Инструкция+по+настройке+рабочего+места. Инструкция по настройке рабочего места Листов 90 Москва 2017 Наименование пс ппо еис
Скачать 2.88 Mb.
|
Наименование ПС: ППО ЕИС Код документа: Стр. 31 31 Эти параметры можно изменить после завершения установки через панель свойств КриптоПро CSP. Для корректной работы КриптоПро CSP после завершения установки необходимо перезагрузить компьютер в случае, если пользователю предлагается перезагрузка. В процессе установки мастером может быть предложен выбор наиболее подходящего вида установки (Рис. 25). Рис. 25 Выбор вида установки По умолчанию (вид установки «Обычная») устанавливаются только основные файлы для работы СКЗИ (для Windows Server 2008 по умолчанию также устанавливается «Драйверная библиотека CSP»). При необходимости можно изменить набор компонентов для установки (Рис. 26): Наименование ПС: ППО ЕИС Код документа: Стр. 32 32 Рис. 26 Выборочная установка Расширенная совместимость с продуктами Microsoft – Обеспечивает совместимость с такими приложениями, как Microsoft Office, Outlook Express. Необходима для входа в систему по смарт -картам. Служба хранения ключей – Обеспечивает хранение, использование и кэширование ключей в отдельном сервисе ОС. По умолчанию включена для уровня безопасности КС2 и КС3 (подробно описана в разделе Установка параметров безопасности). Revocation Provider – Механизм проверки текущего статуса сертификата с использованием OCSP. Является дополнением к стандартному механизму Windows проверки статуса сертификата на основе списка отозванных сертификатов (СОС, CRL). Кроме Наименование ПС: ППО ЕИС Код документа: Стр. 33 33 этого предоставляет возможность использования СОС, выпущенных по правилам, описанным в RFC 3280. Криптопровайдер уровня ядра ОС – Необходим для работы криптопровайдера в службах и ядре Windows (TLS-сервер, EFS, IPsec). Совместимость с КриптоПро CSP 3.6 – Регистрирует имена провайдеров, совместимые с КриптоПро CSP 3.6. Необходимо только при наличии в хранилище «Личные» сертификатов, установленных с КриптоПро CSP 3.6. Совместимость с КриптоПро CSP 3.0 – Регистрирует имена провайдеров, совместимые с КриптоПро CSP 3.0. Необходимо только при наличии в хранилище «Личные» сертификатов, установленных с КриптоПро CSP 3.0. После нажатия на кнопку «Далее» мастером установки предлагается запланировать или отменить установку библиотек поддержки считывателей, а также принять решение о включении функционала накопления информации об использованных съѐмных ключевых носителях. Помимо этого, также необходимо включить режим усиленного контроля использования ключей (Рис. 27). Данный режим осуществляет контроль срока действия долговременных ключей электронной подписи и ключевого обмена, контроль доверенности ключей проверки электронной подписи и контроль корректного использования программного датчика случайных чисел. Использование СКЗИ КриптоПро CSP 4.0 без включения режима усиленного контроля использования ключей разрешается только в тестовых целях. Наименование ПС: ППО ЕИС Код документа: Стр. 34 34 Рис. 27 Установка усиленного контроля использования ключей При установке СКЗИ с включением режима усиленного контроля использования ключей будут запрошены данные с датчика случайных чисел. В случае ошибки получения данных будет отображено окно, пример которого приведен на Рис. 28: Наименование ПС: ППО ЕИС Код документа: Стр. 35 35 Рис. 28 Окно ошибки получения данных с датчика случайных чисел при инсталляции СКЗИ В этом случае при начале работы пользователя в системе с установленным СКЗИ КриптоПро CSP 4.0 необходимо проверить, что зарегистрирован хотя бы один физический датчик случайных чисел (например, внешняя гамма или аппаратный ДСЧ), и выполнить команду: csptest.exe -keyset -verifycontext -hard_rng. После завершения установки СКЗИ с включѐнным режимом усиленного контроля использования ключей необходимо в обязательном порядке установить доверенные корневые сертификаты в хранилище сертификатов локального компьютера CryptoProTrustedStore («Доверенные Наименование ПС: ППО ЕИС Код документа: Стр. 36 36 корневые сертификаты КриптоПро CSP», «CryptoPro CSP Trusted Roots») с помощью оснастки Сертификаты либо с помощью утилиты certmgr.exe: certmgr.exe -inst -cert -silent -store mCryptoProTrustedStore -file ca.cer. После этого следует осуществить перезагрузку компьютера. 1.2.9 Ввод серийного номера лицензии криптопровайдера «КриптоПро CSP» При установке программного обеспечения КриптоПро CSP пользователю предлагается ввести данные лицензии. Без ввода лицензии пользователю предоставляется ознакомительная лицензия с ограниченным сроком действия, для использования КриптоПро CSP после окончания этого срока нужно ввести серийный номер с бланка Лицензии, полученной у организации -разработчика или организации, имеющей права распространения продукта. Если КриптоПро CSP используется на клиентской машине, то требуется лицензия клиентского типа, если на сервере, то серверная лицензия. Для ввода лицензии после установки КриптоПро CSP воспользуйтесь кнопкой Ввод лицензии на вкладке Общие панели управления КриптоПро CSP. Откроется окно «Сведения о пользователе» (см. Рис. 30). Также можно ввести лицензию с помощью утилиты Управление лицензиями КриптоПро PKI. Для этого выполните: «Пуск» > «Программы» > «КриптоПро» > «Управление лицензиями КриптоПро PKI». В блоке «Управление лицензиями КриптоПро PKI» выберите продукт, лицензию на который Вы хотите ввести. В контекстном меню выберите «Все задачи» и далее «Ввести серийный номер» (Рис. 29): Наименование ПС: ППО ЕИС Код документа: Стр. 37 37 Рис. 29 Ввод серийного номера Откроется окно «Сведения о пользователе», в котором необходимо указать сведения о пользователе, организации, а также ввести серийный номер с бланка Лицензии в соответствующие поля ввода (Рис. 30): Наименование ПС: ППО ЕИС Код документа: Стр. 38 38 Рис. 30 Ввод данных лицензии После ввода и нажатия клавиши ОК данные о лицензии сохранятся или обновятся. 1.2.10 Требования к эксплуатации ПО CryptoPro CSP СКЗИ «КриптоПро CSP» версии 4.0 предназначено для защиты открытой информации в информационных системах общего пользования (вычисление и проверка ЭП) и защиты конфиденциальной информации, не содержащей сведений, составляющих государственную тайну, в корпоративных информационных системах (шифрование и расшифрование информации, вычисление и проверка имитовставки, вычисление значения хэш-функции, вычисление и проверка ЭП). При эксплуатации СКЗИ «КриптоПро CSP» версия 4.0 должны выполняться следующие требования: Наименование ПС: ППО ЕИС Код документа: Стр. 39 39 Средствами СКЗИ не допускается обрабатывать информацию, содержащую сведения, составляющие государственную тайну. Допускается использование СКЗИ для криптографической защиты персональных данных. Ключевая информация является конфиденциальной. Срок действия ключа проверки ЭП – не более 15 лет после окончания срока действия соответствующего ключа ЭП. Внешняя гамма, используемая для инициализации состояния программного ДСЧ, является конфиденциальной. СКЗИ должно использоваться со средствами антивирусной защиты, сертифицированными ФСБ России. В случае их отсутствия рекомендуется по возможности использовать существующие антивирусные средства защиты. Класс антивирусных средств защиты определяется условиями эксплуатации СКЗИ в автоматизированных системах. Размещение СКЗИ в помещениях, предназначенных для ведения переговоров, в ходе которых обсуждаются вопросы, содержащие сведения, составляющие государственную тайну, осуществляется установленным порядком. ПЭВМ, на которых используется СКЗИ, должны быть допущены для обработки конфиденциальной информации по действующим в Российской Федерации требованиям по защите информации от утечки по техническим каналам, в том числе, по каналу связи (например, СТР-К), с учетом модели угроз в информационной системе заказчика, которым должно противостоять СКЗИ. Инсталляция СКЗИ на рабочих местах должна производиться только с дистрибутива, полученного по доверенному каналу. Наименование ПС: ППО ЕИС Код документа: Стр. 40 40 Встраивание СКЗИ в другие средства возможно только с использованием функций, указанных в Приложении 2. В случае использования прочих вызовов функций программных интерфейсов (уровней встраивания) СКЗИ необходимо производить разработку отдельного СКЗИ в соответствии с действующей нормативной базой (в частности, с Постановлением Правительства Российской Федерации от 16 апреля 2012 г. № 313 и Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)). При эксплуатации СКЗИ должны использоваться только сертификаты открытых ключей, выпущенные доверенным органом сертификации. В качестве такого органа должен выступать сертифицированный ФСБ России Удостоверяющий центр (УЦ), выпускающий сертификаты и поддерживающий списки отозванных сертификатов в соответствии с Регламентом УЦ, а также служба корпоративной системы, обеспечивающая доверенные справочники сертификатов открытых ключей с поддержкой актуальности включаемых в справочники сертификатов. Порядок организации и обеспечение безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации сведений, составляющих конфиденциальную информацию, осуществляется в соответствии с документами «Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, Наименование ПС: ППО ЕИС Код документа: Стр. 41 41 составляющих государственную тайну» (Приказ ФАПСИ № 152 от 13 июня 2001 года), «Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации» (Приказ ФСБ России № 66 от 9 февраля 2005 года) и другими руководящими документами по обеспечению безопасности информации. СКЗИ «КриптоПро CSP» версии 4.0 можно эксплуатировать со следующими программными продуктами без проведения дополнительных тематических исследований и/или оценки влияния: приложения, входящие в состав ОС; MS Outlook (Office 2003, Office 2007, Office 2010, Office 2013); сервер IIS; Следующие программные компоненты СКЗИ «КриптоПро CSP» версии 4.0 можно использовать без проведения дополнительных тематических исследований: приложение командной строки для подписи и шифрования файлов cryptcp; приложение командной строки для работы с сертификатами certmgr; приложение для создания TLS-туннеля stunnel. Использование СКЗИ «КриптоПро CSP» версии 4.0 с выключенным режимом усиленного контроля использования ключей не допускается. Наименование ПС: ППО ЕИС Код документа: Стр. 42 42 1.2.11 Проверка совместимости версии Internet Explorer 11 с версией 10 Для корректной работы пользователю необходимо использовать режим совместимости с версией Internet Explorer 10. Для этого в меню браузера выберите пункт «Средства разработчика F12» (Рис. 31). Рис. 31 Пункт меню браузера «Средства разработчика F12» На вкладке «Эмуляция» в поле «Режим документов» из выпадающего списка выберите пункт «10» (Рис. 32). Рис. 32 Вкладка «Эмуляция», выпадающий список поля «Режим документов» Наименование ПС: ППО ЕИС Код документа: Стр. 43 43 1.2.12 Установка компонента формирования подписи Компонент формирования подписи используется для цифровой подписи данных, подписи кода, для проверки цифровых подписей, обработки данных в целях конфиденциальности, хэширования данных, шифрования и расшифровки данных и других задач. Ниже представлен процесс установки компонента формирования подписи. Для пользователей Windows Vista, Windows 7 и 8 шаги установки необходимо производить в браузере, запущенном от имени администратора: нажмите правой кнопкой мыши по иконке браузера с зажатой кнопкой Shift. Выбрать пункт «Запуск от имени администратора»; нажмите на кнопку «Личный кабинет». При выборе значения «Личный кабинет 44-ФЗ (94-ФЗ)» отображается предупреждающее сообщение (Рис. 33). Для входа в личный кабинет нажмите на кнопку «Продолжить работу с сайтом». Рис. 33 Предупреждающее сообщение Осуществите вход в личный кабинет. В верхней части страницы отображается сообщение об установке надстройки (Рис. 34). Нажмите на Наименование ПС: ППО ЕИС Код документа: Стр. 44 44 сообщение и выберите пункт «Установить эту надстройку для всех пользователей данного компьютера». Рис. 34 Установка надстройки В появившемся окне нажмите на ссылку «Неизвестный издатель» (Рис. 35). Рис. 35 Установка компонента формирования подписи Отображается окно «Состав цифровой подписи». Нажмите на кнопку «Просмотр сертификата» (Рис. 36). Наименование ПС: ППО ЕИС Код документа: Стр. 45 45 Рис. 36 Состав цифровой подписи Отображается окно с информацией о сертификате. Перейдите на закладку «Путь сертификации», выберите верхний сертификат из списка и нажмите на кнопку «Просмотр сертификата» (Рис. 37). Наименование ПС: ППО ЕИС Код документа: Стр. 46 46 Рис. 37 Сертификат Отображается окно просмотра корневого сертификата. Нажмите на кнопку «Установить сертификат» (Рис. 38). Рис. 38 Корневой сертификат Наименование ПС: ППО ЕИС Код документа: Стр. 47 47 В открывшемся окне нажмите на кнопку «Далее» (Рис. 39), на следующей странице еще раз нажмите на кнопку «Далее» (Рис. 40). Рис. 39 Импорт сертификата Рис. 40 Импорт сертификата На последней странице нажмите на кнопку «Готово» (Рис. 41). Наименование ПС: ППО ЕИС Код документа: Стр. 48 48 Рис. 41 Завершение импорта сертификата В появившемся окне нажмите на кнопку «Да» (Рис. 42). Рис. 42 Подтверждение импорта Закройте все окна в браузере. Зайдите еще раз в личный кабинет. Нажмите на появившуюся строчку под адресной строкой (см. Рис. 34). Выберите пункт «Установить эту надстройку для всех пользователей данного компьютера…». В появившемся окне нажмите на кнопку «Установить» (Рис. 43). Наименование ПС: ППО ЕИС Код документа: Стр. 49 49 Рис. 43 Установка компонента Также доступен способ установки компонента формирования подписи sign.cab. Компонент sign.cab является ActiveX компонентом, который делает следующее: 1) Выполняет поиск сертификата пользователя с заданным серийным номером в хранилище личных сертификатов текущего пользователя. 2) При отсутствии сертификата с указанным серийным номером предоставляет пользователю возможность выбора сертификата из хранилища личных сертификатов текущего пользователя. 3) Если сертификат определен (на шаге 1 или 2), подписывает переданные данные с помощью данного сертификата, используя стандартный API платформы .NET. Загрузите компонент формирования подписи sign.cab с Официального сайта ЕИС на странице «Файлы для настройки рабочего места» (см. Рис. 2). Распакуйте архив. Запустите файл «SetupProject.msi» (Рис. 44). Наименование ПС: ППО ЕИС Код документа: Стр. 50 50 Рис. 44 Выбор файла запуска установки Отобразится окно установки компонента (Рис. 45). Рис. 45 Окно мастера установки Нажмите на кнопку «Далее» (Рис. 46). Наименование ПС: ППО ЕИС Код документа: Стр. 51 51 Рис. 46 Окно выбора папки для установки Выберите папку для установки (при необходимости), установите переключатель в положение «для всех» или «только для меня». Нажмите на кнопку «Далее» (Рис. 47). Наименование ПС: ППО ЕИС Код документа: Стр. 52 52 Рис. 47 Окно подтверждения установки Нажмите на кнопку «Далее» для подтверждения установки (Рис. 48). Наименование ПС: ППО ЕИС Код документа: Стр. 53 53 Рис. 48 Окно с отображением статуса установки Для прерывания установки нажмите на кнопку «Отмена». Дождитесь окончания установки. Нажмите на кнопку «Закрыть» (Рис. 49). Наименование ПС: ППО ЕИС Код документа: Стр. 54 54 Рис. 49 Окно «Установка завершена» Важно: Для установки компонента формирования подписи «Ланит» на автоматизированных рабочих местах под управлением операционной системы Windows 8 (и выше) необходимо включить параметр «.Net Framework 3.5 (включает .Net 2.0 и 3.0)». Чтобы включить параметр «.Net Framework 3.5 (включает .Net 2.0 и 3.0)» откройте панель управления и нажмите на гиперссылку «Программы» (Рис. 50). |