Континент-АП

Если говорить правильно, то данная инструкция о создании электронной подписи для средства криптографической защиты информации "Континент-АП".  СКЗИ Континет-АП представляет из себя программку, установленную со стороны клиента и являющуюся абонентским пунктом устройства под названием Континент. Т.е. в казначействе есть устройство "Континент", а у клиента установлена программы "Континент-АП", которые и осуществляют защищенное соединение между собой. А чтобы осуществить договоренность между этими двумя сторонами, применяют специальную ЭП. По установленному и защищенному каналу передаются данные СЭД.

Как можно понять, этот вид ЭП является, в большей мере, технической составляющей обмена документами, нежели подтверждающей.

 

Программный VPN клиент, позволяющий удаленному пользователя установить защищенное соединение с Сервером Доступа АПКШ "Континент".

"Континент-АП" - сертифицированное решение, имеет сертификаты: ФСТЭК России на соответствие уровням МСЭ 4 и НДВ 3, ФСБ России СКЗИ класс КС1, КС2 (с применением ПАК "Соболь").

Возможности "Континент-АП"

Криптографическая защита данных
Криптографическая защита передаваемых данных реализована на основе Российских криптографических алгоритмов в соответствии с ГОСТ 28147-89 в режиме гаммирования с обратной связью.

Аутентификация / идентификация удаленных пользователей
Идентификация и аутентификация удаленного пользователя при установке соединения между абонентским пунктом и сервером доступа АПКШ "Континент" осуществляется на основе сертификатов открытых ключей. Схема реализована с применением сертификатов стандарта X.509. Возможны 2 варианта работы с сертификатами, доверенным центром сертификации является программа управления сервером доступа – первый вариант и доверенным центром является внешний центр сертификации – второй вариант, во втором варианте возможна интеграция с УЦ КриптоПро.

Поддержка разнообразных ключевых носителей
В качестве носителя ключевой информации могут выступать дискеты, флеш-диски, электронные ключи eToken, ruToken, iKey а также возможно использование идентификаторов iButton в случае если ПК позволяет установить ПАК Соболь или TM Card.

Интегрированный межсетевой экран
В состав ПО «Континент-АП» входит межсетевой экран (МСЭ), предназначенный для фильтрации IP-пакетов сетевого трафика компьютера, на котором установлен «Континент-АП». МСЭ обеспечивает фильтрацию входящих и исходящих IP-пакетов по следующим признакам:

  • IP-адреса отправителя и получателя;
  • тип прикладного протокола (POP3, HTTP, SMTP и т. д.);
  • сетевой интерфейс, через который пакет был получен или будет отправлен;
  • по полям заголовков и содержимому IP-пакетов.

Кроме того, IP-пакеты фильтруются:

  • по типу транспортного протокола (TCP/UDP/ICMP/…);
  • по портам TCP/UDP;
  • по типам и кодам протокола ICMP.

Проверка входящих и исходящих IP-пакетов осуществляется по правилам фильтрации и в соответствии с заданным расписанием. События, происходящие при фильтрации сетевого трафика, регистрируются в журнале событий и в журнале пакетов.

Функционирование под управлением следующих ОС:

- Windows 2000,
- Windows XP Professional SP3 x86,
- Windows 2003 Server SP2 x86/x64,
- Windows 2003 Server R2 SP2 x64,
- Windows Vista SP2 x86/x64,
- Windows 2008 Server x86/x64,
- Windows 2008 Server R2 x64.
- Windows 7 x86/x64,
- Linux

Подробнее→

Все начинается с распорядительных документов.  Распорядительным документом, в данном случае, является приказ либо распоряжение о назначении ответственного лица на получение электронной подписи для СКЗИ Континент-АП. Необходимо решить на кого будут возлагаться полномочия по работе с данным программным обеспечением и издать приказ (распоряжение) согласно бланка→.

Внимание! У различных УФК может быть свой подход по оформлению документов для получения сертификата ключа ЭП для СКЗИ Континент-АП. Проконсультируйтесь с отделом УФК вас обслуживающий.

Бланк редактируете под ваше учреждение, указываете правильное наименование УФК и назначаете ответственное лицо (или ряд лиц).

Во втором пункте документа возлагаете функции и обязанности Администратора СКЗИ Континент АП на назначенного сотрудника, с указанием его должности и подразделения.

Если документ издается впервые, то пункт 4 бланка необходимо удалить.

Для предоставления документа в казначейство, с подписанного документа необходимо сделать копию и заверить ее в установленном порядке.

Данный документ необходимо заполнить каждому ответственному лицу, упомянутому в приказе (распоряжении), тем кому назначено право на утверждение документов с помощью электронной подписи. И не просто заполнить, а внимательно прочитать и если согласен со всем содержимым, расписаться и поставить дату подписи.

Для этого, необходимо загрузить бланк обязательства→.

После получения документа и его распечатки, передаем ответственным лицам, по вашему приказу, данное обязательство, для ознакомления и заполнения. Ни каких сложностей в заполнении этого документа я не встречал, поэтому долго останавливаться на этом не буду. Буду краток...

На первой странице обязательства заполняем:

  • фамилию, имя, отчество заявителя на предоставление сервиса СВУЦ;
  • паспортные данные (серия, номер, кем и когда выдан);
  • указываете название организации, должность заявителя на предоставление сервисов СВУЦ.

На последней странице обязательства необходимо поставить подпись заявителя, расшифровку подписи и дату подписания. Печать ставить не надо. 

Документ необходим только при условии, что в казначействе еще нет "обязательства" на сотрудника указанного в приказе "о назначении ответственного". Если такой документ уже предоставлялся ранее на сотрудника при получении другого вида ЭП, то этот пункт пропустите.

Вы собираетесь изготовить новые ключи ЭП? Но возможно у вас уже были ключи, выданные ранее, и издан приказ (распоряжение) и обязательства, но только на других ответственных. Эти работники могли уволиться, "попасть под сокращение" или потеряли доверие руководителя и т.д. Так же ключи могли быть компроментированы или утеряны. Что делать? Для этого необходимо отозвать сертификаты ключей ЭП.

Если у вас все в порядке - нет всех перечисленных выше признаков, то этот пункт пропустите.

Данный документ заполняется как показано на схеме. Скопируйте бланк→ себе на компьютер, откройте его в word-е и распечатайте. Трудностей по заполнению возникнуть не должно. Но многие не знают где взять серийный номер сертификата. Его можно найти на бумажной форме сертификата выданной вам в казначействе УЦ или же при открытии самого файла сертификата, во вкладке "Состав".

 

Запускаем программу СКЗИ "Континент-АП", если она еще не запущена. Возле "часов" на вашем компьютере появится иконка в виде серого щита с черными буквами АП. Кликаем правой клавишей мыши, в появившемся контекстном меню заходим "Сертификаты - Создать запрос на пользовательский сертификат".

В окне "СКЗИ Континент-АП" заполняем форму данными сотрудника указанного в приказе. Пример заполнения приведен ниже. Все поля должны быть заполнены. Обратите внимания на поля: "электронная форма" и "бумажная форма". По этим путям формируются файлы которые вам понадобятся в дальнейшем, поэтому или запоминайте пути или меняйте их на куда ни будь поближе. У меня этот путь изменен на "c:\certificate\". После заполнения и проверки на правильность жмем "ОК".

В этом окне "Крипто ПРО CSP" указан носитель, на который будет записан контейнер ключа ЭЦП (закрытая часть). В моем случае, запись произойдет на флэшку обозначенную в системе буквой "F:". Т.е. это так настроен считыватель Крипто Про. Менять ничего не надо, это просто для информации. Жмем "ОК".

Тут понятно, надо пароль – заводим и подтверждаем, а главное запоминаем. Не надо пароль – просто жмем "ОК" – рекомендую.

Вариантов нет - жмем "ОК".

Находимо найти файлы, сформированные по пути который вы запомнили во 2 пункте. Два файла с расширениями: "html" и "req" (в моем примере они выглядят так Ivan_01_03_2012__11_25_07_578.html и Ivan_01_03_2012__11_25_07_578.req). С расширением "html" открываем (двойным кликом) и распечатываем.

Файл с расширением "req" необходимо доставить в казначейство.

 

Сейчас необходимо заявку заполнить, подписать и поставить печать. Все это подробно показано на примере.

Заявку желательно заполнить в двух экземплярах, чтобы один экземпляр вернулся к вам с отметкой оператора УЦ.

 

Для УЦ казначейства необходимо подготовить следующее

1. Заверенная копия приказа (распоряжения) "О назначении ответственных лиц" для организации обмена электронными документами с использованием средств криптографической защиты информации Континент-АП.

2. Согласие на обработку персональных данных если не предоставлялось ранее.

3. В случае подачи документов на получение сертификата Уполномоченным лицом необходимо предоставление доверенности или иного документа, подтверждающего право действовать от имени Заявителя, Организации-заявителя (! Срок действия доверенности определяется в соответствии с Гражданским кодексом Российской Федерации Статья 186 Срок доверенности).

4. Заявка на получение в удостоверяющем центре сертификата ключа абонентского пункта на каждого уполномоченного лица указанного в приказе, на бумажном носителе оформленная как показано выше.
 
5. Файл "Заявки на сертификат" в электронном виде (*.req), полученный при генерации ключа ЭП, необходимо скопировать на носитель (флешку) и предоставить вместе с документами. Пример: Ivan_01_03_2012__11_25_07_578.req
ВНИМАНИЕ! Если файлы будут скопированы на носитель, на котором находятся контейнеры действующих ключей ЭП, и это будет предоставлено в УЦ казначейства, то такие ключи будут считаться скомпрометированными и их придется отзывать!
 
6. Сертификат Континет-АП может прекратить свое действие путем предоставление в УЦ ФК Заявления на изменение статуса сертификата:

– в случае изменения сведений, включенных в сертификат, при этом Владелец сертификата в течение пяти рабочих дней предоставляет соответствующее Заявление на изменение статуса сертификата с последующим осуществлением смены сертификата;

– в случае компрометации КЭП Владельца сертификата, Оператора УЦ;

– выхода из строя ключевого носителя, содержащего КЭП Владельца сертификата, при отсутствии учтенных резервных ключевых носителей КЭП;

– в случае прекращения деятельности УЦ ФК без перехода его функций другим лицам;

– в иных случаях по решению Владельца сертификата или Организации-заявителя.

Заявление на изменение статуса сертификата предоставляется Владельцем сертификата (Уполномоченным лицом) в форме документа на бумажном носителе.

При формировании ключа, вы распечатали заявку. Сейчас необходимо эту заявку заполнить, подписать и поставить печать. Все это подробно показано на примере.

С полностью готовой заявки снимаем копию и подбираем в папку для работы с ЭЦП. Оригинал доставляем в казначейство.

Для УЦ казначейства необходимо подготовить пакет документов:

1. Заверенная копия приказа (распоряжения) "О назначении ответственных лиц" для организации обмена электронными документами с использованием средств криптографической защиты информации Континент-АП.

 

2. Обязательство о соблюдении правил работы с СВУЦ. На каждого ответственного, указанного в приказе.

Только если ЭП предоставляется в первый раз и обязательства еще не было. Иначе в обязательстве нет необходимости.

 

3. Отзывы сертификатов ключей ЭП.

Если такие имеются

 

4. Заявки на сертификаты ключей ЭП на каждого ответственного, указанного в приказе. В одном экземпляре, второй остается в вашей организации.

 

5. Файл "Заявки на сертификат" в электронном виде (*.req), полученный при генерации ключа ЭП, необходимо скопировать на носитель (флешку) и предоставить вместе с документами. Пример: Ivan_01_03_2012__11_25_07_578.req

ВНИМАНИЕ! Если файлы будут скопированы на носитель, на котором находятся контейнеры действующих ключей ЭП, и это будет предоставлено в УЦ казначейства, то такие ключи будут считаться скомпрометированными и их придется отзывать.