ЗАПРЕЩАЕТСЯ устанавливать галку «Включить кэширование» в настройках режима работы CSP. Кэширование заключается в том, что считанные с ключевого носителя eToken ключи останутся загруженными в памяти сервиса CryptoPro CSP key storage и будут доступны любому приложению после извлечения eToken из считывателя и до завершения работы компьютера. Это означает, что в случае хакерской атаки на Ваш компьютер, злоумышленник сможет воспользоваться загруженными ключами для подписи мошеннического платежа от Вашего имени.
Банк выдает PIN-коды доступа к ключевым носителям eToken в 2-х PIN-конвертах: пользовательском и администраторском. Пользовательский PIN-код предназначен для повседневного применения. Администраторский PIN-код предназначен для разблокировки eToken при превышении допустимого количества попыток ввода PIN-кода. В случае блокировки пользовательского, а затем и администраторского PIN-кодов, eToken становится недоступным и подлежит возврату в Банк для форматирования. Все криптографические ключи в нем будут стерты. Не допускайте блокировки администраторского PIN-кода.
Не передавайте кому бы то ни было Ваш персональный eToken и PIN-коды доступа к нему, подключайте eToken к USB-порту компьютера только на время Вашей работы с Банком, не оставляйте eToken и PIN-коды доступа к нему без присмотра, при уходе с рабочего места забирайте eToken и PIN-коды доступа с собой.
Если вам в течение сеанса работы с Банком приходится многократно использовать ключевой носитель eToken, для ускорения работы используйте настройку КриптоПро CSP «Запомнить пароль» (рис. 3.29). После завершения сеанса работы с Банком удалите запомненные пароли, для чего в окне Свойства: КриптоПро CSP выберите вкладку Сервис и нажмите кнопку Удалить запомненные пароли (рис. 3.28), после чего в окне Удаление запомненных паролей выберите Удалить все запомненные пароли закрытых ключей и поставьте галку Пользователя (рис. 3.30).
Рис. 3.28. Вкладка Сервис, кнопка Удалить запомненные пароли
|
Рис. 3.29. Окно Запомнить пароль
Рис. 3.30. Окно Удаление запомненных паролей
|
Порядок проверки (при необходимости) работоспособности СКЗИ КриптоПро CSP, ключевого носителя eToken, ключа и сертификата, а так же установленного драйвера изложен в Приложении 4.
Приложение 1
Приложение 1. Перечень сокращений, термины и определения
Перечень сокращений
АРМ
|
Автоматизированное рабочее место
|
ДБО
|
Дистанционное банковское обслуживание
|
СКЗИ
|
Средство криптографической защиты информации
|
ЭП
|
Электронная подпись
|
РМ
|
Рабочее место
|
СКП ЭП
|
Сертификат ключа проверки электронной подписи
|
УЦ
|
Удостоверяющий центр
|
Термины и определения
Ключевой носитель – USB-ключ eToken PRO/32K, eToken PRO/64K или eToken PRO Java /72K
|
Сертифицированный носитель ключевой информации, содержащий все ключи подписи одного владельца. Доступ к ключам закрывается PIN-кодом. Допускается три попытки ввода PIN-кода, после чего eToken блокируется. Разблокировка eToken осуществляется администра-тором, знающим PIN-код администратора. При блокировке PIN-кода администратора, ключи подписи в eToken восстановлению не подлежат.
|
PIN-код (Personal Identification Number)
|
Аналог пароля, требующийся для получения доступа к защищённым данным, хранящимся в памяти eToken.
|
Ключевая пара
|
Совокупность соответствующих друг другу ключа подписи и ключа проверки электронной подписи.
|
Ключевой набор
|
Набор, состоящий из ключевой пары абонента и сертификата ключа проверки электронной подписи уполномоченного лица Удостоверяющего центра банка, верифицирующего сертификат абонента, а так же сертификатов абонентов, с которыми должен осуществляться обмен информацией.
|
Криптографический профиль
|
Криптографический профиль (сокращенно криптопрофиль) - объект системы "ДБО BS-Client v.3", содержащий сведения об абоненте и используемых им ключах и определяющий права абонента на выполнение криптографических операций.
|
Ключ проверки электронной подписи
|
Свободно распространяемая часть ключевой пары. Ключ проверки электронной подписи распространяется в виде сертификата.
|
Ключ подписи
|
Персональная (закрытая) часть ключевой пары. Ключ подписи является конфиденциальной информацией его владельца. Для обеспечения безопасности использования системы ДБО, рабочий ключ подписи изготавливается владельцем самостоятельно, он имеет признак «неэкспортируемый» и хранится в защищенном носителе – USB-ключе eToken PRO/32K, eToken PRO/64K или eToken PRO Java /72K.
|
Протокол POP
|
Post Office Protocol (POP) - протокол доставки почты пользователю из почтового ящика почтового сервера.
|
Протокол SMTP
|
SMTP (Simple Mail Transfer Protocol) протокол передачи электронных сообщений (почты).
|
Сертификат ключа проверки электронной подписи
|
Электронный документ или документ на бумажном носителе, выданные Удостоверяющим центром и подтверждающие принадлежность ключа проверки электронной подписи владельцу СКП ЭП. Соответствует ранее применяемому термину – сертификат ключа подписи.
|
Сертификат ключа проверки электронной подписи на бумажном носителе
|
Документ на бумажном носителе, содержащий информацию из СКП ЭП, заверенный собственноручной подписью уполномоченного лица Удостоверяющего центра и печатью. Соответствует ранее применяемому термину – сертификат ключа подписи на бумажном носителе.
|
Сертификат ключа проверки электронной подписи уполномоченного лица Удостоверяющего центра
|
Электронный документ, содержащий ключ проверки электронной подписи уполномоченного лица Удостоверяющего центра, и который предназначен для подтверждения подлинности ЭП в изданных Удостоверяющим центром СКП ЭП и идентификации владельцев СКП ЭП. Соответствует ранее применяемому термину – корневой СКП уполномоченного лица УЦКИС.
|
Электронная подпись
|
Информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию. Соответствует ранее применяемому термину – электронная цифровая подпись. Электронная подпись является неотъемлемой частью электронного документа.
|
Назад
Приложение 2
Приложение 2. Требования к аппаратным средствам и программному обеспечению компьютера Клиента
В соответствии с документацией фирмы OOO «Банк'c софт системс» для установки клиентской части подсистемы «Интернет-Клиент» системы ДБО BS-Client v.3 требуется персональный компьютер следующей конфигурации: процессор – от Pentium 166; ОЗУ – от 32 Мб (в зависимости от операционной системы); жесткий диск со свободным объемом не менее 50 Мб; видеосистема, обеспечивающая область экрана не менее 800x600 пикселей; принтер, для печати документов. При соответствии компьютера лишь минимальным требованиям гарантируется только работоспособность системы.
Для USB-ключей eToken – свободный работающий USB-порт;
Для работы в системе BS-Client необходимо иметь доступ в Интернет.
На компьютере Клиента должна быть установлена одна из следующих операционных систем:
Windows XP (Home Edition, Professional) SP2 – 32- и 64-разрядные версии;
Windows 2003 SP1 – 32- и 64-разрядные версии;
Windows Vista – 32- и 64-разрядные версии;
Windows 7 – 32- и 64-разрядные версии;
Windows 2008 – 32- и 64-разрядные версии;
Windows 8 – 32- и 64-разрядные версии.
Назад
Приложение 3
Приложение 3. Особенности настройки операционной системы Windows 7, Vista и 8
В операционных системах (ОС) Windows 7, Vista и 8 имеется механизм контроля учетных записей пользователей (UAC). Он позволяет повысить безопасность системы, путем осуществления контроля обращения приложений к файлам жесткого диска. При попытках установки программного обеспечения, а также при попытках записи приложением данных на жесткий диск, механизм контроля учетных записей либо требует подтверждения необходимости выполнения действия, либо запрещает его.
Поскольку клиентская часть подсистемы «Интернет-Клиент» в процессе своей работы обращается к файлам жесткого диска, то для полноценной работы требуется либо постоянное подтверждение необходимости выполнение действия, либо отключение контроля учетных записей.
Отключить контроль учетных записей можно следующим образом:
Отобразите панель управления Windows (Control Panel).
Выберите пункт Учетные записи пользователей. Система отобразит окно настройки учетных записей пользователей.
Выберите пункт Учетные записи пользователей. Система отобразит окно изменения параметров учетной записи пользователя.
Выберите пункт Включение или отключение контроля учетных записей (UAC). Система отобразит сообщение UAC о необходимости подтверждения действия.
Нажмите кнопку Продолжить. Система отобразит окно изменения параметров UAC.
Рис. П3.1.Окно свойств КриптоПро CSP
Снимите (уберите «галочку») заполнение поля Используйте контроль учетных записей (UAC) для защиты компьютера в ОС Windows Vista или выберите необходимую степень защиты в ОС Windows 7/8.
Нажмите кнопку ОК. Система выведет предложение произвести перезагрузку системы.
Нажмите кнопку Перезагрузить сейчас. Система осуществит перезагрузку системы.
После выполнения указанных действий контроль учетных записей пользователей будет отключен.
Назад
Приложение 4
Приложение 4. Проверка работоспособности КриптоПро CSP 3.6
Для проверки работоспособности СКЗИ КриптоПро CSP, ключевого носителя eToken и правильности установки драйвера необходимо проверить наличие контейнера с ключевым набором на eToken.
Установите USB-ключ eToken в свободный работающий USB-порт через удлинительный кабель. Откройте панель управления компьютером, используя пункты меню Пуск-> Настройка->Панель управления и в окне панели управления выберите КриптоПро CSP - Сервис. Нажмите кнопку «Протестировать…» (рис. П4.1).
Рис. П4.1.Окно свойств КриптоПро CSP
В открывшемся окне «Тестирование контейнера закрытого ключа» (рис. П4.2) нажмите кнопку «Обзор» и выберите контейнер открытого ключа (рис. П4.3).
Внимание! В память USB-ключей eToken Pro/32К по умолчанию может быть записано не более восьми ключевых контейнеров СКЗИ КриптоПро CSP, а eToken Pro/64К - не более 16, а в eToken Pro Java/72К - не более 14. Для того, чтобы в eToken PRO/64К помещалось 16 ключевых контейнеров, а в eToken Pro Java/72К помещалось 14 ключевых контейнеров необходимо отредактировать реестр (См.Примечание).
Примечание. Параметр, определяющий максимальное число контейнеров – строковый параметр с именем Folders, который расположен в ветке:
HKEY_LOCAL_MACHINE\\SOFTWARE\\CryptoPro\\Cryptography\\CurrentVersion\\KeyCarriers\\eToken_PRO_M420\\Default для eToken Pro/64К и HKEY_LOCAL_MACHINE\\SOFTWARE\\CryptoPro\\Cryptography\\CurrentVersion\\KeyCarriers\\eToken_JAVA_10\\Default для eToken Pro Java/72К.
По умолчанию значение этого параметра равно:
CC00\\CC01\\CC02\\CC03\\CC04\\CC05\\CC06\\CC07\\CC08\\CC09.
Для увеличения максимального числа контейнеров до 16-ти необходимо присвоить параметру значение:
CC00\\CC01\\CC02\\CC03\\CC04\\CC05\\CC06\\CC07\\CC08\\CC09\\CC10\\CC11\\CC12\\CC13\\CC14\\CC15.
Для увеличения максимального числа контейнеров до 14-ти необходимо присвоить параметру значение:
CC00\\CC01\\CC02\\CC03\\CC04\\CC05\\CC06\\CC07\\CC08\\CC09\\CC10\\CC11\\CC12\\CC13.
Рис. П4.2. Окно поиска контейнера закрытого ключа
|
Рис. П4.3. Окно выбора контейнера закрытого ключа
|
В мастере просмотра сертификата нажмите кнопку «Далее» (рис. П4.4).После определения ключевого устройства появится окно проверки контейнера (рис. П4.5).
Рис. П4.4. Выбранный ключевой контейнер
|
Рис. П4.5. Окно проверки контейнера
|
Если в окне проверки контейнера отсутствуют ошибки, то это свидетельствует о работоспособности СКЗИ КриптоПро CSP, ключевого носителя eToken, ключа и сертификата в нем, а так же установленного набора драйверов. В противном случае дальнейшая работа по установке клиентского АРМ не имеет смысла.
Назад
Приложение 5
|
