Структура Сертификата ключа проверки электронной подписи Уполномоченного лица Клиента и Уполномоченного лица Банка
Название
|
Описание
|
Содержание
|
Базовые поля сертификата
|
Version
|
Версия
|
V3
|
Serial Number
|
Серийный номер
|
Уникальный серийный номер сертификата
|
Signature Algorithm
|
Алгоритм подписи
|
ГОСТ Р 34.11/34.10-2001
|
Issuer
|
Поставщик (Издатель сертификата)
|
СN = CA OJSC RGS Bank
О = ОАО «РГС Банк»
L = Москва
C = RU
|
Validity Period
|
Срок действия сертификата
|
Действителен с: дд.мм.гггг чч:мм:сс GMT
Действителен по: дд.мм.гггг чч:мм:сс GMT
|
Subject
|
Владелец сертификата
|
CommonName = Общее имя = Фамилия, Имя, Отчество пользователя.
Оrganization = Наименование организации
OU = Подразделение = Наименование подразделения
T = Должность
Locality = Москва
Country = Страна = RU
Email = Адрес электронной почты пользователя
|
Public Key
|
Ключ проверки ЭП
|
Ключ проверки ЭП (алгоритм подписи)
|
Issuer Signature Algorithm
|
Алгоритм подписи издателя сертификата
|
ГОСТ Р 34.11/34.10-2001
|
Issuer Sign
|
ЭП издателя сертификата
|
Подпись издателя в соответствии с
ГОСТ Р 34.11/34.10-2001
|
Дополнения сертификата
|
Key Usage (critical)
|
Использование ключа
|
Неотрекаемость - невозможность осуществления отказа от совершенных действий;
Электронная подпись, Шифрование ключей, Шифрование данных
|
Extended Key Usage
|
Улучшеный ключ
|
Области использования сертификата
|
Certificate Policies
|
Политика применения сертификата
|
Перечень сведений об отношениях, на участие в которых уполномочен Владелец СКП. Соответствует п. 21 настоящего Регламента.
|
Subject Key Idendifier
|
Идентификатор ключа владельца сертификата
|
Идентификатор Ключа ЭП Владельца СКП
|
Authority Key Identifier
|
Идентификатор ключа издателя сертификата
|
Идентификатор Ключа ЭП Уполномоченного лица Удостоверяющего центра , на котором подписан данный сертификат
|
CRL Distribution Point
|
Точка распространения Списка отозванных сертификатов
|
URL= Адрес файла списка отозванных сертификатов на сайте Публичного акционерного общества «Росгосстрах Банк»
|
Поле Certificate Policies Сертификата ключа проверки электронной подписи содержит сведения об отношениях, при которых Электронный документ будет иметь юридическое значение (политики применения СКП). Сведения о допустимых в Банка политиках применения СКП приведены в п.21. настоящего Регламента.
Структура Списка отозванных сертификатов УЦ
Название
|
Описание
|
Содержание
|
Базовые поля Списка отозванных сертификатов
|
Version
|
Версия
|
V2
|
Issuer
|
Издатель СОС
|
СN = CA OJSC RGS Bank
О = ОАО «РГС Банк»
L = Москва
C = RU
|
thisUpdate
|
Время издания СОС
|
дд.мм.гггг чч:мм:сс GMT
|
nextUpdate
|
Время, по которое действителен СОС
|
дд.мм.гггг чч:мм:сс GMT
|
revokedCertificates
|
Список отозванных сертификатов
|
Последовательность элементов следующего вида:
1. Серийный номер сертификата (Serial Number)
2. Время включения записи в СОС (Revocation Date)
|
signatureAlgorithm
|
Алгоритм подписи
|
ГОСТ Р 34.11/34.10-2001
|
Signature
|
Подпись издателя СОС
|
Подпись издателя в соответствии с ГОСТ Р 34.11/34.10-2001
|
Расширения Списка отозванных сертификатов
|
Reason Code
|
Код причины отзыва сертификата
|
"0" Не указана
"1" Компрометация ключа
"2" Компрометация ЦС
"3" Изменение принадлежности
"4" Сертификат заменен
"5" Прекращение работы
"6" Приостановка действия
|
CRL Number
|
Номер списка отозванных сертификатов
|
Порядковый номер
|
Next CRL Publish
|
Время очередной следующей публикации
|
ДД:ММ:ГГГГ ЧЧ:ММ GMT
|
Authority Key Identifier
|
Идентификатор ключа издателя
|
Идентификатор Ключа ЭП Уполномоченного лица Удостоверяющего центра, на котором подписан СОС
|
CA_Version
|
Объектный идентификатор сертификата издателя
|
Версия сертификата уполномоченного лица Удостоверяющего центра
|
Сроки действия СКП и Ключей ЭП
Срок действия Ключа ЭП Уполномоченного лица УЦ составляет 2 (Два) года.
Начало периода действия Ключа ЭП Уполномоченного лица УЦ исчисляется с даты и времени генерации Ключа ЭП Уполномоченного лица УЦ.
Срок действия СКП Уполномоченного лица УЦ составляет 15 (Пятнадцать) лет.
Срок действия Ключа ЭП Уполномоченного лица Клиента и Уполномоченного лица Банка составляет 1 (Один) год.
Начало периода действия Ключа ЭП Уполномоченного лица Клиента и Уполномоченного лица Банка исчисляется с даты и времени начала действия соответствующего СКП.
Срок действия СКП Уполномоченного лица Клиента и Уполномоченного лица Банка составляет 1 (Один) год.
Срок действия Технологического СКП составляет три месяца с момента его издания Удостоверяющим центром.
Политики применения СКП
В соответствии с действующим федеральным законом «Об электронной подписи» для обеспечения юридической значимости ЭД кроме действительности СКП, с использованием которого сформирована ЭП для данного ЭД, требуется еще и соответствие отношений, к которым относится ЭД, сведениям об отношениях, которые указаны для соответствующего СКП (политика применения СКП).
В Банке для сохранения сведений об отношениях, при осуществлении которых электронный документ с Электронной подписью будет иметь юридическое значение, используется атрибут СКП Certificate Policies, называемый политикой применения СКП.
Значения, указываемые в политике применения сертификата, являются идентификаторами объектов и формируются в соответствии с RFC 1155. Все идентификаторы объектов, определяемые Публичным акционерным обществом «Росгосстрах Банк», будут начинаться с 1.2.643.4.13.
В таблице 1 приводится иллюстрация соответствующей RFC 1155 структуры идентификаторов объектов информации, назначаемых Публичным акционерным обществом «Росгосстрах Банк».
Таблица 1
Элементы идентификаторов
(по уровням)
|
Идентификаторы объектов информации
|
1
|
2
|
3
|
4
|
5
|
|
1
|
|
|
|
|
1.х – Идентификаторы, регулируемые ISO
|
|
2
|
|
|
|
1.2.х – Идентификаторы для использования национальными организациями стандартизации
|
|
|
643
|
|
|
1.2.643.х – Идентификаторы, регулируемые Росстандартом
|
|
|
|
4
|
|
1.2.643.4.х – Идентификаторы, регулируемые Банками
|
|
|
|
|
13
|
1.2.643.4.13.х – Идентификаторы, назначаемые Публичному акционерному обществу «Росгосстрах Банк» (81 – рег. номер Публичного акционерного общества «Росгосстрах Банк»)
Идентификаторы объектов информации на дальнейших уровнях определяются в соответствии с внутренней политикой УЦ
|
Политикой использования идентификаторов объектов информации Публичного акционерного общества «Росгосстрах Банк» предусмотрено выделение диапазона номеров 1.2.643.4.13.1 – 1.2.643.4.13.3 для идентификации отношений, связанных с обменом электронными документами в Системе ДБО Банка.
В таблице 2 приводится идентификатор политики применения Сертификатов ключей проверки электронных подписей, применяемой в Банка.
Таблица 2
Области применения сертификатов, относящиеся к Бизнес-системам Банка.
Объектный идентификатор
|
Название
|
Область применения
|
1.2.643.4.13
|
Публичное акционерное общество «Росгосстрах Банк»
|
Идентификатор, зарегистрированный в Российском пространстве идентификаторов объектов за Публичным акционерным обществом «Росгосстрах Банк»
|
|
1.2.643.4.13.1
|
Система дистанционного банковского обслуживания
|
|
1.2.643.4.13.1.2
|
Сертификаты Уполномоченных лиц Банка, используемые в системе дистанционного банковского обслуживания
|
1.2.643.4.13.1.2.1
|
Сотрудник Банка - участник системы дистанционного банковского обслуживания «Банк-Клиент»
|
Подписание личной ЭП электронных документов и транзакций, предусмотренных регламентом системы, от имени сотрудника Банка, обладающего правом подписи документов.
|
|
1.2.643.4.13.1.3
|
Сертификаты Клиентов Банка, используемые в системе дистанционного банковского обслуживания
|
1.2.643.4.13.1.3.1
|
Технологический СКП
|
Подписание запроса в Удостоверяющий Центр в виде Электронного документа, содержащего необходимые сведения для выпуска рабочего Сертификата ключа проверки электронной подписи. ЭП не может использоваться для подписи финансовых Электронных документов.
|
1.2.643.4.13.1.3.2
|
Клиент Банка – участник системы дистанционного банковского обслуживания «Банк-Клиент»
|
Подписание личной ЭП Электронных документов и транзакций, предусмотренных Правилами, от имени Клиента Банка.
|
Приложение № 2
К Правилам электронного документооборота в системе дистанционного банковского обслуживания Публичного акционерного общества «Росгосстрах Банк» (Редакция 711)
Условия использования ЭСП
Настоящие Условия использования электронного средства платежа Публичного акционерного общества «Росгосстрах Банк» (далее – Условия) определяют порядок использования Электронного средства платежа (ЭСП), способы и места использования ЭСП, меры предосторожности при совершении операций с использованием ЭСП, рекомендации по безопасному использованию ЭСП.
Общие меры безопасности в Интернет
Существуют различные вредоносные программы (трояны, кейлогеры, и т.д) распространяющиеся по ICQ, e-mail, Skype, через принадлежащие преступникам сайты, которые дают возможность злоумышленникам завладеть ЭП, логином и паролем и совершать операции от имени клиента.
При работе в Интернет рекомендуем Клиентам соблюдать следующие правила безопасности:
После завершения работы с Системой ДБО ОБЯЗАТЕЛЬНО извлеките Ключевой носитель из USB порта компьютера;
Использовать лицензионное программное обеспечение;
Периодически (не реже раза в неделю) проверять наличие новых обновлений для Вашей системы Windows, Системы ДБО, web-браузера и своевременно устанавливать все обновления, касающиеся безопасности;
Перед началом работы необходимо убедиться, что Ваш компьютер не заражен вредоносными программами;
Обязательно установите лицензионную антивирусную программу, обновляйте антивирусные базы (рекомендуется настроить автоматическое обновление);
Рекомендуется полная еженедельная проверка компьютера на наличие вирусов, удаление обнаруженного вредоносного ПО. При работе в интернет не соглашаться на установку каких-либо дополнительных программ или компонентов, если Вы не знаете для чего это нужно. Необходимо включить штатный Брандмауэер Windows или установить и использовать какой-либо другой персональный брэндмауэр (программа, предотвращающая доступ к данным на Вашем компьютере из внешних сетей);
Не рекомендуется при отсутствии необходимости работать на компьютере с правами администратора, особенно при работе в Интернете;
В повседневной работе рекомендуется входить в систему как пользователь, не имеющий прав администратора;
Учетная запись «Гость» должна быть выключена;
Программное обеспечение, установленное на компьютере, не должно содержать средств разработки и отладки приложений, а также средств, позволяющих осуществлять несанкционированный доступ к системным ресурсам;
При работе с электронной почтой не рекомендуется открывать письма и вложенные в них файлы, полученные от неизвестных Вам отправителей, не переходить по содержащимся в таких письмах ссылкам;
Не следует исполнять и открывать файлы, полученные из общедоступных сетей передачи данных, без проведения соответствующих проверок на предмет содержания в них программных закладок и вирусов. Остерегайтесь шпионских программ, которые могут проникнуть в ваш компьютер при открытии Интернет-страниц, содержащих заманчивые предложения или сенсации. Уделяйте повышенное внимание файлам, прикрепленным к сообщениям, полученным по электронной почте. Если не уверены в их происхождении, лучше не открывайте файлы с расширением .exe., .com., .bat., .pif., .vbs, .vbe, .cmd;
Для пользования системой Интернет Клиент-Банк необходимо закрыть доступ ко всем внешним ресурсам за исключением Интернет Клиент-Банка (https://ib.rgsbank.ru на порт 443)
Отключить возможность захвата удаленного управления с помощью терминального соединения компьютерами, используемыми для работы в ДБО, заблокировав на Firewall порты 3389/tcp (RDP Remote desktop) и 5900/tcp (VNC) и отключив на этих компьютерах службу «Удаленного помощника»;
Не рекомендуется работать с системой ИКБ через публичные компьютеры (интернет-кафе, компьютерные салоны, иные общественные места) или чужие компьютеры;
При увольнении или смене ответственного работника (включая смену генерального директора или главного бухгалтера), а также любых других действиях, затрагивающих изменение состава Уполномоченных лиц Клиента, имеющих доступ к Системе ДБО, необходимо незамедлительно в установленном порядке проинформировать об этом Банк и заблокировать ранее используемые этими лицами Криптографические ключи ЭП. Для новых Уполномоченных лиц должны быть сгенерированы новые Криптографические ключи;
Рекомендуется осуществлять на регулярной основе (несколько раз в день) дополнительный контрольный вход в Систему ДБО для проверки состояния своих расчетных счетов по выпискам и отслеживания исходящих ЭПД за текущий день;
При невозможности войти в Систему ДБО или при обнаружении подозрительных ЭПД Клиент обязан предпринять все меры для прекращения любых действий в Системе ДБО, а также немедленно, согласно п. 1.94 Регламента УЦ устно с помощью телефонной связи сообщить Персональному менеджеру о Компрометации криптографических ключей. После подачи устного заявления, составляется письменное в офисе Банка.
ТРЕБОВАНИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ИСПОЛЬЗОВАНИЯ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ С СКЗИ «КРИПТО-ПРО CSP»
В целях обеспечения безопасности использования программного обеспечения с СКЗИ «Крипто-Про CSP» (далее СКЗИ), сертифицированным ФСБ РФ, должны выполняться следующие требования по организационно-техническим мерам защиты:
Ключевой носитель не допускается оставлять вставленным в USB порт компьютера после окончания работы в Системе ДБО;
Автоматизированные рабочие места с СКЗИ должны располагаться в помещениях, обеспечивающих невозможность несанкционированного доступа к СКЗИ;
Правом доступа к рабочим местам с СКЗИ должны обладать только лица, ознакомленные с правилами пользования СКЗИ и с другими нормативными документами, созданными на их основе.
На компьютере должна быть установлена только одна операционная система;
На компьютере должна быть установлена парольная защита на вход в BIOS и в операционную систему. При выборе пароля необходимо следовать следующим рекомендациям;
пароль должен содержать не менее 6 символов;
не использовать в качестве пароля имя, фамилию, день рождения и другие памятные даты, номер телефона, автомобиля, адрес местожительства и другие данные, которые могут быть подобраны злоумышленником путем анализа информации об администраторе или пользователе;
не использовать в качестве пароля один и тот же повторяющийся символ либо повторяющуюся комбинацию из нескольких символов;
не использовать в качестве пароля комбинацию символов, набираемых в закономерном порядке на клавиатуре (например, «1234567» или «1йфячыц2» и т. п.);
использовать в качестве пароля комбинацию знаков, смысл последовательности которых трудно определить;
При использовании СКЗИ на компьютерах, подключенных к сетям, должны быть предприняты меры, исключающие возможность несанкционированного доступа к системным ресурсам используемых операционных систем, к программному обеспечению, в окружении которого функционируют СКЗИ, и к компонентам СКЗИ со стороны указанных сетей:
Создание списка пользователей, добавление в список нового пользователя, создание идентификаторов доступа в системной базе данных прав доступа, выдача созданных идентификаторов пользователям в операционной системе должны осуществляться только администратором системы;
Доступ к управлению привилегиями, квотами и установке прав доступа пользователей к файловой системе должен иметь только администратор системы;
Управление привилегиями и квотами операционной системы должно осуществляться для каждого пользователя персонально на основе его системной учетной информации;
Права доступа каждого пользователя к файловой системе операционной системы должны определяться администратором системы в соответствии с правилами эксплуатации системы;
Любые дополнительные права доступа должны даваться пользователям только системным администратором по согласованию со службой безопасности Клиента, если это необходимо для функционирования автоматизированной системы, базы данных и/или вычислительного комплекса в целом.
При эксплуатации СКЗИ запрещается:
Оставлять без контроля вычислительные средства, на которых установлены СКЗИ, при включенном питании и загруженном программном обеспечении СКЗИ. При кратковременном перерыве в работе рекомендуется производить гашение экрана, возобновление активности экрана должно производиться с использованием пароля доступа. При этом ключевой носитель не должен быть вставлен в USB порт.
Разглашать ПИН-Коды Ключевых носителей или передавать сами Ключевые носители лицам не допущенным.
Меры безопасности при работе с Системой Интернет Клиент-Банк (ИКБ)
|
