Add to collection(s) Add to saved
  1. No category

Интернет-Клиент» версии 17.9

advertisement 
Банк «Возрождение» ОАО
_
Программный комплекс:
Централизованная система дистанционного банковского
обслуживания (ЦС ДБО)
Модуль:
Подсистема «Интернет-Клиент» системы ДБО BS-Client v.3
Версия:
1.00
РУКОВОДСТВО ПОЛЬЗОВАТЕЛЯ
по установке и настройке подсистемы «Интернет-Клиент»
Листов 64
2014г
34080025-100-РП_Instr_IK
2
Оглавление
Общие положения ....................................................................................................................3
1. Настройка параметров Microsoft Internet Explorer версий 7.х и выше.............4
2. Установка драйвера ключевого носителя eToken PKI Client 5.1 SP1 ...............6
3. Установка и настройка КриптоПро CSP 3.6 R2. Работа с ключевым
носителем eToken.....................................................................................................................8
3.1.Установка КриптоПро CSP 3.6 R2 ................................................................. 8
3.2.Настройка КриптоПро CSP 3.6 R2 ............................................................... 12
4. Проверка канала передачи данных.............................................................................14
5. Установка клиентской части подсистемы «Интернет-Клиент» ДБО BSClient v.3 .....................................................................................................................................16
6. Настройка подсистемы «Интернет-Клиент» ДБО BS-Client v.3........................16
7. Настройка криптографической подсистемы ...........................................................30
7.1. Создание запросов на регистрацию рабочих сертификатов ключей
проверки электронной подписи и отправка их в Банк ................................. 30
7.1.1. Сохранение запроса................................................................................... 32
7.1.2. Подпись запроса ......................................................................................... 34
7.1.3. Подпись и отправка запроса ................................................................... 36
7.2. Получение Произвольных документов с файлами сертификатов и
Актами об оказании услуг. Завершение перегенерации ключей ................ 37
8. Работа с устройством SafeTouch .................................................................................41
8.1. Ограничения, накладываемые на использование считывателя
смарт-карт SafeTouch ......................................................................................... 42
8.2. Реквизиты, отображаемые на экране считывателя смарт-карт
SafeTouch ................................................................................................................ 43
8.3. Особенности подписи пакета документов ............................................. 44
Приложение 1. Перечень сокращений, термины и определения .........................45
Приложение 2. Требования к аппаратным средствам и программному
обеспечению компьютера Клиента .................................................................................47
Приложение 3. Особенности настройки операционной системы Windows 7
(Vista) ...........................................................................................................................................48
Приложение 4. Проверка работоспособности КриптоПро CSP 3.6 R2 ...............49
Приложение 5. Компоненты дистрибутива «Интернет-Клиент» ...........................51
Приложение 6. Проверка состояния ключевого носителя eToken ......................52
Приложение 7. Общие сведения о криптографической подсистеме ..................57
Приложение 8. Плановая смена СКП ЭП по окончании срока действия ...........59
Приложение 9. Сообщения, выводимые на экран считывателя смарт-карт
SafeTouch ...................................................................................................................................61
Таблица 9.1. Сообщения, выводимые на экран считывателя SafeTouch .....................622
34080025-100-РП_Instr_IK
_
Банк «Возрождение» ОАО
Общие положения
В инструкции были использованы: документация компаний OOO «БСС»,
ЗАО «Аладдин Р.Д.», ООО «КриптоПро» и Банка «Возрождение» (ОАО).
Сокращения, термины и определения, приведены в Приложении 1.
Требования к аппаратным средствам
и программному обеспечению
компьютера Клиента изложены в Приложении 2.
Клиенту системы ДБО. Важно!
1. В соответствии с разделом 8.2 Правил пользования централизованной
системой
дистанционного
банковского
обслуживания
Банка
«ВОЗРОЖДЕНИЕ» (ОАО) (далее – Правила) в системе ДБО Банка
используется усиленная неквалифицированная электронная подпись.
2. Требования
по
обеспечению
информационной
безопасности
автоматизированного рабочего места системы ДБО изложены в
Руководстве
по
обеспечению
безопасности
использования
электронной подписи и средств электронной подписи при
эксплуатации Клиентом АРМ системы ДБО – Приложение 9 Правил.
3. Соответствие АРМ системы ДБО требованиям по обеспечению
информационной безопасности должно быть подтверждено:
а) в случае установки системы сотрудниками Банка – 2-х сторонним Актом о
соблюдении Клиентом требований Руководства по обеспечению
безопасности использования электронной подписи и средств электронной
подписи (Приложение 10 к Правилам);
б) в случае самостоятельной установки системы Клиентом – Анкетой
Клиента о соблюдении требований Руководства по обеспечению
безопасности использования электронной подписи и средств электронной
подписи (Приложение 10 к Правилам).
4. При невыполнении и/или неполном выполнении Клиентом обязательных
требований
по
обеспечению
информационной
безопасности
автоматизированного рабочего места системы ДБО, Клиент принимает на
себя риски возможных потерь (ущерба) (пункт 7.9 Правил).
Целесообразно проверить и при необходимости выполнить некоторые
настройки в операционной системе.
Рекомендуется установить в Windows язык ввода по умолчанию –
английский, значение клавиши Caps Lock на клавиатуре - выключено. Это
поможет предотвратить ошибки при вводе паролей и PIN-кодов во время
инсталляции программного обеспечения клиентского АРМ, а так же блокировку
доступа к USB-ключам eToken во время эксплуатации АРМ при превышении
допустимого количества попыток ввода (3 попытки ввода PIN-кода доступа к
eToken).
Необходимо, также, наличие на компьютере установленного веб-браузера
Microsoft Internet Explorer версии не ниже 7.0. (подсистема «Интернет-Клиент»
не поддерживает работу с веб - браузерами других фирм изготовителей).
Для операционной системы Windows 7(Vista) необходимо выполнить
настройки, связанные с отключением контроля учетных записей. Порядок их
выполнения представлен в Приложении 3.
34080025-100-РП_Instr_IK
4
1. Настройка параметров Microsoft Internet Explorer версий 7.х и выше
Настройка параметров Microsoft Internet Explorer имеет важное значение
для устойчивой работы подсистемы «Интернет-Клиент». Настройки разных версий
Internet Explorer могут незначительно отличаться. Определить версию можно
открыв Explorer и выбрав пункты меню Справка – О программе.
Для настройки параметров Internet Explorer выберите пункт меню СервисСвойства обозревателя, закладка Дополнительно (рис. 1.1 и рис. 1.2). На этой
закладке необходимо убедиться, что в параметрах включен протокол
защищенного соединения SSL 3.0.
Рис. 1.1.Включение протокола SSL3.0 Рис. 1.2. Включение протокола SSL3.0
IE6.0
IE 7.0
В некоторых версиях Internet Explorer версий 7.х и 9.х имеется параметр
«Включить защиту памяти для снижения риска атаки из Интернет» (рис. 1.3 и
рис. 1.4). Его необходимо отключить (убрать «галочку»).
Рис. 1.3. Отключение защиты
Рис. 1.4. Отключение защиты памяти
34080025-100-РП_Instr_IK
5
памяти
Далее, рассмотрим настройки Internet Explorer на примере версии 6.0.
Щелкнув по закладке Безопасность, выберете зону настройки параметров
безопасности. Необходимо иметь ввиду, что для нормальной работы подсистемы
«Интернет-Клиент» достаточно настроить только одну зону - «Надежные узлы»
(рис. 1.5). Настройки других зон могут быть произвольными и зависят от
потребностей клиентов.
Добавьте в зону «Надежные узлы» адрес (URL) веб-сервера Банка. Для
этого, в поле «Добавить узел в зону:» (рис. 1.6), введите https://dbs.voz.ru и
нажмите клавишу Добавить. В результате адрес узла попадает в поле «Вебузлы:» (рис. 1.7).
Рис. 1.5. Выбор зоны «Надежные
узлы»
Рис. 1.6. Добавить узел в зону
Нажав клавишу ОК, переходим в окно «Свойства обозревателя» закладка
Безопасность (рис. 1.8), в котором уровень безопасности для зоны «Надежные
узлы» устанавливаем по умолчанию. Это происходит при нажатии клавиши По
умолчанию.
Рис. 1.7.Добавленный узел в зону
Рис. 1.8.Уровень безопасности для
зоны
Для снятия блокировки всплывающих окон необходимо вызвать окно
«Параметры безопасности», нажав на клавишу Другой (рис. 1.9). В открывшемся
окне (рис. 1.10) установить переключатель «Блокировать всплывающие окна в
положение Отключить.
34080025-100-РП_Instr_IK
6
Рис. 1.9. Вызов окна параметры
безопасности
Рис. 1.10. Окно Параметры
безопасности
Дополнительно необходимо проверить установку следующих параметров
безопасности, которые должны быть установлены в положение «Разрешить»
(«Включить»):
 Загрузка подписанных элементов ActiveX
 Запуск элементов ActiveX и модулей подключения
 Выполнять сценарии элементов ActiveX, помеченных как безопасные
 Поведение двоичного кодов и сценариев
 Активные сценарии
 Разрешить сценарии
В Internet Explorer версий 7.х и 9.х иногда, вместо установки выше
рассмотренных параметров, достаточно нажать последовательно кнопки Сброс и
Восстановить дополнительные параметры (рис. 1.2).
2. Установка драйвера ключевого носителя eToken PKI Client 5.1 SP1
Внимание!!! Не вставляйте eToken в USB порт до установки и в процессе
установки eToken PKI Client 5.1 SP1.
Для установки драйвера eToken PKI Client 5.1 SP1 выполните следующие
действия:
1. Нажмите кнопку “Пуск - Выполнить”. В открывшемся окне укажите путь к
файлу, выбранному в зависимости от разрядности операционной системы
32-бит (64 - бит) PKIClient-x32-5.1-SP1.msi (PKIClient-x64-5.1-SP1.msi),
находящемуся на CD-R в папке СКЗИ и нажмите OK. На экране появится
окно приветствия программы установки eToken PKI Client 5.1 SP1 (рис.
2.1). Нажмите кнопку Next.
2. В окне выбора языка установки (рис. 2.2) выберите язык установки
драйвера Russian и нажмите кнопку Next (рис. 2.3).
34080025-100-РП_Instr_IK
7
Рис. 2.1. Окно приветствия программы
установки драйвера
Рис. 2.2. Окно выбора языка установки
3. В окне Лицензионного соглашения (рис. 2.4) ознакомьтесь с Лицензионным
соглашением, выберите I accept the license agreement и нажмите Next.
Важно! Если к вашему компьютеру подключен какой-либо eToken - отключите его.
Рис. 2.3. Продолжение установки
Рис. 2.4. Лицензионное соглашение
4. Далее, при необходимости, можно выбрать папку установки драйвера и
следовать указаниям Мастера установки, нажимая последовательно кнопки
Next и Finish (рис. 2.5, 2.6).
Рис. 2.5. Выбор места установки
Рис. 2.6. Завершение программы
установки драйвера
34080025-100-РП_Instr_IK
8
3. Установка и настройка КриптоПро CSP 3.6 R2. Работа с ключевым
носителем eToken
3.1.Установка КриптоПро CSP 3.6 R2
Средство криптографической защиты информации КриптоПро CSP 3.6 R2
используется с ОС Windows XP/2003/Vista/7/2008. В зависимости от разрядности
используемой на компьютере операционной системы 32-бит (64 - бит) выберите
установочные файлы системы криптографической защиты КриптоПро csp-win32kc1-rus.msi (файл csp-x64-kc1-rus.msi).
Внимание! Установку средства криптографической защиты информации
КриптоПро CSP 3.6 R2 необходимо проводить только! с дистрибутива на
учтенном диске, полученного по акту у сотрудника Банка. Полученный
дистрибутив на учтенном диске и лицензию к нему следует хранить как
эталонную копию СКЗИ до получения из Банка новых версий СКЗИ
вышеуказанным способом.
Важно!!! Банк ни при каких обстоятельствах не будет рассылать
дистрибутивы СКЗИ через почтовые рассылки. Полученные таким образом
диски с якобы обновлениями или новыми версиями СКЗИ и предложениями
немедленно провести установку являются средствами для совершения
мошеннических действий.
Важно! Перед установкой дистрибутива КриптоПро CSP 3.6 R2 убедитесь, что на
АРМ системы ДБО установлено лицензионное антивирусное ПО в соответствии с
требованиями, указанными в формуляре на СКЗИ. В соответствии с п. 4 раздела 2
формуляра СКЗИ КриптоПро CSP 3.6 R2 ЖТЯИ. 00050-02 должно использоваться
со средствами антивирусной защиты, сертифицированными ФСБ России.
Перечень средств защиты информации (в том числе средств антивирусной
защиты), сертифицированных ФСБ России:
http://clsz.fsb.ru/certification.htm, http://clsz.fsb.ru/files/download/sved_po_sertif.pdf.
Например:
Антивирус Касперского 6.0 для Windows Workstations MP4, регистрационный
номер сертификата соответствия – СФ/019-1595 или
Антивирусное средство Dr. Web для Windows версии 6.0, регистрационный номер
сертификата соответствия – СФ/019-1518.
Перед установкой необходимо удалить все ранее установленные версии
КриптоПро CSP и КриптоПро TLS. Если модуль криптографической поддержки не
удален, то новая версия не будет установлена.
Для установки КриптоПро CSP необходимо выполнить
следующую
последовательность действий:
1. Нажмите кнопку Пуск - Выполнить. Введите путь к файлу csp-win32-kc1rus.msi для установки 32-х разрядной версии или csp-x64-kc1-rus.msi для
установки 64-х разрядной версии, находящимся на CD-R в папке СКЗИ и
нажмите OK. На экране появится окно приветствия программы установки
Установка КриптоПро CSP (КС1) (рис. 3.8). Нажмите кнопку Далее.
2. В окне Лицензионное соглашение ознакомьтесь с Лицензионным
соглашением, выберите Я принимаю условия лицензионного
соглашения и нажмите Далее (рис. 3.1).
34080025-100-РП_Instr_IK
9
3. В окне Сведения о пользователе укажите сведения о пользователе,
сведения об организации и введите серийный номер КриптоПро CSP с
Лицензии из установочного комплекта АРМ Клиента. Нажмите Далее (рис.
3.2).
Внимание! Без введенного серийного номера СКЗИ КриптоПро CSP
проработает срок, установленный для тестовой эксплуатации и далее работать
не будет. С введенным серийным номером срок эксплуатации не ограничен.
По условиям лицензионного договора с компанией КриптоПро
запрещается устанавливать одну и ту же лицензию более, чем на один
компьютер. При
необходимости установки СКЗИ КриптоПро CSP на
несколько компьютеров, следует заказать у банка необходимое количество
лицензий.
Рис. 3.1. Окно Лицензионного
соглашения
Рис. 3.2. Окно Сведения о
пользователе
4. В окне Вид установки выберите установку Выборочная и нажмите
кнопку Далее (рис. 3.3).
5. В окне Выборочная установка добавьте все компоненты кроме
Криптопровайдер уровня ядра ОС и нажмите кнопку Далее (рис. 3.43.7).
Рис. 3.3. Окно Выбора вида установки
Рис. 3.4. Окно Выборочная установка
34080025-100-РП_Instr_IK
10
Рис. 3.5. Выбор компоненты программы
Рис. 3.6. Выбор компоненты программы
Рис. 3.7. Выбранные компоненты программы
6. В окне Последние приготовления к установке программы
зарегистрируйте считыватель смарт-карт, снимите «галочку» с других
считывателей и нажмите кнопку Установить (рис. 3.8).
Важно!!! С целью исключения возможности записи рабочих закрытых
(секретных) ключей Клиентов при перегенерации на любые другие
носители ключевой информации, кроме USB-ключей eToken PRO
(считыватель смарт-карт) запрещается
регистрировать на АРМ
Клиента какие либо считыватели, кроме считывателя смарт-карт
(запрещается регистрировать все съёмные диски и реестр)
В случае установки КриптоПро на ОС Windows Vista/7/2008 система может
выдать запрос, доверять ли программному обеспечению “Crypto-Pro”.
Установите галочку Всегда доверять программному обеспечению
“Crypto-Pro” и нажмите кнопку Установить.
7. После окончания копирования файлов на жесткий диск, появится окно
завершения установки. Нажмите кнопку Готово (рис. 3.9).
34080025-100-РП_Instr_IK
11
Рис. 3.8. Окно Последние
приготовленные к установке программы
Рис. 3.9. Окно завершения установки
8. Программа установки попросит вас перезагрузить систему. Нажмите кнопку
Да для перезагрузки системы (рис. 3.10).
Рис. 3.10.Сообщение о необходимости выполнить перезагрузку системы
Внимание! Если, по каким-либо причинам, серийный номер СКЗИ КриптоПро
CSP 3.6 не был введен при первоначальной установке (Рис. 3.2) или СКЗИ
эксплуатировалось в тестовом режиме, то имеется возможность ввода этого
номера без переустановки КриптоПро CSP.
Для этого, необходимо выбрать пункт меню Пуск – Программы – КриптоПро – Управление лицензиями КриптоПро PKI (рис. 3.11). Откроется окно
оснастки MMC «КриптоПро PKI» (рис. 3.12).
Рис. 3.11. Окно Свойства: КриптоПро CSP
В оснастке выберите раздел Управление лицензиями, а в нем - СКЗИ
КриптоПро CSP. Правой клавишей мыши вызовите контекстно – зависимое меню,
в котором выберите пункт Все задачи – Ввести серийный номер… .
34080025-100-РП_Instr_IK
12
Рис. 3.12. Окно оснастки MMC «КриптоПро PKI».
В результате откроется окно Сведения о пользователе (рис. 3.2), в
котором необходимо ввести серийный номер СКЗИ КриптоПро CSP 3.6.
3.2.Настройка КриптоПро CSP 3.6 R2
Настройка КриптоПро CSP включает в себя выбор режима работы CSP,
настройку режима хранения ключей и настройку работы с паролями (PIN-кодами).
Для работы с системой ДБО используется СКЗИ КриптоПро CSP
сертифицированное по уровню КС1. Для настройки CSP по уровню КС1
необходимо нажать кнопку Пуск – Настройка - Панель управления и выбрать
КриптоПро CSP. В окне Свойства: КриптоПро CSP панели настройки СКЗИ
КриптоПро CSP выберите вкладку Безопасность (рис. 3.13).
На вкладке Безопасность в панели Назначенные по умолчанию CSP для
указанных типов оставьте тип Crypto-Pro GOST R 34.10-2001 Cryptographic
Service Provider.
Если на компьютере установлена операционная система Windows XP или
Windows 2003 в панели Режим работы CSP выберите опцию Использовать
службу хранения ключей (рис. 3.13).
В панели Настройки кэширования закрытых ключей в окне Выберите
CSP для настройки оставьте тип Crypto-Pro GOST R 34.10-2001 Cryptographic
Service Provider.
Внимание! ЗАПРЕЩАЕТСЯ устанавливать галку Включить кэширование!
34080025-100-РП_Instr_IK
13
Рис. 3.13. Окно вкладки Безопасность
Рис. 3.14. Окно вкладки Безопасность
Если на компьютере установлена операционная система Windows
Vista/7/2008 в панели Режим работы CSP выберите опцию Хранить ключи в
памяти приложений (рис. 3.14).
Внимание!
1. ЗАПРЕЩАЕТСЯ устанавливать галку «Включить кэширование» в
настройках режима работы CSP. Кэширование заключается в том, что
считанные с ключевого носителя eToken ключи останутся загруженными
в памяти сервиса CryptoPro CSP key storage и будут доступны любому
приложению после извлечения eToken из считывателя и до завершения
работы компьютера. Это означает, что в случае хакерской атаки на Ваш
компьютер, злоумышленник сможет воспользоваться загруженными
ключами для подписи мошеннического платежа от Вашего имени.
2. Банк выдает PIN-коды доступа к ключевым носителям eToken в 2-х PINконвертах: пользовательском и администраторском. Пользовательский
PIN-код
предназначен
для
повседневного
применения.
Администраторский PIN-код предназначен для разблокировки eToken при
превышении допустимого количества попыток ввода PIN-кода. В случае
блокировки пользовательского, а затем и администраторского PIN-кодов,
eToken становится недоступным и подлежит возврату в Банк для
форматирования. Все криптографические ключи в нем будут стерты. Не
допускайте блокировки администраторского PIN-кода.
3. Не передавайте кому бы то ни было Ваш персональный eToken и PINкоды доступа к нему, подключайте eToken к USB-порту компьютера
только на время Вашей работы с Банком, не оставляйте eToken и PINкоды доступа к нему без присмотра, при уходе с рабочего места
забирайте eToken и PIN-коды доступа с собой.
4. Если вам в течение сеанса работы с Банком приходится многократно
использовать ключевой носитель eToken, для ускорения работы
используйте настройку КриптоПро CSP «Запомнить пароль» (рис. 3.16).
После завершения сеанса работы с Банком удалите запомненные
пароли, для чего в окне Свойства: КриптоПро CSP выберите вкладку
34080025-100-РП_Instr_IK
14
Сервис и нажмите кнопку Удалить запомненные пароли (рис. 3.15),
после чего в окне Удаление запомненных паролей выберите Удалить
все запомненные пароли закрытых ключей и поставьте галку
Пользователя (рис. 3.17).
Рис. 3.16. Окно Запомнить пароль
Рис. 3.15. Вкладка Сервис, кнопка
Удалить запомненные пароли
Рис. 3.17. Окно Удаление
запомненных паролей
Порядок проверки (при необходимости) работоспособности СКЗИ
КриптоПро CSP, ключевого носителя eToken, ключа и сертификата, а так же
установленного драйвера изложен в Приложении 4.
4. Проверка канала передачи данных
Важнейшей частью компьютерной сети, обеспечивающей обмен
информацией между системой банка и системами клиентов являются каналы
передачи данных (каналы связи). Прежде чем выполнить установку программного
обеспечения клиентской части подсистемы «Интернет-Клиент», необходимо
убедиться в их работоспособности.
Для этого используется программа telnet (протокол виртуального
терминала). Она открывает терминальное соединение и организует telnet сеанс с
сервером в окне командной строки, открываемой командой cmd из меню «Пуск –
Выполнить».
Внимание! В операционных системах MS Windows Vista и выше компонент
Клиент Telnet по умолчанию не устанавливается. Его можно установить
дополнительно из дистрибутива Windows Vista и выше (рис. 4.1 - 4.2) (Панель
управления – Программы - Программы и компоненты – Включение или
отключение компонентов Windows)
34080025-100-РП_Instr_IK
15
Рис. 4.1. Удаление или изменение установки
программы в Windows
Рис. 4.2. Включение или
отключение компонентов
Windows
Для проверки канала передачи данных необходимо в окне командной
строки ввести команду
telnet <IP адрес узла сети> (например, Web-сервера Банка 195.250.56.166) и номер порта (1777). Вид команды и процесс подключения к
Web-серверу Банка в окне командной строки изображен на рисунках 4.3. и 4.4.
Рис. 4.3. Ввод команды telnet
Рис. 4.4. Подключение к Web-серверу
Результатом выполнения команды telnet является пустое окно командного
процессора с мигающим курсором (рис. 4.5.).
Рис. 4.5. Результат выполнения команды telnet
Выполнение
команды
telnet
без
ошибок
свидетельствует
о
работоспособности канала передачи данных (канала связи). Если команда telnet
не выполняется, то необходимо проверить настройки средств защиты
(межсетевые экраны, прокси-сервера и др.), имеющиеся на стороне Клиента или
его провайдера.
Важно! Необходимо добиться выполнения команды telnet без ошибок, иначе
запуск подсистемы «Интернет-Клиент» будет невозможен.
34080025-100-РП_Instr_IK
16
5. Установка клиентской части подсистемы «Интернет-Клиент» ДБО BSClient v.3
Перед установкой дистрибутива клиентской части подсистемы «ИнтернетКлиент» желательно ознакомиться с компонентами дистрибутива (см.
Приложение 5).
Перенесите папку с дистрибутивом с установочного диска на диск С: Имя
папки
дистрибутива имеет следующий вид i№АРМ_8(7) – значное число
(например, i57000028_57000020).
Затем, из папки дистрибутива запустить файл bssetup.exe (например,
С:\i57000028_57000020\bssetup.exe). По желанию папку для установки можно
изменить, выбрав требуемую с помощью кнопки
(рис. 5.2). Этапы установки
показаны на рисунках 5.1 - 5.3.
Рис. 5 .1. Главное окно мастера
установки
Рис. 5 .2. Выбор программной
группы
Рис. 5.3. Окно завершения установки клиентской части подсистемы «ИнтернетКлиент»
6. Настройка подсистемы «Интернет-Клиент» ДБО BS-Client v.3
Настройка подсистемы «Интернет-Клиент», как правило, выполняются при
первом входе в систему.
Для запуска системы используйте ярлык на Рабочем столе с надписью
«Вход в BSS Интернет-клиент», созданный при инсталляции дистрибутива или
откройте Microsoft Internet Explorer и в адресной строке браузера наберите адрес
сайта подсистемы "Интернет-Клиент" (https://dbs.voz.ru:1777/). Нажмите клавишу
Enter.
При первом входе в систему проверяется наличие сертификата от центра
сертификации – корневого сертификата уполномоченного лица Удостоверяющего
центра банка и выдается предупреждение системы безопасности о том, что
сертификат выдан организацией, не входящей в состав доверенных (рис. 6.1).
Дело в том, что сервер, с которым на основании протокола SSL
связывается клиент, всегда обязан для своей идентификации представлять
сертификат DBS.VOZ.RU, т.е. файл, содержащий его ключ проверки электронной
и другие параметры, характеризующие сервер. Сертификат всегда подписан
электронной подписью третьего доверенного лица (VOZROZHDENIE BANK CA).
34080025-100-РП_Instr_IK
17
Используя эту электронную подпись, клиент всегда контролирует, с кем он имеет
дело. Если сертификат не подписан или подписан неизвестным лицом, то об этом
сообщается клиенту.
Рис. 6.1. Предупреждение системы безопасности
Учитывая, что в процессе настройки СКЗИ будет предложено установить
данный сертификат, нажмите кнопку ДА для продолжения работы.
После проверки компонента ActiveX выполняется автоматический переход
к авторизации Клиента.
При авторизации необходимо указать Логин и Пароль, выданные Банком.
В поле Логин (рис. 6.2) укажите имя пользователя (десятизначное число), а в
поле Пароль введите пароль для входа в систему. Затем нажмите кнопку ОК или
клавишу Enter. Данный пароль используется при первом запуске ИнтернетКлиента. В дальнейшем необходимо изменить пароль, используя пункт меню
Безопасность – Установка/смена пароля.
Важно!!! Пароль должен состоять из прописных и строчных латинских букв и
цифр. Длина пароля должна быть не менее 8 символов. Пароль необходимо
изменять каждые 6 месяцев.
Внимание! При вводе Пароля латинские и русские символы, а также
заглавные и прописные буквы различаются. Имеются только три
последовательные попытки на вход в систему, после чего вход будет
заблокирован. Для решения проблемы необходимо обратиться к
администратору Банка.
Для входа в систему с защитой канала односторонний SSL:
1.
Подключитесь к сайту подсистемы Интернет-Клиент.
2.
Откроется страница Вход в систему.
34080025-100-РП_Instr_IK
18
Рис. 6.2. Страница Вход в систему
3.
Выполните авторизацию одним из способов:
•
С использованием функциональности безопасной авторизации:
a.
Снимите заполнение
авторизацию.
с
поля
Отключить
b.
Нажмите кнопку Безопасная авторизация.
c.
Откроется окно Безопасная авторизация.
безопасную
34080025-100-РП_Instr_IK
19
Рис. 6.3. Страница Безопасная авторизация
d.
Укажите системное имя и пароль пользователя
использованием системной или виртуальной клавиатуры.
с
Примечание
Для максимальной безопасности рекомендуется использовать
виртуальную клавиатуру.
e.
Для авторизации с указанными именем и паролем
пользователя нажмите кнопку Далее, в противном случае
нажмите кнопку Отмена.
f.
Будет выполнен переход на следующую страницу.
Примечание
После определенного количества неудачных попыток входа в
систему учетная запись пользователя блокируется.
•
Без использования функциональности безопасной авторизации:
a.
Заполните поле Отключить безопасную авторизацию.
b.
В полях Логин и Пароль укажите системное имя и пароль
соответственно.
c.
Нажмите кнопку Далее.
d.
Будет выполнен переход на следующую страницу.
Примечание
После определенного количества неудачных попыток входа в
систему учетная запись пользователя блокируется.
4.
В зависимости от того, истек срок действия пароля или нет, будет
открыта следующая страница:
•
Если срок действия пароля не истек:
34080025-100-РП_Instr_IK
20
•
•
Будет открыта
следуйте п. 5.
страница
Выбор
организации.
Далее
Если срок действия пароля истек:
a.
Откроется страница Смена пароля.
Рис. 6.4. Страница Смена пароля
b.
Выполните смену пароля:
A.
Выберите вариант смены пароля:
•
с использованием функциональной
безопасной смены пароля;
возможности
•
без использования функциональной
безопасной смены пароля.
возможности
Выбор осуществляется аналогично выбору варианта
авторизации (см. п. 3).
B.
c.
В соответствующих полях введите старый пароль, новый
пароль и подтверждение нового пароля.
Будет выполнен переход на следующую страницу.
Примечание
После определенного количества неудачных попыток ввода старого
пароля учетная запись пользователя блокируется.
5.
В зависимости от того, предоставлены пользователю, от имени
которого производится вход, права работы с одной организацией или
с несколькими организациями, откроется следующая страница:
•
Если пользователю предоставлены права работы только с одной
организацией, будет открыта страница Выбор подразделения
банка. Далее следуйте п. 6.
•
Если пользователю предоставлены права работы с несколькими
организациями:
a.
Будет открыта страница Выбор организации.
34080025-100-РП_Instr_IK
21
Рис. 6.5. Страница Выбор организации
На этой странице Вы можете выбрать организацию, от имени
которой в текущей сессии будут формироваться и
отправляться в банк новые документы, а также задать список
организаций, документы которых будут доступны для работы.
b.
Задайте необходимые значения параметров:
A.
В соответствующем поле выберите организацию, от
имени которой Вы будете работать.
B.
В соответствующем блоке заполните поля тех
организаций, документы, которых будут доступны Вам для
просмотра, подписи и отправки в банк документов.
Для того, чтобы выбрать все организации, заполните поле
все организации.
6.
c.
Для подтверждения выбора нажмите кнопку Далее.
d.
Будет выполнен переход на следующую страницу.
В зависимости от того, требуется ли выбор подразделения, в котором
обслуживается организация, откроется следующая страница:
•
Если организация, от имени которой будут создаваться
документы, обслуживается только в одном подразделении банка:
•
•
Будет открыта страница Дополнительная авторизация.
Далее следуйте п. 7.
Если организация, от имени которой будут создаваться
документы, обслуживается в нескольких подразделениях банка:
a.
Откроется страница Выбор подразделения банка.
34080025-100-РП_Instr_IK
22
Рис. 6.6. Страница Выбор подразделения банка
7.
b.
Для подтверждения выбора нажмите кнопку Далее.
c.
Будет выполнен переход на следующую страницу.
В зависимости от того, задана ли необходимость дополнительной
авторизации с проверкой ключей, откроется следующая страница:
•
Если необходимость дополнительной авторизации не была
задана:
•
•
Будет открыта страница Дополнительная аутентификация.
Далее следуйте п. 8.
Если необходимость
задана:
a.
дополнительной
аутентификации была
Откроется страница Дополнительная авторизация.
Рис. 6.6. Страница Дополнительная авторизация
b.
Выберите название абонента ЭП, от имени которого будет
выполняться дополнительная авторизация.
При необходимости отредактировать пути к каталогам
ключей ЭП перейдите по ссылке фразы "Настроить
параметры ключевых носителей абонентов можно здесь".
c.
•
Для подтверждения выбора нажмите кнопку Далее.
•
Система выведет информационное сообщение с предложением
подготовить носитель с комплектом ключей ЭП выбранного
абонента.
34080025-100-РП_Instr_IK
23
8.
•
Вставьте носитель с комплектом ключей ЭП выбранного абонента
в считывающее устройство.
•
Для подтверждения выбора нажмите кнопку Далее, в противном
случае – кнопку Отмена.
•
При удачном результате проверки, откроется следующая
страница. В противном случае будет выведено сообщение и вход
в подсистему Интернет-Клиент выполнен не будет.
По умолчанию вход пользователей в подсистему Интернет-Клиент
осуществляется без дополнительной авторизации. Необходимость
использования дополнительной авторизации, по согласованию с
конкретным клиентом, настраивается на стороне банка. В
зависимости от того, задана ли необходимость дополнительной
аутентификации, вход в систему будет осуществляться следующим
образом:
•
Если необходимость дополнительной аутентификации не была
задана:
•
В результате выполнения описанных выше действий будет
выполнен вход в систему и переход к основному разделу
подсистемы Интернет-Клиент.
Примечание
При наличии новостей обязательной степени
важности перед переходом к основному разделу
будет предложено ознакомиться с ними.
•
Если
была
задана
аутентификации:
•
необходимость
дополнительной
Выполните аутентификацию одним из следующих способов:
•
Если доступна аутентификация с помощью устройства
eToken Pass:
A.
Откроется страница аутентификации
устройства eToken Pass.
с помощью
34080025-100-РП_Instr_IK
24
Рис. 6.7. Страница аутентификации с помощью устройства eToken Pass
Примечание
Блок СМС-авторизация отображается, если доступна
аутентификация с помощью пароля, передаваемого по
смс. Для авторизации с помощью смс-пароля
перейдите к выполнению п. 8.2.a.c данной инструкции.
B.
Сгенерируйте сеансовый ключ:
1.
Для генерации ключа нажмите на кнопку на
устройстве eToken Pass.
2.
Сгенерированный ключ отобразится на экране
устройства.
C.
В
блоке
Авторизация
ключом
eToken
в
соответствующее поле введите сеансовый ключ,
сгенерированный устройством eToken Pass.
D.
Для подтверждения
кнопку Ок.
Для отказа
Отмена.
от
введенных
аутентификации
данных
нажмите
нажмите
кнопку
Примечание
При отказе от аутентификации будет предоставлен
ограниченный доступ к подсистеме Интернет-Клиент
без возможности подписи документов.
E.
Система выполнит проверку введенного ключа, после
чего:
1.
При положительном результате проверки будет
выполнен
переход
к
основному
разделу
подсистемы Интернет-Клиент. При наличии
новостей
обязательной
степени
важности,
необходимо будет ознакомиться с ними.
34080025-100-РП_Instr_IK
25
2.
При
отрицательном
результате
проверки
системой будет выведено соответствующее
сообщение.
Повторите попытку ввода ключа или перейдите в
режим ограниченного доступа, нажав кнопку
Отмена.
Примечание
По истечении попыток ввода ключа учетная
запись пользователя будет заблокирована.
•
Если доступна аутентификация с помощью сеансовых
ключей, сгенерированных в системе ДБО BS-Client:
•
В зависимости от состояния комплекта сеансовых
ключей выполните следующие действия:
•
При отсутствии активного комплекта сеансовых
ключей (все сеансовые ключи из комплекта
израсходованы):
•
Откроется страница
сеансовых ключей.
активации
комплекта
Рис. 6.8. Страница активации комплекта сеансовых ключей
Примечание
Блок СМС-авторизация отображается, если
доступна
аутентификация
с
помощью
пароля, передаваемого по смс. Для
авторизации
с
помощью
смс-пароля
перейдите к выполнению п. 8.2.a.c данной
инструкции.
•
В блоке Активация комплекта сеансовых
ключей
выберите
идентификатор
произвольного
комплекта
ключей
из
раскрывающегося списка, который вызывается
с помощью кнопки
.
34080025-100-РП_Instr_IK
26
•
В поле, расположенное ниже, введите ключ
активации выбранного комплекта.
•
Для подтверждения выбора нажмите кнопку
Ок.
Для отказа от аутентификации нажмите кнопку
Отмена.
Примечание
При отказе от аутентификации будет
предоставлен
ограниченный
доступ
к
подсистеме
Интернет-Клиент
без
возможности подписи документов.
•
Система проверит введенные данные, после
чего:
•
При положительном результате проверки:
A.
Будет активирован новый комплект
сеансовых ключей и осуществлен
переход в странице ввода сеансового
ключа.
Рис. 6.9. Страница ввода сеансового ключа
Примечание
На
странице
указаны
идентификатор
комплекта
сеансовых ключей и произвольный
номер
ключа
из
комплекта,
необходимого для аутентификации.
B.
•
Для продолжения аутентификации
перейдите
к
выполнению п. 8.2.a.b.A.B.3
данной
инструкции.
При отрицательном результате проверки
системой
будет
выведено
соответствующее сообщение.
34080025-100-РП_Instr_IK
27
Повторите попытку ввода ключа или
перейдите
в
режим
ограниченного
доступа, нажав кнопку Отмена.
Примечание
По истечении попыток ввода
ключа
учетная
запись
пользователя
будет
заблокирована.
•
При наличии активного комплекта сеансовых
ключей с неизрасходованными ключами:
1.
Откроется страница ввода сеансового ключа.
Рис. 6.10. Страница ввода сеансового ключа
Примечание
• В
блоке Авторизация сеансовыми
ключами
указаны
идентификатор
комплекта
сеансовых
ключей
и
произвольный
номер
ключа,
необходимого для аутентификации.
• Блок СМС-авторизация отображается,
если
доступна
аутентификация
с
помощью пароля, передаваемого по смс.
Для авторизации с помощью смс-пароля
перейдите к выполнению п. 8.2.a.c данной
инструкции.
2.
В блоке Авторизация сеансовыми ключами
из
раскрывающегося
списка
выберите
идентификатор комплекта сеансовых ключей,
который
будет
использоваться
для
авторизации.
Примечание
После выбора комплекта сеансовых
ключей номер ключа, необходимого для
авторизации, может измениться.
34080025-100-РП_Instr_IK
28
3.
Введите ключ выбранного комплекта, номер
которого соответствует указанному.
4.
Для
подтверждения
нажмите кнопку Ок.
введенных
данных
Для отказа от аутентификации нажмите кнопку
Отмена.
Примечание
При отказе от аутентификации будет
предоставлен
ограниченный
доступ
к
подсистеме
Интернет-Клиент
без
возможности подписи документов.
5.
Система проверит введенные данные, после
чего:
a.
При положительном результате проверки
будет выполнен переход к основному
разделу подсистемы Интернет-Клиент.
При наличии новостей обязательной
степени важности, необходимо будет
ознакомиться с ними.
b.
При отрицательном результате проверки
системой
будет
выведено
соответствующее сообщение.
Повторите попытку ввода ключа или
перейдите
в
режим
ограниченного
доступа, нажав кнопку Отмена.
Примечание
По истечении попыток ввода ключа
учетная
запись
пользователя
и
сеансовый ключ с указанным номером
будут заблокированы.
•
•
При отсутствии активного или привязанного
комплекта сеансовых ключей будет предоставлен
ограниченный доступ к подсистеме ИнтернетКлиент без возможности подписи документов.
Если доступна только аутентификация с помощью пароля,
высылаемого по смс:
A.
Откроется страница аутентификации с помощью смспароля.
34080025-100-РП_Instr_IK
29
Рис. 6.11. Страница аутентификации с помощью смс-пароля
B.
Нажмите кнопку Получить SMS.
C.
На указанный телефонный номер будет отправлено
смс-сообщение, содержащее одноразовый пароль для
авторизации.
D.
В поле пароль введите полученный пароль.
E.
Для подтверждения
кнопку Ок.
Для отказа
Отмена.
от
введенных
аутентификации
данных
нажмите
нажмите
кнопку
Примечание
При отказе от аутентификации будет предоставлен
ограниченный доступ к подсистеме Интернет-Клиент
без возможности подписи документов.
F.
Система проверит введенные данные, после чего:
1.
При положительном результате проверки будет
выполнен
переход
к
основному
разделу
подсистемы Интернет-Клиент. При наличии
новостей
обязательной
степени
важности,
необходимо
будет
ознакомиться
с
ними
согласно инстр. «Ознакомление
с
новостями
обязательной степени важности» [стр. Error!
Bookmark not defined.].
2.
При
отрицательном
результате
проверки
системой будет выведено соответствующее
сообщение.
Повторите попытку ввода пароля или перейдите в
режим ограниченного доступа, нажав кнопку
Отмена.
34080025-100-РП_Instr_IK
30
Примечание
По истечении попыток ввода пароля учетная
запись пользователя будет заблокирована.
9.
В случае если для клиента существуют новости обязательной
степени важности, с ними необходимо ознакомиться с ними в
обязательном порядке.
В результате успешной авторизации и ознакомления пользователя со
всеми новостями обязательной степени важности система осуществит переход в
основной раздел сайта. При этом автоматически проверяются статусы
криптопрофилей абонентов и если среди них имеются критические (необходима
перегенерация ключей), то вместо главной страницы выдается предупреждение о
необходимости перегенерации ключей.
После подтверждения ознакомления с уведомлением открывается
основной раздел сайта (главная страница), которая состоит из трех элементов:
главного меню, панели инструментов и рабочей области.
Главное меню отображается в левой части окна браузера и выполнено в
виде дерева. При выборе одной из команд меню в рабочей области открывается
страница для работы с определенным объектом системы. Действия над
объектами, которые доступны для выполнения Клиенту, зависят от прав,
предоставленных ему в текущей сессии (например, создание документов от
имени только определенной организации, визирование документов).
Набор кнопок на панели инструментов, зависит от объекта системы, с
которым выполняется работа.
В рабочей области отображаются страницы для работы с определенными
объектами системы.
7. Настройка криптографической подсистемы
Общие сведения о криптографической подсистеме "Интернет-Клиент"
приведены в Приложении 7.
Настройка криптографической подсистемы включает в себя:
1. создание запросов на регистрацию сертификатов ключей подписи и
отправка их в Банк;
2. получение Произвольных документов с файлами сертификатов и
Актами об оказании услуг;
3. завершение перегенерации ключей.
7.1. Создание запросов на регистрацию рабочих сертификатов ключей
проверки электронной подписи и отправка их в Банк
После установки клиентской части подсистемы «Интернет-Клиент» с
технологическими ключами подписи и технологическими СКП ЭП Клиент должен
выполнить перегенерацию технологических ключей подписи на рабочие с
использованием переданных Банком носителей ключевой информации eToken;
Клиент самостоятельно изготавливает не экспортируемые рабочие ключи
подписи, что исключает возможность совершения сотрудниками Банка
противоправных действий по отношению к Клиенту, так как сотрудникам Банка эти
ключи неизвестны.
Первым этапом по реализации процесса перегенерации технологических
ключей на рабочие является создание запросов на
регистрацию рабочих
сертификатов ключей проверки электронной подписи.
34080025-100-РП_Instr_IK
31
Важно!!! На время процесса перегенерации технологических ключей и
до окончания перехода на рабочие ключи отключите (физически
удалите) с компьютера все другие носители ключевой информации
eToken кроме того eToken, на который вырабатывается рабочий ключ.
Для создания запроса на регистрацию сертификата, выберите пункт меню
Сервис - Безопасность – Запросы на перегенерацию - Профили. На экране
появится
список криптопрофилей абонентов. Выберите требуемый
криптопрофиль, выполнив щелчок левой клавишей мыши по фамилии абонента
(например, Иванов Иван Иванович). В результате появятся параметры подписи
данного абонента (рис. 7.1).
Рис. 7.1. Криптопрофиль абонента с параметрами подписи
После щелчка по пиктограмме
«Создать запрос на генерацию /
перегенерацию» (рис. 7.2) формируется запрос на регистрацию сертификата
ключа проверки электронной подписи, который необходимо подписать и
отправить в Банк.
Рис. 7.2. Формирование запроса на регистрацию СКП ЭП
34080025-100-РП_Instr_IK
32
При этом возможны следующие варианты работы с запросом:
 сохранить запрос
 подписать /снять подпись
 подписать и отправить
Рис. 7.3. Выбор варианта работы с запросом
Внимание!!! Прежде чем выбрать вариант работы с запросом, который вы
будете далее использовать, внимательно прочитайте пп. 7.1.1 - 7.1.3, а
затем уже принимайте решение. В большинстве случае целесообразно
использовать вариант «Подписать и отправить» (п.7.2.3).
7.1.1. Сохранение запроса
Этот вариант используется тогда, когда необходимо сохранить
сформированный запрос, а подпись и отправку его в Банк отложить на
длительное время. После нажатия пиктограммы «Сохранить»
(рис. 7.4)
выполняется проверка наличия ключевого носителя в USB порту.
34080025-100-РП_Instr_IK
33
Рис. 7.4. Сохранение запроса
Если ключевой носитель отсутствует, то выдается сообщение о
необходимости его вставить (рис. 7.5). В противном случае появится окно, в
котором предлагается нажимать клавиши или двигать мышью для формирования
набора случайных чисел (рис. 7.6).
Рис. 7.5. Сообщение об отсутствии
ключевого носителя
Рис. 7.6. Формирование набора
случайных чисел
Далее будет предложено ввести пользовательский PIN-код на
создаваемый ключевой контейнер (рис. 7.7). При этом необходимо помнить, что
после трех последовательных попыток неправильного ввода пользовательского
PIN-кода eToken блокируется.
Рис. 7.7. Окно ввода pin-кода на ключевой контейнер
34080025-100-РП_Instr_IK
34
После правильного ввода PIN-кода на создаваемый ключевой контейнер
выдается сообщение об успешном создании запроса со статусом «новый».
Рис. 7.8. Окно просмотра списка запросов на перегенерацию
В любое, удобное для Клиента время, данный запрос можно подписать и
отправить в Банк (используя варианты подписать и отправить, или подписать и
отправить одновременно).
7.1.2. Подпись запроса
Вариант подпись запроса используется для подписи (ЭП) сформированного
запроса для последующей (в удобное для Клиента время) отправки его в Банк. В
этом случае необходимо нажать пиктограмму
(рис. 7.9).
«Подписать/Снять подпись»
Рис. 7.9. Подпись запроса
Если ключевой носитель отсутствует, то будет выдано сообщение о
необходимости его вставить. Затем потребуется сформировать набор случайных
чисел и ввести PIN-код (аналогично п. 7.1.1. рис. 7.5-9.7). После ввода PIN-кода
выдается сообщение об установке подписи выбранного абонента (рис. 7.10).
Рис. 7.10. Установка подписи
34080025-100-РП_Instr_IK
35
Далее, после нажатия кнопки Подписать, появляется окно с Актом
признания открытого ключа (рис. 7.11), который распечатывать не надо.
Рис. 7.11. Акт признания открытого ключа
После просмотра акта выдается окно с сообщением, что запрос успешно
подписан (рис. 7.12). При этом его статус изменится на «подписан».
Рис. 7.12. Сообщение об успешно подписанном запросе
Примечание. Если, по каким-либо причинам, необходимо снять подпись с
документа (запроса), выделите требуемый документ и нажмите
пиктограмму
«Подписать/Снять
изменится на «новый».
подпись».
Статус
документа
34080025-100-РП_Instr_IK
36
Для завершения обработки подписанного запроса его необходимо оправить
в Банк. При этом используется функция «Отправить в обработку полностью
подписанные документы»
. Данная пиктограмма появляется только у
документов со статусом «подписан» (рис. 7.13).
В любое удобное время, выбирается соответствующий документ (запрос) и
щелчком по пиктограмме
отправляется в Банк.
Рис. 7.13. Отправка подписанного запроса в Банк
В результате статус запроса изменяется на «принят» (рис. 7.14).
Рис. 7.14. Обработка запроса
7.1.3. Подпись и отправка запроса
Данный вариант (включающий в себя все перечисленные выше варианты)
используется для подписи сформированного запроса и немедленной отправки его
в Банк.
После выполнения щелчка по пиктограмме
«Подписать и отправить» (рис.
7.15), начинают выполняться процедуры, описанные в пп. 7.1.1.- 7.1.2.
34080025-100-РП_Instr_IK
37
Рис. 7.15. Подпись и отправка запроса
Если ключевой носитель отсутствует, то будет выдано сообщение о
необходимости его вставить. Затем необходимо сформировать набор случайных
чисел и ввести PIN-код (аналогично п. 7.1.1. рис. 7.5 - 7.7). После ввода PIN-кода
выдается сообщение об установке подписи выбранного абонента (рис. 7.10) и
после нажатия кнопки Подписать появится окно с Актом признания открытого
ключа (рис. 7.11), который распечатывать не надо.
Далее запрос будет автоматически отправлен в Банк и на экране появится
сообщение об обработанных документах и успешном изменении подписи, а
запрос изменяет статус на «принят» (рис. 7.16).
Рис. 7.16. Обработка запроса
На этом процесс создания запросов на регистрацию сертификатов ключей
проверки электронной подписи и отправки их в Банк завершен. Аналогично
необходимо сформировать запросы и для других абонентов.
7.2. Получение Произвольных документов с файлами сертификатов и
Актами об оказании услуг. Завершение перегенерации ключей
После получения Банком запросов на регистрацию сертификатов ключей
подписи, администратор безопасности Банка создает Произвольные документы с
файлами сертификатов и Актами об оказании услуг в количестве, определяемом
количеством отправленных в Банк запросов (количеством ключевых наборов). Эти
документы отправляются Клиенту и появляются на экране в разделе меню
Документы из банка - Произвольный документы из банка (рис. 7.17).
34080025-100-РП_Instr_IK
38
Рис. 7.17. Произвольный документ из Банка
с файлом сертификата и Актом об оказании услуг
Необходимо открыть Произвольный документ (рис. 7.18) и просмотреть
файлы сертификатов, обращая внимание на правильность заполнения их
параметров (рис. 7.19).
Рис. 7.18 Произвольный документ из Банка
Рис. 7.19. Проверяемые
данные сертификата Клиента
Распечатать Акт об оказании услуг (рис. 7.20) в двух экземплярах для
каждого ключевого набора, подписать и передать Акты Менеджеру Банка,
34080025-100-РП_Instr_IK
39
Рис. 7.20. Акт об оказании услуг
Менеджер Банка в присутствии Клиента заполняет реквизиты, подлежащие
ручному заполнению, в обоих экземплярах Акта об оказании услуг (для каждого
ключевого набора). Один экземпляр Акта возвращается Клиенту.
Через некоторое время, у Клиента, в разделе меню Сервис Безопасность – Перегенерация комплекта ключей - Запросы на
перегенерацию (список обработанных запросов), появляется инфорация о
статусе запроса. Выбрав данный пункт меню, и определив абонента в списке
«Запросы на перегенерацию, зарегистрированные в банке» (сертификат должен
иметь статус «зарегистрирован+») нажимаем пиктограмму
сертификата» (рис. 7.21).
«Получение
Рис. 7.21. Получение рабочих СКП
Далее будет предложено установить рабочий ключевой
выбранного абонента (рис. 7.22) и ввести PIN-кода на контейнер.
носитель
Рис. 7.22. Сообщение о необходимости установить рабочий ключевой носитель
34080025-100-РП_Instr_IK
40
После выполнения указанных требований появляется окно (рис. 7.23), в
котором после нажатия кнопки Продолжить запускается процесс перегенерации
ключа подписи.
Рис. 7.23. Запуск процесса перегенерации секретного ключа
По окончанию данного процесса выдается сообщение о его завершении и
переводе абонента на работу с новым комплектом ключей (рис. 7.24).
Рис. 7.24. Сообщение о переводе на работу с новым комплектом ключей
Убедиться в переходе на новые рабочие ключи можно, посмотрев в каком
состоянии сертификаты. В разделе меню Сервис - Безопасность –
Перегенерация комплекта ключей - Профили статус рабочих СКП ЭП должен
быть «в эксплуатации».
Рис. 7.25. Проверка статуса профиля абонента
34080025-100-РП_Instr_IK
41
На этом процесс установки и начальной настройки подсистемы «ИнтернетКлиент» системы дистанционного банковского обслуживания BS-Client v.3
закончен и можно переходить к его эксплуатации.
Плановая смена СКП ЭП по окончании срока действия выполняется в
соответствии с Приложением 8.
8. Работа с устройством SafeTouch
Начиная с версии 17.9 системы, подпись документов может
осуществляться с использованием устройства контроля подписываемых
данных SafeTouch, которое является считывателями смарт-карт.
Использование данного устройства обеспечивает защиту от следующих
угроз безопасности:
•
подмена подписываемого документа – за счет вывода реквизитов
подписываемых документов на экран устройства пользователь имеет
возможность
проверить
содержимое
документа
перед
его
подписанием, тем самым исключается возможность подлога
документа;
•
несанкционированное использование средств ЭП клиента – подпись
документа производится по ручному нажатию кнопки с зеленой
подсветкой, расположенной на корпусе устройства; тем самым
исключается
возможность
запуска
операции
подписи
злоумышленниками с помощью программных средств.
SafeTouch является считывателем смарт-карт с возможностью
визуализации данных, передаваемых на подпись в смарт-карту.
Совместно со смарт-картой, которая должна представлять собой
сертифицированное средство криптографической защиты информации,
считыватель SafeTouch обеспечивает наложение электронной подписи на
документ. При этом хранение ключевой информации и непосредственно
выработку электронной подписи осуществляет смарт-карта.
34080025-100-РП_Instr_IK
42
Устройство снабжено дисплеем для возможности просмотра реквизитов
документов перед их подписанием.
Рис. 8.1. Внешний вид устройства SafeTouch
Считыватель смарт-карт
следующие возможности:
SafeTouch
обеспечивает
одновременно
•
просмотр основных реквизитов подписываемых документов;
•
передачу документов на подпись в смарт-карту;
•
отклонение передачи документов на подпись в смарт-карту;
•
криптографическую
Клиент;
•
передачу на подпись запроса на новый сертификат электронной
подписи (ЭП) при перегенерации.
аутентификацию
в
подсистеме
Интернет-
Считыватель смарт-карт SafeTouch является CCID-совместимым
устройством. Драйвера, требуемые для работы с данным устройством,
входят в состав ОС семейства Windows (по умолчанию в Windows Vista и
Windows 7, для Windows XP требуется обновление с использованием
службы Windows Update).
8.1. Ограничения, накладываемые на использование считывателя смарткарт SafeTouch
На использование в системе устройств контроля подписываемых
данных – считывателя смарт-карт SafeTouch наложены следующие
ограничения:
34080025-100-РП_Instr_IK
43
•
Для работы с устройством SafeTouch рекомендуется использовать
разъемы контроллера USB 2.0. В случае использования разъемов
контроллера USB 3.0 необходимо отключить параметр, отвечающий за
энергосберегающий режим, в свойствах подключенного устройства
для чтения смарт-карт в диспетчере устройств. При возникновении
каких-либо иных проблем необходимо обратиться к разработчику
драйверов контроллера USB 3.0.
•
Ключи могут быть сформированы только на основе СКЗИ КриптоПро
eToken CSP.
Примечание
Возможность использования СКЗИ КриптоПро eToken CSP при работе с устройством
доступна, в случае если версия СКЗИ не ниже 3.6.6193 (версия ядра провайдера не
ниже 3.6.5358 КС1).
•
В случае использования СКЗИ КриптоПро eToken CSP пароль доступа
к ключу, расположенному на смарт-карте, кэшируется на уровне CSP.
В связи с этим, для предотвращения несанкционированного
использования устройства рекомендуется полностью выгружать все
экземпляры интернет-браузера Internet Explorer после завершения
работы с системой "ДБО BS-Client" и не оставлять смарт-карту без
присмотра.
•
В случае использования СКЗИ КриптоПро eToken CSP для корректной
работы необходимо использовать не более одного устройства
SafeTouch на одном компьютере одновременно.
•
Ключи могут быть сформированы только на смарт-картах eToken
ГОСТ.
•
Отключение смарт-карты в момент обработки информации может
привести к выходу из строя устройства SafeTouch и / или карты.
•
В случае подключения считывателя смарт-карт SafeTouch к рабочей
станции посредством удлинителя, последний должен обеспечивать
качественное прохождение сигналов и подачу электропитания.
8.2. Реквизиты, отображаемые на экране считывателя смарт-карт
SafeTouch
Для каждого типа подписываемого документа, реализована возможность
вывода его реквизитов на экран считывателя смарт-карт SafeTouch.
Состав выводимых реквизитов для каждого типа документа различен.
Описание реквизитов, выводимых на устройство, для каждого типа
документа приведено в прил. 14 «Сообщения, выводимые на экран
считывателя смарт-карт SafeTouch».
Внимание!
При подписи документов рекомендуется выполнять не только сверку реквизитов,
выводимых в системе "ДБО BS-Client", но и проверку бумажного оригинала документа с
данными, выводимыми на экране считывателя SafeTouch.
34080025-100-РП_Instr_IK
44
8.3. Особенности подписи пакета документов
В случае если пользователь отправил на подпись несколько документов
(например, из списка документов), на устройство будет последовательно
передан на подпись каждый документ в отдельности. Таким образом,
подпись пакета документов сводится к последовательной подписи
каждого документа.
34080025-100-РП_Instr_IK
Банк «Возрождение» ОАО
_
Приложение 1
Приложение 1. Перечень сокращений, термины и определения
Перечень сокращений
АРМ
Автоматизированное рабочее место
ДБО
Дистанционное банковское обслуживание
СКЗИ
Средство криптографической защиты информации
ЭП
Электронная подпись
РМ
Рабочее место
СКП ЭП
Сертификат ключа проверки электронной подписи
УЦ
Удостоверяющий центр
Термины и определения
Ключевой носитель –
USB-ключ eToken
PRO/32K, eToken
PRO/64K или eToken
PRO Java /72K
PIN-код (Personal
Identification Number)
Ключевая пара
Ключевой набор
Криптографический
профиль
Ключ проверки
электронной подписи
Ключ подписи
Протокол POP
Протокол SMTP
Сертификат ключа
Сертифицированный носитель ключевой информации,
содержащий все ключи подписи одного владельца.
Доступ к ключам закрывается PIN-кодом. Допускается три
попытки ввода PIN-кода, после чего eToken блокируется.
Разблокировка eToken осуществляется администратором,
знающим
PIN-код
администратора.
При
блокировке PIN-кода администратора, ключи подписи в
eToken восстановлению не подлежат.
Аналог пароля, требующийся для получения доступа к
защищённым данным, хранящимся в памяти eToken.
Совокупность соответствующих друг другу ключа подписи
и ключа проверки электронной подписи.
Набор, состоящий из ключевой пары абонента и
сертификата ключа проверки электронной подписи
уполномоченного лица Удостоверяющего центра банка,
верифицирующего сертификат абонента, а так же
сертификатов абонентов, с которыми должен
осуществляться обмен информацией.
Криптографический
профиль
(сокращенно
криптопрофиль) - объект системы "ДБО BS-Client v.3",
содержащий сведения об абоненте и используемых им
ключах и определяющий права абонента на выполнение
криптографических операций.
Свободно распространяемая часть ключевой пары. Ключ
проверки электронной подписи распространяется в виде
сертификата.
Персональная (закрытая) часть ключевой пары. Ключ
подписи является конфиденциальной информацией его
владельца.
Для
обеспечения
безопасности
использования системы ДБО, рабочий ключ подписи
изготавливается владельцем самостоятельно, он имеет
признак «неэкспортируемый» и хранится в защищенном
носителе – USB-ключе eToken PRO/32K, eToken PRO/64K
или eToken PRO Java /72K.
Post Office Protocol (POP) - протокол доставки почты
пользователю из почтового ящика почтового сервера.
SMTP (Simple Mail Transfer Protocol) протокол передачи
электронных сообщений (почты).
Электронный документ или документ на бумажном
34080025-100-РП_Instr_IK
46
проверки
электронной подписи
Сертификат ключа
проверки
электронной подписи
на бумажном
носителе
Сертификат ключа
проверки
электронной подписи
уполномоченного
лица
Удостоверяющего
центра
Электронная подпись
носителе, выданные Удостоверяющим центром и
подтверждающие принадлежность ключа проверки
электронной подписи владельцу СКП ЭП. Соответствует
ранее применяемому термину – сертификат ключа
подписи.
Документ
на
бумажном
носителе,
содержащий
информацию из СКП ЭП, заверенный собственноручной
подписью уполномоченного лица Удостоверяющего
центра и печатью. Соответствует ранее применяемому
термину – сертификат ключа подписи на бумажном
носителе.
Электронный документ, содержащий ключ проверки
электронной
подписи
уполномоченного
лица
Удостоверяющего центра, и который предназначен для
подтверждения
подлинности
ЭП
в
изданных
Удостоверяющим центром СКП ЭП и идентификации
владельцев
СКП
ЭП.
Соответствует
ранее
применяемому
термину
–
корневой
СКП
уполномоченного лица УЦКИС.
Информация
в
электронной
форме,
которая
присоединена к другой информации в электронной
форме (подписываемой информации) или иным образом
связана с такой информацией и которая используется
для определения лица, подписывающего информацию.
Соответствует
ранее
применяемому
термину
–
электронная цифровая подпись. Электронная подпись
является неотъемлемой частью электронного документа.
Назад
34080025-100-РП_Instr_IK
_
Банк «Возрождение» ОАО
Приложение 2
Приложение 2. Требования к аппаратным средствам и программному
обеспечению компьютера Клиента
В соответствии с документацией фирмы OOO «БСС» для установки
клиентской части подсистемы «Интернет-Клиент» системы ДБО BS-Client v.3
требуется персональный компьютер следующей конфигурации: процессор – от
Pentium 166; ОЗУ – от 32 Мб (в зависимости от операционной системы); жесткий
диск со свободным объемом не менее 50 Мб; видеосистема, обеспечивающая
область экрана не менее 1024x768 пикселей; принтер, для печати документов.
При соответствии компьютера лишь минимальным требованиям гарантируется
только работоспособность системы.
Для USB-ключей eToken – свободный работающий USB-порт;
Для работы в системе BS-Client необходимо иметь доступ в Интернет c
шириной канала 512 кб/с и выше.
На компьютере Клиента должна быть установлена одна из следующих
операционных систем:
Windows XP (Home Edition, Professional) SP2 – 32- и 64-разрядные
версии;
Windows 2003 SP1 – 32- и 64-разрядные версии;
Windows Vista – 32- и 64-разрядные версии;
Windows 7 – 32- и 64-разрядные версии;
Windows 2008 – 32- и 64-разрядные версии.
Назад
34080025-100-РП_Instr_IK
_
Банк «Возрождение» ОАО
Приложение 3
Приложение 3. Особенности настройки операционной системы Windows 7
(Vista)
В операционных системах (ОС) Windows 7 (Vista) имеется механизм
контроля учетных записей пользователей (UAC). Он позволяет повысить
безопасность системы, путем осуществления контроля обращения приложений к
файлам жесткого диска. При попытках установки программного обеспечения, а
также при попытках записи приложением данных на жесткий диск, механизм
контроля учетных записей либо требует подтверждения необходимости
выполнения действия, либо запрещает его.
Поскольку клиентская часть подсистемы «Интернет-Клиент» в процессе
своей работы обращается к файлам жесткого диска, то для полноценной работы
требуется либо постоянное подтверждение необходимости выполнение действия,
либо отключение контроля учетных записей.
Отключить контроль учетных записей можно следующим образом:
1. Отобразите панель управления Windows (Control Panel).
2. Выберите пункт Учетные записи пользователей. Система отобразит
окно настройки учетных записей пользователей.
3. Выберите пункт Учетные записи пользователей. Система отобразит
окно изменения параметров учетной записи пользователя.
4. Выберите пункт Включение или отключение контроля учетных
записей (UAC). Система отобразит сообщение UAC о необходимости
подтверждения действия.
5. Нажмите кнопку Продолжить. Система отобразит окно изменения
параметров UAC.
Рис. П3.1.Окно свойств КриптоПро CSP
6. Снимите (уберите «галочку») заполнение поля Используйте контроль
учетных записей (UAC) для защиты компьютера в ОС Windows Vista
или выберите необходимую степень защиты в ОС Windows 7.
7. Нажмите кнопку ОК. Система выведет предложение произвести
перезагрузку системы.
8. Нажмите кнопку Перезагрузить сейчас. Система осуществит
перезагрузку системы.
После выполнения указанных действий контроль учетных записей
пользователей будет отключен.
Назад
34080025-100-РП_Instr_IK
_
Банк «Возрождение» ОАО
Приложение 4
Приложение 4. Проверка работоспособности КриптоПро CSP 3.6 R2
Для проверки работоспособности СКЗИ КриптоПро CSP,
ключевого
носителя eToken и правильности установки драйвера необходимо проверить
наличие контейнера с ключевым набором на eToken.
Установите USB-ключ eToken в свободный работающий USB-порт через
удлинительный кабель. Откройте панель управления компьютером, используя
пункты меню Пуск-> Настройка->Панель управления и в окне панели
управления выберите КриптоПро CSP - Сервис. Нажмите кнопку «Посмотреть
сертификаты в контейнере» (рис. П4.1).
Рис. П4.1.Окно свойств КриптоПро CSP
В открывшемся окне «Сертификаты и контейнеры закрытого ключа» (рис.
П4.2) нажмите кнопку «Обзор» и выберите контейнер открытого ключа (рис. П4.3).
Внимание! В память USB-ключей eToken Pro/32К по умолчанию может быть
записано не более восьми ключевых контейнеров СКЗИ КриптоПро CSP, а
eToken Pro/64К - не более 16, а в eToken Pro Java/72К - не более 14. Для того,
чтобы в eToken PRO/64К помещалось 16 ключевых контейнеров, а в eToken Pro
Java/72К помещалось 14 ключевых контейнеров необходимо отредактировать
реестр (См.Примечание).
Примечание. Параметр, определяющий максимальное число контейнеров –
строковый параметр с именем Folders, который расположен в ветке:
HKEY_LOCAL_MACHINE\\SOFTWARE\\CryptoPro\\Cryptography\\CurrentVersion\\Ke
yCarriers\\eToken_PRO_M420\\Default для eToken Pro/64К и
HKEY_LOCAL_MACHINE\\SOFTWARE\\CryptoPro\\Cryptography\\CurrentVersion\\Ke
yCarriers\\eToken_JAVA_10\\Default для eToken Pro Java/72К.
По умолчанию значение этого параметра равно:
CC00\\CC01\\CC02\\CC03\\CC04\\CC05\\CC06\\CC07\\CC08\\CC09.
Для увеличения максимального числа контейнеров до 16-ти необходимо
присвоить параметру значение:
CC00\\CC01\\CC02\\CC03\\CC04\\CC05\\CC06\\CC07\\CC08\\CC09\\CC10\\CC11\\C
C12\\CC13\\CC14\\CC15.
Для увеличения максимального числа контейнеров до 14-ти необходимо
присвоить параметру значение:
CC00\\CC01\\CC02\\CC03\\CC04\\CC05\\CC06\\CC07\\CC08\\CC09\\CC10\\CC11\\C
C12\\CC13.
34080025-100-РП_Instr_IK
50
Рис. П4.2. Окно поиска контейнера
закрытого ключа
Рис. П4.3. Окно выбора ключевого
контейнера
В мастере просмотра сертификата нажмите кнопку «Далее» (рис. П4.4).
Рис. П4.4. Выбранный ключевой контейнер
После определения ключевого устройства (рис. П4.5) появится окно
сертификата (рис. П44.6).
Рис. П4.5. Окно определения
ключевого устройства
Рис. П4.6. Окно сертификата
Нажав кнопку «Свойства», можно просмотреть содержимое сертификата.
Просмотр сертификата в ключевом контейнере возможен только для
технологического СКП, полученного из банка. Для рабочих СКП (как первого,
так и последующих), данная операция невозможна.
Если указанные действия были успешно выполнены, то это
свидетельствует о работоспособности СКЗИ КриптоПро CSP, ключевого носителя
eToken, ключа и сертификата в нем, а так же установленного набора драйверов
RTE. В противном случае дальнейшая работа по установке клиентского АРМ не
имеет смысла.
Назад
34080025-100-РП_Instr_IK
_
Банк «Возрождение» ОАО
Приложение 5
Приложение 5. Компоненты дистрибутива «Интернет-Клиент»
Перед установкой дистрибутива клиентской части подсистемы «ИнтернетКлиент» желательно проверить в нем
наличие сертификатов:
- \ № сертификата\PUBLIC\00000000\CA\c0.cer и С01.cer – сертификаты ключа
проверки электронной подписи уполномоченного лица Удостоверяющего
центра,
- \ № сертификата \CRYPTO\PUBLIC\00000000\№ сертификата.cer –
технологического сертификата ключа проверки электронной подписи Клиента,
а также сертификатов ключа проверки электронной подписи Администраторов ЦС
ДБО банка.
- \ № сертификата \CRYPTO\PUBLIC\00000000\ABONENT\08aХХ.cer
- \ № сертификата \CRYPTO\PUBLIC\00000000\ABONENT\08aХХ.cer
Номера и количество технологических сертификатов может быть
произвольным и зависит от количества ЭП, используемых в организации Клиента.
Также в составе дистрибутива может находиться текстовый файл,
например, c именем 1.txt, в котором указаны ЛОГИН и ПАРОЛЬ для авторизации
Клиента. В случае отсутствия файла ЛОГИН и ПАРОЛЬ для регистрации Клиента
следует получить у сотрудников филиала Банка.
Назад
34080025-100-РП_Instr_IK
_
Банк «Возрождение» ОАО
Приложение 6
Приложение 6. Проверка состояния ключевого носителя eToken
Внимание! Данный пункт инструкции выполняется в том случае, когда
имеются подозрения, что в процессе ввода PIN-кода eToken было сделано
более трех последовательных попыток его неправильного ввода.
В процессе работы с eToken может возникнуть ситуация, когда
пользователем было сделано более трех последовательных попыток
неправильного ввода PIN-кода. В этом случае eToken блокируется.
Проверить состояние
eToken (блокирован или не блокирован) можно
следующим образом.
П6.1. Проверка состояния ключевого носителя eToken при использовании
драйвера RTE 3.66
1. Подключите eToken к USB-порту компьютера. Световой индикатор USBключа eToken должен гореть.
2. Перейдите в меню Пуск – Программы – eToken и выберите пункт eToken
Properties.
3. В окне Свойства eToken (рис. П6.1) выберите вставленный eToken на
панели слева и нажмите кнопку Дополнительно….
Рис. П6.1. Окно Свойства eToken
Рис. П6.2. Окно ввода (PIN-кода)
1. В появившемся окне (рис. П6.2) введите пароль (PIN-код) пользователя
eToken и нажмите OK.
2. Если появляется окно сообщения рис. П6.3, то eToken блокирован. Если
данное окно не появляется, то eToken не заблокирован и проверку следует
прекратить, закрыв окно Свойства.
34080025-100-РП_Instr_IK
53
Рис. П6.3. Окно сообщения о
блокировании eToken
Рис. П6.4. Окно Свойства eToken
П6.2. Разблокирование ключевого носителя eToken при использовании
драйвера RTE 3.66
Для
разблокирования
eToken
необходимо
иметь
PIN-код
администратора и выполнить следующие действия.
Внимание!
При
отсутствии
PIN-кода
администратора
для
разблокировки eToken необходимо приехать с ним в Банк к
администратору безопасности.
1.
В окне Свойства eToken (рис. П6.4) выберите вставленный eToken на
панели слева и нажмите кнопку Дополнительно. В появившемся окне
(рис. П6.5) введите пароль (PIN-код) администратора eToken,
заполните поле (поставьте «галочку») Введен пароль Администратора
и нажмите OK.
Рис. П6.5. Выбранный ключевой
контейнер
Рис. П6.6. Окно Свойства eToken.
Закладка Администратор.
2.
В окне Свойства eToken (рис. П6.6) выберите закладку Администратор и
нажмите кнопку Задать PIN-код.
3.
В окне Назначение нового PIN-кода (рис. П6.7) введите новый PIN-код
(запомните новый PIN-код), его подтверждение и нажмите ОК. При
успешном вводе появится информационное окно рис. П6.8, в котором
нажмите ОК.
34080025-100-РП_Instr_IK
54
Рис. П6.8.Сообщение об
изменении PIN-кода пользователя
Рис. П6.7. Окно Назначение
нового PIN-код
В дальнейшем, для работы с eToken используйте новый PIN-код
П6.3. Проверка состояния ключевого носителя eToken при
использовании драйвера PKI Client 5.1 SP1
Проверить состояние eToken при использовании драйвера PKI Client 5.1
SP1 (заблокирован или не заблокирован) можно следующим образом.
1. Подключите eToken и убедитесь, что световой индикатор eToken светится.
2. В меню Пуск выберите Программы – eToken - eToken PKI Client - eToken
Properties.
3. В окне Свойства eToken нажмите кнопку Просмотр данных о eToken (рис.
П6.9).
Рис. П6.9. Информация о eToken
Если в окне Информация о eToken в строке Попыток пароля пользователя
- Осталось стоит число 0 , то eToken заблокирован (рис. П6.10). При наличии
числа отличного от 0 - eToken не заблокирован (рис. П6.11).
34080025-100-РП_Instr_IK
55
Рис. П6.10. Информация о eToken.
eToken заблокирован
Рис. П6.11. Информация о
eToken. eToken не заблокирован
П6.4. Разблокирование ключевого носителя eToken при использовании
драйвера PKI Client 5.1 SP1
Для разблокирования eToken выполните следующие действия:
1. В окне
Свойства eToken (рис. П6.12) выберите на панели слева
вставленный eToken и нажмите пиктограмму Подробный вид.
2. В открывшемся окне (рис. П6.13) на панели слева в меню Устройства
выберите вставленный eToken, после чего, на панели инструментов
справа, нажмите пиктограмму Вход с правами Администратора (рис.
П6.14).
Рис. П6.12. Окно Свойства eToken
Рис. П6.13. Окно Свойства
eToken. Подробный вид
3. В открывшемся окне Вход с правами администратора на eToken (рис.
П6.15) в поле Пароль введите пароль (PIN-код) администратора eToken и
нажмите кнопку OK.
34080025-100-РП_Instr_IK
56
Рис. П6.15. Ввод пароля (PINкода) администратора
Рис. П6.14. Вход с правами
администратора
4. В окне Свойства eToken на панели инструментов (рис. П6.16).нажмите
на пиктограмму Установить пароль пользователя.
5. В открывшемся окне Назначить пароль eToken (рис. П6.17) в поле
Новый пароль введите пароль (PIN-код) пользователя (запомните и
запишите новый PIN-код), а затем повторите его в поле Подтверждение
пароля. В поле Максимальное количество ошибок при входе
установите значение 3 и нажмите кнопку OK.
Внимание! В качестве пароля рекомендуется использовать PIN-код для
eToken, полученный в конверте в филиале Банка.
6. В окне Изменить пароль (рис. П6.18) подтвердите изменение пароля,
нажав ОК.
Рис. П6.17. Назначить
пароль (PIN-код) eToken
Рис. П6.16. Установить пароль (PIN-код)
Рис. П6.18. Пароль (PINкод) успешно изменен
Если пароль (PIN-код) был изменен, то в дальнейшем для работы с eToken
используйте новый PIN-код.
Назад
34080025-100-РП_Instr_IK
_
Банк «Возрождение» ОАО
Приложение 7
Приложение 7. Общие сведения о криптографической подсистеме
В соответствии с разделом 8.2. «Использование электронной подписи и
шифрования в электронном документообороте» Правил пользования системой
ДБО Банка:
 Электронные документы с электронной подписью принимаются к исполнению
при выполнении условий для признания юридического значения усиленной
неквалифицированной электронной подписи, установленных частью 3 статьи
5, частью 2 статьи 6 и статьей 10 Федерального закона «Об электронной
подписи» от 06.04.2011 № 63-ФЗ, а также иными нормативными правовыми
актами органов государственной власти;
 Участники системы ДБО признают, что используемые в системе ДБО
сертифицированные ФСБ России СКЗИ обеспечивают соответствие
применяемой в системе ДБО усиленной неквалифицированной электронной
подписи законодательным требованиям к усиленной неквалифицированной
электронной подписи.
Криптографическая подсистема системы "ДБО BS-Client v.3" банка и его
клиентов образуют криптографическую сеть. В рамках этой сети
осуществляется обмен зашифрованной информацией между субъектами,
называемыми абонентами криптографической сети (далее – абоненты).
Следует отметить различие между понятием клиент и абонент. Во-первых,
клиент банка – юридическое лицо – может иметь несколько абонентов. Например,
абонентами могут быть главный бухгалтер и генеральный директор организации
клиента. Во-вторых, на стороне банка также имеются абоненты – Администраторы
системы ДБО Банка.
Также имеется различие между понятиями абонент и пользователь в
системе "ДБО BS-Client v.3". Обычно абоненту однозначно сопоставляется
физический пользователь системы, однако в общем случае абонент может
соответствовать группе пользователей или один пользователь может быть
зарегистрирован как несколько абонентов.
В системе "ДБО BS-Client v.3" информация о каждом абоненте сохраняется
в виде криптографического профиля.
Для
криптографической
защиты
информации
используются
асимметричные криптографические алгоритмы. Криптографические алгоритмы
реализуют в виде специального ПО – средства криптографической защиты
информации (СКЗИ). В нашем случае в качестве СКЗИ используется
сертифицированное ФСБ России средство КриптоПро CSP 3.6 R2.
Асимметричные криптографические алгоритмы
используют так
называемые ключевые пары, каждая из которых состоит из ключа подписи и
ключа проверки электронной подписи.
СКЗИ использует ключ подписи для формирования усиленной
неквалифицированной электронной подписи и расшифрования данных. Ключ
подписи является информацией ограниченного доступа (конфиденциальной
информацией). Защита данного ключа от несанкционированного доступа лежит на
владельце ключа. Руководством по обеспечению безопасности использования
электронной подписи и средств электронной подписи при эксплуатации Клиентом
АРМ системы ДБО – Приложение 9 Правил пользования централизованной
системой дистанционного банковского обслуживания Банка «ВОЗРОЖДЕНИЕ»
(ОАО) и настоящим Руководством пользователь системы ставится в известность
относительно условий безопасного использования электронной подписи и средств
электронной подписи при эксплуатации Клиентом АРМ системы ДБО.
34080025-100-РП_Instr_IK
58
Второй частью ключевой пары является ключ проверки электронной
подписи, используемый для шифрования данных и проверки электронной
подписи. Ключ проверки электронной подписи не является конфиденциальной
информацией и может распространяться по открытым каналам связи, без
дополнительной защиты.
При использовании СКЗИ ключ проверки электронной подписи
распространяется в виде сертификата. Сертификат представляет собой ключ
проверки электронной подписи, снабженный дополнительной информацией (о его
владельце, сроке действия и т.д.) и заверенный электронной подписью
уполномоченного лица Удостоверяющего центра (УЦ) банка – специального
внешнего по отношению к системе "ДБО BS-Client v.3" органа, которому доверяют
и банк и клиент, в функции которого входит выдача сертификатов. Используя
сертификат уполномоченного лица самого УЦ каждый пользователь может
проверить достоверность сертификата, выпущенного УЦ.
Секретный ключ и открытый ключ соответствуют друг другу. Соответствие
определяется UID – уникальным идентификатором ключевой пары. UID
однозначно определяет ключевую пару в рамках системы "ДБО BS-Client v.3": не
может быть двух абонентов, которым соответствуют две различные ключевые
пары с одинаковым UID. В системе "ДБО BS-Client v.3" обеспечивается контроль
уникальности UID ключевых пар.
С целью обеспечения большей безопасности использования ключей
подписи клиентов в системе "ДБО BS-Client v.3" для ключевых наборов клиентов
введен признак технологического ключевого набора. При регистрации нового
клиента в системе банка ключевые пары абонентов клиента формируются на
стороне банка.
Сгенерированные Банком с использованием ГОСТ Р 34.10-2001
технологические не экспортируемые ключи подписи и технологические
сертификаты ключа проверки электронной подписи (СКП ЭП) Клиента на eToken
передаются Клиенту вместе с дистрибутивом системы.
После установки клиентского АРМ с технологическими ключами подписи и
технологическими СКП ЭП Клиент должен выполнить перегенерацию
технологических ключей подписи на рабочие с использованием переданных
Банком носителей ключевой информации eToken;
Клиент самостоятельно изготавливает не экспортируемые ключи
подписи, что исключает возможность совершения сотрудниками Банка
противоправных действий по отношению к Клиенту, так как сотрудникам Банка эти
ключи неизвестны.
Примечание: Самостоятельная генерация Клиентом рабочих ключей
соответствует процедуре перегенерации технологических ключей. Система
позволяет проводить перегенерацию ключей, соответствующих уже
реальному криптопрофилю Клиента. Поэтому сгенерированный рабочий ключ
подписи Клиента и соответствующий ему СКП ЭП будут соответствовать
технологическому ключу подписи и технологическому СКП ЭП по своим
свойствам и отвечать требованиям Клиента, указанным в Заявлении на
изготовление СКП ЭП.
Первым этапом по реализации процесса перегенерации технологических
ключей подписи на рабочие является создание запросов на регистрацию
сертификатов ключей проверки электронной подписи.
Назад
34080025-100-РП_Instr_IK
_
Банк «Возрождение» ОАО
Приложение 8
Приложение 8. Плановая смена СКП ЭП по окончании срока действия
За 30 суток (по умолчанию) до истечения срока действия сертификата
ключа проверки электронной подписи (СКП ЭП) в системе выводится сообщение о
приближающемся окончании срока действия сертификата.
Не позднее, чем за две недели до окончания срока действия СКП ЭП, Вам
необходимо проверить количество ключевых контейнеров СКЗИ КриптоПро CSP
хранящихся в Ваших USB-ключах eToken. В зависимости от типа USB-ключа
eToken:
 для eToken PRO/32К, если в памяти уже хранится 6 ключевых контейнеров,
 для eToken PRO/64К, если в памяти уже хранится 14 ключевых контейнеров,
 для eToken PRO Java/72К, если в памяти уже хранится 12 ключевых
контейнеров,
Вы обязаны сообщить Менеджеру Банка о том, что ваш USB-ключ eToken
полностью заполнен.
В этом случае Вам необходимо, по согласованию с Менеджером Банка, начать
процедуру получения либо нового eToken, либо обновления Вашего eToken путем
его форматирования с удалением всей хранящейся в eToken информации.
В случае, если число ключевых контейнеров СКЗИ КриптоПро не достигло
указанных выше лимитов, Вы обязаны сообщить Менеджеру Банка о готовности
начать процедуру плановой смены СКП ЭП и согласовать дату смены СКП ЭП.
Важно!!! В случае невыполнения указанных действий, в назначенный срок,
СКП ЭП будут переведены в статус «Не активный». При этом работа в системе
ДБО BS-Client v.3 становится невозможной.
В назначенный день (до истечения срока действия СКП ЭП) необходимо
выполнить работы по плановой смене ключей подписи, т.е. самостоятельно
выполнить перегенерацию ключей подписи и выработать соответствующие им
запросы СКП ЭП (выполнить п.7.1 инструкции). Перед перегенерацией
необходимо убедиться, что в списке считывателей КриптоПро CSP указан
только считыватели смарт-карт, чтобы удостовериться, что контейнер
КриптоПро CSP будет сгенерирован на eToken. Для этого нажмите кнопку Пуск –
Настройка - Панель управления и выберите КриптоПро CSP. В окне Свойства:
КриптоПро CSP панели настройки СКЗИ КриптоПро CSP выберите вкладку
Оборудование (рис. 8.1).
34080025-100-РП_Instr_IK
60
Рис. П8.1. Вкладка Оборудование КриптоПро CSP
На вкладке Оборудование щёлкните по кнопке Настроить считыватели…
и в списке считывателей удалите все считыватели кроме “Все
считыватели смарт-карт” (рис. 8.2). После этого перезагрузите компьютер.
34080025-100-РП_Instr_IK
61
Рис. П8.2. Настройка Считыватели КриптоПро CSP
Для завершения процесса перегенерации ключей подписи после получения
из Банка Произвольных документов с файлами сертификатов ключей проверки
электронной подписи и Актами об оказании услуг, выполнить п.7.2 инструкции.
Назад
34080025-100-РП_Instr_IK
62
Приложение 9. Сообщения, выводимые на экран считывателя смарт-карт
SafeTouch
На экран считывателя смарт-карт SafeTouch для просмотра содержимого
документов перед их подписью выводится сообщение, содержащее часть
реквизитов документов. Каждое сообщение формируется на основе шаблона,
соответствующего определенному типу документа. Шаблоны сообщений
содержат макроподстановки, заключенные в угловые скобки. Каждая
макроподстановка соответствует определенному реквизиту документа. При
формировании сообщения макроподстановка будет заменена значением
конкретного реквизита документа.
Помимо сообщений, содержащих реквизиты документов, на экране
устройства могут быть выведены сообщения, передаваемые при авторизации
пользователя в подсистеме Интернет-Клиент, генерации ключевого набора,
создании запроса на сертификат и подписи запроса на сертификат.
Внимание!
В случае появления на экране устройства сообщений, не содержащих данных,
позволяющих однозначно идентифицировать подписываемый документ, необходимо
отказать в формировании электронной подписи и обратиться в службу поддержки вашего
банка.
В следующей таблице для каждого типа документа приведены шаблоны и
примеры сообщений, содержащих реквизиты документов.
Таблица 9.1. Сообщения, выводимые на экран считывателя SafeTouch
Шаблон сообщений, выводимых на экран
Пример сообщений, выводимых на экран
Платежное поручение
Вариант 1
№ <Номер документа> БИК <БИК банка получателя>
<номер счета получателя>
ИНН <ИНН получателя>
СУММА <Сумма>
№ "494" БИК "044583001"
"40702810300000500000"
ИНН "123456789123"
СУММА "999999999999990,00"
Вариант 2
№ <Номер документа> БИК <БИК банка получателя>
ИНН <ИНН получателя>
Получатель <Наименование получателя>
СУММА <Сумма>
№ "494" БИК "044583001"
ИНН "123456789123"
Получатель ООО "Ромашка"
СУММА "999999999999990,00"
Вариант 3
№ <Номер документа> БИК <БИК банка получателя>
Получатель <Наименование получателя>
Счет получ. <номер счета получателя>
СУММА <Сумма>
№ "494" БИК "044583001"
Получатель ООО "Ромашка"
Счет получ. "40702810300000500000"
СУММА "999999999999990,00"
Вариант 4
№ <Номер документа> БИК <БИК банка получателя> ИНН <ИНН получателя>
Получатель <Наименование получателя>
Счет получ. <номер счета получателя>
СУММА <Сумма>
№ "494" БИК "044583001" ИНН "123456789123"
Получатель ООО "Ромашка"
Счет получ. "40702810300000500000"
СУММА "999999999999990,00"
34080025-100-РП_Instr_IK
63
Шаблон сообщений, выводимых на экран
Пример сообщений, выводимых на экран
Поручение на перевод валюты
Вариант 1
SWIFT <БИК банка бенефициара>
ACC <Счет
бенефициара>
<Валюта суммы> <Сумма перевода>
SWIFT "ABNAUS33XXX"
ACC "1234567891234567"
"891234567891234567"
"840" "999999999999,99"
Вариант 2
SWIFT <БИК банка бенефициара>
ACC <Счет
бенефициара>
BEN <Наименование бенефициара>
<Валюта суммы> <Сумма перевода>
SWIFT "ABNAUS33XXX"
ACC "1234567891234567"
"891234567891234567"
BEN "Beneficiar"
"840" "999999999999,99"
Вариант 3
SWIFT <БИК банка бенефициара>
BANK <Наименование банка
бенефициара>
BEN <Наименование бенефициара>
<Валюта суммы> <Сумма перевода>
SWIFT "ABNAUS33XXX"
BANK "BenefBankName"
BEN "Beneficiar"
"840" "999999999999,99"
Поручение на покупку валюты
Покупка № <Номер документа>
<Код валюты счета по кредиту> <Сумма в валюте счета по кредиту>
RUB <Сумма в валюте счета по дебету>
<Тип покупки>
Покупка № "1234567891"
"840" "999999999999,99"
"810" "999999999999,99"
"У банка"
Поручение на продажу валюты
Продажа № <Номер документа>
<Код валюты счета по кредиту> <Сумма в валюте счета по кредиту>
<Код валюты счета по дебету> <Сумма в валюте счета по дебету>
<Тип покупки>
Продажа № "1234567891"
"840" "999999999999,99"
"810" "999999999999,99"
"Банку"
Поручение на конверсию валюты
Конверсия № <Номер документа>
<Код валюты счета по дебету> <Сумма в валюте счета по дебету>
<Код валюты счета по кредиту> <Сумма в валюте счета по кредиту>
<Тип конверсии>
Конверсия № "12345"
"840" "999999999999,99"
"978" "999999999999,99"
"У банка"
Распоряжение на списание средств с транзитного валютного счета
Спис. с транз. счета
<Код валюты суммы списания> <Сумма списания с транзитного счета>
прод <Сумма в валюте для продажи>
cчет <Сумма в валюте для зачисления>
Спис. с транз. счета
"840" "999999999999,99"
прод "999999999999,99"
счет "999999999999,99"
Произвольный документ
Произв. Документ
№ <Номер документа>
Произв. Документ
№ "123456789012345"
34080025-100-РП_Instr_IK
64
Шаблон сообщений, выводимых на экран
Пример сообщений, выводимых на экран
от <Дата документа>
от "15.11.2011"
Документ-конструктор
НЕСТАНДАРТНЫЙ
ДОКУМЕНТ
№ <Номер документа> от <Дата документа>
НЕСТАНДАРТНЫЙ
ДОКУМЕНТ
№"12345" от "15.11.2011"
Запрос на получение выписки
Запрос выписки
№ <Номер документа> от <Дата документа>
период с <Начало запрашиваемого периода>
по <Конец запрашиваемого периода>
Запрос выписки
№"12345" от "15.11.2011"
период c "01.11.2011"
по "14.11.2011"
Запрос на отзыв документа
Отзыв документа
№ <Номер отзываемого документа> от <Дата отзываемого документа>
Дата запроса <Дата документа>
Отзыв документа
№"12345" от "15.11.2011"
Дата запроса "16.11.2011"
Прочие сообщения
Сообщения, возникающие в ходе авторизации пользователя в подсистеме Интернет-Клиент
ЗАПРОС АВТОРИЗАЦИИ
от <ЧЧ:ММ> <ДД.ММ.ГГГ>
ПОДТВЕРДИТЬ?
ЗАПРОС АВТОРИЗАЦИИ
от "16:16" "30.05.2012г."
ПОДТВЕРДИТЬ?
Сообщения, возникающие в ходе генерации / перегенерации ключевого набора
Запрос подписи
нового ключа ЭП
ПОДПИСАТЬ?
Запрос подписи
нового ключа ЭП
ПОДПИСАТЬ?
Сообщения, возникающие в ходе создания запроса на перегенерацию
Запрос на подпись
открытого ключа
для отправки в банк
ПОДПИСАТЬ?
Сообщения, возникающие при подписи запроса на перегенерацию сертификата (документа )
Запрос на сертификат № <Номер запроса>
абонент
<Наименование абонента>
UID <значение UID>
ПОДПИСАТЬ?
Запрос на сертификат № "1"
абонент
"IvanovII"
UID "0010000000"
ПОДПИСАТЬ?
Сообщения, возникающие при смене ключевого контейнера
Запрос изменения
ключевого контейнера
ПОДПИСАТЬ?
Запрос изменения
ключевого контейнера
ПОДПИСАТЬ?
34080025-100-РП_Instr_IK
Download
advertisement