Континент-АП

Если говорить правильно, то данная инструкция о создании электронной подписи для средства криптографической защиты информации "Континент-АП".  СКЗИ Континет-АП представляет из себя программку, установленную со стороны клиента и являющуюся абонентским пунктом устройства под названием Континент. Т.е. в казначействе есть устройство "Континент", а у клиента установлена программы "Континент-АП", которые и осуществляют защищенное соединение между собой. А чтобы осуществить договоренность между этими двумя сторонами, применяют специальную ЭП. По установленному и защищенному каналу передаются данные СЭД.

Как можно понять, этот вид ЭП является, в большей мере, технической составляющей обмена документами, нежели подтверждающей.

 

Средство защиты информации "Континент-АП"

Программный VPN клиент, позволяющий удаленному пользователя установить защищенное соединение с Сервером Доступа АПКШ "Континент".

"Континент-АП" - сертифицированное решение, имеет сертификаты: ФСТЭК России на соответствие уровням МСЭ 4 и НДВ 3, ФСБ России СКЗИ класс КС1, КС2 (с применением ПАК "Соболь").

Возможности "Континент-АП"

Криптографическая защита данных
Криптографическая защита передаваемых данных реализована на основе Российских криптографических алгоритмов в соответствии с ГОСТ 28147-89 в режиме гаммирования с обратной связью.

Аутентификация / идентификация удаленных пользователей
Идентификация и аутентификация удаленного пользователя при установке соединения между абонентским пунктом и сервером доступа АПКШ "Континент" осуществляется на основе сертификатов открытых ключей. Схема реализована с применением сертификатов стандарта X.509. Возможны 2 варианта работы с сертификатами, доверенным центром сертификации является программа управления сервером доступа – первый вариант и доверенным центром является внешний центр сертификации – второй вариант, во втором варианте возможна интеграция с УЦ КриптоПро.

Поддержка разнообразных ключевых носителей
В качестве носителя ключевой информации могут выступать дискеты, флеш-диски, электронные ключи eToken, ruToken, iKey а также возможно использование идентификаторов iButton в случае если ПК позволяет установить ПАК Соболь или TM Card.

Интегрированный межсетевой экран
В состав ПО «Континент-АП» входит межсетевой экран (МСЭ), предназначенный для фильтрации IP-пакетов сетевого трафика компьютера, на котором установлен «Континент-АП». МСЭ обеспечивает фильтрацию входящих и исходящих IP-пакетов по следующим признакам:

  • IP-адреса отправителя и получателя;
  • тип прикладного протокола (POP3, HTTP, SMTP и т. д.);
  • сетевой интерфейс, через который пакет был получен или будет отправлен;
  • по полям заголовков и содержимому IP-пакетов.

Кроме того, IP-пакеты фильтруются:

  • по типу транспортного протокола (TCP/UDP/ICMP/…);
  • по портам TCP/UDP;
  • по типам и кодам протокола ICMP.

Проверка входящих и исходящих IP-пакетов осуществляется по правилам фильтрации и в соответствии с заданным расписанием. События, происходящие при фильтрации сетевого трафика, регистрируются в журнале событий и в журнале пакетов.

Функционирование под управлением следующих ОС:

- Windows 2000,
- Windows XP Professional SP3 x86,
- Windows 2003 Server SP2 x86/x64,
- Windows 2003 Server R2 SP2 x64,
- Windows Vista SP2 x86/x64,
- Windows 2008 Server x86/x64,
- Windows 2008 Server R2 x64.
- Windows 7 x86/x64,
- Linux

Подробнее→

Приказ (распоряжение) о назначении ответственных лиц Континет-АП

Все начинается с распорядительных документов.  Распорядительным документом, в данном случае, является приказ либо распоряжение о назначении ответственного лица на получение электронной подписи для СКЗИ Континент-АП. Необходимо решить на кого будут возлагаться полномочия по работе с данным программным обеспечением и издать приказ (распоряжение) согласно бланка→.

Внимание! У различных УФК может быть свой подход по оформлению документов для получения сертификата ключа ЭП для СКЗИ Континент-АП. Проконсультируйтесь с отделом УФК вас обслуживающий.

Бланк редактируете под ваше учреждение, указываете правильное наименование УФК и назначаете ответственное лицо (или ряд лиц).

Во втором пункте документа возлагаете функции и обязанности Администратора СКЗИ Континент АП на назначенного сотрудника, с указанием его должности и подразделения.

Если документ издается впервые, то пункт 4 бланка необходимо удалить.

Для предоставления документа в казначейство, с подписанного документа необходимо сделать копию и заверить ее в установленном порядке.

Обязательство о соблюдении правил работы с СВУЦ

Данный документ необходимо заполнить каждому ответственному лицу, упомянутому в приказе (распоряжении), тем кому назначено право на утверждение документов с помощью электронной подписи. И не просто заполнить, а внимательно прочитать и если согласен со всем содержимым, расписаться и поставить дату подписи.

Для этого, необходимо загрузить бланк обязательства→.

После получения документа и его распечатки, передаем ответственным лицам, по вашему приказу, данное обязательство, для ознакомления и заполнения. Ни каких сложностей в заполнении этого документа я не встречал, поэтому долго останавливаться на этом не буду. Буду краток...

На первой странице обязательства заполняем:

  • фамилию, имя, отчество заявителя на предоставление сервиса СВУЦ;
  • паспортные данные (серия, номер, кем и когда выдан);
  • указываете название организации, должность заявителя на предоставление сервисов СВУЦ.

На последней странице обязательства необходимо поставить подпись заявителя, расшифровку подписи и дату подписания. Печать ставить не надо. 

Документ необходим только при условии, что в казначействе еще нет "обязательства" на сотрудника указанного в приказе "о назначении ответственного". Если такой документ уже предоставлялся ранее на сотрудника при получении другого вида ЭП, то этот пункт пропустите.

Отзыв сертификатов ключей ЭП

Вы собираетесь изготовить новые ключи ЭП? Но возможно у вас уже были ключи, выданные ранее, и издан приказ (распоряжение) и обязательства, но только на других ответственных. Эти работники могли уволиться, "попасть под сокращение" или потеряли доверие руководителя и т.д. Так же ключи могли быть компроментированы или утеряны. Что делать? Для этого необходимо отозвать сертификаты ключей ЭП.

Если у вас все в порядке - нет всех перечисленных выше признаков, то этот пункт пропустите.

Данный документ заполняется как показано на схеме. Скопируйте бланк→ себе на компьютер, откройте его в word-е и распечатайте. Трудностей по заполнению возникнуть не должно. Но многие не знают где взять серийный номер сертификата. Его можно найти на бумажной форме сертификата выданной вам в казначействе УЦ или же при открытии самого файла сертификата, во вкладке "Состав".

 

Генерация ключа ЭП СКЗИ Континент-АП

Запускаем программу СКЗИ "Континент-АП", если она еще не запущена. Возле "часов" на вашем компьютере появится иконка в виде серого щита с черными буквами АП. Кликаем правой клавишей мыши, в появившемся контекстном меню заходим "Сертификаты - Создать запрос на пользовательский сертификат".

В окне "СКЗИ Континент-АП" заполняем форму данными сотрудника указанного в приказе. Пример заполнения приведен ниже. Все поля должны быть заполнены. Обратите внимания на поля: "электронная форма" и "бумажная форма". По этим путям формируются файлы которые вам понадобятся в дальнейшем, поэтому или запоминайте пути или меняйте их на куда ни будь поближе. У меня этот путь изменен на "c:\certificate\". После заполнения и проверки на правильность жмем "ОК".

В этом окне "Крипто ПРО CSP" указан носитель, на который будет записан контейнер ключа ЭЦП (закрытая часть). В моем случае, запись произойдет на флэшку обозначенную в системе буквой "F:". Т.е. это так настроен считыватель Крипто Про. Менять ничего не надо, это просто для информации. Жмем "ОК".

Тут понятно, надо пароль – заводим и подтверждаем, а главное запоминаем. Не надо пароль – просто жмем "ОК" – рекомендую.

Вариантов нет - жмем "ОК".

Находимо найти файлы, сформированные по пути который вы запомнили во 2 пункте. Два файла с расширениями: "html" и "req" (в моем примере они выглядят так Ivan_01_03_2012__11_25_07_578.html и Ivan_01_03_2012__11_25_07_578.req). С расширением "html" открываем (двойным кликом) и распечатываем.

Файл с расширением "req" необходимо доставить в казначейство.

 

Сейчас необходимо заявку заполнить, подписать и поставить печать. Все это подробно показано на примере.

Заявку желательно заполнить в двух экземплярах, чтобы один экземпляр вернулся к вам с отметкой оператора УЦ.

 

Для УЦ казначейства необходимо подготовить следующее

1. Заверенная копия приказа (распоряжения) "О назначении ответственных лиц" для организации обмена электронными документами с использованием средств криптографической защиты информации Континент-АП.

2. Согласие на обработку персональных данных если не предоставлялось ранее.

3. В случае подачи документов на получение сертификата Уполномоченным лицом необходимо предоставление доверенности или иного документа, подтверждающего право действовать от имени Заявителя, Организации-заявителя (! Срок действия доверенности определяется в соответствии с Гражданским кодексом Российской Федерации Статья 186 Срок доверенности).

4. Заявка на получение в удостоверяющем центре сертификата ключа абонентского пункта на каждого уполномоченного лица указанного в приказе, на бумажном носителе оформленная как показано выше.
 
5. Файл "Заявки на сертификат" в электронном виде (*.req), полученный при генерации ключа ЭП, необходимо скопировать на носитель (флешку) и предоставить вместе с документами. Пример: Ivan_01_03_2012__11_25_07_578.req
ВНИМАНИЕ! Если файлы будут скопированы на носитель, на котором находятся контейнеры действующих ключей ЭП, и это будет предоставлено в УЦ казначейства, то такие ключи будут считаться скомпрометированными и их придется отзывать!
 
6. Сертификат Континет-АП может прекратить свое действие путем предоставление в УЦ ФК Заявления на изменение статуса сертификата:

– в случае изменения сведений, включенных в сертификат, при этом Владелец сертификата в течение пяти рабочих дней предоставляет соответствующее Заявление на изменение статуса сертификата с последующим осуществлением смены сертификата;

– в случае компрометации КЭП Владельца сертификата, Оператора УЦ;

– выхода из строя ключевого носителя, содержащего КЭП Владельца сертификата, при отсутствии учтенных резервных ключевых носителей КЭП;

– в случае прекращения деятельности УЦ ФК без перехода его функций другим лицам;

– в иных случаях по решению Владельца сертификата или Организации-заявителя.

Заявление на изменение статуса сертификата предоставляется Владельцем сертификата (Уполномоченным лицом) в форме документа на бумажном носителе.

Заполнение заявки на получение сертификата ключа ЭЦП СКЗИ Континент-АП

При формировании ключа, вы распечатали заявку. Сейчас необходимо эту заявку заполнить, подписать и поставить печать. Все это подробно показано на примере.

С полностью готовой заявки снимаем копию и подбираем в папку для работы с ЭЦП. Оригинал доставляем в казначейство.

Что необходимо предоставить в УЦ казначейства?

Для УЦ казначейства необходимо подготовить пакет документов:

1. Заверенная копия приказа (распоряжения) "О назначении ответственных лиц" для организации обмена электронными документами с использованием средств криптографической защиты информации Континент-АП.

 

2. Обязательство о соблюдении правил работы с СВУЦ. На каждого ответственного, указанного в приказе.

Только если ЭП предоставляется в первый раз и обязательства еще не было. Иначе в обязательстве нет необходимости.

 

3. Отзывы сертификатов ключей ЭП.

Если такие имеются

 

4. Заявки на сертификаты ключей ЭП на каждого ответственного, указанного в приказе. В одном экземпляре, второй остается в вашей организации.

 

5. Файл "Заявки на сертификат" в электронном виде (*.req), полученный при генерации ключа ЭП, необходимо скопировать на носитель (флешку) и предоставить вместе с документами. Пример: Ivan_01_03_2012__11_25_07_578.req

ВНИМАНИЕ! Если файлы будут скопированы на носитель, на котором находятся контейнеры действующих ключей ЭП, и это будет предоставлено в УЦ казначейства, то такие ключи будут считаться скомпрометированными и их придется отзывать.