Инструкция по организации защищенного канала связи с использованием технологии на базе СКЗИ «КриптоПро NGate»

Общие положения

  1. В целях выполнения требований действующего законодательства в сфере информационной безопасности, доступ внешних пользователей (далее — Клиентов) к внутренним защищаемым информационным ресурсам и сервисам общества с ограниченной ответственностью «Столичное Кредитное Бюро» (далее — защищаемые ресурсы ООО «СКБ») предоставляется по защищенному каналу связи реализованному на базе средства криптографической защиты информации «Криптографический сетевой программный комплекс «КриптоПро NGate» (далее – КСПК NGate).
  2. КСПК NGate используется для обеспечения Клиентам безопасного доступа (по технологии ГОСТ TLS) к защищаемым ресурсам ООО «СКБ» и защиты этих ресурсов от несанкционированного доступа со стороны сетей общего пользования.

Состав КСПК NGate

  1. КСПК NGate включает в себя:
    • шлюз безопасности «КриптоПро NGate» (для обеспечения защищенного контура на стороне ООО «СКБ»);
    • клиентское программное обеспечение «КриптоПро NGate Клиент» (для защищенного и доверенного подключения со стороны Клиентов).
  2. Программное обеспечение «КриптоПро NGate Клиент», используется для обеспечения доступа Клиентов к защищаемым ресурсам ООО «СКБ», защищенных посредством шлюза «КриптоПро NGate».
  3. Данная Инструкция предназначена для самостоятельной установки и настройки программного обеспечения «КриптоПро NGate Клиент». В настоящей Инструкции определяются условия и требования по организации защищенного канала связи.

Организация защищенного канала связи (технические условия)

  1. Для обеспечения работоспособности программного обеспечения «КриптоПро NGate Клиент» необходимо наличие на рабочей станции или сервере сертифицированной версии и сборки криптопровайдера «Крипто-Про CSP». Установка и настройка криптопровайдера «Крипто-Про CSP» осуществляется в соответствии с технической и эксплуатационной документацией к данному средству криптографии (в том числе, размещенной на официальном сайте разработчика https://cryptopro.ru/products/csp/).
  2. Аутентификация Клиента осуществляется по его сертификату ключа проверки усиленной электронной подписи (далее — сертификат), который должен удовлетворять следующим требованиям:
    • обеспечивает возможность работы с криптографией в соответствии с ГОСТ Р 34.11-2012/34.10-2012;
    • содержит расширение (OID) «Проверка подлинности клиента (1.3.6.1.5.5.7.3.2)»;
    • в составе сертификата обязательно присутствует поле «Organization (O)», в котором указывается сокращенное наименование организации (по данному полю будет проходить дополнительная проверка сертификата Клиента, который используется для аутентификации).
  3. Приобретение сертификата, криптопровайдера «Крипто-Про CSP» (лицензии на право использования) осуществляется Клиентом самостоятельно.
  4. Установка и первоначальная настройка программного обеспечения «КриптоПро NGate Клиент» осуществляется в соответствии с эксплуатационной и технической документацией, размещенной на официальном сайте разработчика, в том числе:
    • Средство криптографической защиты информации «Криптографический сетевой программный комплекс «КриптоПро NGate». Руководство пользователя MS Windows ЖТЯИ.00104-01 91 01 (приложение 1);
    • Средство криптографической защиты информации «Криптографический сетевой программный комплекс «КриптоПро NGate». Руководство пользователя. ОС Linux ЖТЯИ.00104-01 91 02 (приложение 2).
  5. Актуальный дистрибутив программного обеспечения «КриптоПро NGate Клиент» (сборка должна быть не ниже 1.0.0-598) для соответствующей операционной системы можно загрузить со следующих ресурсов:

Настройка защищенного подключения

  1. В инструкции рассмотрен вариант настройки программного обеспечения «КриптоПро NGate Клиент» для операционной системы Microsoft Windows 10.
  2. В адрес Клиента направляется корневой сертификат удостоверяющего центра для построения доверительных отношений с сертификатом шлюза безопасности «КриптоПро NGate» ООО «СКБ» (файл сертификата - приложение 3). Данный сертификат необходимо установить в хранилище сертификатов «Доверенные корневые центры сертификации» на рабочей станции или сервере Клиента.
  3. Клиент в адрес ООО «СКБ» направляет сертификат ключа проверки усиленной электронной подписи пользователя.
  4. Для настройки подключения необходимо:
    • запустить клиентское программное обеспечение «КриптоПро NGate Клиент», по умолчанию при запуске должна открыться вкладка «Состояние»; Интерфейс клиентского программного обеспечения «КриптоПро NGate Клиент»
    • указать URL-адрес портала и соответствующий порт: https://ngate.cbch.ru:39999;
    • нажать кнопку «Подключить».
    • В появившемся окне «Аутентификация пользователя» необходимо выбрать сертификат для доступа (сертификат Клиента) из выпадающего меню и ввести пароль от контейнера с ключом. Окно аутентификации пользователя (выбор сертификата)
    • В случае успешного выполнения настройки подключения статус туннеля изменится и поменяется индикация подключения. С этого момента Клиенту будет предоставлен доступ к защищаемым ресурсам ООО «СКБ». Индикация статуса подключения — VPN соединение установлено