Работа с криптографическими ключами и сертификатами
•вторая – право второй подписи под документами;
•расширенное – более тонкая настройка прав подписи. Задается право подписи в зависимости от организации, типа документа, его данных (с ограничениями по суммам), вплоть до возможности вызова внешних модулей.
Понятие «право подписи» распространяется как для клиентов подсистемы «Банк-Клиент» так и для клиентов подсистемы Интернет-Клиент.
Примечание
В системе "ДБО BS-Client" не регламентируется временная последовательность простановки первой и второй подписей. Т.е. возможно как подписание документа первой подписью после второй, так и второй после первой.
9.2.4. Право шифрации (связь по транспорту «Банк- Клиент»)
Право шифрации дает абоненту возможность подписывать, проверять подпись под транспортными пакетами, а так же шифровать и дешифровать транспортные пакеты. Это право применимо только для клиентов подсистемы толстого клиента «Банк-Клиент».
9.2.5. Право защиты канала («Интернет-Клиент»)
Право защиты канала дает абоненту возможность криптографической защиты интернет-ка- нала «BS-Defender» и / или канала двустороннего SSL (TLS).
Это право применимо только для клиентов подсистемы Интернет-Клиент.
9.3. Менеджмент ключей. Права на криптографические операции. Привязка к пользователю
Архитектура подсистемы криптозащиты системы "ДБО BS-Client" позволяет гибко настраивать контекст использования ключей абонентов подсистемами "ДБО BS-Client" Банк-Кли-
ент и Интернет-Клиент.
Подсистема криптозащиты позволяет использовать криптографический профиль (ключи абонента) не только для одного клиента, но и для нескольких клиентов одновременно. При этом права на криптографические операции данного абонента у данного клиента задаются индивидуально. Все такие отношения задаются с помощью справочника рабочих мест абонентов СКЗИ.
Для собственных абонентов СКЗИ в подсистеме Банк-Клиент с помощью справочника пользователей абонентов СКЗИ, задаются пользователи ДБО и абоненты СКЗИ, с которыми он работает. Допустимо использование одного и того же абонента СКЗИ несколькими пользователями "ДБО BS-Client".
В подсистеме Интернет-Клиент, для пользователей используемые абоненты СКЗИ задаются с помощью справочника абонентов СКЗИ для пользователей подсистемы Интернет-Кли-
43
Работа с криптографическими ключами и сертификатами
ент. При этом, допускается использование только тех абонентов СКЗИ, организации которых указаны в справочнике организаций пользователей Интернет-Клиент.
Архитектурная схема системы криптозащиты приведена на следующем рисунке:
Рис. 9.1. Архитектурная схема системы криптозащиты
Для настройки криптографических прав абонентов СКЗИ, их привязки к клиентам "ДБО BSClient" (АРМ), пользователям подсистемы Интернет-Клиент, привязки к пользователям системы "ДБО BS-Client" (подсистема Банк-Клиент) предусмотрены соответствующие мастера настроек («визарды»).
9.4. Начальное заведение ключей, Технологический ключ
Для заведения нового абонента СКЗИ в системе "ДБО BS-Client" есть соответствующий мастер («визард»), который позволяет по существующему набору ключевого носителя и сертификата абонента, зарегистрировать его в системе "ДБО BS-Client". Этот мастер позволяет последовательно задать все параметры нового абонента: название, привязку к клиентам системы "ДБО BS-Client" (АРМ) и их индивидуальные криптографические права и в случае расширенных прав подписи — задать их для всех документов и для всех организаций привязанных клиентов, привязку к пользователям системы "ДБО BS-Client", параметры криптографического сертификата.
В случае отсутствия первоначального ключевого носителя и сертификата абонента, в "ДБО BS-Client" также предусмотрена возможность первичной генерации секретного ключа и запроса на сертификат в ЦС. Следует отметить, что такая возможность существует не для всех типов СКЗИ, так как не все производители стороннего ПО систем криптозащиты предоставляют соответствующий программный интерфейс.
При первичной регистрации клиентского абонента СКЗИ на банке рекомендуется выставить его сертификату признак «технологичный». Такие сертификаты подлежат обязательной пе-
44