|
M-15.01.06-01
УТВЕРЖДЕНО
|
|
(должность)
|
|
|
|
(подпись)
|
|
(ФИО)
|
«___»___________________3 г.
|
ОАО "Газпром нефть"
|
Методический документ
Инструкция пользователя Удостоверяющего центра Компании
|
Сведения об Инструкции
РАЗРАБОТАНА Управлением по режиму и защите информации
ВЛАДЕЛЕЦ ПРОЦЕССА Начальник Департамента информационных технологий, автоматизации и телекоммуникаций
ВЕРСИЯ ВЗАМЕН М-15.04.06-01 (версия 1.00) «Инструкция пользователя Удостоверяющего центра ОАО «Газпром нефть», утвержденной Приказом №248-П от 25.12.2009г.
Введение
С целью обеспечения защиты информационных ресурсов Компании от их незаконного использования, утечки конфиденциальной информации, умышленного или неосторожного нарушения достоверности, целостности, доступности информации и других угроз информационной безопасности настоящей инструкцией устанавливаются единые для всех подразделений Компании требования по использованию сертификатов ключей проверки электронной подписи, ключевой информации и ключевых носителей, а также определяется ответственность работников Компании за выполнение данной инструкции.
Содержание
1Область применения 3
8Нормативные ссылки 3
9Термины и сокращения 3
10Регистрация пользователей и получение сертификата ключа проверки электронной подписи 5
11Требования по работе с ключевым носителем 5
12Работа с сертификатами ключей проверки электронных подписей 6
13Шифрование и наложение ЭП 6
14Проверка статуса сертификата пользователей УЦ-ГПН 6
15Установка и настройка аппаратно-программных средств криптографической защиты 7
15.1Установка и настройка устройства чтения смарт-карт AseDrive IIIe 7
15.2Установка и настройка eToken PKI Client 7
15.3Установка и настройка СКЗИ «КриптоПро CSP» версии 3.6 12
16Порядок смены PIN-кода 12
17Порядок установки и работы с сертификатами ключей проверки электронных подписей 14
18Работа с почтовыми клиентами 15
18.1Шифрование и формирование ЭП в Microsoft Office Outlook 2010 15
19Порядок работы с программным продуктом Блокхост ЭЦП. 19
19.11.Формирование ЭЦП. 19
19.2Проверка ЭЦП 20
19.3Шифрование файлов. 21
19.4Расшифрование файлов 22
19.5Формирование ЭЦП и шифрование. 22
19.6Расшифровка и верификация. 22
19.7Работа с сертификатами. 23
-
Область применения
Настоящий методический документ является составной частью СК-15.01.06 «Регламента Удостоверяющего центра Компании» (далее – Регламент), который определяет порядок функционирования УЦ-ГПН, условия предоставления и правила пользования услугами УЦ-ГПН, включая права, обязанности, ответственность УЦ-ГПН и пользователей, форматы данных, основные организационно-технические мероприятия, направленные на обеспечение работы УЦ-ГПН. Пользователи обязаны соблюдать требования Регламента, в части относящейся к ним.
Настоящая инструкция определяет условия и правила регистрации пользователей УЦ-ГПН, требования к действиям пользователей УЦ-ГПН при регистрации, получении и использовании ключевых носителей с ключевой информацией с учетом принятых в Компании требований режима информационной безопасности, а также ответственность пользователей УЦ-ГПН за выполнение данной инструкции.
Регистрация и выдача ключевых носителей с ключевой информацией пользователям УЦ-ГПН осуществляется для обеспечения защиты информации от перехвата, искажения и модификации при её передаче по открытым каналам связи путем использования шифрования и электронной подписи электронных документов, подтверждения (определения) авторства электронных документов. Для работников Компании эти действия должны производиться для выполнения ими служебных обязанностей, предусмотренных договором с Компанией. Вся информация, хранящаяся на ключевых носителях, считается собственностью Компании.
Для обеспечения системных и регламентных работ, а также учёта ключевой информации и ключевых носителей в целях контроля состояния информационной безопасности, доступ работников подразделения информационной безопасности к ключевым носителям должен быть предоставлен пользователем УЦ-ГПН немедленно по требованию.
Требования настоящей инструкции распространяются на всех работников Компании, дочерних обществ, а также всех прочих лиц (подрядчики, аудиторы и т.п.), зарегистрированных в УЦ-ГПН в порядке, установленном стандартом. Все категории лиц, перечисленные в данном пункте, далее именуются пользователями УЦ-ГПН.
По всем вопросам и предложениям, связанным с регистрацией в УЦ-ГПН и применением ключевой информации, пользователи должны обращаться в Управление защиты информации Дирекции по режиму и защите информации.
-
Нормативные ссылки*
КТ-004 Термины и сокращения
-
Термины и сокращения
В методическом документе используются термины и сокращения, определенные в каталоге КТ-04, а также следующие термины и сокращения:
ключ электронной подписи: криптографический ключ, использующийся для формирования электронной подписи, расшифрования данных и в процессе аутентификации, сохранность которого обеспечивается пользователем Удостоверяющего центра.
конфиденциальная информация: любая информация ограниченного доступа, не содержащая сведений, относящихся к государственной тайне.
инфраструктура открытых ключей (ИОК): технологическая инфраструктура и сервисы, обеспечивающие безопасность информационных и коммуникационных систем на основе использования криптографических алгоритмов и сертификатов ключей проверки электронных подписей.
ключевой носитель (USB-ключ/смарт-карта eToken): носитель информации, содержащий один или несколько ключей электронных подписей.
ключ проверки электронной подписи: уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи.
Примечание – ключ проверки электронной подписи известен другим пользователям системы и предназначен для проверки электронной подписи и шифрования. При этом ключ проверки электронной подписи не позволяет вычислить ключ электронной подписи.
пользователь Удостоверяющего центра (пользователь): работник Компании, филиала, представительства Компании, его дочернего общества или организации, зарегистрированный в реестре удостоверяющего центра, которому изготовлен сертификат ключа проверки электронной подписи.
регистрация пользователя: внесение регистрационной информации о пользователях в реестр Удостоверяющего центра.
сертификат ключа проверки электронной подписи (СКП): электронный документ или документ на бумажном носителе, выданные Удостоверяющим и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.
средства электронной подписи: шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций - создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи.
уполномоченное лицо Удостоверяющего центра: работник Удостоверяющего центра, наделенный полномочиями по заверению сертификатов ключей проверки электронных подписей и списков отозванных сертификатов, принятию решений о регистрации пользователей, изготовлении, отзыве/приостановлении действия сертификатов ключей проверки электронных подписей, на имя (псевдоним) которого выдан сертификат ключа проверки электронной подписи Удостоверяющего центра.
электронная подпись (ЭП): информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.
Удостоверяющий центр – юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные Федеральным законом Российской Федерации от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи".
УЦ-ГПН: Удостоверяющий центр Компании.
-
Регистрация пользователей и получение сертификата ключа проверки электронной подписи
Для регистрации, получения ключей и СКП пользователь УЦ должен обратиться в УЦ.
Для регистрации пользователь УЦ должен при личном прибытии, либо с доверенным лицом по Доверенности на регистрацию в УЦ (Ш-15.04.06-03) предоставить оператору УЦ заявление на регистрацию пользователя, генерацию ключей и выпуск сертификата на бумажном носителе (Ш-15.04.06-01).
После принятия УЦ положительного решения и выполнения регистрационных действий, а также изготовления ключей и СКП пользователь УЦ должен получить:
ключевой носитель, содержащий ключ ЭП и ключ проверки ЭП, сертификат ключа проверки электронной подписи пользователя УЦ в электронной форме в виде файла;
СКП пользователя УЦ на бумажном носителе;
копию заявления пользователя УЦ на регистрацию пользователя УЦ, генерацию ключей и выпуск сертификата с резолюцией уполномоченного лица УЦ (лица, временно его замещающего) и отметкой о произведенной регистрации пользователя УЦ, генерации ключей и сертификата и их передаче заявителю;
распечатанный на бумаге адрес в формате URL страницы WEB-сервера УЦ, на которой пользователь УЦ может получить электронные версии действующих сертификатов Корпоративного (корневого) Удостоверяющего центра и УЦ, а также последние изданные версии списков отозванных сертификатов указанных удостоверяющих центров.
Факт выдачи сертификата и ключей фиксируется в заявлении на регистрацию пользователя УЦ, генерацию ключей и выпуск сертификата и удостоверяется личной подписью владельца или его доверенного лица.
Плановая смена ключей и сертификата ключа проверки ЭПГ владельца сертификата может осуществляться в централизованном и распределенном режимах.
При централизованном режиме порядок плановой смены ключей и сертификата ключа проверки ЭПГ аналогичен порядку, установленному для регистрации владельца сертификата УЦ и осуществляется на основании заявления Ш-15.04.06-02, которое владелец сертификата УЦ должен направить в УЦ не позднее, чем за 10 дней до окончания срока действия ключа ЭПГ.
При распределенном режиме генерация ключей и формирование заявления на создание сертификата ключа проверки ЭПГ осуществляется
на автоматизированном рабочем месте владельца сертификата УЦ посредством web-интерфейса (https://cr.gazprom-neft.ru/ui/), предоставляемого УЦ. Заявление на создание сертификата ключа проверки ЭПГ в электронной форме представляет собой электронный документ в формате PKCS#10, подписанный ЭПГ владельца сертификата УЦ.
Формы заявлений на выполнение действий в отношении пользователя УЦ, а также права и обязанности пользователя УЦ определены в Регламенте.
На АРМ пользователя должны быть выполнены работы по настройке аппаратно-программных средств АРМ пользователя для работы со средствами шифрования и ЭП. Информацию о необходимом для работы программном обеспечении можно получить на интернет-сайтах компаний разработчиков (http://www.aladdin-rd.ru, www.cryptopro.ru).
Порядок установки и настройки аппаратно-программных средств криптографической защиты приведен в разделе 9.
-
Требования по работе с ключевым носителем
СКП в электронной форме и ключ ЭП хранятся на ключевом носителе (USB-ключ/смарт-карта eToken), выданном пользователю.
Для получения доступа к защищённым данным, хранящимся в памяти ключевого носителя, требуется ввести PIN-код (Personal Identification Number), являющегося аналогом пароля.
Пользователь должен выполнять следующие требования:
обеспечить сохранность ключевого носителя. Не передавать его другим лицам;
изменить PIN-код сразу после получения ключевого носителя (USB-ключ/смарт-карту eToken). PIN-код необходимо хранить в тайне;
соблюдать требования к ПИН-коду ключевого носителя, к его периодической смене;
сдавать в УЦ выданный ключевой носитель в случае увольнения или отсутствия необходимости его использования.
Порядок смены пользователем PIN-кода приведен в разделе 10 .
При последовательном вводе более пяти неправильных PIN-кодов ключевой носитель блокируется. Для разблокировки ключевого носителя необходимо обратиться в УЦ.
По решению УЦ может быть предоставлен индивидуальный административный пароль для возможности самостоятельной разблокировки ключевого носителя.
В случае утраты ключевого носителя (USB-ключ/смарт-карты eToken) ключ ЭП восстановить невозможно. Зашифрованная с помощью утерянного ключа ЭП информация восстановлению не подлежит!
При повторном получении СКП информация, зашифрованная с использованием старого ключа ЭП в случае его уничтожения, восстановлению не подлежит!
-
Работа с сертификатами ключей проверки электронных подписей
Для пользователей порядок установки и работы с СКП приведен в разделе 11.
С репозитория УЦ (http://gazprom-neft.ru/ca/) пользователи имеют возможность получения:
сертификата уполномоченного лица корпоративного УЦ
ОАО «Газпром» (Root Gazprom CA) в электронной форме;
сертификата уполномоченного лица УЦ в электронной форме;
списков отозванных сертификатов корпоративного УЦ ОАО «Газпром»;
списков отозванных сертификатов УЦ;
сертификатов других зарегистрированных пользователей УЦ.
Аналогичные сервисы можно получить в репозитории СУЦ ОАО «Газпром» (http://ca.gazprom.ru/).
-
Шифрование и наложение ЭП
Для обеспечения защиты информации при организации электронной почтовой переписки (e-mail) могут использоваться функции по шифрованию и электронной подписи, встроенные в почтовые клиенты. Порядок работы пользователей при шифровании и наложении ЭП в Microsoft Office Outlook 2010 приведен в разделе 12.
-
Проверка статуса сертификата пользователей УЦ-ГПН
Получить статус сертификата можно при помощи Сервиса поиска сертификатов, расположенного по адресу: https://caweb.gazprom.ru/search/%23search#search.
-
Установка и настройка аппаратно-программных средств криптографической защиты
Порядок установки программного обеспечения, необходимого для работы с сертификатом ключа подписи и ключевым носителем USB-ключ/смарт-карта eToken:
установить и настроить устройство чтения смарт-карт AseDrive IIIe (для USB-ключа не нужно);
установить и настроить ПО eToken PKI Client;
установить и настроить СКЗИ «КриптоПро CSP» версии 3.0 (3.6);
установить и настроить модули поддержки считывателей USB-ключей/смарт-карт eToken и ключевых носителей для СКЗИ «КриптоПро CSP» версии 3.0 (3.6).
-
Установка и настройка устройства чтения смарт-карт AseDrive IIIe
Устройство чтения смарт-карт AseDrive IIIe
Устройство чтения смарт-карт AseDrive IIIe поддерживает все основные стандарты смарт-карт: PC/SC, ISO7816(T=0, T=1), EMV, JIS X6303/6304. Для функционирования устройства необходимо его подключение к свободному разъему USB компьютера пользователя.
Программное обеспечение для устройств чтения смарт-карт AseDrive IIIe
Для функционирования устройств чтения смарт-карт AseDrive IIIe необходимо установить драйвер устройства.
Запрещается подсоединять устройство чтения смарт-карт до установки и во время установки драйвера устройства.
Для установки и удаления драйвера устройства чтения смарт-карт AseDrive IIIe необходимы полномочия локального администратора.
Для того, чтобы установить драйверы устройства чтения смарт-карт AseDrive IIIe требуется выполнить следующие действия:
распаковать архив с драйвером устройства в папку на жестком диске компьютера;
запустить из папки программу установки ASEDrive2500x86.msi;
в окне Мастера установки Welcome to the InstallShield Wizard for Athena ASEDrive нажать кнопку Next;
в окне Ready to Install the Program нажать кнопку Install. Установка драйвера займет некоторое время;
в окне InstallShield Wizard complete нажать кнопку Finish.
По завершении установки вставьте разъём устройства чтения смарт-карт AseDrive IIIe в свободный разъём USB компьютера. Устройство будет опознано и установлено в системе автоматически. Процесс установки займёт некоторое время и будет отображаться информационными сообщениями на панели задач.
-
Установка и настройка eToken PKI Client
USB-ключ/cмарт-карта eToken
USB-ключ/cмарт-карта eToken – персональное средство аутентификации и хранения данных, аппаратно поддерживающее работу с цифровыми сертификатами и ЭП. В Компании eToken используется в форм-факторе USB ключа или SmartCard. Для использования смарт-карты на рабочем месте, необходимо установить устройство чтения смарт-карт. Для использования USB ключа ничего дополнительно устанавливать не надо.
USB-ключ/cмарт-карта eToken обладает защищенной энергонезависимой памятью и используется в качестве гарантированного хранилища закрытых ключей и сертификатов ключей подписи.
Программное обеспечение для USB-ключей/смарт-карт eToken
eToken PKI Client 5.1 SP1 (eToken PKI Client) — это среда функционирования USB-ключей/смарт карт eToken, включающая все необходимые драйверы.
Запрещается подсоединять USB-ключ/смарт-карту до установки и во время установки драйверов eToken PKI Client.
1. Войдите в систему с полномочиями администратора.
2. Закройте все приложения.
3. Двойным щелчком запустите мастер установки из файла .msp (выберите 32- или 64-битную версию в зависимости от вашей операционной системы).
На экране появится приветственное окно мастера установки.
4. Нажмите кнопку Next. На экране появится окно, где вам будет предложено выбрать язык интерфейса.
5. В списке доступных языков интерфейса выберите Russian (Русский).
Если в этом окне вам будет предложено сохранить настройки, оставшиеся от предыдущей версии, вы можете оставить или снять флажок, тем самым сохранив эти настройки или удалив их.
6. Нажмите кнопку Next. На экране появится окно с текстом лицензионного соглашения (на английском).
7. Прочтите внимательно лицензионное соглашение и, если вы согласны со всеми его условиями, отметьте пункт I accept the license agreement нажмите кнопку Next. Если вы не понимаете или не согласны с каким-либо из положений документа, откажитесь от установки, нажав кнопку Cancel.
Если в предыдущем пункте вы приняли соглашение, на экране появится следующее окно:
8. Укажите путь для установки, щелкнув кнопку Browse, или оставьте его таким, как он указан по умолчанию. Для запуска установки нажмите кнопку Next.
Процесс установки отображается в виде шкалы с комментариями.
После того как eToken PKI Client будет установлен, на экране появится окно с
соответствующим подтверждающим сообщением.
9. Закройте окно, нажав кнопку Finish.
На этом установка eToken PKI Client завершена.
-
Установка и настройка СКЗИ «КриптоПро CSP» версии 3.6
Установка дистрибутива КриптоПро CSP должна производиться пользователем, имеющим права локального администратора. Для установки требуются:
программа установки "КриптоПро CSP" версии 3.6;
установочные файлы поддержки устройств pcsc.msp и носителей etoken.msp.
Перед установкой дистрибутива удалите все ранее существующие версии устанавливаемого программного обеспечения. Если модуль криптографической поддержки не удален, новая версия не будет установлена. Для этого используйте пункты основного меню Windows Пуск -> Настройка -> Панель управления -> Установка и удаление программ.
Для установки программного обеспечения запустите программу установки с дистрибутивного диска или из дистрибутивного комплекта. Последующая установка производится в интерактивном режиме. После завершения установки дистрибутива необходимо произвести перезагрузку компьютера.
При установке программного обеспечения КриптоПро CSP без ввода лицензии пользователю предоставляется лицензия с ограниченным сроком действия. Для использования КриптоПро CSP после окончания этого срока пользователь должен ввести серийный номер с бланка Лицензии, полученной у организации-разработчика или организации, имеющей права распространения продукта (Дилера). Для ввода лицензии в меню выполните Пуск > Настройка > Панель управления > КриптоПро CSP > Общие.
В панели настройки СКЗИ КриптоПро CSP нажмите кнопку Ввод лицензии. Система отобразит окно «Сведения о пользователе», в котором необходимо указать сведения о пользователе, организации, а также ввести серийный номер с бланка Лицензии в соответствующие поля ввода.
После завершения программы установки рекомендуется зарегистрировать установленное программное обеспечение КриптоПро CSP у организации-разработчика.
-
Порядок смены PIN-кода
Cмена PIN-кода пользователем
Каждое устройство eToken выпускается со стандартным паролем – 1234567890. В целях безопасности необходимо изменить стандартный пароль сразу после получения eToken. Ответственность за сохранность пароля всецело лежит на владельце eToken.
При смене пароля, новое значение должно соответствовать требованиям к качеству паролей, указанным в пункте Б (см. ниже).
Для того чтобы сменить PIN-код, необходимо выполнить следующие действия:
1. Запустите утилиту «Свойства eToken» и в правой части окна нажмите кнопку Сменить пароль.
2. В открывшемся окне введите текущее значение PIN-кода в поле Текущий пароль для eToken.
3. Введите новое значение PIN-кода в полях Новый пароль для eToken и Подтверждение.
Примечание: По мере того, как вы вводите символы в поле для нового пароля, справа вы увидите шкалу, которая показывает, насколько введенный пароль соответствует установленным критериям качества.
4. Нажмите OK. После этого пароль пользователя eToken будет обновлен.
При назначении PIN-кода пользователь должен выполнять следующие требования:
PIN-код должен состоять не менее чем из шести символов.
В PIN-коде должны присутствовать символы из категорий:
строчные буквы английского алфавита от a до z;
прописные буквы английского алфавита от A до Z,
десятичные цифры от 0 до 9,
символы, не принадлежащие к алфавитно-цифровому набору.
Использование трёх и более подряд идущих на клавиатуре символов, набранных в одном регистре, недопустимо.
Использование трёх и более подряд идущих символов английского алфавита, набранных в одном регистре, недопустимо.
Использование двух и более подряд идущих одинаковых символов недопустимо;
Задание PIN-кода, совпадающего с любым из последних трёх PIN-кодов, недопустимо.
PIN-код не должен содержать букв русского алфавита.
-
Порядок установки и работы с сертификатами ключей проверки электронных подписей
Установку личного СКП необходимо осуществлять, зарегистрировавшись в системе под личной учетной записью.
Последовательность установки:
Установить выданный УЦ персональный ключевой носитель (USB-ключ/смарт-карта eToken) в устройство чтения смарт-карт.
Из панели управления запустить приложение КриптоПро CSP.
Во вкладке Сервис нажать кнопку Просмотреть сертификаты в контейнере.
Для выбора имени ключевого контейнера нажать Обзор.
Выбрать ключевой контейнер, находящийся на считывателе AKS ifdh 0/Athena ASEDrve IIIe USB 0, нажать ОК. Нажать Далее.
Нажать кнопку Свойства.
Нажать кнопку Установить сертификат.
В окне приветствия мастера импорта сертификатов нажать Далее.
Выбрать Поместить все сертификаты в следующее хранилище, нажать Обзор.
В списке хранилищ сертификатов выбрать Личные, нажать ОК.
Нажать Далее.
В окне завершения мастера импорта сертификатов нажать Готово.
Закрыть приложение КриптоПро CSP.
Для корректного построения цепочки доверия до личного СКП необходимо установить сертификаты корневого и подчиненного Удостоверяющих центров.
Установка сертификата корневого УЦ
Последовательность установки:
Перейти по ссылке http://gazprom-neft.ru/AIA/Root_Gazprom_CA.crt. При этом появится диалоговое окно:
Нажать кнопку Открыть. При этом откроется сертификат.
Нажать кнопку Установить сертификат.
В окне приветствия мастера установки сертификатов нажать Далее.
Выбрать Поместить все сертификаты в следующее хранилище, нажать Обзор.
Выбрать хранилище Доверенные корневые центры сертификации и нажать ОК.
Нажать Далее.
В окне завершения мастера импорта сертификатов нажать Готово.
Установка сертификата подчиненного УЦ
Процедура аналогична процедуре установки сертификата корневого удостоверяющего центра (http://www.gazprom-neft.ru/AIA/Root_Gazprom_neft_CA_2.crt), но на шаге 1 необходимо перейти по ссылке сертификата подчиненного УЦ, а на шаге 4 выбрать хранилище Промежуточные центры сертификации.
-
Работа с почтовыми клиентами
Для шифрования и формирования ЭП почтовые клиенты должны быть предварительно настроены для работы с СКП. Порядок настройки приводится в документации на соответствующее программное обеспечение.
Отправка сообщений может производиться с использованием следующих функций:
формирование ЭП сообщения;
шифрование сообщения;
формирование ЭП и шифрование сообщения.
В случае использования функций формирования ЭП, а также функции одновременного использования формирования ЭП и шифрования, необходимо использование ключевого носителя.
-
Шифрование и формирование ЭП в Microsoft Office Outlook 2010
Отправка сообщений с электронной подписью
Для отправки сообщений с ЭП необходимо выполнить следующие действия:
Нажмите кнопку Создать сообщение для создания нового сообщения.
В поле Кому введите адрес электронной почты предполагаемого получателя.
Заполните поле
|
