Руководство пользователя по установке и настройке подсистемы «Интернет-Клиент»


Приложение 7. Общие сведения о криптографической подсистеме



жүктеу 387.12 Kb.
бет3/3
Дата14.03.2018
өлшемі387.12 Kb.
түріРуководство пользователя
1   2   3

Приложение 7. Общие сведения о криптографической подсистеме

В соответствии с разделом 8.2. «Использование электронной подписи и шифрования в электронном документообороте» Правил пользования системой ДБО Банка:



  • Электронные документы с электронной подписью принимаются к исполнению при выполнении условий для признания юридического значения усиленной неквалифицированной электронной подписи, установленных частью 3 статьи 5, частью 2 статьи 6 и статьей 10 Федерального закона «Об электронной подписи» от 06.04.2011 № 63-ФЗ, а также иными нормативными правовыми актами органов государственной власти;

  • Участники системы ДБО признают, что используемые в системе ДБО сертифицированные ФСБ России СКЗИ обеспечивают соответствие применяемой в системе ДБО усиленной неквалифицированной электронной подписи законодательным требованиям к усиленной неквалифицированной электронной подписи.

Криптографическая подсистема системы "ДБО BS-Client v.3" банка и его клиентов образуют криптографическую сеть. В рамках этой сети осуществляется обмен зашифрованной информацией между субъектами, называемыми абонентами криптографической сети (далее – абоненты).

Следует отметить различие между понятием клиент и абонент. Во-первых, клиент банка – юридическое лицо – может иметь несколько абонентов. Например, абонентами могут быть главный бухгалтер и генеральный директор организации клиента. Во-вторых, на стороне банка также имеются абоненты – Администраторы системы ДБО Банка.

Также имеется различие между понятиями абонент и пользователь в системе "ДБО BS-Client v.3". Обычно абоненту однозначно сопоставляется физический пользователь системы, однако в общем случае абонент может соответствовать группе пользователей или один пользователь может быть зарегистрирован как несколько абонентов.

В системе "ДБО BS-Client v.3" информация о каждом абоненте сохраняется в виде криптографического профиля.

Для криптографической защиты информации используются асимметричные криптографические алгоритмы. Криптографические алгоритмы реализуют в виде специального ПО – средства криптографической защиты информации (СКЗИ). В нашем случае в качестве СКЗИ используется сертифицированное ФСБ России средство КриптоПро CSP 3.6.

Асимметричные криптографические алгоритмы используют так называемые ключевые пары, каждая из которых состоит из ключа подписи и ключа проверки электронной подписи.

СКЗИ использует ключ подписи для формирования усиленной неквалифицированной электронной подписи и расшифрования данных. Ключ подписи является информацией ограниченного доступа (конфиденциальной информацией). Защита данного ключа от несанкционированного доступа лежит на владельце ключа. Руководством по обеспечению безопасности использования электронной подписи и средств электронной подписи при эксплуатации Клиентом АРМ системы ДБО – Приложение 7 Правил пользования централизованной системой дистанционного банковского обслуживания Банка «ВОЗРОЖДЕНИЕ» (ОАО) и настоящим Руководством пользователь системы ставится в известность относительно условий безопасного использования электронной подписи и средств электронной подписи при эксплуатации Клиентом АРМ системы ДБО.

Второй частью ключевой пары является ключ проверки электронной подписи, используемый для шифрования данных и проверки электронной подписи. Ключ проверки электронной подписи не является конфиденциальной информацией и может распространяться по открытым каналам связи, без дополнительной защиты.

При использовании СКЗИ ключ проверки электронной подписи распространяется в виде сертификата. Сертификат представляет собой ключ проверки электронной подписи, снабженный дополнительной информацией (о его владельце, сроке действия и т.д.) и заверенный электронной подписью уполномоченного лица Удостоверяющего центра (УЦ) банка – специального внешнего по отношению к системе "ДБО BS-Client v.3" органа, которому доверяют и банк и клиент, в функции которого входит выдача сертификатов. Используя сертификат уполномоченного лица самого УЦ каждый пользователь может проверить достоверность сертификата, выпущенного УЦ.

Секретный ключ и открытый ключ соответствуют друг другу. Соответствие определяется UID – уникальным идентификатором ключевой пары. UID однозначно определяет ключевую пару в рамках системы "ДБО BS-Client v.3": не может быть двух абонентов, которым соответствуют две различные ключевые пары с одинаковым UID. В системе "ДБО BS-Client v.3" обеспечивается контроль уникальности UID ключевых пар.

С целью обеспечения большей безопасности использования ключей подписи клиентов в системе "ДБО BS-Client v.3" для ключевых наборов клиентов введен признак технологического ключевого набора. При регистрации нового клиента в системе банка ключевые пары абонентов клиента формируются на стороне банка.

Сгенерированные Банком с использованием ГОСТ Р 34.10-2001 технологические не экспортируемые ключи подписи и технологические сертификаты ключа проверки электронной подписи (СКП ЭП) Клиента на eToken передаются Клиенту вместе с дистрибутивом системы.

После установки клиентского АРМ с технологическими ключами подписи и технологическими СКП ЭП Клиент должен выполнить перегенерацию технологических ключей подписи на рабочие с использованием переданных Банком носителей ключевой информации eToken;

Клиент самостоятельно изготавливает не экспортируемые ключи подписи, что исключает возможность совершения сотрудниками Банка противоправных действий по отношению к Клиенту, так как сотрудникам Банка эти ключи неизвестны.

Примечание: Самостоятельная генерация Клиентом рабочих ключей соответствует процедуре перегенерации технологических ключей. Система позволяет проводить перегенерацию ключей, соответствующих уже реальному криптопрофилю Клиента. Поэтому сгенерированный рабочий ключ подписи Клиента и соответствующий ему СКП ЭП будут соответствовать технологическому ключу подписи и технологическому СКП ЭП по своим свойствам и отвечать требованиям Клиента, указанным в Заявлении на изготовление СКП ЭП.

Первым этапом по реализации процесса перегенерации технологических ключей подписи на рабочие является создание запросов на регистрацию сертификатов ключей проверки электронной подписи.



Назад

Приложение 8


Приложение 8. Плановая смена СКП ЭП по окончании срока действия

За 30 суток (по умолчанию) до истечения срока действия сертификата ключа проверки электронной подписи (СКП ЭП) в системе выводится сообщение о приближающемся окончании срока действия сертификата.

Не позднее, чем за две недели до окончания срока действия сертификата ключа проверки электронной подписи, Вы обязаны сообщить Менеджеру Банка о готовности начать процедуру плановой смены СКП ЭП и согласовать дату смены СКП ЭП.

Важно!!! В случае невыполнения указанных действий, в назначенный срок, СКП ЭПбудут переведены в статус «Не активный». При этом работа в системе ДБО BS-Client v.3 становится невозможной.

В назначенный день (до истечения срока действия СКП ЭП) необходимо выполнить работы по плановой смене ключей подписи, т.е. самостоятельно выполнить перегенерацию ключей подписи и выработать соответствующие им запросы СКП ЭП (выполнить п.7.1 инструкции).



Внимание! Перед выполнением перегенерации убедитесь, что в памяти USB-ключей eToken PRO/32К записано не более 7 ключевых контейнеров СКЗИ КриптоПро CSP, в памяти eToken PRO/64К – не более 15 ключевых контейнеров СКЗИ, а в памяти eToken PRO Java/72К – не более 13 ключевых контейнеров СКЗИ (см. п. 4.3.1. инструкции). После завершения формирования нового комплекта ключей необходимо удалить контейнеры, не используемые в работе (имеющие более раннюю дату создания).

При выполнении операции перегенерации ключей подписи замена носителей секретных ключей (eToken) не требуется.



Для завершения процесса перегенерации ключей подписи после получения из Банка Произвольных документов с файлами сертификатов ключей проверки электронной подписи и Актами об оказании услуг, выполнить п.7.2 инструкции.
Назад


34080025-100-РП_Instr_IK



Достарыңызбен бөлісу:
1   2   3


©kzref.org 2019
әкімшілігінің қараңыз

    Басты бет