О подключении к информационной системе «Автоматизация органов криптографической защиты»
Управление Федерального казначейства по Волгоградской области сообщает следующее. В рамках оптимизации процесса передачи средств криптографической защиты информации (далее — СКЗИ), эксплуатационной и технической документации, лицензионных ключей на право пользования СКЗИ, Федеральное казначейство вводит в эксплуатацию онлайн-сервис распространения дистрибутивов — информационную систему «Автоматизация органов криптографической защиты» (далее — ИС АОКЗ). Данный сервис позволяет получить СКЗИ без посещения Управления Федерального казначейства по Волгоградской области (далее — Управление).
Всем организациям, ранее получившим в Управлении или в отделах, созданных для осуществления функций Управления на соответствующей территории, СКЗИ «КриптоПро CSP», необходимо до 09.09.2022 выполнить регистрацию в ИС АОКЗ согласно информации, размещенной на официальном сайте Управления в разделе ГИС/АОКЗ/Памятки, инструкции.
В целях обеспечения бесперебойной работы в государственных информационных системах Федерального казначейства, всем организациям, использующим СКЗИ «КриптоПро CSP» версии 4.0.9944 или ниже, необходимо получить из ИС АОКЗ дистрибутив СКЗИ «КриптоПро CSP» версии 4.0.9963 и запросить лицензии. При этом организациям, эксплуатирующим СКЗИ «КриптоПро CSP» версии 4.0.9963 или выше, не надо получать дистрибутив из ИС АОКЗ.
Организациям, ранее получившим в Управлении или в отделах, созданных для осуществления функций Управления на соответствующей территории, СКЗИ «КриптоПро CSP» версии 4.0.9944, необходимо составить и предоставить акт уничтожения средства электронной подписи по адресу: г. Волгоград, ул. Коммунистическая, 28а в канцелярию или по месту обслуживания организации в отдел, созданный для осуществления функций Управление на соответствующей территории. Форма акта уничтожения средства электронной подписи приведена в приложении к настоящему письму.
Выдача дистрибутивов СКЗИ на физическом носителе по письменному обращению организаций после 09.09.2022 осуществляться не будет.
Задать вопросы, возникающие при подключении к ИС АОКЗ, и уточнить информацию по настоящему письму можно в чате интернет-мессенджера Telegram по ссылке: https://t.me/AOKZVlg или по телефонам: (8442) 33-30-81, (8442) 33-30-15.
Руководитель О.В. Глазунова
ИНСТРУКЦИЯ по подключению организаций к сервису распространения дистрибутивов информационной системы «Автоматизация органов криптографической защиты»
СОДЕРЖАНИЕ
Основные термины, сокращения и определения 3
Расшифровка графических элементов веб-интерфейса ИС АОКЗ 4
1. Общие положения 5
2. Подготовка к работе 5
- Требования к АРМ пользователя 5
- Установка и настройка криптопровайдера КриптоПро CSP 5
- Установка плагина «КриптоПро ЭЦП browser plug-in» 9
- Добавление доверенных узлов в КриптоПро ЭЦП browser plug-in 14
- Установка сертификатов 15
- Установка корневого сертификата головного удостоверяющего центра 16
- Установка личного сертификата (при необходимости) 19
- Настройка браузера 23
3. Регистрация в ИС АОКЗ 26
4. Порядок работы в ИС АОКЗ 29
4.1. Раздел «Экземпляры СКЗИ» 29
4.2. Управление экземплярами СКЗИ 32
5. Раздел «Лицензии» 33
6. Выход из системы 33
ОСНОВНЫЕ ТЕРМИНЫ, СОКРАЩЕНИЯ И ОПРЕДЕЛЕНИЯ
| Термин или сокращение | Пояснение |
| АРМ | Автоматизированное рабочее место. |
| ГРО | Главный регистратор организации. |
| ГУЦ | Головной удостоверяющий центр Минцифры России |
| ЕСИА | Единая система идентификации и аутентификации. |
| Инструкция № 152 | Инструкция об организации и обеспечению безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденная приказом ФАПСИ от 13.06.2001 № 152. |
| ИС | Информационная система. |
| ИС АОКЗ | Информационная система «Автоматизация органа криптографической защиты». |
| Обладатель конфиденциальной информации (ОКИ) | Лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам. |
| Орган криптографической защиты информации (OКЗИ) | Организация или структурное подразделение, функцией которого является разработка и осуществление мероприятий по организации и обеспечению безопасности хранения, обработки и передачи с использованием СКЗИ конфиденциальной информации. Органом криптографической защиты информации может быть организация, структурное подразделение организации, обладателя конфиденциальной информации. Функции органа криптографической защиты могут быть возложены на физическое лицо. |
| Организация | Организация, обслуживаемая в ТОФК |
| ПО | Программное обеспечение. |
| ПОИБ СОБИ ФК | Подсистема обеспечения информационной безопасности Системы обеспечения безопасности информации Федерального казначейства. |
| Регистратор | Сотрудник организации, которому назначена роль «Регистратор» в ПОИБ СОБИ ФК, выполняющий администрирование ученых записей пользователей |
| СКЗИ | Средство криптографической защиты информации. |
| Сотрудник ОКИ | Физическое лицо, непосредственно наделенное функциональной ролью обладателя конфиденциальной информации, необходимой для работы в ПО АОКЗ. |
| ТОФК | Территориальный орган Федерального казначейства |
| УЦ ФК | Удостоверяющий центр Федерального казначейства. |
| УЗ | Учетная запись |
| ФК | Федеральное казначейство. |
| Электронная подпись (ЭП) | Информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию |
РАСШИФРОВКА
ГРАФИЧЕСКИХ ЭЛЕМЕНТОВ ВЕБ-ИНТЕРФЕЙСА
ИС АОКЗ
| № | Изображение элемента | Пояснение |
| 1. | Просмотр комплекта поставки. | |
| 2. | Удаление экземпляра СКЗИ/СКЗИ/Ключевого документа/Лицевого счета пользователя СКЗИ и т.д. | |
| 3. | Выгрузка в xls. | |
| 4. | Просмотр скрытого текста. | |
| 5. | Просмотр реквизитов электронной подписи мероприятия. | |
| 6. | Подтверждение получения экземпляра СКЗИ от ОКЗИ. | |
| 7. | Сообщить, что указанный экземпляр СКЗИ был введён в действие. | |
| 8. | Сообщить, что указанный экземпляр СКЗИ был выведен из действия. | |
| 9. | Вернуть экземпляр СКЗИ в ОКЗИ. |
1. ОБЩИЕ ПОЛОЖЕНИЯ
Настоящая инструкция предназначена для описания процесса передачи СКЗИ, эксплуатационной и технической документации, лицензионных ключей к ним между ТОФК и Организацией.
Осуществление передачи СКЗИ, эксплуатационной и технической документации, лицензионных ключей к ним происходит в рамках выполнения требований Инструкции № 152.
- ПОДГОТОВКА К РАБОТЕ
Для полноценной работы с ИС АОКЗ пользователю необходимо выполнить обязательные настройки, описанные ниже.
На АРМ пользователя должно быть установлено следующее ПО:
Браузер с поддержкой шифрования защищенных соединений по ГОСТ (ГОСТ 34.10-2012, ГОСТ 34.12-2018 и ГОСТ 34.13-2018): Яндекс.Браузер версии 20.2.1 или выше или Chromium-GOST версии 84 или выше;
Криптопровайдер КриптоПро CSP не ниже версии 4.0 и КриптоПро ЭЦП Browser plug-in не ниже версии 2.0.
Разрешение экрана АРМ пользователя должно быть не менее 1920х1080.
2.2 Установка и настройка криптопровайдера КриптоПро CSP
1. Запустите файл установки КриптоПро CSP. Откроется стартовое окно мастера установки КриптоПро CSP.
Примечание:
Первоначальное получение КриптоПро CSP осуществляется в ТОФК по месту нахождения (обслуживания) Организации на физическом носителе (CD, DVD-диски).
Рисунок 1 – Стартовое окно мастера установки КриптоПро CSP
2. Нажмите на кнопку «Установить (рекомендуется)».
Рисунок 2 – Процесс установки КриптоПро CSP
3. Отображается окно процесса установки КриптоПро CSP.
После успешной установки криптопровайдера отобразится диалог «КриптоПро CSP успешно установлен».
Рисунок 3 – Успешная установка КриптоПро CSP
4. Нажмите на кнопку «ОК»;
5. Запустите КриптоПро CSP.
6. На вкладке «Общие» нажмите на кнопку «Ввод лицензии» и введите лицензионный ключ;
Рисунок 4 – Вкладка «Общие». КриптоПро CSP
Для настройки криптопровайдера необходимо выполнить следующие действия:
1. Запустите КриптоПро CSP от имени Администратора;
2. Перейдите на вкладку «Настройки TLS»;
3. Включите в разделе «Клиент» следующие чекбоксы:
Не проверять сертификат сервера на отзыв;
Не проверять назначение собственного сертификата.
Рисунок 5 – Вкладка «Настройки TLS». КриптоПро CSP
4. Нажмите на кнопку «Применить». Появится запрос на перезагрузку АРМ;
Рисунок 6 – Запрос на перезагрузку после смены режима работы
5. Нажмите на кнопку «Да»;
6. АРМ перезагрузится.
Плагин «КриптоПро ЭЦП Browser plug-in» предназначен для создания и проверки электронной подписи на веб-страницах с использованием СКЗИ «КриптоПро CSP».
Файл установки доступен по адресу: https://www.cryptopro.ru/products/cades/plugin/get_2_0
Последовательность шагов для установки плагина:
1. Запустите файл установки;
Рисунок 7 – Скаченный файл установки
2. Нажмите «Да» в окне подтверждения установки плагина;
Рисунок 8 – Подтверждение установки
3. При необходимости разрешите выполнение программы;
Рисунок 9 – Разрешение на установку плагина
4. Выполняется процесс установки;
Рисунок 10 – Процесс установки плагина
4. Отображается уведомление об успешной установке плагина;
Рисунок 11 – Успешно выполнена установка плагина
5. Нажмите кнопку «ОК»;
6. Затем включите расширение КриптоПро ЭЦП в используемом для работы с ИС АОКЗ браузере (см. ниже рисунки по шагам 1-3):
6.1. Запустите браузер;
6.2. Выберите в настройках браузера пункт «Дополнения»;
Рисунок 12 – Включение плагина в браузере. Шаг-1
6.3. Отображается список расширений, доступных для включения;
Рисунок 13 – Включение плагина в браузере. Шаг-2
6.4. Найдите в списке и включите расширение КриптоПро ЭЦП;
Рисунок 14 – Включение плагина в браузере. Шаг-3
6.5 В браузере в верхнем правом углу отобразится уведомление об успешной установке плагина;
Рисунок 15 – Уведомление об успешной установке плагина в браузере
7. Плагин успешно установлен.
8. В заключение следует проверить корректность установки плагина:
8.1. Открыть страницу проверки работы плагина: https://www.cryptopro.ru/sites/default/files/products/cades/demopage/simple.html
8.2. Отобразится окно для подтверждения доступа;
Примечание:
Чтобы данное окно для подтверждения доступа не отображалось в будущем при подписании документов электронной подписью в ИС АОКЗ, следует добавить доверенные узлы в плагин. О том, как это сделать, см. следующий раздел настоящей инструкции.
Рисунок 16 – Запрос подтверждения доступа
8.3. Нажмите кнопку «Да»;
8.4. Отображается страница проверки плагина. При успешной установке плагина на данной странице отображается надпись «Плагин загружен» с зеленой точкой (см. ниже рисунок).
Примечание:
При отсутствии корневого сертификата удостоверяющего центра и личного сертификата безопасности, установленных на АРМ пользователя, отобразится уведомление об ошибке на странице проверки плагина. Как установить данные сертификаты, см. в разделе «Установка сертификатов безопасности».
Рисунок 17 – Страница для проверки плагина
Выберите ПУСК → КРИПТО-ПРО → Настройки ЭЦП Browser Plug-in.
Рисунок 18 – Открытие настроек плагина
В браузере откроется страница с настройками плагина.
Нажмите правой кнопкой мыши на пункте «Настройки ЭЦП Browser Plug-in» и в меню выберите «Дополнительно > Открыть папку с файлом». Затем в открывшейся папке нажмите правой кнопкой мыши на файле «Настройки ЭЦП Browser Plug-in» и в меню выберите «Открыть с помощью > [Yandex/ChromiumGOST]» (см. рисунки ниже).
Рисунок 19 – Открытие настроек плагина в браузере.
Рисунок
20 – Открытие настроек плагина в браузере.
Система отображает настройки плагина в браузере.
Добавьте доверенные узлы в окне настроек плагина.
В качестве доверенного узла можно указать адрес https://*.roskazna.ru.
Нажмите кнопку «Сохранить», чтобы записать введенные доверенные узлы.
Для выполнения функций в ИС АОКЗ на АРМ пользователя должны быть установлены сертификаты:
корневой сертификат головного удостоверяющего центра (см. раздел «Установка корневого сертификата головного удостоверяющего центра«);
личный сертификат пользователя (см. раздел «Установка личного сертификата безопасности»).
Если для формирования цепочки сертификатов требуется установка подчинённого сертификата, то она производится аналогично установке корневого сертификата с единственным отличием: на шаге 4.3 нужно выбрать хранилище сертификатов «Промежуточные центры сертификации».
Примечание:
Сертификат безопасности выдается аккредитованным удостоверяющим центром, который уполномочен создавать такие сертификаты.
1. Правой кнопкой мыши нажмите на файле корневого сертификата ГУЦ и выберите пункт «Установить сертификат»;
2. Отобразится мастер импорта сертификатов;
Рисунок 21 – Мастер импорта сертификатов
- Выберите хранилище «Локальный компьютер» и нажмите на кнопку «Далее»;
Примечание:
Если отсутствует возможность выбора хранилища «Локальный компьютер», следует обратиться к системному администратору ЛВС для настройки прав локального администратора АРМ.
Рисунок 22 – Выбор хранилища сертификата
4. В окне «Хранилище сертификатов» активируйте переключатель «Поместить сертификаты в следующее хранилище» и укажите директорию размещения сертификата:
4.1. Нажмите на кнопку «Обзор…»;
4.2. Откроется окно «Выбор хранилища сертификата»;
Рисунок 23 – Выбор хранилища сертификата
4.3. Выберите хранилище «Доверенные корневые центры сертификации»;
4.4. Нажмите на кнопку «ОК».
5. Откроется окно завершения работы мастера импорта сертификатов;
Рисунок 24 – Окно завершения работы мастера импорта сертификатов
6. Нажмите на кнопку «Готово»;
7. Появится сообщение, что импорт успешно выполнен;
Рисунок 25 – Завершение установки
8. Нажмите на кнопку «ОК».
- 2.5.2 Установка личного сертификата (при необходимости)
Установка сертификата пользователя в хранилище личных сертификатов АРМ пользователя выполняется под учетной записью пользователя, которая будет использоваться в процессе входа в ИС АОКЗ.
Для установки сертификата пользователя в хранилище личных сертификатов АРМ пользователя средствами СКЗИ «КриптоПро» необходимо:
- CSP» и перейти на вкладку «Сервис»;
Рисунок 26 – Вкладка «Сервис»
Рисунок 27 – Выбор сертификата
Если контейнер располагается на присоединенном носителе, то следует установить признак «Найти контейнер автоматически».
Рисунок 28 – Выбор контейнера закрытого ключа
Рисунок 29 – Выбор хранилища сертификата
Рисунок 30 – Завершение настроек установки сертификата
10. Сертификат установлен в контейнер закрытого ключа и в хранилище «Личное» на АРМ пользователя.
2.6 Настройка браузера
Перед началом работы с ИС АОКЗ браузер должен быть настроен на работу по ГОСТу:
1. Откройте браузер;
2. Откройте настройки браузера;
Рисунок 31 – Открытие настроек браузера
3. В панели навигации открыть раздел «Системные»;
Рисунок 32 – Открытие системных настроек браузера
4. Включите чекбокс «Подключаться к сайтам, использующим шифрование по ГОСТ. Требуется КриптоПро CSP».
Рисунок 33 – Включение настройки браузера для подключения к сайтам, использующим шифрование по ГОСТ
3. РЕГИСТРАЦИЯ В ИС АОКЗ
- В данной инструкции не рассматривается процедура регистрации в ПОИБ СОБИ ФК. При возникновении вопросов по работе в ПОИБ СОБИ ФК необходимо воспользоваться инструкциями, которые размещены на сайте Федерального казначейства https://roskazna.gov.ru в разделе «ГИС» – «Система обеспечения безопасности информации Федерального казначейства».
4.2 Для работы в ИС АОКЗ пользователю организации необходимо добавить роль «Сотрудник ОКИ» в ПОИБ СОБИ ФК.
4.2.1 Пользователю необходимо войти в ПОИБ СОБИ ФК по ссылке https://sobi.cert.roskazna.ru и выбрать свой сертификат для входа.
По умолчанию после входа открывается профиль пользователя.
Рисунок 34 – Профиль пользователя в ПОИБ СОБИ ФК
Для изменения полномочий необходимо перейти на вкладку «Полномочия» и нажать кнопку «Изменить».
Рисунок 35 – Вкладка «Полномочия» в ПОИБ СОБИ ФК
В появившемся окне необходимо из выпадающего списка выбрать ИС АОКЗ, после чего отметить галочкой роль «Сотрудник ОКИ» и нажать кнопку «Продолжить».
Рисунок 36 – Назначение роли «Сотрудник ОКИ» в ПОИБ СОБИ ФК
Далее необходимо выбрать свой сертификат (при наличии нескольких действующих сертификатов выбирается любой из них) и нажать кнопку «Подписать».
Рисунок 37 – Формирование заявки на изменение полномочий пользователя
После успешного подписания заявки система выдает сообщение, что заявка принята. После создания заявка поступает на утверждение Регистратору организации.
Рисунок 38 – Заявка на изменение полномочий пользователя
Перечень всех заявок можно просмотреть в разделе «Заявки» ПОИБ СОБИ ФК.
После утверждения заявки в ПОИБ СОБИ ФК Регистратором на адрес электронной почты пользователя, указанный при регистрации, придет сообщение об исполнении заявки.
4. ПОРЯДОК РАБОТЫ В ИС АОКЗ
Для работы в ИС АОКЗ необходимо перейти по одной из следующих ссылок:
- https://aokz.cert.roskazna.ru – вход по сертификату;
- https://aokz.login.roskazna.ru – вход по логину и паролю.
Интерфейс ИС АОКЗ содержит следующие разделы:
- Экземпляры СКЗИ
- Лицензии
Рисунок 39 – Разделы ИС АОКЗ
4.1. Раздел «Экземпляры СКЗИ»
В разделе «Экземпляры СКЗИ» содержится полный список экземпляров СКЗИ, переданных в Организацию.
Рисунок 40 – Раздел «Экземпляры СКЗИ»
Для просмотра детальной информации об экземпляре СКЗИ, необходимо нажать на соответствующую строку в табличном представлении. В карточке экземпляра СКЗИ можно просмотреть общие данные об экземпляре СКЗИ, привязанные к экземпляру СКЗИ лицензии и информацию о мероприятиях, выполненных с данным экземпляром.
Карточка экземпляра содержит следующие разделы:
- Информация;
- Мероприятия;
- Лицензии;
- История.
Рисунок 41 – Вкладка «Информация» карточки экземпляра СКЗИ
В разделе «Информация» представлены основные данные экземпляра СКЗИ. Для того, чтобы ознакомиться с комплектом поставки дистрибутива, необходимо нажать на кнопку . Для скачивания дистрибутива в открывшемся диалоговом окне выбрать файл или нажать на кнопку «Скачать все» для скачивания комплекта поставки СКЗИ целиком.
В разделе «Мероприятия» отображаются действия, выполненные с экземпляром СКЗИ с момента передачи экземпляра СКЗИ в Организацию.
Рисунок 42 – Вкладка «Мероприятия» карточки экземпляра СКЗИ
В разделе «Лицензии» отображается список лицензий, переданных в Организацию совместно с указанным экземпляром СКЗИ или привязанных к нему вручную. Нажав на строку с лицензией, система переведет на страницу, где можно просмотреть лицензионный ключ, нажав на кнопку.
Рисунок 43 – Вкладка «Лицензии» карточки экземпляра СКЗИ
4.2. Управление экземплярами СКЗИ
Рисунок 44 – Поля поиска экземпляров СКЗИ
Для перевода экземпляра СКЗИ в следующий статус по бизнес-процессу, необходимо в разделе «Экземпляры» выбрать экземпляр СКЗИ и нажать на необходимую кнопку перехода:
| Подтверждение получения экземпляра СКЗИ. | |
| Сообщить, что указанный экземпляр СКЗИ был введён в действие. | |
| Сообщить, что указанный экземпляр СКЗИ был выведен из действия. | |
| Вернуть экземпляр СКЗИ. |
Также есть возможность выполнить данные мероприятия в карточке экземпляра СКЗИ. Для этого откройте карточку экземпляра СКЗИ, выбрав его в списке, и нажмите на кнопку перехода в соответствующий статус.
Ниже в таблице приведен перечень действий и уточняющие сведения, которые указываются при выполнении действий с экземплярами СКЗИ.
| Действие | Уточняющие сведения |
| Подтверждение получения | Дата сопроводительного документа; Номер сопроводительного документа. |
| Установка (Ввод в действие) | Дата ввода в действие; Номер подтверждающего документа. |
| Изъятие (Вывод из действия) | Дата изъятия; Номер подтверждающего документа. |
| Возврат | Номер сопроводительного документа; Дата сопроводительного документа. |
5. РАЗДЕЛ «ЛИЦЕНЗИИ»
В разделе «Лицензии» отображен список лицензий на экземпляры СКЗИ в виде таблицы.
Рисунок 45 – Раздел «Лицензии» ИС АОКЗ
Наименования столбцов таблицы имеют следующие значения:
«№» — порядковый номер лицении в списке;
«Лицензионный ключ» — лицензионный ключ;
«СКЗИ» — наименование, версия и сборка экземпляра СКЗИ;
«Срок действия» — срок действия лицензии;
«Действует» — статус лицензии;
«Дата изменения» — дата изменения данных лицензии.
Предусмотрена возможность фильтрации списка лицензий согласно данным выбранного столбца.
В карточке лицензии можно просмотреть общие данные о лицензии, приложенные к лицензии файлы, а также привязанные к лицензии экземпляры СКЗИ.
6. ВЫХОД ИЗ СИСТЕМЫ
Для выхода из ИС АОКЗ необходимо нажать на кнопку «Выход из системы» и перезапустить браузер.
