16).нажмите на пиктограмму Установить пароль пользователя.

5.  В открывшемся окне Назначить пароль eToken (рис. П6.17) в поле Новый пароль введите пароль (PIN-код) пользователя (запомните и запишите новый PIN-код), а затем повторите его в поле Подтверждение пароля. В поле Максимальное количество ошибок при входе установите значение 3 и нажмите кнопку OK.

Внимание! В качестве пароля рекомендуется использовать PIN-код для eToken, полученный в конверте в филиале Банка.

6.  В окне Изменить пароль (рис. П6.18) подтвердите изменение пароля, нажав ОК.

Если пароль (PIN-код) был изменен, то в дальнейшем для работы с eToken используйте новый PIN-код.

П6.5. Проверка состояния ключевого носителя eToken при использовании драйвера SafeNet Authentication Client 8.2

Проверить состояние eToken при использовании драйвера SafeNet Authentication Client 8.2 (заблокирован или не заблокирован) можно следующим образом.

1. Подключите eToken и убедитесь, что световой индикатор eToken светится.

2. В меню Пуск выберите Программы – SafeNet - SafeNet Authentication Client - SafeNet Authentication Client Tools.

3. В окне Свойства eToken нажмите кнопку Просмотр информации о eToken (рис. П6.19).

Рис. П6.19. Информация о eToken

Если в окне Информация о eToken в строке Пароль eToken: осталось попыток стоит число 0, то eToken заблокирован (рис. П6.20). При наличии числа отличного от 0 - eToken не заблокирован.

П6.6. Разблокирование ключевого носителя eToken при использовании драйвера SafeNet Authentication Client 8.2

Для разблокирования eToken выполните следующие действия:

1.  В окне Свойства eToken (рис. П6.22) выберите на панели слева вставленный eToken и нажмите пиктограмму Подробный вид.

2.  В открывшемся окне (рис. П6.23) на панели слева в меню Устройства выберите вставленный eToken, после чего, на панели инструментов справа, нажмите пиктограмму Вход с правами Администратора (рис. П6.24).

3.  В открывшемся окне Вход на eToken (рис. П6.25) в поле Введите Пароль администратора введите пароль (PIN-код) администратора eToken и нажмите кнопку OK.

4.  В окне Свойства eToken на панели инструментов (рис. П6.26) нажмите на пиктограмму Установить Пароль eToken.

5.  В открывшемся окне Установить пароль eToken (рис. П6.27) в поле Новый Пароль eToken введите пароль (PIN-код) пользователя (запомните и запишите новый PIN-код), а затем повторите его в поле Подтверить Пароль. В поле Максимальное число ошибок при входе установите значение 3 и нажмите кнопку OK.

Внимание! В качестве пароля рекомендуется использовать PIN-код для eToken, полученный в конверте в филиале Банка.

6.  В окне Изменить пароль (рис. П6.28) подтвердите изменение пароля, нажав ОК.

Если пароль (PIN-код) был изменен, то в дальнейшем для работы с eToken используйте новый PIN-код.

Назад

Приложение 7

Приложение 7. Общие сведения о криптографической подсистеме

В соответствии с разделом 8.2. «Использование электронной подписи и шифрования в электронном документообороте» Правил пользования системой ДБО Банка:

-  Электронные документы с электронной подписью принимаются к исполнению при выполнении условий для признания юридического значения усиленной неквалифицированной электронной подписи, установленных частью 3 статьи 5, частью 2 статьи 6 и статьей 10 Федерального закона «Об электронной подписи» -ФЗ, а также иными нормативными правовыми актами органов государственной власти;

-  Участники системы ДБО признают, что используемые в системе ДБО сертифицированные ФСБ России СКЗИ обеспечивают соответствие применяемой в системе ДБО усиленной неквалифицированной электронной подписи законодательным требованиям к усиленной неквалифицированной электронной подписи.

Криптографическая подсистема системы "ДБО BS-Client v.3" банка и его клиентов образуют криптографическую сеть. В рамках этой сети осуществляется обмен зашифрованной информацией между субъектами, называемыми абонентами криптографической сети (далее – абоненты).

Следует отметить различие между понятием клиент и абонент. Во-первых, клиент банка – юридическое лицо
– может иметь несколько абонентов. Например, абонентами могут быть главный бухгалтер и генеральный директор организации клиента. Во-вторых, на стороне банка также имеются абоненты – Администраторы системы ДБО Банка.

Также имеется различие между понятиями абонент и пользователь в системе "ДБО BS-Client v.3". Обычно абоненту однозначно сопоставляется физический пользователь системы, однако в общем случае абонент может соответствовать группе пользователей или один пользователь может быть зарегистрирован как несколько абонентов.

В системе "ДБО BS-Client v.3" информация о каждом абоненте сохраняется в виде криптографического профиля.

Для криптографической защиты информации используются асимметричные криптографические алгоритмы. Криптографические алгоритмы реализуют в виде специального ПО – средства криптографической защиты информации (СКЗИ). В нашем случае в качестве СКЗИ используется сертифицированное ФСБ России средство КриптоПро CSP 3.6.

Асимметричные криптографические алгоритмы используют так называемые ключевые пары, каждая из которых состоит из ключа подписи и ключа проверки электронной подписи.

СКЗИ использует ключ подписи для формирования усиленной неквалифицированной электронной подписи и расшифрования данных. Ключ подписи является информацией ограниченного доступа (конфиденциальной информацией). Защита данного ключа от несанкционированного доступа лежит на владельце ключа. Руководством по обеспечению безопасности использования электронной подписи и средств электронной подписи при эксплуатации Клиентом АРМ системы ДБО – Приложение 7 Правил пользования централизованной системой дистанционного банковского обслуживания Банка «ВОЗРОЖДЕНИЕ» (ОАО) и настоящим Руководством пользователь системы ставится в известность относительно условий безопасного использования электронной подписи и средств электронной подписи при эксплуатации Клиентом АРМ системы ДБО.

Второй частью ключевой пары является ключ проверки электронной подписи, используемый для шифрования данных и проверки электронной подписи. Ключ проверки электронной подписи не является конфиденциальной информацией и может распространяться по открытым каналам связи, без дополнительной защиты.

При использовании СКЗИ ключ проверки электронной подписи распространяется в виде сертификата. Сертификат представляет собой ключ проверки электронной подписи, снабженный дополнительной информацией (о его владельце, сроке действия и т. д.) и заверенный электронной подписью уполномоченного лица Удостоверяющего центра (УЦ) банка – специального внешнего по отношению к системе "ДБО BS-Client v.3" органа, которому доверяют и банк и клиент, в функции которого входит выдача сертификатов. Используя сертификат уполномоченного лица самого УЦ каждый пользователь может проверить достоверность сертификата, выпущенного УЦ.

Секретный ключ и открытый ключ соответствуют друг другу. Соответствие определяется UID – уникальным идентификатором ключевой пары. UID однозначно определяет ключевую пару в рамках системы "ДБО BS-Client v.3": не может быть двух абонентов, которым соответствуют две различные ключевые пары с одинаковым UID. В системе "ДБО BS-Client v.3" обеспечивается контроль уникальности UID ключевых пар.

С целью обеспечения большей безопасности использования ключей подписи клиентов в системе "ДБО BS-Client v.3" для ключевых наборов клиентов введен признак технологического ключевого набора. При регистрации нового клиента в системе банка ключевые пары абонентов клиента формируются на стороне банка.

Сгенерированные Банком с использованием ГОСТ Р 34.10-2001 технологические не экспортируемые ключи подписи и технологические сертификаты ключа проверки электронной подписи (СКП ЭП) Клиента на eToken передаются Клиенту вместе с дистрибутивом системы.

После установки клиентского АРМ с технологическими ключами подписи и технологическими СКП ЭП Клиент должен выполнить перегенерацию технологических ключей подписи на рабочие с использованием переданных Банком носителей ключевой информации eToken;

Клиент самостоятельно изготавливает не экспортируемые ключи подписи, что исключает возможность совершения сотрудниками Банка противоправных действий по отношению к Клиенту, так как сотрудникам Банка эти ключи неизвестны.

Примечание: Самостоятельная генерация Клиентом рабочих ключей соответствует процедуре перегенерации технологических ключей. Система позволяет проводить перегенерацию ключей, соответствующих уже реальному криптопрофилю Клиента. Поэтому сгенерированный рабочий ключ подписи Клиента и соответствующий ему СКП ЭП будут соответствовать технологическому ключу подписи и технологическому СКП ЭП по своим свойствам и отвечать требованиям Клиента, указанным в Заявлении на изготовление СКП ЭП.

Первым этапом по реализации процесса перегенерации технологических ключей подписи на рабочие является создание запросов на регистрацию сертификатов ключей проверки электронной подписи.

Назад

Приложение 8

Приложение 8. Плановая смена СКП ЭП по окончании срока действия

За 30 суток (по умолчанию) до истечения срока действия сертификата ключа проверки электронной подписи (СКП ЭП) в системе выводится сообщение о приближающемся окончании срока действия сертификата.

Не позднее, чем за две недели до окончания срока действия сертификата ключа проверки электронной подписи, Вы обязаны сообщить Менеджеру Банка о готовности начать процедуру плановой смены СКП ЭП и согласовать дату смены СКП ЭП.

Важно!!! В случае невыполнения указанных действий, в назначенный срок, СКП ЭПбудут переведены в статус «Не активный». При этом работа в системе ДБО BS-Client v.3 становится невозможной.

В назначенный день (до истечения срока действия СКП ЭП) необходимо выполнить работы по плановой смене ключей подписи, т. е. самостоятельно выполнить перегенерацию ключей подписи и выработать соответствующие им запросы СКП ЭП (выполнить п.7.1 инструкции).

Внимание! Перед выполнением перегенерации убедитесь, что в памяти USB-ключей eToken PRO/32К записано не более 7 ключевых контейнеров СКЗИ КриптоПро CSP, в памяти eToken PRO/64К – не более 15 ключевых контейнеров СКЗИ, а в памяти eToken PRO Java/72К – не более 13 ключевых контейнеров СКЗИ (см. п. 4.3.1. инструкции). После завершения формирования нового комплекта ключей необходимо удалить контейнеры, не используемые в работе (имеющие более раннюю дату создания).

При выполнении операции перегенерации ключей подписи замена носителей секретных ключей (eToken) не требуется.

Для завершения процесса перегенерации ключей подписи после получения из Банка Произвольных документов с файлами сертификатов ключей проверки электронной подписи и Актами об оказании услуг, выполнить п.7.2 инструкции.

Назад