Инструкция использования программного обеспечения контроля
advertisement
Инструкция использования программного обеспечения контроля целостности на стороне клиента Термины Система «iBank 2» (Система) – совокупность программно-аппаратных средств, устанавливаемых на территории Клиента и Банка, и согласовано эксплуатируемых Клиентом и Банком в соответствующих частях с целью осуществления переводов денежных средств. В рамках настоящего Договора Система «iBank 2» является электронным средством платежа Средства криптографической защиты информации (СКЗИ) - Сертифицированные ФСБ (или ФАПСИ) средства криптографической защиты конфиденциальной информации, реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно программные средства, системы и комплексы, обеспечивающие безопасность информации при ее обработке, хранении и передаче по каналам связи; Программное средство усиленной электронной подписи, Программное средство усиленной ЭП – программный модуль, входящий в состав Системы «iBank 2», предназначенный для генерации Пары ключей ЭП, формирования ЭП под документами, обеспечивающий защиту информации в соответствии с утвержденными стандартами (ГОСТ 28147-89, ГОСТ Р 34.11-94, ГОСТ Р 34.10-2001) и сертифицированный в соответствии с действующим законодательством. Аппаратное средство усиленной электронной подписи, Аппаратное средство усиленной ЭП – специализированное аппаратное средство, предназначенное для генерации Пары ключей ЭП, хранения сгенерированных Ключей ЭП, формирования ЭП в документах в соответствии с утвержденными стандартами (ГОСТ Р 34.11-94, ГОСТ Р 34.10-2001) с использованием встроенного в устройство сертифицированного средства криптографической защиты информации. Общие сведения 1. Данный документ содержит руководство по использованию утилиты rush, предназначенной для контроля целостности состава клиентского дистрибутива. 2. Контроль целостности, выполняемый с помощью утилиты rush, обеспечивается за счет вычисления значений хэш-функции для контролируемых файлов и сравнения полученных значений с заранее вычисленными эталонными значениями. Процедура получения клиентского дистрибутива 1. Перед началом эксплуатации Системы «iBank 2» Клиент обязан получить в Банке и самостоятельно установить на своем рабочем месте программные модули Системы «iBank 2», Программные и Аппаратные средства усиленной ЭП. 2. Клиенту передается: - запечатанный конверт с цифровым носителем (CD-R, DVD-R), заверенный подписью сотрудника органа криптографической защиты информации и оттиском печати Банка. Цифровой носитель содержит необходимые для работы Клиента файлы: - программное обеспечение, предназначенное для осуществления переводов денежных средств с использованием Системы «iBank 2»; - сертифицированные СКЗИ; - эксплуатационная и техническая документация. - регистрационная карточка. Бумажная копия, содержащая: - название продукта и номер версии; - список контролируемых файлов; - эталонное значение хэш-функции для каждого файла из списка; и заверенная подписью сотрудника органа криптографической защиты информации и оттиском печати Банка. 1 Инструкция использования программного обеспечения контроля целостности на стороне клиента 3. Факт передачи указанных средств фиксируется в Актах передачи по форме Приложения № 9 Договора об использовании электронного средства платежа Системы «iBank 2». Контроль целостности файлов 1. Клиент обязан обеспечивать сохранность и целостность программного комплекса Системы «iBank 2», включая предоставленные Программные средства усиленной ЭП. 2. Клиент, с помощью утилиты rush, обязан перед использованием клиентского дистрибутива вычислить значения хэш-функции для контролируемых файлов и полученные значения сравнивать с эталонными. Эталонные значения хэш-функции предоставляются Банком на бумажной копии в регистрационной карточке и в файле etalon.crc, размещенном в корневом каталоге цифрового носителя. 3. Вычисление контрольных сумм (хэш-функции) Для сравнения отдельных файлов, полученных на цифровом носителе, с эталонными значениями хэш-функции, указанных в регистрационной карточке на бумажной копии, необходимо выполнить вычисление контрольных сумм. Запуск утилиты rush производится из командной строки. Формат запуска утилиты при вычислении контрольных сумм имеет следующий вид: rush [-a] [<file>] [[-r] <dir>]] [-1 <list>] ... где file - имя файла; dir - имя каталога; при этом обработке подлежат все файлы, содержащиеся в указанном каталоге; -r - обрабатывать каталоги рекурсивно; list - имя файла, содержащего список файлов и каталогов, подлежащих контролю; каждое имя файла или каталога приводится в отдельной строке; пустые строки, а также строки, начинающиеся с символа '#', игнорируются; -a - использовать блок подстановки GostR3411-94-CryptoProParamSet Результат работы rush выводится на консоль построчно - число строк равно числу контролируемых файлов, задаваемых при запуске утилиты. В каждой строке указывается имя файла и вычисленное значение хэш-функции, например: rush ccom.dll rush.exe GOSTH (ccom.dll) = fc0a137f254c32154260e18f9e9ddad520eed9cfc4d9cacb40a6dc3462241245 GOSTH (rush.exe) = 89fc70e4fc5fca6fd449435fa375ac6fc1efa2327ac83933d869430417ec1d70 4. Контроль целостности файлов Для проверки всех контролируемых файлов, размещенных на цифровом носителе, необходимо выполнить вычисление значения хэш-функции для контролируемых файлов и сравнить их с эталонными, которые сохранены в регистрационном файле etalon.crc. Запуск утилиты rush производится из командной строки. Формат запуска утилиты в режиме контроля целостности файлов имеет следующий вид: rush [-a] -с <list> ... где list - имя файла, содержащего список подлежащих контролю объектов, а также их контрольные суммы; каждое имя файла или каталога в списке приводится в отдельной строке; пустые строки, а также строки, начинающиеся с символа '#', игнорируются; 2 Инструкция использования программного обеспечения контроля целостности на стороне клиента -a - использовать блок подстановки GostR3411-94-CryptoProParamSet. Для каждого файла выводится его имя и результат проверки например: rush -с etalon.crc ccom.dll: ok rush.exe: ok valid:2 errors:0 Если все файлы успешно проверены, rush возвращает код 0, в противном случае – 255 5. В случае отрицательного результата сравнения хэш-функции для контролируемых файлов с эталонными, указанными в регистрационной карточке на бумажной копии, или возврата кода 255 по результату контроля целостности, Клиент обязан: - немедленно прекратить любые действия с рабочим местом Системы «iBank 2»; - обратиться в Банк по телефону +7(495) 956-1920 с уведомлением сотрудника службы технической поддержки Банка, при этом идентификация Клиента осуществляется по Блокировочному слову, о компрометации программных средств, переданных Клиенту на цифровом носителе. - получить в Банке новый комплект клиентского дистрибутива. 6. Настоящая инструкция доступна на сайте Банка по адресу http://ibank.lesbank.ru/. В случае если знаний сотрудников Клиента недостаточно для выполнения описанных в настоящей инструкции процедур, а также адекватной оценки механизмов защиты Системы «iBank 2» и (или) обеспечения информационной безопасности рабочих мест ответственных сотрудников, Клиент вправе обратиться к услугам сторонних специалистов. 3
