Структура СКП ЭП Уполномоченного лица Клиента и Уполномоченного лица Банка Название
| Описание
| Содержание
| Базовые поля сертификата
| Version
| Версия
| V3
| Serial Number
| Серийный номер
| Уникальный серийный номер сертификата
| Signature Algorithm
| Алгоритм подписи
| ГОСТ Р 34.11/34.10-2001
| Issuer
| Поставщик (Издатель сертификата)
| СN = CA PJSC RGS Bank
О = ПАО «РГС Банк»
L = Москва
C = RU
| Validity Period
| Срок действия сертификата
| Действителен с: дд.мм.гггг чч:мм:сс GMT
Действителен по: дд.мм.гггг чч:мм:сс GMT
| Subject
| Владелец сертификата
| CommonName = Общее имя = Фамилия, Имя, Отчество пользователя.
Оrganization = Наименование организации
OU = Подразделение = Наименование подразделения
T = Должность
Locality = Москва
Country = Страна = RU
Email = Адрес электронной почты пользователя
| Public Key
| Ключ проверки ЭП
| Ключ проверки ЭП (алгоритм подписи)
| Issuer Signature Algorithm
| Алгоритм подписи издателя сертификата
| ГОСТ Р 34.11/34.10-2001
| Issuer Sign
| ЭП издателя сертификата
| Подпись издателя в соответствии с
ГОСТ Р 34.11/34.10-2001
| Дополнения сертификата
| Key Usage (critical)
| Использование ключа
| Неотрекаемость - невозможность осуществления отказа от совершенных действий;
Электронная подпись, Шифрование ключей, Шифрование данных
| Extended Key Usage
| Улучшеный ключ
| Области использования сертификата
| Certificate Policies
| Политика применения сертификата
| Перечень сведений об отношениях, на участие в которых уполномочен Владелец СКП. Соответствует п. 21 настоящего Регламента.
| Subject Key Idendifier
| Идентификатор ключа владельца сертификата
| Идентификатор Ключа ЭП Владельца СКП
| Authority Key Identifier
| Идентификатор ключа издателя сертификата
| Идентификатор Ключа ЭП Уполномоченного лица Удостоверяющего центра , на котором подписан данный сертификат
| CRL Distribution Point
| Точка распространения Списка отозванных сертификатов
| URL= Адрес файла списка отозванных сертификатов на сайте Публичного акционерного общества «Росгосстрах Банк»
|
Поле Certificate Policies СКП ЭП содержит сведения об отношениях, при которых ЭД будет иметь юридическое значение (политики применения СКП). Сведения о допустимых в Банка политиках применения СКП приведены в п.21. настоящего Регламента.
Структура Списка отозванных сертификатов УЦ
Название
| Описание
| Содержание
| Базовые поля Списка отозванных сертификатов
| Version
| Версия
| V2
| Issuer
| Издатель СОС
| СN = CA PJSC RGS Bank
О = ПАО «РГС Банк»
L = Москва
C = RU
| thisUpdate
| Время издания СОС
| дд.мм.гггг чч:мм:сс GMT
| nextUpdate
| Время, по которое действителен СОС
| дд.мм.гггг чч:мм:сс GMT
| revokedCertificates
| Список отозванных сертификатов
| Последовательность элементов следующего вида:
1. Серийный номер сертификата (Serial Number)
2. Время включения записи в СОС (Revocation Date)
| signatureAlgorithm
| Алгоритм подписи
| ГОСТ Р 34.11/34.10-2001
| Signature
| Подпись издателя СОС
| Подпись издателя в соответствии с ГОСТ Р 34.11/34.10-2001
| Расширения Списка отозванных сертификатов
| Reason Code
| Код причины отзыва сертификата
| "0" Не указана
"1" Компрометация ключа
"2" Компрометация ЦС
"3" Изменение принадлежности
"4" Сертификат заменен
"5" Прекращение работы
"6" Приостановка действия
| CRL Number
| Номер списка отозванных сертификатов
| Порядковый номер
| Next CRL Publish
| Время очередной следующей публикации
| ДД:ММ:ГГГГ ЧЧ:ММ GMT
| Authority Key Identifier
| Идентификатор ключа издателя
| Идентификатор Ключа ЭП Уполномоченного лица Удостоверяющего центра, на котором подписан СОС
| CA_Version
| Объектный идентификатор сертификата издателя
| Версия сертификата уполномоченного лица Удостоверяющего центра
| Сроки действия СКП и Ключей ЭП
Срок действия Ключа ЭП Уполномоченного лица УЦ составляет 2 (Два) года.
Начало периода действия Ключа ЭП Уполномоченного лица УЦ исчисляется с даты и времени генерации Ключа ЭП Уполномоченного лица УЦ.
Срок действия СКП Уполномоченного лица УЦ составляет 15 (Пятнадцать) лет.
Срок действия Ключа ЭП Уполномоченного лица Клиента и Уполномоченного лица Банка составляет 1 (Один) год.
Начало периода действия Ключа ЭП Уполномоченного лица Клиента и Уполномоченного лица Банка исчисляется с даты и времени начала действия соответствующего СКП.
Срок действия СКП Уполномоченного лица Клиента и Уполномоченного лица Банка составляет 1 (Один) год.
Срок действия Технологического СКП составляет 3 (Три) месяца с момента его издания УЦ.
Политики применения СКП
В соответствии с действующим федеральным законом «Об электронной подписи» для обеспечения юридической значимости ЭД кроме действительности СКП, с использованием которого сформирована ЭП для данного ЭД, требуется еще и соответствие отношений, к которым относится ЭД, сведениям об отношениях, которые указаны для соответствующего СКП (политика применения СКП).
В Банке для сохранения сведений об отношениях, при осуществлении которых ЭД с ЭП будет иметь юридическое значение, используется атрибут СКП Certificate Policies, называемый политикой применения СКП.
Значения, указываемые в политике применения СКП, являются идентификаторами объектов и формируются в соответствии с RFC 1155. Все идентификаторы объектов, определяемые Банком, будут начинаться с 1.2.643.4.13.
В таблице 1 приводится иллюстрация соответствующей RFC 1155 структуры идентификаторов объектов информации, назначаемых Банком.
Таблица 1
Элементы идентификаторов (по уровням)
| Идентификаторы объектов информации
| 1
| 2
| 3
| 4
| 5
| 1
|
|
|
|
| 1.х – Идентификаторы, регулируемые ISO
|
| 2
|
|
|
| 1.2.х – Идентификаторы для использования национальными организациями стандартизации
|
|
| 643
|
|
| 1.2.643.х – Идентификаторы, регулируемые Росстандартом
|
|
|
| 4
|
| 1.2.643.4.х – Идентификаторы, регулируемые Банками
|
|
|
|
| 13
| 1.2.643.4.13.х – Идентификаторы, назначаемые Публичному акционерному обществу «Росгосстрах Банк» (81 – рег. номер Публичного акционерного общества «Росгосстрах Банк»)
Идентификаторы объектов информации на дальнейших уровнях определяются в соответствии с внутренней политикой УЦ
| Политикой использования идентификаторов объектов информации Банка предусмотрено выделение диапазона номеров 1.2.643.4.13.1 – 1.2.643.4.13.3 для идентификации отношений, связанных с обменом ЭД в Системе ДБО Банка.
В таблице 2 приводится идентификатор политики применения СКП ЭП, применяемой в Банке.
Таблица 2
Области применения сертификатов, относящиеся к Бизнес-системам Банка.
Объектный идентификатор
| Название
| Область применения
| 1.2.643.4.13
| Публичное акционерное общество «Росгосстрах Банк»
| Идентификатор, зарегистрированный в Российском пространстве идентификаторов объектов за Публичным акционерным обществом «Росгосстрах Банк»
| 1.2.643.4.13.1
| Система ДБО
| 1.2.643.4.13.1.2
| Сертификаты Уполномоченных лиц Банка, используемые в Системе ДБО
| 1.2.643.4.13.1.2.1
| Работник Банка - участник Системы ДБО
| Подписание личной ЭП электронных документов и транзакций, предусмотренных регламентом системы, от имени работника Банка, обладающего правом подписи документов.
| 1.2.643.4.13.1.3
| Сертификаты Клиентов Банка, используемые в Системе ДБО
| 1.2.643.4.13.1.3.1
| Технологический СКП
| Подписание запроса в УЦ в виде ЭД, содержащего необходимые сведения для выпуска рабочего СКП ЭП. ЭП не может использоваться для подписи финансовых ЭД.
| 1.2.643.4.13.1.3.2
| Клиент Банка – участник Системы ДБО
| Подписание личной ЭП ЭД и транзакций, предусмотренных Правилами, от имени Клиента Банка.
| Приложение № 2
К Правилам электронного документооборота в системе дистанционного банковского обслуживания Публичного акционерного общества «Росгосстрах Банк» (Редакция 713) Условия использования ЭСП
Настоящие Условия использования электронного средства платежа Публичного акционерного общества «Росгосстрах Банк» (далее – Условия) определяют порядок использования Электронного средства платежа (далее - ЭСП), способы и места использования ЭСП, меры предосторожности при совершении операций с использованием ЭСП, рекомендации по безопасному использованию ЭСП.
Общие меры безопасности в Интернет
Существуют различные вредоносные программы (трояны, кейлогеры, и т.д), распространяющиеся по ICQ, e-mail, Skype, через принадлежащие преступникам сайты, которые дают возможность злоумышленникам завладеть ЭП, Логином и Паролем и совершать операции от имени Клиента.
При работе в Интернет рекомендуем Клиентам соблюдать следующие правила безопасности:
После завершения работы с Системой ДБО ОБЯЗАТЕЛЬНО извлекать Ключевой носитель из USB порта компьютера.
Использовать только лицензионное программное обеспечение.
Периодически, но не реже 1 (Одного) раза в неделю проверять наличие новых обновлений для Вашей операционной системы (например, Windows и т.д.), Системы ДБО, web-браузера и своевременно устанавливать все обновления, касающиеся безопасности.
Перед началом работы необходимо убедиться, что Ваш компьютер не заражен вредоносными программами.
Обязательно установить лицензионную антивирусную программу и своевременно обновлять антивирусные базы (рекомендуется настроить автоматическое обновление).
Осуществлять полную еженедельную проверку компьютера на наличие вирусов, удаление обнаруженного вредоносного ПО. При работе в интернет не соглашаться на установку каких-либо дополнительных программ или компонентов, если Вы не знаете для чего это нужно. Необходимо включить штатный Брандмауэер Windows или установить и использовать какой-либо другой персональный брэндмауэр (программа, предотвращающая доступ к данным на Вашем компьютере из внешних сетей).
При отсутствии необходимости исключить работу на компьютере с правами администратора, особенно при работе в Интернете.
В повседневной работе осуществлять вход в систему как пользователь, не имеющий прав администратора.
Отключить учетную запись «Гость».
Программное обеспечение, установленное на компьютере, не должно содержать средств разработки и отладки приложений, а также средств, позволяющих осуществлять несанкционированный доступ к системным ресурсам.
При работе с электронной почтой не открывать письма и вложенные в них файлы, полученные от неизвестных Вам отправителей, не переходить по содержащимся в таких письмах ссылкам.
Не следует исполнять и открывать файлы, полученные из общедоступных сетей передачи данных, без проведения соответствующих проверок на предмет содержания в них программных закладок и вирусов. Остерегайтесь шпионских программ, которые могут проникнуть в ваш компьютер при открытии Интернет-страниц, содержащих заманчивые предложения или сенсации. Уделяйте повышенное внимание файлам, прикрепленным к сообщениям, полученным по электронной почте. Если не уверены в их происхождении, лучше не открывайте файлы с расширением .exe., .com., .bat., .pif., .vbs, .vbe, .cmd.
Для пользования ИКБ необходимо закрыть доступ ко всем внешним ресурсам за исключением ИКБ (https://ib.rgsbank.ru на порт 443).
Отключить возможность захвата удаленного управления с помощью терминального соединения компьютерами, используемыми для работы в ДБО, заблокировав на Firewall порты 3389/tcp (RDP Remote desktop) и 5900/tcp (VNC) и отключив на этих компьютерах службу «Удаленного помощника».
Не работать с ИКБ через публичные компьютеры (интернет-кафе, компьютерные салоны, иные общественные места) или чужие компьютеры.
При увольнении или смене ответственного работника (включая смену генерального директора или главного бухгалтера), а также любых других действиях, затрагивающих изменение состава Уполномоченных лиц Клиента, имеющих доступ к Системе ДБО, незамедлительно в установленном порядке проинформировать об этом Банк и заблокировать ранее используемые этими лицами Криптографические ключи ЭП. Для новых Уполномоченных лиц должны быть сгенерированы новые Криптографические ключи.
Осуществлять на регулярной основе (несколько раз в день) дополнительный контрольный вход в Систему ДБО для проверки состояния своих расчетных счетов по выпискам и отслеживания исходящих ЭПД за текущий день.
При невозможности войти в Систему ДБО или при обнаружении подозрительных ЭПД Клиент обязан предпринять все меры для прекращения любых действий в Системе ДБО, а также немедленно, согласно п. 1.95 Регламента УЦ устно с помощью телефонной связи сообщить Персональному менеджеру о Компрометации криптографических ключей. После подачи устного заявления Клиент обязан принести Персональному менеджеру Банка заявления на бумажном носителе.
ТРЕБОВАНИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ИСПОЛЬЗОВАНИЯ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ СКЗИ «КРИПТО-ПРО CSP»
В целях обеспечения безопасности использования программного обеспечения СКЗИ «Крипто-Про CSP» (далее СКЗИ), сертифицированного ФСБ РФ, должны выполняться следующие требования по организационно-техническим мерам защиты:
Не допускается оставлять ключевой носитель вставленным в USB порт компьютера после окончания сеанса работы в Системе ДБО.
Автоматизированные рабочие места с установленными СКЗИ должны располагаться в помещениях, исключающих возможность несанкционированного доступа к СКЗИ.
Правом доступа к рабочим местам с СКЗИ должны обладать только лица, ознакомленные с правилами использования СКЗИ и с другими нормативными документами, созданными на их основе.
На компьютере должна быть установлена только одна операционная система.
На компьютере должна быть установлена парольная защита на вход в BIOS и в операционную систему. При выборе Пароля необходимо следовать следующим рекомендациям:
Пароль должен содержать не менее 6 символов;
не использовать в качестве Пароля имя, фамилию, день рождения и другие памятные даты, номер телефона, автомобиля, адрес местожительства и другие данные, которые могут быть подобраны злоумышленником путем анализа информации об администраторе или пользователе;
не использовать в качестве Пароля один и тот же повторяющийся символ либо повторяющуюся комбинацию из нескольких символов;
не использовать в качестве Пароля комбинацию символов, набираемых в закономерном порядке на клавиатуре (например, «1234567» или «1йфячыц2» и т. п.);
использовать в качестве Пароля комбинацию знаков, смысл последовательности которых трудно определить.
При использовании СКЗИ на компьютерах, подключенных к сетям, должны быть предприняты меры, исключающие возможность несанкционированного доступа к системным ресурсам используемых операционных систем, к программному обеспечению, в окружении которого функционируют СКЗИ, и к компонентам СКЗИ со стороны указанных сетей:
Создание списка пользователей, добавление в список нового пользователя, создание идентификаторов доступа в системной базе данных прав доступа, выдача созданных идентификаторов пользователям в операционной системе должны осуществляться только администратором системы.
Доступ к управлению привилегиями, квотами и установке прав доступа пользователей к файловой системе должен иметь только администратор системы.
Управление привилегиями и квотами операционной системы должно осуществляться для каждого пользователя персонально на основе его системной учетной информации.
Права доступа каждого пользователя к файловой системе операционной системы должны определяться администратором системы в соответствии с правилами эксплуатации системы.
Любые дополнительные права доступа должны даваться пользователям только системным администратором по согласованию со службой безопасности Клиента, если это необходимо для функционирования автоматизированной системы, базы данных и/или вычислительного комплекса в целом.
При эксплуатации СКЗИ запрещается:
Оставлять без контроля вычислительные средства, на которых установлены СКЗИ, при включенном питании и загруженном программном обеспечении СКЗИ. При кратковременном перерыве в работе рекомендуется производить гашение экрана, возобновление активности экрана должно производиться с использованием Пароля доступа. При этом ключевой носитель не должен быть вставлен в USB порт.
Разглашать ПИН-Коды Ключевых носителей или передавать сами Ключевые носители лицам, не допущенным к их использованию.
Использовать СКЗИ в коммерческих целях.
Пытаться дизассемблировать, декомпилировать (преобразовывать объектный код в исходный текст) СКЗИ и его компоненты.
Вносить какие-либо изменения в объектный код СКЗИ, за исключением тех, которые вносятся средствами, включенными в комплект СКЗИ и описанными в документации.
Совершать относительно СКЗИ иные действия в нарушение норм законодательства Российской Федерации об авторском праве и смежных правах.
Меры безопасности при работе с Системой «Интернет Клиент-Банк (ИКБ)»
|