Структура Сертификата ключа проверки электронной подписи Уполномоченного лица Клиента и Уполномоченного лица Банка Название
| Описание
| Содержание
| Базовые поля сертификата
| Version
| Версия
| V3
| Serial Number
| Серийный номер
| Уникальный серийный номер сертификата
| Signature Algorithm
| Алгоритм подписи
| ГОСТ Р 34.11/34.10-2001
| Issuer
| Поставщик (Издатель сертификата)
| СN = CA OJSC RGS Bank
О = ОАО «РГС Банк»
L = Москва
C = RU
| Validity Period
| Срок действия сертификата
| Действителен с: дд.мм.гггг чч:мм:сс GMT
Действителен по: дд.мм.гггг чч:мм:сс GMT
| Subject
| Владелец сертификата
| CommonName = Общее имя = Фамилия, Имя, Отчество пользователя.
Оrganization = Наименование организации
OU = Подразделение = Наименование подразделения
T = Должность
Locality = Москва
Country = Страна = RU
Email = Адрес электронной почты пользователя
| Public Key
| Ключ проверки ЭП
| Ключ проверки ЭП (алгоритм подписи)
| Issuer Signature Algorithm
| Алгоритм подписи издателя сертификата
| ГОСТ Р 34.11/34.10-2001
| Issuer Sign
| ЭП издателя сертификата
| Подпись издателя в соответствии с
ГОСТ Р 34.11/34.10-2001
| Дополнения сертификата
| Key Usage (critical)
| Использование ключа
| Неотрекаемость - невозможность осуществления отказа от совершенных действий;
Электронная подпись, Шифрование ключей, Шифрование данных
| Extended Key Usage
| Улучшеный ключ
| Области использования сертификата
| Certificate Policies
| Политика применения сертификата
| Перечень сведений об отношениях, на участие в которых уполномочен Владелец СКП. Соответствует п. 21 настоящего Регламента.
| Subject Key Idendifier
| Идентификатор ключа владельца сертификата
| Идентификатор Ключа ЭП Владельца СКП
| Authority Key Identifier
| Идентификатор ключа издателя сертификата
| Идентификатор Ключа ЭП Уполномоченного лица Удостоверяющего центра , на котором подписан данный сертификат
| CRL Distribution Point
| Точка распространения Списка отозванных сертификатов
| URL= Адрес файла списка отозванных сертификатов на сайте Публичного акционерного общества «Росгосстрах Банк»
|
Поле Certificate Policies Сертификата ключа проверки электронной подписи содержит сведения об отношениях, при которых Электронный документ будет иметь юридическое значение (политики применения СКП). Сведения о допустимых в Банка политиках применения СКП приведены в п.21. настоящего Регламента.
Структура Списка отозванных сертификатов УЦ
Название
| Описание
| Содержание
| Базовые поля Списка отозванных сертификатов
| Version
| Версия
| V2
| Issuer
| Издатель СОС
| СN = CA OJSC RGS Bank
О = ОАО «РГС Банк»
L = Москва
C = RU
| thisUpdate
| Время издания СОС
| дд.мм.гггг чч:мм:сс GMT
| nextUpdate
| Время, по которое действителен СОС
| дд.мм.гггг чч:мм:сс GMT
| revokedCertificates
| Список отозванных сертификатов
| Последовательность элементов следующего вида:
1. Серийный номер сертификата (Serial Number)
2. Время включения записи в СОС (Revocation Date)
| signatureAlgorithm
| Алгоритм подписи
| ГОСТ Р 34.11/34.10-2001
| Signature
| Подпись издателя СОС
| Подпись издателя в соответствии с ГОСТ Р 34.11/34.10-2001
| Расширения Списка отозванных сертификатов
| Reason Code
| Код причины отзыва сертификата
| "0" Не указана
"1" Компрометация ключа
"2" Компрометация ЦС
"3" Изменение принадлежности
"4" Сертификат заменен
"5" Прекращение работы
"6" Приостановка действия
| CRL Number
| Номер списка отозванных сертификатов
| Порядковый номер
| Next CRL Publish
| Время очередной следующей публикации
| ДД:ММ:ГГГГ ЧЧ:ММ GMT
| Authority Key Identifier
| Идентификатор ключа издателя
| Идентификатор Ключа ЭП Уполномоченного лица Удостоверяющего центра, на котором подписан СОС
| CA_Version
| Объектный идентификатор сертификата издателя
| Версия сертификата уполномоченного лица Удостоверяющего центра
| Сроки действия СКП и Ключей ЭП
Срок действия Ключа ЭП Уполномоченного лица УЦ составляет 2 (Два) года.
Начало периода действия Ключа ЭП Уполномоченного лица УЦ исчисляется с даты и времени генерации Ключа ЭП Уполномоченного лица УЦ.
Срок действия СКП Уполномоченного лица УЦ составляет 15 (Пятнадцать) лет.
Срок действия Ключа ЭП Уполномоченного лица Клиента и Уполномоченного лица Банка составляет 1 (Один) год.
Начало периода действия Ключа ЭП Уполномоченного лица Клиента и Уполномоченного лица Банка исчисляется с даты и времени начала действия соответствующего СКП.
Срок действия СКП Уполномоченного лица Клиента и Уполномоченного лица Банка составляет 1 (Один) год.
Срок действия Технологического СКП составляет три месяца с момента его издания Удостоверяющим центром.
Политики применения СКП
В соответствии с действующим федеральным законом «Об электронной подписи» для обеспечения юридической значимости ЭД кроме действительности СКП, с использованием которого сформирована ЭП для данного ЭД, требуется еще и соответствие отношений, к которым относится ЭД, сведениям об отношениях, которые указаны для соответствующего СКП (политика применения СКП). В Банке для сохранения сведений об отношениях, при осуществлении которых электронный документ с Электронной подписью будет иметь юридическое значение, используется атрибут СКП Certificate Policies, называемый политикой применения СКП. Значения, указываемые в политике применения сертификата, являются идентификаторами объектов и формируются в соответствии с RFC 1155. Все идентификаторы объектов, определяемые Публичным акционерным обществом «Росгосстрах Банк», будут начинаться с 1.2.643.4.13.
В таблице 1 приводится иллюстрация соответствующей RFC 1155 структуры идентификаторов объектов информации, назначаемых Публичным акционерным обществом «Росгосстрах Банк».
Таблица 1
Элементы идентификаторов (по уровням)
| Идентификаторы объектов информации
| 1
| 2
| 3
| 4
| 5
|
| 1
|
|
|
|
| 1.х – Идентификаторы, регулируемые ISO
|
| 2
|
|
|
| 1.2.х – Идентификаторы для использования национальными организациями стандартизации
|
|
| 643
|
|
| 1.2.643.х – Идентификаторы, регулируемые Росстандартом
|
|
|
| 4
|
| 1.2.643.4.х – Идентификаторы, регулируемые Банками
|
|
|
|
| 13
| 1.2.643.4.13.х – Идентификаторы, назначаемые Публичному акционерному обществу «Росгосстрах Банк» (81 – рег. номер Публичного акционерного общества «Росгосстрах Банк»)
Идентификаторы объектов информации на дальнейших уровнях определяются в соответствии с внутренней политикой УЦ
|
Политикой использования идентификаторов объектов информации Публичного акционерного общества «Росгосстрах Банк» предусмотрено выделение диапазона номеров 1.2.643.4.13.1 – 1.2.643.4.13.3 для идентификации отношений, связанных с обменом электронными документами в Системе ДБО Банка. В таблице 2 приводится идентификатор политики применения Сертификатов ключей проверки электронных подписей, применяемой в Банка.
Таблица 2
Области применения сертификатов, относящиеся к Бизнес-системам Банка.
Объектный идентификатор
| Название
| Область применения
| 1.2.643.4.13
| Публичное акционерное общество «Росгосстрах Банк»
| Идентификатор, зарегистрированный в Российском пространстве идентификаторов объектов за Публичным акционерным обществом «Росгосстрах Банк»
|
| 1.2.643.4.13.1
| Система дистанционного банковского обслуживания
|
| 1.2.643.4.13.1.2
| Сертификаты Уполномоченных лиц Банка, используемые в системе дистанционного банковского обслуживания
| 1.2.643.4.13.1.2.1
| Сотрудник Банка - участник системы дистанционного банковского обслуживания «Банк-Клиент»
| Подписание личной ЭП электронных документов и транзакций, предусмотренных регламентом системы, от имени сотрудника Банка, обладающего правом подписи документов.
|
| 1.2.643.4.13.1.3
| Сертификаты Клиентов Банка, используемые в системе дистанционного банковского обслуживания
| 1.2.643.4.13.1.3.1
| Технологический СКП
| Подписание запроса в Удостоверяющий Центр в виде Электронного документа, содержащего необходимые сведения для выпуска рабочего Сертификата ключа проверки электронной подписи. ЭП не может использоваться для подписи финансовых Электронных документов.
| 1.2.643.4.13.1.3.2
| Клиент Банка – участник системы дистанционного банковского обслуживания «Банк-Клиент»
| Подписание личной ЭП Электронных документов и транзакций, предусмотренных Правилами, от имени Клиента Банка.
| Приложение № 2
К Правилам электронного документооборота в системе дистанционного банковского обслуживания Публичного акционерного общества «Росгосстрах Банк» (Редакция 711) Условия использования ЭСП Настоящие Условия использования электронного средства платежа Публичного акционерного общества «Росгосстрах Банк» (далее – Условия) определяют порядок использования Электронного средства платежа (ЭСП), способы и места использования ЭСП, меры предосторожности при совершении операций с использованием ЭСП, рекомендации по безопасному использованию ЭСП.
Общие меры безопасности в Интернет
Существуют различные вредоносные программы (трояны, кейлогеры, и т.д) распространяющиеся по ICQ, e-mail, Skype, через принадлежащие преступникам сайты, которые дают возможность злоумышленникам завладеть ЭП, логином и паролем и совершать операции от имени клиента.
При работе в Интернет рекомендуем Клиентам соблюдать следующие правила безопасности:
После завершения работы с Системой ДБО ОБЯЗАТЕЛЬНО извлеките Ключевой носитель из USB порта компьютера;
Использовать лицензионное программное обеспечение;
Периодически (не реже раза в неделю) проверять наличие новых обновлений для Вашей системы Windows, Системы ДБО, web-браузера и своевременно устанавливать все обновления, касающиеся безопасности;
Перед началом работы необходимо убедиться, что Ваш компьютер не заражен вредоносными программами;
Обязательно установите лицензионную антивирусную программу, обновляйте антивирусные базы (рекомендуется настроить автоматическое обновление);
Рекомендуется полная еженедельная проверка компьютера на наличие вирусов, удаление обнаруженного вредоносного ПО. При работе в интернет не соглашаться на установку каких-либо дополнительных программ или компонентов, если Вы не знаете для чего это нужно. Необходимо включить штатный Брандмауэер Windows или установить и использовать какой-либо другой персональный брэндмауэр (программа, предотвращающая доступ к данным на Вашем компьютере из внешних сетей);
Не рекомендуется при отсутствии необходимости работать на компьютере с правами администратора, особенно при работе в Интернете;
В повседневной работе рекомендуется входить в систему как пользователь, не имеющий прав администратора;
Учетная запись «Гость» должна быть выключена;
Программное обеспечение, установленное на компьютере, не должно содержать средств разработки и отладки приложений, а также средств, позволяющих осуществлять несанкционированный доступ к системным ресурсам;
При работе с электронной почтой не рекомендуется открывать письма и вложенные в них файлы, полученные от неизвестных Вам отправителей, не переходить по содержащимся в таких письмах ссылкам;
Не следует исполнять и открывать файлы, полученные из общедоступных сетей передачи данных, без проведения соответствующих проверок на предмет содержания в них программных закладок и вирусов. Остерегайтесь шпионских программ, которые могут проникнуть в ваш компьютер при открытии Интернет-страниц, содержащих заманчивые предложения или сенсации. Уделяйте повышенное внимание файлам, прикрепленным к сообщениям, полученным по электронной почте. Если не уверены в их происхождении, лучше не открывайте файлы с расширением .exe., .com., .bat., .pif., .vbs, .vbe, .cmd;
Для пользования системой Интернет Клиент-Банк необходимо закрыть доступ ко всем внешним ресурсам за исключением Интернет Клиент-Банка (https://ib.rgsbank.ru на порт 443)
Отключить возможность захвата удаленного управления с помощью терминального соединения компьютерами, используемыми для работы в ДБО, заблокировав на Firewall порты 3389/tcp (RDP Remote desktop) и 5900/tcp (VNC) и отключив на этих компьютерах службу «Удаленного помощника»;
Не рекомендуется работать с системой ИКБ через публичные компьютеры (интернет-кафе, компьютерные салоны, иные общественные места) или чужие компьютеры;
При увольнении или смене ответственного работника (включая смену генерального директора или главного бухгалтера), а также любых других действиях, затрагивающих изменение состава Уполномоченных лиц Клиента, имеющих доступ к Системе ДБО, необходимо незамедлительно в установленном порядке проинформировать об этом Банк и заблокировать ранее используемые этими лицами Криптографические ключи ЭП. Для новых Уполномоченных лиц должны быть сгенерированы новые Криптографические ключи;
Рекомендуется осуществлять на регулярной основе (несколько раз в день) дополнительный контрольный вход в Систему ДБО для проверки состояния своих расчетных счетов по выпискам и отслеживания исходящих ЭПД за текущий день;
При невозможности войти в Систему ДБО или при обнаружении подозрительных ЭПД Клиент обязан предпринять все меры для прекращения любых действий в Системе ДБО, а также немедленно, согласно п. 1.94 Регламента УЦ устно с помощью телефонной связи сообщить Персональному менеджеру о Компрометации криптографических ключей. После подачи устного заявления, составляется письменное в офисе Банка.
ТРЕБОВАНИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ИСПОЛЬЗОВАНИЯ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ С СКЗИ «КРИПТО-ПРО CSP»
В целях обеспечения безопасности использования программного обеспечения с СКЗИ «Крипто-Про CSP» (далее СКЗИ), сертифицированным ФСБ РФ, должны выполняться следующие требования по организационно-техническим мерам защиты:
Ключевой носитель не допускается оставлять вставленным в USB порт компьютера после окончания работы в Системе ДБО;
Автоматизированные рабочие места с СКЗИ должны располагаться в помещениях, обеспечивающих невозможность несанкционированного доступа к СКЗИ;
Правом доступа к рабочим местам с СКЗИ должны обладать только лица, ознакомленные с правилами пользования СКЗИ и с другими нормативными документами, созданными на их основе.
На компьютере должна быть установлена только одна операционная система;
На компьютере должна быть установлена парольная защита на вход в BIOS и в операционную систему. При выборе пароля необходимо следовать следующим рекомендациям;
пароль должен содержать не менее 6 символов;
не использовать в качестве пароля имя, фамилию, день рождения и другие памятные даты, номер телефона, автомобиля, адрес местожительства и другие данные, которые могут быть подобраны злоумышленником путем анализа информации об администраторе или пользователе;
не использовать в качестве пароля один и тот же повторяющийся символ либо повторяющуюся комбинацию из нескольких символов;
не использовать в качестве пароля комбинацию символов, набираемых в закономерном порядке на клавиатуре (например, «1234567» или «1йфячыц2» и т. п.);
использовать в качестве пароля комбинацию знаков, смысл последовательности которых трудно определить;
При использовании СКЗИ на компьютерах, подключенных к сетям, должны быть предприняты меры, исключающие возможность несанкционированного доступа к системным ресурсам используемых операционных систем, к программному обеспечению, в окружении которого функционируют СКЗИ, и к компонентам СКЗИ со стороны указанных сетей:
Создание списка пользователей, добавление в список нового пользователя, создание идентификаторов доступа в системной базе данных прав доступа, выдача созданных идентификаторов пользователям в операционной системе должны осуществляться только администратором системы;
Доступ к управлению привилегиями, квотами и установке прав доступа пользователей к файловой системе должен иметь только администратор системы;
Управление привилегиями и квотами операционной системы должно осуществляться для каждого пользователя персонально на основе его системной учетной информации;
Права доступа каждого пользователя к файловой системе операционной системы должны определяться администратором системы в соответствии с правилами эксплуатации системы;
Любые дополнительные права доступа должны даваться пользователям только системным администратором по согласованию со службой безопасности Клиента, если это необходимо для функционирования автоматизированной системы, базы данных и/или вычислительного комплекса в целом.
При эксплуатации СКЗИ запрещается:
Оставлять без контроля вычислительные средства, на которых установлены СКЗИ, при включенном питании и загруженном программном обеспечении СКЗИ. При кратковременном перерыве в работе рекомендуется производить гашение экрана, возобновление активности экрана должно производиться с использованием пароля доступа. При этом ключевой носитель не должен быть вставлен в USB порт.
Разглашать ПИН-Коды Ключевых носителей или передавать сами Ключевые носители лицам не допущенным.
Меры безопасности при работе с Системой Интернет Клиент-Банк (ИКБ)
|