Приложение 5. Компоненты дистрибутива «Интернет-Клиент»
Перед установкой дистрибутива клиентской части подсистемы «Интернет-Клиент» желательно проверить в нем
наличие сертификатов:
\ № сертификата\PUBLIC\00000000\CA\c0.cer и С01.cer – сертификаты ключа проверки электронной подписи уполномоченного лица Удостоверяющего центра,
\ № сертификата \CRYPTO\PUBLIC\00000000\№ сертификата.cer – технологического сертификата ключа проверки электронной подписи Клиента,
а также сертификатов ключа проверки электронной подписи Администраторов ЦС ДБО банка.
\ № сертификата \CRYPTO\PUBLIC\00000000\ABONENT\08aХХ.cer
\ № сертификата \CRYPTO\PUBLIC\00000000\ABONENT\08aХХ.cer
Номера и количество технологических сертификатов может быть произвольным и зависит от количества ЭП, используемых в организации Клиента.
Также в составе дистрибутива может находиться текстовый файл, например, c именем 1.txt, в котором указаны ЛОГИН и ПАРОЛЬ для авторизации Клиента. В случае отсутствия файла ЛОГИН и ПАРОЛЬ для регистрации Клиента следует получить у сотрудников филиала Банка.
Назад
Приложение 6
Приложение 6. Проверка состояния ключевого носителя eToken
Внимание! Данный пункт инструкции выполняется в том случае, когда имеются подозрения, что в процессе ввода PIN-кода eToken было сделано более трех последовательных попыток его неправильного ввода.
В процессе работы с eToken может возникнуть ситуация, когда пользователем было сделано более трех последовательных попыток неправильного ввода PIN-кода. В этом случае eToken блокируется. Проверить состояние eToken (блокирован или не блокирован) можно следующим образом.
П6.1. Проверка состояния ключевого носителя eToken при использовании драйвера RTE 3.66
1. Подключите eToken к USB-порту компьютера. Световой индикатор USB-ключа eToken должен гореть.
2. Перейдите в меню Пуск – Программы – eToken и выберите пункт eToken Properties.
3. В окне Свойства eToken (рис. П6.1) выберите вставленный eToken на панели слева и нажмите кнопку Дополнительно….
Рис. П6.1. Окно Свойства eToken
|
Рис. П6.2. Окно ввода (PIN-кода)
|
В появившемся окне (рис. П6.2) введите пароль (PIN-код) пользователя eToken и нажмите OK.
Если появляется окно сообщения рис. П6.3, то eToken блокирован. Если данное окно не появляется, то eToken не заблокирован и проверку следует прекратить, закрыв окно Свойства.
Рис. П6.3. Окно сообщения о блокировании eToken
|
Рис. П6.4. Окно Свойства eToken
|
П6.2. Разблокирование ключевого носителя eToken при использовании драйвера RTE 3.66
Для разблокирования eToken необходимо иметь PIN-код администратора и выполнить следующие действия.
Внимание! При отсутствии PIN-кода администратора для разблокировки eToken необходимо приехать с ним в Банк к администратору безопасности.
-
В окне Свойства eToken (рис. П6.4) выберите вставленный eToken на панели слева и нажмите кнопку Дополнительно. В появившемся окне (рис. П6.5) введите пароль (PIN-код) администратора eToken, заполните поле (поставьте «галочку») Введен пароль Администратора и нажмите OK.
Рис. П6.5. Выбранный ключевой контейнер
|
Рис. П6.6. Окно Свойства eToken. Закладка Администратор.
|
В окне Свойства eToken (рис. П6.6) выберите закладку Администратор и нажмите кнопку Задать PIN-код.
В окне Назначение нового PIN-кода (рис. П6.7) введите новый PIN-код (запомните новый PIN-код), его подтверждение и нажмите ОК. При успешном вводе появится информационное окно рис. П6.8, в котором нажмите ОК.
-
Рис. П6.7. Окно Назначение нового PIN-код
|
Рис. П6.8.Сообщение об изменении PIN-кода пользователя
|
В дальнейшем, для работы с eToken используйте новый PIN-код
П6.3. Проверка состояния ключевого носителя eToken при использовании драйвера PKI Client 5.1 SP1
Проверить состояние eToken при использовании драйвера PKI Client 5.1 SP1 (заблокирован или не заблокирован) можно следующим образом.
1. Подключите eToken и убедитесь, что световой индикатор eToken светится.
2. В меню Пуск выберите Программы – eToken - eToken PKI Client - eToken Properties.
3. В окне Свойства eToken нажмите кнопку Просмотр данных о eToken (рис. П6.9).
Рис. П6.9. Информация о eToken
Если в окне Информация о eToken в строке Попыток пароля пользователя - Осталось стоит число 0 , то eToken заблокирован (рис. П6.10). При наличии числа отличного от 0 - eToken не заблокирован (рис. П6.11).
Рис. П6.10. Информация о eToken. eToken заблокирован
|
Рис. П6.11. Информация о eToken. eToken не заблокирован
|
П6.4. Разблокирование ключевого носителя eToken при использовании драйвера PKI Client 5.1 SP1
Для разблокирования eToken выполните следующие действия:
В окне Свойства eToken (рис. П6.12) выберите на панели слева вставленный eToken и нажмите пиктограмму Подробный вид.
В открывшемся окне (рис. П6.13) на панели слева в меню Устройства выберите вставленный eToken, после чего, на панели инструментов справа, нажмите пиктограмму Вход с правами Администратора (рис. П6.14).
Рис. П6.12. Окно Свойства eToken
|
Рис. П6.13. Окно Свойства eToken. Подробный вид
|
В открывшемся окне Вход с правами администратора на eToken (рис. П6.15) в поле Пароль введите пароль (PIN-код) администратора eToken и нажмите кнопку OK.
Рис. П6.14. Вход с правами администратора
|
Рис. П6.15. Ввод пароля (PIN-кода) администратора
|
В окне Свойства eToken на панели инструментов (рис. П6.16).нажмите на пиктограмму Установить пароль пользователя.
В открывшемся окне Назначить пароль eToken (рис. П6.17) в поле Новый пароль введите пароль (PIN-код) пользователя (запомните и запишите новый PIN-код), а затем повторите его в поле Подтверждение пароля. В поле Максимальное количество ошибок при входе установите значение 3 и нажмите кнопку OK.
Внимание! В качестве пароля рекомендуется использовать PIN-код для eToken, полученный в конверте в филиале Банка.
В окне Изменить пароль (рис. П6.18) подтвердите изменение пароля, нажав ОК.
-
Рис. П6.16. Установить пароль (PIN-код)
|
Рис. П6.17. Назначить пароль (PIN-код) eToken
Рис. П6.18. Пароль (PIN-код) успешно изменен
|
Если пароль (PIN-код) был изменен, то в дальнейшем для работы с eToken используйте новый PIN-код.
П6.5. Проверка состояния ключевого носителя eToken при использовании драйвера SafeNet Authentication Client 8.2
Проверить состояние eToken при использовании драйвера SafeNet Authentication Client 8.2 (заблокирован или не заблокирован) можно следующим образом.
1. Подключите eToken и убедитесь, что световой индикатор eToken светится.
2. В меню Пуск выберите Программы – SafeNet - SafeNet Authentication Client - SafeNet Authentication Client Tools.
3. В окне Свойства eToken нажмите кнопку Просмотр информации о eToken (рис. П6.19).
Рис. П6.19. Информация о eToken
Если в окне Информация о eToken в строке Пароль eToken: осталось попыток стоит число 0, то eToken заблокирован (рис. П6.20). При наличии числа отличного от 0 - eToken не заблокирован.
Рис. П6.20. Информация о eToken. eToken заблокирован
|
Рис. П6.21. Информация о eToken. eToken не заблокирован
|
П6.6. Разблокирование ключевого носителя eToken при использовании драйвера SafeNet Authentication Client 8.2
Для разблокирования eToken выполните следующие действия:
В окне Свойства eToken (рис. П6.22) выберите на панели слева вставленный eToken и нажмите пиктограмму Подробный вид.
В открывшемся окне (рис. П6.23) на панели слева в меню Устройства выберите вставленный eToken, после чего, на панели инструментов справа, нажмите пиктограмму Вход с правами Администратора (рис. П6.24).
Рис. П6.22. Окно Свойства eToken
|
Рис. П6.23. Окно Свойства eToken. Подробный вид
|
В открывшемся окне Вход на eToken (рис. П6.25) в поле Введите Пароль администратора введите пароль (PIN-код) администратора eToken и нажмите кнопку OK.
Рис. П6.24. Вход с правами администратора
|
Рис. П6.25. Ввод пароля (PIN-кода) администратора
|
В окне Свойства eToken на панели инструментов (рис. П6.26) нажмите на пиктограмму Установить Пароль eToken.
В открывшемся окне Установить пароль eToken (рис. П6.27) в поле Новый Пароль eToken введите пароль (PIN-код) пользователя (запомните и запишите новый PIN-код), а затем повторите его в поле Подтверить Пароль. В поле Максимальное число ошибок при входе установите значение 3 и нажмите кнопку OK.
Внимание! В качестве пароля рекомендуется использовать PIN-код для eToken, полученный в конверте в филиале Банка.
В окне Изменить пароль (рис. П6.28) подтвердите изменение пароля, нажав ОК.
-
Рис. П6.26. Установить пароль (PIN-код)
|
Рис. П6.27. Установить пароль (PIN-код) eToken
Рис. П6.28. Пароль (PIN-код) успешно изменен
|
Если пароль (PIN-код) был изменен, то в дальнейшем для работы с eToken используйте новый PIN-код.
Назад
Приложение 7
Приложение 7. Общие сведения о криптографической подсистеме
В соответствии с разделом 8.2. «Использование электронной подписи и шифрования в электронном документообороте» Правил пользования системой ДБО Банка:
Электронные документы с электронной подписью принимаются к исполнению при выполнении условий для признания юридического значения усиленной неквалифицированной электронной подписи, установленных частью 3 статьи 5, частью 2 статьи 6 и статьей 10 Федерального закона «Об электронной подписи» от 06.04.2011 № 63-ФЗ, а также иными нормативными правовыми актами органов государственной власти;
Участники системы ДБО признают, что используемые в системе ДБО сертифицированные ФСБ России СКЗИ обеспечивают соответствие применяемой в системе ДБО усиленной неквалифицированной электронной подписи законодательным требованиям к усиленной неквалифицированной электронной подписи.
Криптографическая подсистема системы "ДБО BS-Client v.3" банка и его клиентов образуют криптографическую сеть. В рамках этой сети осуществляется обмен зашифрованной информацией между субъектами, называемыми абонентами криптографической сети (далее – абоненты).
Следует отметить различие между понятием клиент и абонент. Во-первых, клиент банка – юридическое лицо – может иметь несколько абонентов. Например, абонентами могут быть главный бухгалтер и генеральный директор организации клиента. Во-вторых, на стороне банка также имеются абоненты – Администраторы системы ДБО Банка.
Также имеется различие между понятиями абонент и пользователь в системе "ДБО BS-Client v.3". Обычно абоненту однозначно сопоставляется физический пользователь системы, однако в общем случае абонент может соответствовать группе пользователей или один пользователь может быть зарегистрирован как несколько абонентов.
В системе "ДБО BS-Client v.3" информация о каждом абоненте сохраняется в виде криптографического профиля.
Для криптографической защиты информации используются асимметричные криптографические алгоритмы. Криптографические алгоритмы реализуют в виде специального ПО – средства криптографической защиты информации (СКЗИ). В нашем случае в качестве СКЗИ используется сертифицированное ФСБ России средство КриптоПро CSP 3.6.
Асимметричные криптографические алгоритмы используют так называемые ключевые пары, каждая из которых состоит из ключа подписи и ключа проверки электронной подписи.
СКЗИ использует ключ подписи для формирования усиленной неквалифицированной электронной подписи и расшифрования данных. Ключ подписи является информацией ограниченного доступа (конфиденциальной информацией). Защита данного ключа от несанкционированного доступа лежит на владельце ключа. Руководством по обеспечению безопасности использования электронной подписи и средств электронной подписи при эксплуатации Клиентом АРМ системы ДБО – Приложение 7 Правил пользования централизованной системой дистанционного банковского обслуживания Банка «ВОЗРОЖДЕНИЕ» (ОАО) и настоящим Руководством пользователь системы ставится в известность относительно условий безопасного использования электронной подписи и средств электронной подписи при эксплуатации Клиентом АРМ системы ДБО.
Второй частью ключевой пары является ключ проверки электронной подписи, используемый для шифрования данных и проверки электронной подписи. Ключ проверки электронной подписи не является конфиденциальной информацией и может распространяться по открытым каналам связи, без дополнительной защиты.
При использовании СКЗИ ключ проверки электронной подписи распространяется в виде сертификата. Сертификат представляет собой ключ проверки электронной подписи, снабженный дополнительной информацией (о его владельце, сроке действия и т.д.) и заверенный электронной подписью уполномоченного лица Удостоверяющего центра (УЦ) банка – специального внешнего по отношению к системе "ДБО BS-Client v.3" органа, которому доверяют и банк и клиент, в функции которого входит выдача сертификатов. Используя сертификат уполномоченного лица самого УЦ каждый пользователь может проверить достоверность сертификата, выпущенного УЦ.
Секретный ключ и открытый ключ соответствуют друг другу. Соответствие определяется UID – уникальным идентификатором ключевой пары. UID однозначно определяет ключевую пару в рамках системы "ДБО BS-Client v.3": не может быть двух абонентов, которым соответствуют две различные ключевые пары с одинаковым UID. В системе "ДБО BS-Client v.3" обеспечивается контроль уникальности UID ключевых пар.
С целью обеспечения большей безопасности использования ключей подписи клиентов в системе "ДБО BS-Client v.3" для ключевых наборов клиентов введен признак технологического ключевого набора. При регистрации нового клиента в системе банка ключевые пары абонентов клиента формируются на стороне банка.
Сгенерированные Банком с использованием ГОСТ Р 34.10-2001 технологические не экспортируемые ключи подписи и технологические сертификаты ключа проверки электронной подписи (СКП ЭП) Клиента на eToken передаются Клиенту вместе с дистрибутивом системы.
После установки клиентского АРМ с технологическими ключами подписи и технологическими СКП ЭП Клиент должен выполнить перегенерацию технологических ключей подписи на рабочие с использованием переданных Банком носителей ключевой информации eToken;
Клиент самостоятельно изготавливает не экспортируемые ключи подписи, что исключает возможность совершения сотрудниками Банка противоправных действий по отношению к Клиенту, так как сотрудникам Банка эти ключи неизвестны.
Примечание: Самостоятельная генерация Клиентом рабочих ключей соответствует процедуре перегенерации технологических ключей. Система позволяет проводить перегенерацию ключей, соответствующих уже реальному криптопрофилю Клиента. Поэтому сгенерированный рабочий ключ подписи Клиента и соответствующий ему СКП ЭП будут соответствовать технологическому ключу подписи и технологическому СКП ЭП по своим свойствам и отвечать требованиям Клиента, указанным в Заявлении на изготовление СКП ЭП.
Первым этапом по реализации процесса перегенерации технологических ключей подписи на рабочие является создание запросов на регистрацию сертификатов ключей проверки электронной подписи.
Назад
Приложение 8
Приложение 8. Плановая смена СКП ЭП по окончании срока действия
За 30 суток (по умолчанию) до истечения срока действия сертификата ключа проверки электронной подписи (СКП ЭП) в системе выводится сообщение о приближающемся окончании срока действия сертификата.
Не позднее, чем за две недели до окончания срока действия сертификата ключа проверки электронной подписи, Вы обязаны сообщить Менеджеру Банка о готовности начать процедуру плановой смены СКП ЭП и согласовать дату смены СКП ЭП.
Важно!!! В случае невыполнения указанных действий, в назначенный срок, СКП ЭПбудут переведены в статус «Не активный». При этом работа в системе ДБО BS-Client v.3 становится невозможной.
В назначенный день (до истечения срока действия СКП ЭП) необходимо выполнить работы по плановой смене ключей подписи, т.е. самостоятельно выполнить перегенерацию ключей подписи и выработать соответствующие им запросы СКП ЭП (выполнить п.7.1 инструкции).
Внимание! Перед выполнением перегенерации убедитесь, что в памяти USB-ключей eToken PRO/32К записано не более 7 ключевых контейнеров СКЗИ КриптоПро CSP, в памяти eToken PRO/64К – не более 15 ключевых контейнеров СКЗИ, а в памяти eToken PRO Java/72К – не более 13 ключевых контейнеров СКЗИ (см. п. 4.3.1. инструкции). После завершения формирования нового комплекта ключей необходимо удалить контейнеры, не используемые в работе (имеющие более раннюю дату создания).
При выполнении операции перегенерации ключей подписи замена носителей секретных ключей (eToken) не требуется.
Для завершения процесса перегенерации ключей подписи после получения из Банка Произвольных документов с файлами сертификатов ключей проверки электронной подписи и Актами об оказании услуг, выполнить п.7.2 инструкции.
Назад
34080025-100-РП_Instr_IK
|
