Інструкція ФПСУ клієнт
Взаємодія клієнтів з автоматизованими системами через мережу Інтернет пов'язано з численними загрозами інформаційній безпеці персональних комп'ютерів клієнтів і серверів автоматизованих систем. З метою мінімізації ризиків реалізації загроз взаємодія з автоматизованими системами Ощадбанку Росії організовується по захищеної VPN-мережі (Virtual Private Network - віртуальна приватна мережа), накладеної на канали зв'язку мережі Інтернет. Для підключення до захищеної VPN-мережі Ощадбанку Росії використовується апаратно-програмний комплекс ФПСУ-IP / Клієнт.
Цей посібник визначає порядок встановлення і налаштування комплексів ФПСУ-IP / Клієнт. Установка і настройка комплексів ФПСУ-IP / Клієнт може бути проведена як силами співробітників служб автоматизації Ощадбанку Росії, так і уповноваженими співробітниками клієнтів Ощадбанку Росії. Співробітники служб автоматизації Ощадбанку Росії виконують роботи по встановленню та налагодженню комплексів ФПСУ-IP / Клієнт тільки в присутності уповноважених співробітників клієнтів Ощадбанку Росії.
1. Призначення, склад і умови експлуатації комплексу ФПСУ-IP / Клієнт
1.1. призначення комплексу
Комплекс ФПСУ-IP / Клієнт забезпечує захист інформаційного обміну, а також захист персонального комп'ютера клієнта при взаємодії з автоматизованими системами Ощадбанку Росії через мережу Інтернет.
Захист від несанкціонованого доступу до автоматизованих систем, а також самого інформаційного обміну між клієнтом і Ощадбанком Росії забезпечується:
аутентификацией клієнтів банку по унікальному ключу, записаному в пристрій VPN-key;
створенням криптографически захищеного VPN-тунелю між персональним комп'ютером клієнта і комплексом ФПСУ-IP ( «Фільтр пакетів мережевого рівня - IP»).
Підключення до автоматизованих систем Ощадбанку Росії через мережу Інтернет можливо лише з використанням пристрою VPN-key, що підключається до USB-порту комп'ютера.
У комплект поставки комплексу ФПСУ-IP / Клієнт входять:
пристрій зберігання ключової інформації VPN-key, що містить унікальний ключ;
інсталяційна дискета з програмним модулем комплексу ФПСУ-IP / Клієнт;
конверти з персональними PIN (Personal Identity Number code) і PUK (Personal Unblocked Key code) кодами користувача і адміністратора для роботи з VPN-key.
1.3. Умови експлуатації комплексу
Кількість установок програмних модулів комплексу ФПСУ-IP / Клієнт не обмежена. Програмні модулі можуть бути скопійовані з інсталяційного носія і встановлені на персональні комп'ютери, з яких передбачається здійснювати роботу з автоматизованими системами Ощадбанку Росії.
Організація взаємодії між комп'ютером, обладнаним комплексом «ФПСУ-IP / Клієнт» і автоматизованою системою Ощадбанку Росії, можлива через міжмережевий екран або PROXY-сервер організації. При цьому: політика безпеки брандмауера повинна забезпечувати взаємодію комп'ютера з комплексом ФПСУ-IP, встановленим в РБ РФ, по протоколу UDP порт 87; політика безпеки PROXY-сервера повинна забезпечувати взаємодію комп'ютера з комплексом ФПСУ-IP по протоколу UDP порт 87 без використання proxy протоколу.
1.4 Забезпечення безпеки при експлуатації
Підключення клієнта до автоматизованої системи банку для управління рахунком, обробки і передачі в банк фінансових документів доцільно проводити з виділеного для цих цілей персонального комп'ютера. Роботу з публічними ресурсами мережі Інтернет з даного комп'ютера рекомендується не проводити.
Перед установкою банківського прикладного програмного забезпечення і комплексу ФПСУ-IP / Клієнт на персональному комп'ютері слід провести такі роботи:
встановлені всі критичні оновлення для операційної системи персонального комп'ютера і її компонентів;
встановлено і налаштовано антивірусне програмне забезпечення з актуальними антивірусними базами;
проведена перевірка жорсткого диска на відсутність вірусів.
Після установки комплексу ФПСУ-IP / Клієнт необхідно настройками вбудованого в комплекс персонального брандмауера максимально обмежити список довірених мережевих об'єктів організації і правила інформаційної взаємодії з ними даного ПК (приклад на стор.18).
Проведення даних робіт дозволить мінімізувати загрози вірусних заражень і несанкціонованого доступу до ПО, даними і криптографічним ключам АРМ як з боку мережі Інтернет, так і з боку ЛВС організації.
Захист від несанкціонованого використання пристрою зберігання ключової інформації VPN-key, а також зміни його налаштувань забезпечується шляхом застосування PIN-коду користувача і PIN-коду адміністратора. Разом з тим, при експлуатації і зберіганні електронного пристрою VPN-key необхідно вжити заходів по виключенню несанкціонованого доступу до пристрою сторонніх осіб.
Після трьох невдалих спроб правильно ввести PIN-коду (користувача / адміністратора) PIN-код блокується. В цьому випадку для його розблокування необхідно ввести PUK-код (користувача / адміністратора). При одночасній блокування PIN і PUK-код користувача і адміністратора для відновлення працездатності комплексу ФПСУ-IP / Клієнт необхідна перегенерація електронного пристрою VPN-key, PIN-коду та PUK-коду в центрі генерації Банку.
У разі втрати електронного пристрою VPN-key, або втрати, блокування PIN-коду і PUK-коду доступу до пристрою VPN-key необхідно повідомити в диспетчерську службу філії Ощадбанку Росії.
В процесі експлуатації комплексу ФПСУ-IP / Клієнт значення PIN- і PUK- кодів користувача і адміністратора повинні бути відомі тільки уповноваженим особам клієнта. Конверти з персональними PIN- і PUK- кодом користувача і адміністратора повинні зберігатися у відповідальних осіб організації. Спосіб зберігання конвертів повинен виключати можливість компрометації PIN-коду і PUK-коду. Детальніше про роботу з PIN- і PUK- кодами см. П.4.1.5.
2. Інсталяція комплексу
У разі згоди з ліцензійною угодою необхідно натиснути «Я згоден». Далі встановіть варіант установки ФПСУ-IP / Клієнта як показано на малюнку 2.2 і натисніть «Вперед».
Вкажіть за запитом каталог, в який слід встановити ПО ФПСУ-IP / Клієнт і натисніть «Встановити».
Після завершення процесу інсталяції необхідно натиснути «Закрити» і перезавантажити комп'ютер
У разі успішного встановлення ПО і подальшої перезавантаження комп'ютера в правій частині статусного рядка екрану з'явиться його значок (ярлик).
Увага: Можливі ситуації, коли при першому підключенні пристрою VPN-key до USB-порту комп'ютера операційна система виявить новий пристрій і запросить шлях до його драйверу. Для установки драйвера необхідно дозволити ОС самостійно знайти драйвер або вказати шлях до нього. Наприклад: «<Диск>: \ Windows \ system32 \ drivers \ accusb.sys. У разі успішного встановлення драйвера в списку пристроїв з'явиться новий пристрій ACCORDMO USB. Для проведення перевірки необхідно, на значку робочого столу «Мій комп'ютер» натиснути правою кнопкою миші, вибрати «Властивості / обладнання / диспетчер пристроїв» і дозволити відображення прихованих пристроїв «Вид / Показати приховані пристрої».
3. Запуск комплексу.
3.1. Початок роботи
Увага: Зміна даних параметрів без узгодження з банком призведе до неможливості підключення до АБС банку.
ПО ФПСУ-IP / Клієнта завантажується автоматично після старту ОС Windows. Ознакою того, що ПЗ завантажено, є значок (ярлик) в правій частині статусного рядка.
При натисканні правої кнопки миші на ярлику на екран видається основне меню ПО ФПСУ-IP / Клієнт, що містить наступні команди.
Увага: перші три команди доступні тільки при підключеному до USB-порту VPN-key. Оновлення ПО проводиться тільки під час з'єднання з ПАК ФПСУ-IP.
3.2. установка з'єднання
При підключенні до USB-порту комп'ютера пристрої VPN-key, якщо комплекс налаштований на режим «автосоедіненіе» (див. Розділ 4.1.1 Конфігурація комплексу), ФПСУ-IP / Клієнт автоматично спробує почати сеанс зв'язку з ПАК ФПСУ-IP. В іншому разі скористайтеся командою меню «З'єднатися» При цьому комплекс ФПСУ-IP / Клієнт видає на екран повідомлення про початок реєстрації користувача, що відображає системні ідентифікатори пред'явленногоVPN-key.
Введіть у відповідне діалогове поле вікна реєстрації чотиризначний PIN-код пристрою VPN-key. Якщо введений код виявиться невірним, він буде запитано знову. Кількість допустимих спроб введення персональних ідентифікаційних кодів відображається в інформаційному вікні Рис.3.3 при натисканні кнопки «Детальніше. »Вікна реєстрації.
Якщо PIN-код введено вірно, починається процес установки з'єднання з ПАК ФПСУ-IP банку. При цьому на екран видається відповідне інформаційне повідомлення.
Буде виконано 10 спроб встановити з'єднання. Якщо після закінчення всіх спроб з'єднання не встановлено і параметр «Пауза між спробами з'єднання, сек» (див. П.п. 4.1.1) не заданий, необхідно знову скористатися командою «З'єднатися». Якщо спроби з'єднатися з ПАК ФПСУ-IP виявляться невдалими, користувачеві необхідно повідомити про це співробітникам, що здійснюють в організації технічний супровід комунікаційного обладнання та обчислювальної техніки.
Якщо тунель з "ФПСУ-IP" встановлений і доступ користувачеві дозволяється, вікно «З'єднання» закриється, а значок ФПСУ-IP / Клієнт внизу екрану змінить свій вигляд (з'явитися зелений «вогник»). Можна запускати програмне забезпечення, призначене для роботи з автоматизованими системами Банку.
3.3. Закінчення сеансу зв'язку
Після закінчення роботи з АБС Ощадбанку Росії необхідно скористатися командою «роз'єднати» (Рис.3.5) меню комплексу ФПСУ-IP / Клієнт і відключити пристрій VPN-key від USB-порту комп'ютера.
Увага: Для виключення можливості втрати і несанкціонованого використання необхідно забезпечити зберігання пристрою VPN-key в сейфі або надійно запираемом металевій шафі відповідальної особи нарівні з кріптографческімі ключами.
4. Конфігурація комплексу
Для входу в режим конфігурування необхідно натиснути правою кнопкою миші на ярлику в правій частині статусного рядка, вибрати команду «Налаштування» (Рис.4.1) і ввести PIN-код адміністратора встановивши при цьому ознака входу з правами адміністратора.
У разі успішного введення PIN-коду Адміністратора відкриється діалогове вікно налаштувань
перемикач «стиснення даних» - при установці забезпечує стиснення даних за вбудованим алгоритмом перед їх передачею в VPN-тунель.
Дана опція ефективна, якщо мережа забезпечує швидкість з'єднання не вище 2Мбіт / с.
перемикач «автоматично перевіряти оновлення» - під час з'єднання з ПАК ФПСУ-IP буде перевірятися наявність оновлення ПЗ ФПСУ-IP / Клієнт.
Рекомендується встановити даний перемикач для спрощення процедури проведення оновлення програмного забезпечення ФПСУ-IP / Клієнт. При цьому, установка отриманих оновлень можлива тільки при роботі на комп'ютері з правами адміністратора операційної системи.
Перемикач «Автосоедіненіе при підключенні VPN-key» - якщо перемикач виставлений, то при підключенні пристрою VPN-key комплекс буде автоматично намагатися ідентифікувати користувача і з'єднатися з ПАК ФПСУ-IP.
Буде виконано 10 спроб встановити з'єднання. У разі, якщо після закінчення всіх спроб з'єднання не встановлено і параметр «Пауза між спробами з'єднання, сек» не заданий, то необхідно скористатися командою «З'єднатися».
перемикач «Пам'ятати введений PIN-код поки VPN-key не від'єднаний» - в разі відключення електроживлення комп'ютера комплекс буде пам'ятати введений PIN-код до моменту від'єднання VPN-key від USB-порту.
4.1.3. Налаштування блокувань.
Блокування використовуються для забезпечення захисту робочого місця від несанкціонованого доступу при взаємодії з АБС Банку.
Обмеження на прийом і передачу пакетів для мережевого адаптера, пов'язаного з ПАК ФПСУ-IP, і для інших мережевих інтерфейсів комп'ютера встановлюються окремо.
Попередньо встановлено Банком настройка VPN-key передбачає включення всіх блокувань і дозволяє повністю виключити несанкціонований доступ до персонального комп'ютера компанії з мережі Інтернет і з ЛВС організації під час роботи АРМ з АБС Банку по криптографически захищеному тунелю.
При необхідності одночасної роботи АРМ з АБС Банку і з інформаційними ресурсами організації мінімально необхідна для цього блокування може бути знята за умови настройки локальних правил фільтрації (див. П. 4.2) на взаємодію АРМ виключно з довіреними хостами організації.
Увага: Правила блокувань при роботі з встановленим тунелем з ФПСУ банку мають пріоритет перед списком дозволених хостів в локальних настройка. Наприклад, при встановленому перемикачі «все TCP з'єднання» взаємодія з усіма хостами, крім АБС Банку по протоколу TCP буде заборонено навіть при наявності списку дозволених хостів з протоколом TCP в локальних настройках АРМ.
4.1.5. Ізмененіe PIN-кодів.
У тому випадку, якщо PIN-код адміністратора (або користувача) був скомпрометований, забутий або заблокований після трьох невдалих спроб, необхідно провести його зміна в наведеному нижче діалоговому вікні. Для проведення зміни необхідно ввести нове значення PIN-коду, PUK-код Адміністратора (або, відповідно, користувача) і натиснути «Змінити».
При виконанні даної процедури потрібно бути гранично уважним, так як якщо PUK-код буде вказано невірно, є ймовірність остаточно заблокувати VPN-key і подальша робота з ним буде неможлива. PUK-код блокується в разі п'яти невдалих спроб.
Увага:
1. Зміні підлягають тільки PIN-коди.
2. PIN-код користувача може бути відновлений c використанням PUK-коду користувача.
3. PIN-код користувача може бути відновлений c використанням PIN- або PUK- коду Адміністратора.
4. PIN-код адміністратора може бути відновлений тільки c використанням PUK-коду Адміністратора.
5. Межа невдалих спроб введення:
для PIN-коду - 3 рази
для PUK-коду - 5 разів
6. У разі вичерпання п'яти спроб введення PUK-коду користувача пред'явлений VPN-key буде заблокований і подальша робота з ним (на будь-якому комп'ютері):
можлива тільки з правами адміністратора
з правами користувача - неможлива до проведення процедури реініціалізації ключа в центрі генерації банку.
7. У разі блокування PUK-коду користувача і PUK-коду Адміністратора використання VPN-key неможливо і даний VPN-key повинен бути реініціалізірован в центрі генерації банку.
4.1.6. Вихід з режиму налаштувань.
Після проведення налаштувань параметрів роботи комплексу ФПСУ-IP / Клієнт збережіть зроблені установки за допомогою відповідної кнопки «Зберегти». Для виходу без збереження скористайтеся кнопкою «Відмова».
4.2. налаштування локальні
Налаштування локальні забезпечують завдання політики безпеки персонального брандмауера, що входить до складу комплексу ФПСУ-IP / Клієнт і призначеного для захисту персонального комп'ютера від несанкціонованого підключення з боку мережі Інтернет і ЛВС організації як під час сеансу роботи з АБС Банку, так і в інший час, в тому числі при відключеному пристрої VPN-key.
4.2.1. Установки і зміна локальних налаштувань.
Для того щоб провести конфігурування локальних налаштувань, необхідно увійти в основне меню комплексу та вибрати команду «Налаштування локальні».
Для установки і змінити установки, необхідно дозволити їх редагування. При цьому необхідно ввести пароль доступу (після інсталяції пароль порожній)
У діалоговому вікні рис. можливе проведення необхідних налаштувань персонального брандмауера:
Створювати або редагувати правила фільтрації вхідних і вихідних пакетів можна за допомогою кнопок «Додати», «Змінити», «Видалити». При натисканні кнопки «Додати» або «Редагувати» відкриється діалогове вікно налаштувань за допомогою якого можна задати необхідну політику безпеки при роботі ресурсами мережі.
Після проведення необхідних налаштувань активізуйте правила за допомогою перемикача «Активувати правила» і збережіть зроблені установки за допомогою відповідної кнопки «Зберегти». Для виходу без збереження скористайтеся кнопкою «Відмова».
4.2.2. Зміна пароля доступу до локальних налаштувань.
Після інсталяції комплексу пароль доступу до локальних налаштувань порожній. Для зміни пароля необхідно при введенні пароля для доступу до локальних налаштувань вибрати «Змінити» і ввести новий пароль.
Увага: У разі втрати пароля доступу до даних налаштувань потрібно
перевстановлення комплексу.
4.4. Оновлення ПЗ
Дана команда призначена для проведення оновлення програмного забезпечення комплексу ФПСУ-IP / Клієнт. При цьому необхідно, щоб між комплексом і ПАК ФПСУ-IP було встановлено з'єднання.
Оригінал інструкції ФПСУ клієнт з картинками прикріплений до теми.