Как установить систему криптографической информации

Содержание
  1. Как установить КриптоПро CSP
  2. Шаг 1
  3. Шаг 2
  4. Шаг 3
  5. Шаг 4
  6. Шаг 5
  7. Руководство пользователя ООО «Такском»
  8. Главная > Руководство пользователя
  9. Установка и настройка средств криптографической защиты информации КриптоПро CSP
  10. Установка программы «КриптоПро CSP» версии 3.6
  11. Установка сертификата Удостоверяющего центра
  12. Формирование личных ключей и получение сертификата ключа подписи
  13. Экспорт сертификата
  14. Установка личного сертификата
  15. Просмотр сертификатов
  16. Использование в качестве считывателя ключевой информации дисковода В
  17. Использование в качестве ключевого носителя информации Реестра или флеш-носителя
  18. Статьи по теме: «Информационная безопасность»
  19. Установка и настройка СКЗИ
  20. Содержание:
  21. Классы защиты
  22. Совместимость СКЗИ различных производителей
  23. Документация сертифицированного продукта
  24. Установка
  25. Настройка
  26. Эксплуатация
  27. Окончание жизненного цикла
  28. Резюме

Как установить КриптоПро CSP

Итак, вы купили лицензию на КриптоПро CSP. Что же делать дальше?

После покупки лицензии в нашем интернет-магазине, вы получите письмо по электронной почте, в котором вы найдете:

Шаг 1

Это можно сделать, внимательно изучив свое меню Пуск: там должен быть пункт КРИПТО-ПРО, в котором есть программа КриптоПро CSP.

Шаг 2

Вы выяснили, что программа у вас не установлена. Значит, вам нужно скачать КриптоПро CSP и установить его.

Скачать его не так уж просто: криптопровайдер является средством криптографической защиты информации, а значит его распространение подлежит учету в соответствующих органах. Поэтому, вам нужно будет пройти по ссылке, которая пришла вам в письме или самостоятельно зайти на сайт КриптоПро по ссылке http://www.cryptopro.ru/downloads и выбрать из списка продуктов КриптоПро CSP.

Вы увидите что-то такое:

Нажмите на ссылку «Предварительная регистрация» и заполните форму из множества полей. После заполнения формы и регистрации, от вас потребуют согласится с лицензионным соглашением, а затем все-таки получите возможность скачать дистрибутив программы.

На момент публикации, страница с выбором дистрибутива выглядит так:

Если же вы купили версию 4.0, то соответственно выбирайте пункт КриптоПро CSP 4.0 (рекомендована для работы с Windows 10, сертификация планируется в III квартале 2015 года).

Скачать вам будет нужно вот этот файл:

Шаг 3

Вы скачали установочный файл КриптоПро CSP, и сейчас нужно будет установить саму программу. Для этого запускаем установочный файл, если видим предупреждение системы безопасности нужно разрешить программе внести изменения на вашем компьютере. В открывшемся нажимаем кнопочку Установить (рекомендуется)

Инсталляция программы проходит автоматически в течение нескольких минут и не требует участия пользователя.

Все, установка завершена.

Шаг 4

Теперь нужно ввести лицензионный ключ в специальном окне. Добраться до него можно таким образом (путь можно немного разниться в зависимости от версии операционной системы):

Затем нажимаем кнопку Ввод лицензии

Шаг 5

Радуемся! Мы с вами только что установили криптопровайдер. Не так уж сложно, правда?

Но нужно понимать, что сам по себе КриптоПро CSP ничего делать не умеет. Следующим этапом вам нужен будет установить (или просто настроить) программы, которые будут взаимодействовать с КриптоПро CSP и решать ваши задачи, будь то электронная подпись, шифрование или что-то иное.

В следующих инструкциях я расскажу, как установить КриптоПро Office Signature, КриптоАРМ, как работать с токенами и так далее.

Источник

Руководство пользователя ООО «Такском»

Главная > Руководство пользователя

Информация о документе
Дата добавления:
Размер:
Доступные форматы для скачивания:

Установка и настройка средств криптографической защиты информации КриптоПро CSP

В данном разделе используются следующие термины и определения:

Сертификат – идентификационная информация о пользователе и его открытый ключ, подписанный закрытым ключом центра сертификации.

Ключевой контейнер – способ хранения закрытого ключа пользователя.

Для установки СКЗИ следует выбрать пункт загрузочного меню « КриптоПро CSP ».

Установка программы «КриптоПро CSP» версии 3.6

Для установки программы « КриптоПро CSP » версии 3.6 с компакт-диска « Такском-Спринтер » необходимо в загрузочном меню последовательно выбрать пункты « КриптоПро CSP – КриптоПро CSP 3.6 ».

Установка производится в соответствии с сообщениями, выдаваемыми программой установки. В процессе установки потребуется принять условия лицензионного соглашения и ввести серийный номер КриптоПро CSP с бланка лицензии на использование программы или с карточки настройки ПК « Спринтер ».

ВАЖНО! При вводе серийного номера нужно следить за переключателями регистра и раскладки клавиатуры (русский/английский).

После завершения установки необходимо произвести перезагрузку компьютера.

Далее для программы « КриптоПро CSP версии 3.6 » необходимо установить датчик случайных чисел (ДСЧ). Для этого нужно:

запустить программу « КриптоПро CSP » (« Пуск – Настройка – Панель управления – КриптоПро CSP »);

перейти на закладку « Оборудование » и нажать кнопку « Настроить ДСЧ »;

в открывшемся окне « Управление датчиками случайных чисел » нажать кнопку « Добавить », а затем кнопку « Далее » в окне мастера установки ДСЧ;

в следующем окне мастера установки выбрать « Биологический ДСЧ » и нажать кнопку « Далее »;

в следующем окне мастера установки следует ввести имя ДСЧ и нажать кнопку « Далее » и « Готово ».

Если датчик установлен правильно, то окно « Управление датчиками случайных чисел » должно иметь следующий вид.

Далее можно включить режим кэширования. В этом случае при сдаче отчетности достаточно один раз предъявить дискету с ключевым контейнером. Больше этого делать не потребуется до перезагрузки компьютера.

Для установки режима кэширования нужно перейти на закладку « Безопасность », поставить галочку в поле « Включить кэширование », выбрать размер кэша (по умолчанию 8) и нажать « ОК ».

Установка сертификата Удостоверяющего центра

Перед установкой сертификата удостоверяющего центра следует зайти на Web-сайт специализированного оператора связи, с которым Вы заключили договор об оказании услуг, выбрать раздел « Удостоверяющий центр » и перейти в подраздел « Сертификат Удостоверяющего центра ». На этой странице нужно щелкнуть левой кнопкой мыши по ссылке «Корневой сертификат для систем ЭДО ООО «Такском»» и сохранить корневой сертификат Удостоверяющего центра на своем компьютере.

Затем с помощью значка « Мой компьютер » на рабочем столе Вашего компьютера или проводника Windows следует указать каталог, в который был сохранен сертификат с сайта, щелкнуть правой кнопкой мыши по имени сертификата и в открывшемся контекстном меню выбрать пункт « Установить сертификат », в результате чего будет запущен мастер импорта сертификатов.

В открывшемся окне « Мастер импорта сертификатов » нужно нажать кнопку « Далее ». В следующем окне необходимо установить переключатель выбора хранилища в положение « Поместить все сертификаты в следующее хранилище », а с помощью кнопки « Обзор » – указать в качестве имени хранилища « Доверенные корневые центры сертификации ».

После завершения работы мастера импорта сертификатов (кнопка « Готово ») на вопрос о добавлении сертификата в корневое хранилище нужно ответить « Да » и нажать « ОК » в сообщении об успешном импорте сертификата.

Формирование личных ключей и получение сертификата ключа подписи

Формирование личных ключей и получение сертификата ключа подписи осуществляется с использованием маркера временного доступа. Параметры маркера временного доступа (ID маркера и пароль) указаны в карточке временного доступа к Удостоверяющему центру, выдаваемой при подключении к системе.

ПРИМЕЧАНИЕ. Для выполнения процедуры генерации личных ключей и получения сертификата ключа подписи требуется соединение с Удостоверяющим центром Оператора по протоколу https (порт 443).

Для формирования и получения личного ключа подписи абонент системы « Такском-Спринтер » должен зайти на Web-сайт специализированного оператора связи, выбрать раздел « Удостоверяющий центр » и перейти в подраздел « Вход для зарегистрированных абонентов ».

Читайте также:  Как установить гогуль на компьютер

На открывшейся странице нужно нажать ссылку « Вход для пользователей, обладающих маркером временного доступа ».

На открывшейся странице нужно ввести идентификатор маркера « ID маркера » и « Пароль », указанные в карточке временного доступа к Удостоверяющему центру, и нажать на кнопку « Войти ».

ВАЖНО! Раскладка клавиатуры должна быть латинская, Caps Lock выключен.

На следующей странице нужно установкой галочки в поле « С указанными данными согласен » подтвердить правильность указанной информации и нажать кнопку « Отправить запрос на сертификат ».

ПРИМЕЧАНИЕ. Если на экране появится предупреждение безопасности (их может быть несколько), нужно ответить « Да ».

Далее необходимо вставить в компьютер ключевой носитель (дискету, eToken и т.д.). В открывшемся окне выбора ключевого носителя в поле « Устройства » выделить курсором мыши соответствующий ключевой носитель. Например, для ключевого носителя дискеты – выбрать « Дисковод, А », для ключевого носителя eToken – « AKS ifdh 0 ». Затем нужно нажать кнопку « ОК ».

После выбора устройства считывания ключевой информации откроется окно « Биологический датчик случайных чисел ». В процессе работы датчика (пока отображается индикатор выполнения) нужно нажимать произвольные клавиши на клавиатуре (кроме клавиши Esc ) или двигать курсором мыши в поле окна датчика. При выполнении данной процедуры происходит генерация пары ключей (закрытого и открытого) и запись на ключевой носитель.

По окончании работы датчика откроется окно для установки пароля на контейнер, в котором будут храниться сгенерированные ключи и сертификат. Если Вы не хотите устанавливать пароль, нажмите сразу кнопку « ОК », или сначала введите пароль, а потом нажмите « ОК » для его установки.

ВАЖНО! Если Вы установили пароль, то следует помнить, что при утере пароля дальнейшая работа в системе будет невозможна без смены ключевой информации (внеплановой замены сертификата).

Далее на открывшейся странице нужно нажать кнопку « Установить сертификат ».

Процедура формирования личных ключей и получения сертификата ключа подписи завершена. Сертификат ключа подписи установлен в хранилище « Личные » на Вашем компьютере. Теперь в процессе работы при установлении защищенного соединения с Удостоверяющим центром будет появляться список установленных сертификатов.

Экспорт сертификата

После установки личного сертификата рекомендуется записать его на ключевой носитель (дискету, eToken и т.д.). Хранение сертификата на ключевом носителе позволяет пользователю переносить всю необходимую ключевую информацию с компьютера, где были сформированы личные ключи пользователя на другие рабочие места.

Установка личного сертификата

В случае, когда требуется использование ключей и сертификатов на другом компьютере (на новом рабочем месте), необходимо выполнить процедуру установки сертификата с ключевого носителя (дискеты, eToken и т.д.). Предварительно должна быть выполнена процедура экспорта сертификата.

Для установки личного сертификата с ключевого носителя нужно запустить программу « КриптоПро CSP » (« Пуск – Настройка – Панель управления – КриптоПро CSP » ) и на закладке « Сервис » нажать кнопку « Установить личный сертификат ».

После нажатия на кнопку « Далее » появится окно, содержащее данные сертификата и затем окно, в котором нужно указать имя ключевого контейнера. При нажатии на кнопку « Обзор » откроется окно « Выбор ключевого контейнера », в котором следует нажать на кнопку « ОК ».

В следующем окне с помощью кнопки « Обзор » нужно выбрать хранилище « Личные ».

После завершения работы мастера установки личного сертификата нужно нажать кнопку « Готово ».

Просмотр сертификатов

Просмотреть сертификат ключа подписи можно следующим образом.

Во-первых, можно открыть ключевую дискету и дважды щелкнуть левой кнопкой мыши по имени сертификата. Содержание будет отображено в стандартном окне просмотра сертификатов.

Во-вторых, можно запустить программу « КриптоПро CSP » (« Пуск – Настройка – Панель управления – КриптоПро CSP ») и на закладке « Сервис » нажать кнопку « Просмотреть сертификаты в контейнере ». Далее вставить в компьютер ключевой носитель (дискету, eToken и т.д.) и с помощью кнопки « Обзор » указать ключевой контейнер для просмотра аналогично тому, как это делалось при установке личного сертификата. Затем нужно нажать кнопку « Далее » – в следующем окне будут представлены данные сертификата для просмотра.

В-третьих, можно запустить Internet Explorer и последовательно выбрать в меню пункты « Сервис – Свойства обозревателя ». В открывшемся окне « Свойства обозревателя » следует перейти на закладку « Содержание » и нажать на кнопку « Сертификатов… ». При этом откроется окно со списком установленных сертификатов, в котором нужно дважды щелкнуть мышью по строке с интересующим Вас сертификатом.

Использование в качестве считывателя ключевой информации дисковода В

Для установки нужного считывателя следует запустить программу « КриптоПро CSP » (« Пуск – Настройка – Панель управления – КриптоПро CSP ») и перейти на закладку « Оборудование ». На этой закладке следует нажать кнопку « Настроить считыватели », после чего откроется окно « Управление считывателями ».

В окне « Управление считывателями » будет приведен список установленных ранее считывателей. Если в этом списке нет нужного считывателя, то следует нажать кнопку « Добавить ». В результате откроется окно « Мастер установки считывателя », в котором нужно нажать на кнопку « Далее ». Открывшееся окно « Выбор считывателя » в поле « Доступные считыватели » будет содержать список всех считывателей, которые когда-либо были установлены на этот компьютер. Для установки в качестве считывателя ключевой информации дисковода B : следует выбрать из списка считыватель « Дисковод ».

Если в списке нет нужного считывателя, то следует нажать кнопку « Установить с диска… » и в открывшемся окне нажать кнопку « Далее ». Откроется окно « Выбор размещения ». В этом окне нужно поставить галочку слева от поля « Сервер Крипто-Про » и нажать на кнопку « Далее ». В открывшемся окне « Выбор установщика » в поле « Доступные установщики » из общего списка необходимо выбрать нужный установщик («Считыватель-дисковод» для установки дисковода B:) и нажать на кнопку « Далее ».

В окне « Идет установка » следует дождаться окончания установки и нажать на кнопку « Готово ». Открывшееся окно « Выбор считывателя » будет содержать список всех доступных считывателей.

Для установки в качестве считывателя ключевой информации дисковода B: следует выбрать из списка считыватель « Дисковод » и нажать на кнопку « Далее ».

При этом откроется окно « Выбор соединения », в поле « Доступные соединения » которого нужно выбрать соединение с буквой дисковода В: и нажать на кнопку « Далее ». Откроется окно « Имя считывателя », в котором будет указано имя считывателя (Дисковод, В). Изменять имя считывателя не рекомендуется.

Затем нужно нажать кнопку « Далее ».

Появится окно « Завершение работы мастера установки считывателя », в котором нужно нажать на кнопку « Готово ». В окне « Управление считывателями » со списком всех установленных считывателей следует нажать на кнопку « ОК ».

Читайте также:  Как установить тв тюнер в монитор

После установки считывателя рекомендуется перезагрузить компьютер.

ПРИМЕЧАНИЕ. На компьютере может быть одновременно установлено и настроено несколько различных считывателей ключевой информации, но для удобства в работе рекомендуется установить только один считыватель.

Использование в качестве ключевого носителя информации Реестра или флеш-носителя


Изменение набора устройств считывания ключевой информации

Для установки нужного считывателя следует запустить программу « КриптоПро CSP » (« Пуск – Настройка – Панель управления – КриптоПро CSP ») и перейти на закладку « Оборудование ». На этой закладке следует нажать кнопку « Настроить считыватели », после чего откроется окно « Управление считывателями ».

В окне « Управление считывателями » будет приведен список установленных ранее считывателей. Если в этом списке нет нужного считывателя (для считывателя Реестр – это « Реестр », а для флеш-носителя – это « Дисковод, »), то следует нажать кнопку « Добавить ». В результате откроется окно « Мастер установки считывателя », в котором нужно нажать на кнопку « Далее ». Открывшееся окно « Выбор считывателя » в поле « Доступные считыватели » будет содержать список всех считывателей, которые когда-либо были установлены на этот компьютер.

Если в списке нет нужного считывателя (для считывателя Реестр – это « Реестр », а для флеш-носителя – это « Дисковод »), то следует нажать кнопку « Установить с диска… » и в открывшемся окне нажать кнопку « Далее ». Откроется окно « Выбор размещения ». В этом окне нужно поставить галочку слева от поля « Сервер Крипто-Про » и нажать на кнопку « Далее ».

В открывшемся окне « Идет установка » следует дождаться окончания установки и нажать на кнопку « Готово ». Открывшееся окно « Выбор считывателя » будет содержать список всех доступных считывателей.

В поле « Доступные считыватели » следует выбрать нужный считыватель (для считывателя Реестр – это « Реестр », а для флеш-носителя – это « Дисковод ») и нажать кнопку « Далее ».

В следующем окне « Имя считывателя » будет указано имя считывателя (для считывателя Реестр – это « Реестр », а для флеш-носителя – это « Дисковод, »). Изменять имя считывателя не рекомендуется.

Затем следует нажать кнопку « Далее ». В открывшемся окне « Завершение работы мастера установки считывателя » нужно нажать на кнопку « Готово ». В окне « Управление считывателями » со списком всех установленных считывателей следует нажать на кнопку « ОК ».

После установки считывателя рекомендуется перезагрузить компьютер.

ПРИМЕЧАНИЕ. На компьютере может быть одновременно установлено и настроено несколько различных считывателей ключевой информации, но для удобства в работе рекомендуется установить только один считыватель.

Далее необходимо выполнить процедуру копирования ключевой информации с дискеты на носитель ключевой информации (Реестр, флеш-носитель).

Копирование ключевой информации с дискеты в Реестр (на флеш-носитель)

Для осуществления процедуры копирования ключевой информации с дискеты в Реестр (на флэш-носитель) следует запустить программу « КриптоПро CSP » (« Пуск – Настройка – Панель управления – КриптоПро CSP ») и перейти на закладку « Сервис ».

На этой закладке следует нажать кнопку « Скопировать контейнер », после чего откроется окно мастера копирования « Копирование контейнера закрытого ключа ».

Далее нужно вставить ключевую дискету в компьютер и нажать кнопку « Обзор ». В открывшемся окне « Выбор ключевого контейнера » следует выделить мышью строку с нужным ключевым контейнером (который требуется скопировать) и нажать кнопку « ОК ».

В поле « Имя ключевого контейнера » окна мастера копирования автоматически отобразится имя ключевого контейнера ключевой дискеты, после чего нужно нажать кнопку « Далее ».

В следующем окне в поле « Имя ключевого контейнера » следует ввести имя ключевого контейнера, на который с ключевой дискеты копируется ключевая информация.

Имя может быть любое, но для удобства в работе рекомендуется указать название организации, для которой создается копия ключевой информации. Имя рекомендуется вводить латинскими буквами. В случае копирования ключевой информации на флеш-носитель предварительно нужно вставить это устройство в компьютер. После этого нужно нажать кнопку « Готово ». В открывшемся окне в поле « Устройства » следует выбрать требуемый считыватель (« Реестр » – для считывателя Реестр или « Дисковод » – для флеш-носителя), выделив его мышью, и нажать кнопку « ОК ».

В результате откроется окно для ввода пароля на вновь создаваемый контейнер, в котором при необходимости следует ввести новый пароль и в подтверждение нажать кнопку « ОК ».

В результате ключевая информация будет скопирована на новый носитель ключевой информации.

Для обеспечения взаимодействия ключевого контейнера и личного сертификата ключа подписи следует выполнить установку личного сертификата в хранилище « Личные » с нового ключевого носителя.

Установка личного сертификата с ключевого носителя

Для установки личного сертификата ключа подписи с ключевого носителя нужно запустить программу « КриптоПро CSP » (« Пуск – Настройка – Панель управления – КриптоПро CSP »), перейти на закладку « Сервис » и нажать кнопку « Просмотреть сертификаты в контейнере… ».

В открывшемся окне « Сертификаты в контейнере закрытого ключа » с помощью кнопки « Обзор » нужно указать имя ключевого контейнера. При нажатии на кнопку « Обзор » откроется окно « Выбор ключевого контейнера », в котором после выбора контейнера следует нажать кнопку « ОК ». Имя ключевого контейнера будет автоматически вписано в соответствующее поле.

Затем следует нажать кнопку « Далее » и в следующем окне с данными сертификата кнопку « Свойства ». В результате откроется стандартное окно просмотра сертификата, в котором нужно нажать кнопку « Установить сертификат… ».

В открывшемся окне « Мастер импорта сертификатов » следует нажать кнопку « Далее ». В следующем окне нужно установить переключатель выбора хранилища в положение « Поместить все сертификаты в следующее хранилище », а с помощью кнопки « Обзор » – указать в качестве имени хранилища « Личные » и нажать кнопку « Далее ».

Для завершения работы мастера импорта сертификатов следует нажать кнопку « Готово » и кнопку « ОК » в сообщении об успешном импорте сертификата.

Источник

Статьи по теме: «Информационная безопасность»

Установка и настройка СКЗИ

Содержание:

Классы защиты

При этом детализированные требования к СКЗИ различных классов имеют ограничительную пометку «Для служебного пользования». Но существуют открытые документы, позволяющие получить общее представление о различных классах и их применении:

С повышением класса увеличиваются потенциальные возможности нарушителя, соответственно, увеличивается и перечень механизмов защиты.

Для СКЗИ класса КС1 актуальны угрозы только из-за пределов контролируемой зоны. Для более высоких классов предполагается, что нарушитель имеет физический доступ к оборудованию. Поэтому предусмотрены дополнительные механизмы защиты: для КС2 – это, как правило, доверенная загрузка (проверка целостности при старте ОС, дополнительная аутентификация); для КС3 – замкнутая программная среда (зафиксированный перечень ПО для среды функционирования СКЗИ).

СКЗИ класса КВ применяются, когда злоумышленники могут располагать исходными текстами прикладного ПО, входящего в среду функционирования и взаимодействующего с СКЗИ, а СКЗИ класса КА, – если существует опасность, что преступники имеют возможность доступа к аппаратным компонентам СКЗИ и его среде функционирования.

Читайте также:  Как установить ленту новостей на свой сайт

Для подключения к инфраструктуре НКЦКИ в настоящее время используются СКЗИ класса КС3. Класс КС3 является де-факто стандартом для государственных информационных систем, например, СКЗИ этого класса широко распространены в Системе межведомственного электронного взаимодействия (СМЭВ).

Совместимость СКЗИ различных производителей

В отечественных СКЗИ используются российские криптографические алгоритмы, соответствующие требованиям ГОСТ.

Для формирования электронной подписи и проверки ее целостности ранее использовались ГОСТ 34.10-2001 и 34.11-94. Сейчас осуществляется переход на ГОСТ 34.10/34.11-2012. Переход планируется завершить до конца 2019 года.

Для шифрования чаще всего используется ГОСТ 28147-89. Некоторыми производителями СКЗИ уже реализованы более современные алгоритмы – «Кузнечик» и «Магма» (ГОСТ 34.12-2015). Планируется объявление пятилетнего переходного периода на новые ГОСТ. За это время производители СКЗИ должны будут реализовать поддержку ГОСТ 34.12-2015, а пользователи перейти на них с ГОСТ 28147-89.

Предлагаемые на рынке СКЗИ различных производителей не всегда совместимы между собой по некоторым причинам технического характера (разные таблицы замен для ГОСТ 28147-89, различные форматы ключевых контейнеров и др.).

При рассмотрении задачи построения виртуальных частных сетей (VPN) соответствующих ГОСТ, помимо совместимости криптографии, нужно учитывать совместимость протоколов передачи данных. На российском рынке преимущественно используются продукты нескольких производителей: «ИнфоТеКС» (ViPNet), «Код Безопасности» (Континент), «С-Терра», а также «Элвис-Плюс». «ИнфоТеКС» и «Код Безопасности» используют собственные протоколы, без публичного описания, не совместимые с протоколами других производителей. «С-Терра» и «Элвис-Плюс» применяют стандартный IPsec в соответствии с RFC, совместимый с реализациями других производителей (в частности, «С-Терра» совместима с «КриптоПро»).

По этой причине крупным организациям и государственным сервисам необходимо иметь центральное мультивендорное ядро для подключения к своей инфраструктуре (так, например, было сделано в СМЭВ). Это увеличивает расходы владельца системы на ее обслуживание, но зато позволяет избежать зависимости от одного производителя и сделать подключение более гибким для пользователей.

В настоящее время для подключения к НКЦКИ используется продукция линейки ViPNet компании «ИнфоТеКС»:

В ближайшее время для подключения к НКЦКИ планируется задействовать продукты других компаний, например, «С-Терра», «Код Безопасности» и пр. При этом может быть использован архитектурный подход, аналогичный тому, что был реализован в СМЭВ.

При обсуждении вопросов стандартизации отдельно нужно отметить аспект защиты массового доступа к веб-ресурсам. ГОСТ TLS реализован у нескольких российских производителей, и эти реализации совместимы между собой.

Документация сертифицированного продукта

При сертификации СКЗИ разработчик, производитель, испытательная лаборатория и регулятор (ФСБ России) согласовывают Формуляр и Правила Пользования. Это важнейшие документы, которые существенно влияют на все этапы жизненного цикла СКЗИ.

В формуляре следует обратить внимание на следующие сведения:

Правила Пользования содержат условия, при которых СКЗИ обеспечивают защиту соответствующего класса. Соблюдение этих условий – обязанность администратора безопасности.

Множество требований к СКЗИ основываются на Приказе ФАПСИ от 13 июня 2001 г. № 152 и распространяются на продукцию большинства производителей СКЗИ, хотя в нем встречаются пункты, характерные для конкретного изделия.

В данном Приказе следует обратить внимание на следующие моменты:

Установка

После ознакомления с Формуляром, Правилами Пользования и другой эксплуатационной документацией на СКЗИ можно приступать к следующему этапу – установке.

Предварительно нужно убедиться, что купленное СКЗИ соответствует Формуляру – раздел «комплектность». Если в комплекте поставки дистрибутив с версией, отличной от версии в Формуляре, то это повод обратиться к производителю за разъяснениями. Это могла быть производственная ошибка – представленная версия уже сертифицирована, но по чьему-то недосмотру в комплекте оказался старый формуляр. В худшем случае бывает, что формуляр правильный, а фактически поставленная версия не сертифицирована.

При выполнении работ по установке не стоит забывать об административных задачах: сделать отметки в журнале поэкземплярного учета СКЗИ и ключевой информации.

Для установки СКЗИ администратор безопасности должен использовать дистрибутив, доставленный доверенным способом. Обычно СКЗИ поставляется на CD-диске. Тем не менее, предварительно необходимо проверить контрольную сумму установочного файла.

Во время установки требуется ввести лицензию из комплекта поставки, а также пройти процедуру инициализации датчика случайных чисел (ДСЧ). Если ДСЧ биологический, то в зависимости от реализации появится предложение вводить указанные символы или попадать мышкой по «мишеням». Случайное число в таких случаях – интервал времени между нажатиями на клавиши или попаданиями по «мишеням». Если ДСЧ физический, например, в составе АПМДЗ, то процедура инициализации пройдет автоматически, практически незаметно для пользователя.

После завершения установки следует приступить к настройке.

Настройка

Настройка зависит от конкретной задачи и системы, в которой будет использоваться СКЗИ. Рекомендации по формированию политики безопасности указаны в Правилах Пользования, рассмотренных выше.

Настройка может производиться администратором безопасности локально либо централизованно через систему управления. Настройка на системе управления не означает, что никаких локальных действий не потребуется, но они значительно облегчаются. По сути, в центре из шаблона создаётся профайл с политикой безопасности и ключевая информация, далее эти данные доверенным способом доставляются к СКЗИ и импортируются. Дальнейшее управление происходит из системы управления по защищенному каналу.

В НКЦКИ в системе управления ViPNet Administrator создаются профайлы и ключевая информация, далее они передаются в организации, которым требуется подключение и импортируются в приобретенное оборудование ViPNet Coordinator или ViPNet Client.

В дальнейшем аналогичный подход будет использоваться и для СКЗИ других производителей: «С‑Терра», «Код Безопасности» и др.

Эксплуатация

После инициализации и настройки начинается эксплуатация СКЗИ. Во время эксплуатации необходимо техническое сопровождение, которое включает в себя:

Постоянный мониторинг и аудит – важное условие надежной защиты, которое позволяет принять оперативные меры реагирования при попытках взлома или компрометации СКЗИ.

Рассмотрим подробнее обновление ключевой информации. Максимальный срок ее действия обычно составляет 15 месяцев (для большинства случаев) и три года – для токенов с неизвлекаемым ключом. Обычно обновление происходит заранее, например, через год. Оно может быть локальным – путем доставки новой ключевой информации на съемном носителе (токене), либо удаленным – через систему управления.

Окончание жизненного цикла

По окончании срока действия сертификата требуется:

Последний пункт – это закономерный финал любого продукта, в том числе СКЗИ. В этом случае администратор безопасности удаляет СКЗИ и, как правило, отзывает ключевую информацию. Аналогичные действия выполняются при передаче аппаратных средств, на которых установлено СКЗИ, для ремонта в стороннюю организацию.

Резюме

Процесс эксплуатации СКЗИ регламентируется Формуляром, Правилами Пользования и другой эксплуатационной документацией СКЗИ. Из-за большого объема этих документов разобраться в них неподготовленному человеку довольно сложно. Для внедрения и эксплуатации СКЗИ требуется квалифицированный персонал – процессы очень ресурсоемкие. Этот недостаток может частично нивелироваться централизованным управлением, так как наличие в центральном офисе квалифицированного персонала значительно облегчает процесс внедрения СКЗИ. Но множество задач все равно придется решать на месте, среди них – ремонт или замена аппаратных платформ, замена ключевой информации при ее отзыве, восстановление после сбоев и т. п.

Отдельно нужно отметить проблему несовместимости реализаций СКЗИ различных производителей в рамках направления ГОСТ VPN. В связи с этим крупные организации развернули в центре своей инфраструктуры мультивендорное ядро для подключения к ней.

Автор:
Александр Веселов, руководитель направления ГОСТ VPN, «Ростелеком-Solar».

Источник

Поделиться с друзьями
Делаю сам
Adblock
detector