ЗАО «БАНК РУССКИЙ СТАНДАРТ»

ЗАО «БАНК РУССКИЙ СТАНДАРТ»
Правила пользования средства криптографической защиты информации
«Крипто-КОМ» вер.3.2.
Инструкция для пользователей
Корпоративного удостоверяющего центра
ЗАО «Банк Русский Стандарт»
Версия 1.0
Москва
2012 г.
Оглавление
Оглавление .......................................................................................................................... 2
1. Термины и сокращения ............................................................................................... 2
2. Общие положения ........................................................................................................ 2
3. Инсталляция ПО «File-PRO» ....................................................................................... 3
4. Создание ключа и запроса на сертификат, через ПО «Admin-PKI». ......................... 7
5. Настройка File-Pro ..................................................................................................... 12
6. Обновление списка отозванных сертификатов ........................................................ 17
7. Обновление ключа в связи с окончанием срока действия ....................................... 17
8. Организационно-технические меры защиты ключевой информации ..................... 18
9. Федеральный закон Российской Федерации от 6 апреля 2011 г. N 63-ФЗ "Об
электронной подписи" Статья 12. Средства электронной подписи................................ 20
1. Термины и сокращения
СКЗИ
Средства криптографической защиты информации
КУЦ
Корпоративный удостоверяющий центр ЗАО «Банк
Русский Стандарт»
ЭП
Электронная подпись
ПО
Программное обеспечение
File-PRO
Программное обеспечение производства ЗАО
«Сигнал-КОМ»
позволяющее
реализовать
защищенный документооборот.
File-PRO Mail Client
Компонент File-PRO, встраиваемый в почтовую
программу.
Admin-PKI
Программное обеспечение производства ЗАО
«Сигнал-КОМ» позволяющее сформировать ключ
шифрования и запрос сертификата для КУЦ.
2. Общие положения
Настоящий документ описывает порядок работы при организации
защищенного документооборота
программными средствами КУЦ.
Организация защищенного документооборота позволяет производить
следующие операции:
•
подписание юридически значимых документов с помощью ЭП;
•
контроль целостности информации, передаваемой в процессе
взаимодействия участников защищенного документооборота;
•
аутентификация участников защищенного документооборота в
процессе взаимодействия;
•
обеспечение конфиденциальности информации, передаваемой в
процессе взаимодействия участников защищенного документооборота.
3. Инсталляция ПО «File-PRO»
Перед установкой новой версии «File-PRO» необходимо выполнить
деинсталляцию предыдущей версии, если она была установлена на
компьютере (удаляем из «Пуск» → «Панель управления» → «Установка и
удаления программ»).
Установка программного комплекса «File-PRO» выполняется с
помощью программы установки FilePRO.EXE, которая включает в себя все
необходимые для установки файлы.
Для установки комплекса запустите файл File-PRO.EXE на
выполнение и следуйте инструкциям программы установки. Программа
установки распаковывает и копирует в заданный каталог необходимые для
работы «File-PRO» файлы и создает в меню «Программы» («Programs»)
новую папку «File-PRO», содержащую ссылку «File-PRO» на исполняемый
модуль и ссылку «File-PRO Help» на справочную систему программы.
По умолчанию установка комплекса осуществляется в каталог
C:\Program Files\Signal-COM\File-PRO.
При инсталляции программного комплекса «File-PRO» файл шаблона
template.tpl должен размещаться в том же каталоге, что и установочная
программа
FilePRO.EXE
(описание
назначения
шаблона
template.tpl приводится в пункте «Шаблон для печати заключения о проверке
ЭП» раздела «Настройка программного комплекса»/«Настройки»/«Общие
настройки» справочной системы комплекса).
Вписываем код лицензии.
Чтобы установить почтовую компоненту «File-PRO Mail Client», в
процессе инсталляции «File-PRO» отметьте флажком опцию «File-PRO Mail
Client» в блоке диалога «Выберите необходимые компоненты».
4. Создание ключа и запроса на сертификат, через
ПО «Admin-PKI».
Запускаем Admin-PKI. Для того чтобы генерировать ключи на
жесткий диск, необходимо:
Зажать Shift и ввести на клавиатуре ADMIN,
дополнительное название в строке меню - Администратор:
появится
В появившемся окне – настройки администратора – снять галочку с
пункта – Съемный ключевой носитель:
Теперь можно генерировать ключи на жесткий диск.
Каталог сохраняем в корень диска т.к. поле имеет ограничение на
ввод символов, и сохранить ключ сразу в профиль не удастся.
Генерируем ключ, следуя предложенным вариантам. На выходе
получаем указанные ниже файлы:
Путь каталога ключевого носителя.
Файл запроса сохраняем в профиле в папке «File_Pro», чтобы в случае
перезаливки не потерять!!!
Имя файла запроса имеет следующую структуру: z_Login_краткое
название организации.pem. Если генерируем запрос для сотрудника Банка,
можно в имени файла запроса не указывать краткое название организации.
Путь, по которому находится файл запроса на сертификат
C:\Documents and Settings\kuznetcovnn\File_Pro\z_Kuznetcovnn.pem.
А также заполняем графы параметров запроса сертификата по
указанной схеме. Поля, начиная с «Город/Село» по «E-mail адрес» должны
быть обязательно корректно заполнены.
Файл запроса (z_Login_краткое название организации.pem) c
обоснованием необходимости выпуска сертификата нужно отправить на
электронный адрес сотрудника Банка, курирующего взаимодействие, в ответ
получаем один файла вида cert_xxxx.pem (личный сертификат лица,
указанного в запросе на сертификат). Сохраняем данный сертификат в ту же
директорию, где находится файл запроса.
5. Настройка File-Pro
Настройка производится под учетной записью пользователя.
Перед
действие.
началом
настройки
необходимо
выполнить
следующее
Необходимо скопировать содержимое папки c:\file_pro_key (то, что
было сгенерировано в п.2) в папку, где хранятся
Запрос насертификат
settings\<login>\file_pro\.
и
сам
сертификат
c:\documents
and
Нажимаем правой кнопки мыши на значке File-Pro, который
находится на панели задач в нижнем правом углу. Выбираем пункт
Настройки –> Локальный справочник.
В окне «Добавить владельца» заполняем соответствующие поля.
Нажимаем кнопку «Секретный ключ» и указываем путь секретного ключа
C:\Documents and Settings\<LOGIN>\File_Pro\keys\. Файл, содержащий в
имени много нулей, с расширением .key. Жмем OK.
Здесь будут указаны сведения о сертификате лица, которое будет
подписывать и шифровать файлы с помощью File-Pro.
Во вкладку CA добавляем сертификат удостоверяющего центра
certca_2036_CP.pem
Во вкладку Другие добавляем сертификаты тех, на кого будет
зашифрованная информация.
Во вкладку CRL добавляем список отозванных сертификатов. Файл
«crl_номер.crl» необходимо разместить в директории C:\Documents and
Settings\<LOGIN>\File_Pro\CRL\.
Указываем
путь
к
каталогу
в
соответствующем поле.
Далее Закрыть. Настройка закончена.
6. Обновление списка отозванных сертификатов
В целях усиления информационной безопасности при использовании
защищенного документооборота необходимо еженедельно производить
процедуру обновления списка отозванных сертификатов.
Файл архива списка отозванных сертификатов можно получить на
официальном
интернет
ресурсе
КУЦ
http://corporate.rsb.ru/cashservice/oms/corporate_certifying_center. Полученный архив распаковывается в
директорию
C:\Documents and Settings\<LOGIN>\File_Pro\CRL\.
Далее
необходимо проконтролировать — указан ли путь к каталогу в
соответствующем поле.
7. Обновление ключа в связи с окончанием срока
действия
Дату окончания действия сертификата ключа можно выяснить в
локальном справочнике сертификатов.
По окончании срока действия сертификата проводится процедура
смены ключа, которая выполняется в соответствии с пунктом 3 настоящей
инструкции.
Допускается не уничтожать предыдущий ключ, если требуется
сохранить доступ к информации, зашифрованной для данного ключа. Однако
на него в полной мере будут распространяться организационно-технические
меры защиты.
8. Организационно-технические
ключевой информации
меры
защиты
Организационно-технические мероприятия по обеспечению защиты
информации при электронном документообороте обеспечивают:

конфиденциальность документооборота;

подтверждение авторства и целостности документооборота;

разграничение
и
контроль
доступа
к
средствам
документооборота;

сохранность в тайне закрытых ключей ЭП.
Ключевая система электронного документооборота состоит из
ключевой пары (секретный ключ / открытый ключ). Секретную часть ключа
производит абонент системы с помощью специализированного ПО. КУЦ
изготавливает для абонентов системы открытую часть ключа на основании
электронного запроса.
Порядок хранения и использования секретных ключей ЭП в
организации должен исключать возможность несанкционированного доступа
к ним любых посторонних лиц, кроме владельца ключа. Владельцы
сертификатов ключей ЭП несут персональную ответственность за
безопасность собственных закрытых ключей ЭП и обязаны обеспечивать их
сохранность, неразглашение и нераспространение во время использования и
хранения.
Ключи ЭП и шифрования должны храниться в металлических
хранилищах, оборудованных запирающими устройствами, а также, в случае
необходимости, приспособлениями для опечатывания.
Использование ключей ЭП должно производиться на специально
подготовленных рабочих местах, оборудованных средствами защиты
информации от несанкционированного доступа, средствами разграничения
прав доступа, а также средствами антивирусной защиты. Во время работы с
секретными ключами должен быть исключен доступ к носителям ключевой
информации кого-либо, кроме владельца ключей. По окончании рабочего
дня, а также в то время, когда ключи ЭП и шифрования не используются,
носители ключей должны находиться в хранилищах.
При использовании в качестве ключей шифрования устройств,
подключаемых к USB-портам компьютера, а также FDD и CD-R, должны
быть приняты все меры для исключения возможности несанкционированного
копирования информации.
Допускается создание рабочих копий секретных ключей ЭП не более
такого количества, которое необходимо для выполнения работниками их
функциональных обязанностей. Копи секретных ключей ЭП должны
хранится раздельно.
После окончания срока действия сертификата ключа ЭП его владелец
прекращает использование соответствующих закрытых ключей ЭП и
производит их уничтожение путем использования средств гарантированного
уничтожения информации.
Для обеспечения возможности доступа к архивам электронных
документов, отозванные открытые и при необходимости секретные ключи
ЭП (сертификаты) могут храниться в соответствии со сроками хранения,
установленными для подписанных этими ключами электронных документов,
а затем уничтожаются.
При увольнении или переводе в другое подразделение работника,
имеющего доступ к секретным ключам ЭП, либо при выявлении факта
компрометации секретного ключа ЭП, необходимо выполнить следующие
действия:

прекратить все операции с использованием этого ключа;

проинформировать корреспондента, с которым производится
обмен данными, о данном факте, не позднее окончания текущего
рабочего дня, и совместно принять согласованное решение о
дальнейших действиях по обмену данными до замены ключей.

проинформировать о данном факте работника банка,
курирующего работу бизнес-процесса, а также сообщить в КУЦ Банка
(sib@rsb.ru), телефон: (495) 797-84-37 доб. 6657, факс: (495) 797-84-34
доб. 3252.
При работе с секретными ключами ЭП запрещено:

снимать несанкционированные копии с ключевых носителей;

знакомить неуполномоченных лиц с содержанием ключевых
носителей или передавать неуполномоченным лицам ключевые
носители;

выводить секретные ключи на дисплей или принтер;

записывать на ключевой носитель постороннюю информацию;

устанавливать ключевой носитель в считывающее устройства
компьютеров, не предназначенных для работы с ключами.
Уничтожение секретных ключей ЭП производится
использования средств гарантированного уничтожения информации.
путем
9. Федеральный закон Российской Федерации от 6
апреля 2011 г. N 63-ФЗ "Об электронной
подписи" Статья 12. Средства электронной
подписи
1. Для создания и проверки электронной подписи, создания ключа
электронной подписи и ключа проверки электронной подписи должны
использоваться средства электронной подписи, которые:
1) позволяют установить факт изменения подписанного электронного
документа после момента его подписания;
2) обеспечивают практическую невозможность вычисления ключа
электронной подписи из электронной подписи или из ключа ее проверки.
2. При создании электронной подписи средства электронной подписи
должны:
1) показывать лицу, подписывающему электронный
содержание информации, которую он подписывает;
документ,
2) создавать электронную подпись только после подтверждения лицом,
подписывающим электронный документ, операции по созданию электронной
подписи;
3) однозначно показывать, что электронная подпись создана.
3. При проверке электронной подписи средства электронной подписи
должны:
1) показывать содержание электронного документа, подписанного
электронной подписью;
2) показывать информацию о внесении изменений в подписанный
электронной подписью электронный документ;
3) указывать на лицо, с использованием ключа электронной подписи
которого подписаны электронные документы.
4. Средства электронной подписи, предназначенные для создания
электронных подписей в электронных документах, содержащих сведения,
составляющие государственную тайну, или предназначенные для
использования в информационной системе, содержащей сведения,
составляющие
государственную
тайну,
подлежат
подтверждению
соответствия
обязательным
требованиям
по
защите
сведений
соответствующей степени секретности в соответствии с законодательством
Российской Федерации. Средства электронной подписи, предназначенные
для создания электронных подписей в электронных документах, содержащих
информацию ограниченного доступа (в том числе персональные данные), не
должны нарушать конфиденциальность такой информации.
5. Требования частей 2 и 3 настоящей статьи не применяются к
средствам электронной подписи, используемым для автоматического
создания и (или) автоматической проверки электронных подписей в
информационной системе.