Vpn key tls сбербанк что это
Обновлено: 19.04.2024
После выпуска, сертификат будет добавлен в белый список и привязан к сервису. Запросы, отправленные под иным TLS-сертификатом, не будут валидными.
Формирование запроса на сертификат
Генерацию запроса на создание сертификата необходимо выполнить от имени одного конкретного пользователя на одном ПК.
После издания банком сертификата его необходимо добавить на ПК, на котором формировался запрос.
Изданный ключ и сертификат можно выгрузить в виде файла контейнера, защищенного паролем, и перенести на другой ПК.
Чтобы сформировать запрос на сертификат необходимо выполнить следующие действия:
Войти в Windows с правами локального администратора.
На рабочем столе Windows нажать кнопку «Пуск».
В строке поиска ввести «certmgr.msc».
Нажать на найденную программу в верхней части окна.
В открывшейся оснастке перейти в папку «Личное».
На элемент «Сертификаты» нажать правой кнопкой мыши.
В открывшемся меню выбрать Все задачи/Дополнительные операции/Создать настраиваемый запрос.
В окне «Перед началом работы» нажать кнопку Далее.
В окне «Выбор политики регистрации сертификатов» необходимо выбрать пункт «Продолжить без политики регистрации» и нажать кнопку Далее.
В окне «Сведения о сертификате» необходимо нажать на стрелку рядом с полем «Подробности».
В появившемся блоке необходимо нажать кнопку Свойства.
- В окне «Свойства сертификата» необходимо заполнить атрибуты запроса на сертификат согласно требованиям УЦ, предъявляемым к запросам на TLS сертификат.
Все атрибуты должны заполняться только латинскими буквами.
На вкладке «Общие», в поле «Понятное имя» ввести удобное для пользователя название сертификата.
- На вкладке «Субъект» требуется заполнить следующие атрибуты:
В блоке «Имя субъекта» необходимо по очереди выбирать названия нужных атрибутов в ниспадающем списке «Тип», вводить значение атрибута в поле «Значение», а затем нажать кнопку Добавить .
Ниже представлен пример заполнения атрибутов сертификата:
На вкладке «Расширения» необходимо в разделе «Использование ключа» добавить элементы «Шифрование данных» и «Цифровая подпись».
В разделе «Расширенное использование ключа (политики применения)» добавить элемент «Проверка подлинности клиента».
На вкладке «Закрытый ключ» в разделе «Поставщик службы шифрования» необходимо выбрать элемент «Microsoft RSA SChannel Cryptographic Provider (Шифрование)».
В разделе «Параметры ключа» установить «Размер ключа» равный 2048 и параметр «Сделать закрытый ключ экспортируемым».
После установки всех параметров нажать кнопку ОК.
В окне «Сведения о сертификате» нажать кнопку Далее.
В окне «Где вы хотите сохранить автономный запрос?» необходимо:
- в поле «Имя файла» указать имя файла, в который будет сохранен запрос на сертификат,
- выбрать формат файла «Base64» (выделено красным цветом),
- нажать кнопку Готово.
Окно регистрации сертификата будет закрыто, а система сформирует файл с запросом, с именем файла указанном на предыдущем шаге.
Далее пользователю необходимо файл с запросом на сертификат передать своему куратору в Сбербанке, для отправки в УЦ Сбербанка и получения клиентского TLS сертификата.
Установка сертификата
После того, как УЦ выпустит TLS сертификат, необходимо:
- Получить сертификат у своего куратора в Сбербанке.
- Установить цепочку доверенных сертификатов Сбербанка (если их еще нет) в каталог «Доверенные корневые центры сертификации».
- Установить TLS сертификат (в каталог «Личные») на том же компьютере и под тем же пользователем, под которыми создавался запрос на этот сертификат.
Вы можете скачать и использовать готовый тестовый TLS-сертификат по ссылке (пароль для установки testtest).
- Для работы на тестовом стенде необходимо установить Цепочку тестовых TLS-сертификатов
- Для работы на промышленном стенде необходимо установить Цепочку промышленных TLS-сертификатов
Для OS Linux
В OS Windows файл контейнера сертификата имеет формат «.pfx».
Для корректной работы в OS Linux конвертировать в более подходящий для системы формат (.pem) с помощью openssl.
Команды openssl для конвертации:
Проверка сертификата
Для проверки TLS сертификата (тест/пром), необходимо перейти по соответствующим ссылкам:
При переходе на ресурс запрашивается TLS сертификат. Если сертификат не установлен или установлен некорректно, то возникнет ошибка.
Предыстория: Решили перейти на Сбербанк, вся компьютерная инфраструктура построена на основе дистрибов на Debian (Восновном Ubuntu), конечно отзвонились в сбер, уточнили все ли операционки поддерживаются - ответили что да, мы как полные идиоты поверили, открыли счет, получили токен - а не тут то было, поддерживается только винда. У нас нет компьютеров с windows в организации, и ради одного токена заодить его совсем нет желания да и возможности. Вообщем не удалось осуществить даже первый вход. Вот и думаем теперь - то ли закрывать счет у сбера и открывать в нормальном банке, то ли переходить на СМС (малоприемлемо), то ли искать возможность работы с этим ключем.
Вследствии вышеизложеного вопрос: Какова вероятность того, что получится работать из под дистрибов семейства Debian (ubuntu) с этим ключем? И главное как?
Dmitriy
Администратор
VPN-Key-TLS работает только под управлением ОС Windows. Возможность использования иных ОС не предусмотрена.
Linux поддерживается другим нашим продуктом - ФПСУ-IP/Клиентом, который, в свою очередь, используется в связке с клиент-банком Сбербанка.
Member
То есть возможности поднять это в Linux нет никакой возможности? В виртуалке, как я понимаю так же не будет корректно работать? Про wine даже не спрашиваю - прикрутить не удалось.
Как заменить эту зелёную несуразность на ФПСУ-IP/Клиент в сбербанке - это возможно в принципе?
noldor
Member
Присоединяюсь к вопросу. С использованием зеленки организовать удобную систему на базе текущей инфраструктуры не получается.
- Сервер 2008 R2 она не поддерживает.
- На виртуалках в HyperV не подцепляется.
- Сделать копию на второй токен не разрешают.
Dmitriy
Администратор
Вопросы о процедуре перехода с одного банковского продукта на другой Вам лучше задавать специалистам банка.
Member
Тому человеку, который дал добро на эту "зелёнку" надо оторвать то, чем он думает , если он вообще чем то думал, когда внедряли ЭТО.
А вот почему разработчикам не стыдно за свой продукт совсем не понятно - вроде серьёзные вещи делают.
Кстати не получилось без боя и на чистой winXP запустить - рядовому пользователю с этой гадостью, без помощи специалиста сложновато будет.
Надеюсь этот топик не удалят и хоть кто-то нагуглит и не станет брать этот продукт, если всёравно оно у него работать не будет.
Alex_N
Администратор
Уважаемый vdm!
Конечно этот топик удаляться не будет - мы ответственно воспринимаем критику.
Но есть огромное пожелание к Вам и к тем, кто оставляет свои критические высказывания на форуме - давайте переходить в конструктивное русло. Это поможет и нам лучше реагировать на пожелания Пользователей и Вам быстро и эффективно решать свои задачи.
Что конкретно не устраивает в том продукте, которым Вы пользуетесь?
Что-то нужно изменить или что-то нужно добавить?
Предлагайте размещать опросы на сайте для выявления общих пожеланий. Давайте обращаться с предложениями в соответствующие службы Заказчика продукта, чтобы донести до него пожелания конечных Пользователей.
Если Вы считаете, что у многих Пользователей есть потребность в использовании VPN-key-TLS в других операционных системах - будем обсуждать техническую возможность, при наличии которой перейдем к практической реализации задачи.
Прошу учитывать, что по некоторым продуктам техническое задание на разработку ставит Заказчик, применительно к VPN-key-TLS - это Сбербанк, от требований которого мы и отталкиваемся. Возможно не все варианты применения им рассматриваются, т.к. в первую очередь продукты разрабатываются для использования в наиболее распространенных конфигурациях. Как Вы понимаете, учесть пожелания каждого Пользователе не всегда удается, хотя к этому и нужно стремиться.
noldor
Member
Конструктивными говорите? Хорошо, мой вопрос.
1. Как подключить зеленку к терминальному серверу Win 2008 R2, где у нас стоит 1С и с ней удаленно работает бухгалтер?
2. Как запустить на Win7 под Hyper V, куда потенциально могу перевести бухгалтера с R2?
3. Как мне запустить ваш продукт в режиме терминальной сессии? Если я не пожалею и куплю для удаленной работы бухгалтера отдельный компьютер и лицензию винды на него?
Вы сейчас скажете, что пусть главбух возьмет флешку себе. И что если там два ключа с ключём гендира, то купите второй и сгенерите главбуху свою.
НО, нам это не удобно - бухгалтер со своей флешкой может оказаться не доступен, у него иногда ломается интернет, иногда нужно срочно подписать документы, а его нет.
Удобно - это когда флешка торчит в серверной, запертой на ключ, а вся работа строится через терминальную сессию, а вы это не можете обеспечить.
И предложить удобную альтернативную схему не можете. Скопировать ключ на второй токен не говорите как, политика безопасности меня от меня.
Как дальше жить? И почему я согласился на Сбербанк, когда ВТБ за зарплатный проект предлагал все даром и без такого гимороя?
У меня были разные банки, но схема Сбербанка самая не удобная.
Сочувствую коллегам с Linux, которые поверили в оферту на официальном сайте.
noldor
Member
Почитав про "ФПСУ-IP/Клиент" не смог понять, решит ли переход на него вопрос удаленного подключения к флешке, торчащей в сервере или нет.
И почему нельзя было сделать подключение по SSL как у большинства банков, убрал бы сертификаты на криптодиск, ткнул его в сервер и все, нет проблем.
Member
Добавить поддержку операционных систем отличных от windows. (хотя бы дистрибов на debian)
Если Вы считаете, что у многих Пользователей есть потребность в использовании VPN-key-TLS в других операционных системах - будем обсуждать техническую возможность, при наличии которой перейдем к практической реализации задачи.
Мне пришлось перейти на неудобные СМСки, так и не поработав с помощью токена, в банке при переформлении сказали, что я не первый - у многих на windows даже не поднималось. Дословно фраза банковского работника по отношению к этому ключу: ". Да жтож это такое с флешками то постоянно. "
прошу учитывать, что по некоторым продуктам техническое задание на разработку ставит Заказчик, применительно к VPN-key-TLS - это Сбербанк, от требований которого мы и отталкиваемся. Возможно не все варианты применения им рассматриваются, т.к. в первую очередь продукты разрабатываются для использования в наиболее распространенных конфигурациях. Как Вы понимаете, учесть пожелания каждого Пользователе не всегда удается, хотя к этому и нужно стремиться.
Знаю огромное количество организаций, полностью работающих на дистрибах, основанных на *nix, туда же вообщем то относится и макось (правда ни одна из этих организаций не использует сбербанк), я конечно понимаю, что для многих синоним операционка = windows, но линукс используют по "статистике инета" более 2% пользователей, только десктопных систем. А с учетом того, что образовательные учреждения переходят на открытые операционки, таких пользователей будет всё больше. Я уж не говорю, о призыве нашего правительства переходить на открытое ПО во всех областях, а так же не считаю серверные *nix ы.
Никто не встречался с сабж. В WTWare работает? В сбере техподдержка говорит что ХР с терминальным сервером 2003 работает. Правда проверить не удалось, сам токен оказался недоделанный, отдал менять. Привезут назад в понедельник.
А пока есть время поспрашивать/подумать
Первый вариант ноут купить только для этого клиента.
Второй вариант (в соседних ветках прочитал) попробовать поднять на vmware esxi4.1 виртуальную ХР и подключить этот "токен" к ней. Но возникает еще проблема у меня на хостах ЮСБ портов не хватит Они и так уже почти все заняты. А клиентов планируется много. Да и самих хостов тоже (так как я не уверен, что корректно они будут идентичные определяться)
Еще варианты будут? В какую сторону копать?
Привезут токен - воткни его в терминал, сохрани лог и покажи мне. Узнаю USB ID - скажу, есть ли шанс прикрутить драйвер для проброса через smartcard=on.
Еще можно через shared_usb пробросить, и злобный хак применить. Но я бы испугался боевой сервер ломать.
Я за виртуальную XP.
тут не в ключе дело.
ведь он ставит туннель до их сервера, на openvpn смахивает. его можно наверное и в сервер воткнуть.
еще надо чтобы нечаянно с их ip адресами не совпало.
у нашего сбера 10.100.хх.хх было, а на машинке по умолчанию оказалось 10.0.0.0/8
их спец уже начал firewall останавливать и антивирус выключать, не смог "дойти".
и там еще должен быть один ключик - для подписи с помошью эцп.
в другом случае был просто кардридер ввиде влешки и внутри было чтото типа симки - эцп контеейнер
и они разные по принципу работы.
но лучше всего конечно виртуальная xp
aka писал(а): Привезут токен - воткни его в терминал, сохрани лог и покажи мне. Узнаю USB ID - скажу, есть ли шанс прикрутить драйвер для проброса через smartcard=on.
Еще можно через shared_usb пробросить, и злобный хак применить. Но я бы испугался боевой сервер ломать.
Я за виртуальную XP.
Сегодня не удалось воткнуть в бездисковую станцию Но вот что что пишет XP об устройстве
Allied HWDSSL DEVICE
На виртуальном 2003 сервере локально получилось все, по rdp с ХР( токен вставлен в обычный комп) не подключается, дрова на сервер не ставятся, токен не пробрасывается. Хотя они (дрова) там уже есть, ведь локально в консоли работало.
ЮСБ хаб на esxi 4.1 работает, я просто раньше не подключал устройства через ЮСБ хаб к esxi.
gserg писал(а): Сегодня не удалось воткнуть в бездисковую станцию Но вот что что пишет XP об устройстве
Allied HWDSSL DEVICE
USB\VID_2022&PID_013C&MI_01\6&28CF35F5&0001
gserg писал(а): Сегодня не удалось воткнуть в бездисковую станцию Но вот что что пишет XP об устройстве
Allied HWDSSL DEVICE
USB\VID_2022&PID_013C&MI_01\6&28CF35F5&0001
Андрей спасибо, я позавчера и вчера уделил некоторое время "мучениям" с этой железкой. Оказалось что даже с обычным компом по RDP не работает Что в последствии с неохотой подтвердили на третьем уровне техподдержки сбербанка. Так что даже "виртуалки" отпадают, только обычный комп, причем только с виндой
Так что для меня остался один вариант, нетбук за 10 тыр ну может быть дешевле найду
Ну а я как подключал железку к виртуалке? Так же и подключал. Не работает даже при управлении из консоли виртуальной машины. Ключ видно, даже диск дополнительный подымается, на котором прога инициализации ключа записана, запускает со ссылкой на web страничку на localhost, а скрытых областей ключа где сертификаты лежат -- нет. Ну соответственно и связи с банком нет.
ЗЫ Я не истина последней инстанции Но у меня не получилось, в понедельник- среду зарегистрируют в банке сертификаты до конца (хотя и без них связь с банком работает, просто счетом нельзя управлять), может еще раз попробую.
Нет, не удалось. Даже через железный USB сервер не работает, устройства видит, но при старте софтина ругается. Видимо она наточена в терминальной сессии не работать.
В итоге, к виртуальной машине, где стоит клиент-банк приходиться через VNC ходить для работы с СБ@Л.
У меня сберовский VPN-key от "Сбербанк ОНЛАЙН" работает на vmware esxi 5. Сами терминалы его не определяют, пришлось воткнуть в хост, и назначить этот юсб нужной виртуальной машине. Нормально работает.
Что нибудь за два года изменилось? То с чего я начинал работало только на отдельном железном ноуте. Потом счета в этом отделении закрыли
и проблема снялась. Теперь с 1 июля перестает работать классический банк-клиент (не интернет) и говорят что нужен переход на интернет версию. На выбор "АС Сбербанк бизнес" или "АС Сбербанк бизнес онлайн". В обоих версиях выше упомянутые токены. Мысли какие-то или опыт есть? Прошу поделиться
Нам сбербанк заменил токена в клиентбанке, теперь у нас другой USB ID. Но линуксовый драйверов нет ни под прежний, ни под нынешний.
[quote="aka"]Нам сбербанк заменил токена в клиентбанке, теперь у нас другой USB ID. Но линуксовый драйверов нет ни под прежний, ни под нынешний.[/quote]
Андрей, приветствую. И каким образом работаете?
Воткнули влюч в сервер и перенаправили его отдельной виртуальной машине, на которой живёт клиент-банк и ничего больше.
[quote="aka"]Воткнули влюч в сервер и перенаправили его отдельной виртуальной машине, на которой живёт клиент-банк и ничего больше.[/quote]
К виртуалке по RDP подсоединяетесь? В некоторых клиентах сбербанка соединение по RDP блокируют.
Поддерживается ли этот токен в настоящее время?
Есть такая проблема :
1. Токен Сбера в рабочей машине бухгалтера, Бухгалтер посредством RDP подключается со своего домашнего компьютера.
I) Если на домашнюю машину бухгалтера установить Токен и даже если он видит Смарт-кард-ридер и CD от токена, то система не работает. Да, запускается проброшенный start.exe но система выдает ошибку HWDSSL DEVICE (проверяли с разных машин и ноутбуков). Даже если бы этот вариант работал, он нам не подходит, так как нам нельзя просто так отдавать банковский ключи сотрудникам на дом.
II) Если на Рабочем компе оставить Токен, то подключение по RDP не видит PIN коды (если только пользователь не зашел консольно или через подобие teamviever и не запустил start.exe вручную) а потом зашел через RDP. Но этот вариант нам тоже не подходит. Про системе ИБ мы не может оставлять токены в компьютерах в нерабочее время, выходные или без присмотра сотрудника на рабочем месте. Либо кто-то довереный должен это делать вручную и опять же кто-то должен или логинится, запускать из консоли start.exe или удаленно через teamviever это делать, но использовать что-то кроме VPN RDP нам запрещено.
III) Вариант который был реализован и нам подходит с точки зрения ИБ и который рабочий в настоящий момент. Токен находится в серверной, закрытой стойке на физическом сервере. Далее с помощью USB Redirector мы пробрасываем на Рабочий Бухгалтерский компьютер USB Токен сбербанка, при этом происходит автоматическое подключение токена при загрузки компьютера бухгалтера с помощью USB redirector. До этого Все файлы с CD Токена были скопированы на Диск C: в папкуб напрмиер Sber и была создана задача которая под системой запускает после загрузки компьютера Start.exe.
Получаем после загрузки компьютера автоматически подмонтируется USB токен с удаленного сервера к необходимой бухгалтерской машине, затем запускается start.exe при загрузке компьютера с помощью задачи. Когда бухгалтер подключается по терминал сессии из дома и подключается к Сбер банк Бизнесс Он-Лайн или Сбер Бизнес, то системапрекрасно видит Токен, система видит PIN и вся система в целом работает. Так делается на всех необходимых компьютерах бухгалтерии.
- Минус - если размонтировать USB с токеном а потом под монтировать Токен, то ничего не работает и чтобы начать работать надо перезагрузить рабочий компьютер (как я понимаю тут надо сервис перезапускать который запускает start.exe, а у простых пользователях этой возможности нет по причине прав доступа, но тоже можно легко можно решить написав сам свой сервис с функцией “передергивания” start.exe для пользователя в RDP сессии, что наверное я сам напишу если других мыслей не возникнет)
+ Плюсы - соблюдаем ИБ для своей организации, Бухгалтера согласно инструкции кому надо подключают данный токен Программно к своему рабочему компьютеру через бесплатного клиента USB Redirector, в режим автоматического подключения при загрузке системы и перезагружают совой рабочий компьютер, далее начинают штатно работать со Сбер клиентом как на локальном компьютере через RDP сессию.
Появилось ли решение для токенов Сбербанка VPN-Key-TLS ?
Запускаю через тонкие клиенты и там выпадает ошибка 0x000000f, если же вставляю в сервер напрямую и запускаю опять через тонкий, то ошибка: Не удается открыть Infocrypt HWDSSL Device.
Но это все на тестовом, на рабочем там всё ещё хуже, т.к. сервер, куда подключаются пользователи расположен в Hyper-V
Перенаправления через smartcard= не будет. Потому что для этих ключей нет линуксовых драйверов.
Делаем собственную службу в Windows 2008 R2
Копируем srvany.exe в C:\Windows\System32\
Создаём сервис:
sc create SberBank_BO binPath= C:\Windows\System32\srvany.exe DisplayName= "Сбербанк Бизнес Онлайн"
Создаём раздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SberBank_BO\Parameters
В нём создаём строковой параметр Application со значением Y:\START.EXE
ФПСУ, разумеется, должна быть назначена буква Y:
Эээээ. Ты же выше писал "наслаждаемся Сбербанк@онлайн". Наслаждаться мало, хочется большего?
Линуксовых драйверов нет, и, думаю, не будет.
ФПСУ приходится втыкать в сервер. Это некоторым образом омрачает радость использования Сбербанк@Онлайн™.
Хотелось бы втыкать в терминал.
По-моему там можно пробросить обе части по отдельности как обычные флешку и смарт-карту. Разве нет?
Чтобы пробросить смарт-карту, нужен линуксовый драйвер этой смарткарты. Линуксовых драйверов нет, и, думаю, не будет.
Как полагаете, удастся ли пробросить этот ФПСУ целиком как USB-устройство?
Пробовал ли кто из присутствующих?
У нас для данного девайса(infocrypt hwdssl device) виртуалка на kvm,
к ней пользователь подключается при помощи приложения remmina, по протоколу spice.
Там есть возможность полностью пробросить usb устройство.
Чтобы пробросить смарт-карту, нужен линуксовый драйвер этой смарткарты. Линуксовых драйверов нет, и, думаю, не будет.
Модули компилируются под любое ядро.
В программе доступен GUI-интерфейс и командная строка.
Для работы комплекса требуются ключи VPN-key с интерфейсом smart card.
Новые вводные.
Этот Infocrypt HWDSSL DEVICE оказывается может работать как обычный защищённый носитель для новых подписей. И локально видится посредством КриптоПро 5.0.
А WTWare его не распознаёт.
Это одновременно и драйвер смарт-карты и веб-сервер.
И не надо его пробрасывать на сервер - пусть работает на клиенте, а с сервера (и других компьютеров) с ним пусть работают по ip-адресу - это вообще идеально!
Сейчас работа происходит локально через localhost - это не всегда удобно: приходится втыкать ФПСУ прям в сервер и делать службу.
PS
Поясню.
ФПСУ двухчастный. Одна часть видится как закрытый носитель (смарт-карта). И эту часть надо пробрасывать на сервер для работы с ЭЦП, которые на ней хранятся.
Вторая часть видится как CD-ROM. На ней хранятся исполняемые файлы веб-сервера (с которым работает пользователь) и VPN-клиент (держит туннель с серверами Сбера).
Вот эту часть пробрасывать не надо. Пусть автозапускается локально на терминале, что бы пользователи с других компьютеров (в т.ч. и терминального сервера) могли с ним работать.
Сервис SberBusinessAPI построен на базе современных технологий, которые предоставляют возможность взаимодействия с Банком через сеть Интернет.
Клиент может производить обмен электронными документами с Банком посредством вызова программных функций с заранее определенным списком параметров. В том числе можно передавать черновики платежных поручений в адрес пользователей системы «Сбербанк Бизнес Онлайн», получать выписки по счетам клиентов-юридических лиц с их согласия, направлять платежные поручения и платежные требования на списание денежных средств со счетов клиентов в рамках заранее данных акцептов за услуги Клиента.
Взаимодействие с Сервисом осуществляется через функциональность, встроенную в автоматизированную систему Клиента (далее – АС Клиент), которая должна вызывать функции сервиса и обрабатывать результаты их работы.
Подключение АС Клиента к сети Интернет влечет риски, связанные с несанкционированным доступом к данным, хранящимся на сервере АС.
Соблюдение приведенных ниже рекомендаций позволит Вам максимально безопасно взаимодействовать с сервисом SberBusinessAPI и свести риски работы через сеть Интернет к минимуму.
Схема взаимодействия
Взаимодействие АС Клиента с сервисом SberBusinessAPI рекомендуется осуществлять в соответствии со схемой:
При реализации схемы следует учесть следующие рекомендации:
Настройками внутреннего межсетевого экрана (Internal Firewall) доступ к серверу АС Клиента рекомендуется разрешить только для серверов и рабочих станций организации, необходимых для использования в производственном процессе:
- сервера контроллеров домена, обновлений системного и антивирусного ПО;
- АРМ администраторов сервера АС Клиента.
Подписание ЭД с использованием устройств VPN-Key-TLS/Rutoken TLS рекомендуется осуществлять в отдельном сегменте корпоративной сети.
Доступ рабочего места, предназначенного для подписания ЭД с использованием устройств VPN-Key-TLS/Rutoken TLS, к ресурсам и сервисам сети Интернет должен быть исключен.
Меры по защите от вредоносного ПО
На сервере АС Клиента необходимо:
- Использовать современное антивирусное программное обеспечение и следить за его регулярным обновлением;
- Регулярно выполнять антивирусную проверку для своевременного обнаружения вредоносных программ;
- Своевременно устанавливать обновления операционной системы серверов и АРМ администратора, рекомендуемые компанией-производителем в целях устранения выявленных уязвимостей ОС;
- Использовать дополнительное программное обеспечение, позволяющее повысить уровень защиты компьютеров – персональные межсетевые экраны, программы поиска шпионских компонент, программы защиты от «спам»- рассылок и пр.;
- Обеспечить отсутствие несанкционированно установленных программ удаленного доступа (TeamViewer, BeTwin, RAdmin и др.), программ работы с вирусоопасными ресурсами и сервисами сети Интернет, включая почтовые клиенты;
- Исключить установку, полученного из не заслуживающих доверия источников, а также нелицензионного и свободно-распространяемого ПО на сервере с системой. Обращаем Ваше внимание, что сотрудники ПАО «Сбербанк» не рассылают дистрибутивы ПО по электронной почте.
Меры, направленные на защиту от копирования ключевой и парольной информации
Client_Secret – это конфиденциальная информация. Ни при каких обстоятельствах не раскрывайте эти данные никому, включая сотрудников Банка.
В случае компрометации Client_Secret необходимо незамедлительно выполнить его блокировку в соответствии с п.4.2.3 Соглашения.
При доступе АС Клиента к функциям SberBusinessAPI хранение Client_Secret необходимо осуществлять в ключевом хранилище. Настройками безопасности ОС доступ к ключевому хранилищу рекомендуется предоставлять только для учетной записи АС.
Процедуру замены Client_Secret необходимо проводить в автоматизированном режиме средствами АС без вмешательства пользователей.
В период, когда Система не используется, необходимо отключать носители с ключами ЭП от сервера, и убирать в места хранения (сейф, и т.п.).
Необходимо выполнять незамедлительную блокировку и смену ключей ЭП в случаях их компрометации, а также по истечении срока действия ключей с периодичностью, установленной договорами и документацией.
ПИН-коды доступа устройств «VPN-Key-TLS/Rutoken TLS» - это конфиденциальная информация. Ни при каких обстоятельствах не раскрывайте эти данные никому, включая сотрудников Банка.
Меры, направленные на защиту от выполнения несанкционированных списаний
Следует регулярно контролировать состояние корреспондентских счетов организации и незамедлительно информировать обслуживающее подразделение Банка обо всех подозрительных или несанкционированных операциях.
В случае неожиданного выхода из строя серверов с модулем подписания с использованием устройств VPN-Key-TLS/Rutoken TLS необходимо прекратить эксплуатацию данных серверов, отключив их от всех видов сетей, включая локальную корпоративную сеть, срочно запросить выписку по счету непосредственно в Банке. При обнаружении несанкционированных платежных операций написать заявление в Банк, а также обратиться с соответствующим заявлением в правоохранительные органы. Работоспособность скомпрометированных серверов не восстанавливать до проведения технической экспертизы. Подписание электронных документов осуществлять с использованием устройств VPN-Key-TLS/Rutoken TLS на других серверах. При этом обязательно произвести смену ключей ЭП.
Меры по поддержанию уровня информационной безопасности
Для обеспечения высокого уровня информационной безопасности при эксплуатации АС Клиента в организации должен быть назначен ответственный, который осуществляет:
Автор статьи
Читайте также: