Приложение N 2. Инструкция по подключению организаций к сервису распространения дистрибутивов информационной системы "Автоматизация органов криптографической защиты". Приказ Комитета по здравоохранению Псковской области от 07.12.2022 N 1054 "О подключении к информационной системе "Автоматизация органов криптографической защиты"

Приложение N 2
к приказу
Комитета по здравоохранению
Псковской области
от 7 декабря 2022 г. N 1054

Инструкция
по подключению организаций к сервису распространения дистрибутивов информационной системы "Автоматизация органов криптографической защиты"

Основные термины, сокращения и определения

Термин или сокращение	Пояснение
АРМ	Автоматизированное рабочее место.
ГРО	Главный регистратор организации.
ГУЦ	Головной удостоверяющий центр Минцифры России.
ЕСИА	Единая система идентификации и аутентификации.
Инструкция N 152	Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденная приказом ФАПСИ от 13.06.2001 N 152.
ИС	Информационная система.
ИС АОКЗ	Информационная система "Автоматизация органа криптографической защиты".
Обладатель конфиденциальной информации (ОКИ)	Лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.
Орган криптографической защиты информации (ОКЗИ)	Организация или структурное подразделение, функцией которого является разработка и осуществление мероприятий по организации и обеспечению безопасности хранения, обработки и передачи с использованием СКЗИ конфиденциальной информации. Органом криптографической защиты информации может быть организация, структурное подразделение организации, обладателя конфиденциальной информации. Функции органа криптографической защиты могут быть возложены на физическое лицо.
Организация	Организация, обслуживаемая в ТОФК.
ПО	Программное обеспечение.
ПОИБ СОБИ ФК	Подсистема обеспечения информационной безопасности Системы обеспечения безопасности информации Федерального казначейства.
Регистратор	Сотрудник организации, которому назначена роль "Регистратор" в ПОИБ СОБИ ФК, выполняющий администрирование ученых записей пользователей.
СКЗИ	Средство криптографической защиты информации.
Сотрудник ОКИ	Физическое лицо, непосредственно наделенное функциональной ролью обладателя конфиденциальной информации, необходимой для работы в ПО АОКЗ.
ТОФК	Территориальный орган Федерального казначейства.
УЦ ФК	Удостоверяющий центр Федерального казначейства.
УЗ	Учетная запись.
ФК	Федеральное казначейство.
Электронная подпись (ЭП)	Информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.

Расшифровка графических элементов веб-интерфейса ИС АОКЗ

ГАРАНТ:

Рисунок не приводится.

1. Общие положения

Настоящая инструкция предназначена для описания процесса передачи СКЗИ, эксплуатационной и технической документации, лицензионных ключей к ним между ТОФК и Организацией.

Осуществление передачи СКЗИ, эксплуатационной и технической документации, лицензионных ключей к ним происходит в рамках выполнения требований Инструкции N 152.

2. Подготовка к работе

Для полноценной работы с ИС АОКЗ пользователю необходимо выполнить обязательные настройки, описанные ниже.

2.1. Требования к АРМ пользователя

На АРМ пользователя должно быть установлено следующее ПО:

Браузер с поддержкой шифрования защищенных соединений по ГОСТ (ГОСТ 34.10-2012, ГОСТ 34.12-2018 и ГОСТ 34.13-2018): Яндекс.Браузер версии 20.2.1 или выше или Chromium-GOST версии 84 или выше;

Криптопровайдер КриптоПро CSP не ниже версии 4.0 и КриптоПро ЭЦП Browser plug-in не ниже версии 2.0.

Разрешение экрана АРМ пользователя должно быть не менее 1920 x 1080.

2.2. Установка и настройка криптопровайдера КриптоПро CSP

1. Запустите файл установки КриптоПро CSP. Откроется стартовое окно мастера установки КриптоПро CSP.

Примечание:

Первоначальное получение КриптоПро CSP осуществляется в ТОФК по месту нахождения (обслуживания) Организации на физическом носителе (CD, DVD-диски).

Рисунок 1 - Стартовое окно мастера установки КриптоПро CSP

ГАРАНТ:

Рисунок не приводится.

2. Нажмите на кнопку "Установить (рекомендуется)".

Рисунок 2 - Процесс установки КриптоПро CSP

ГАРАНТ:

Рисунок не приводится.

3. Отображается окно процесса установки КриптоПро CSP.

После успешной установки криптопровайдера отобразится диалог "КриптоПро CSP успешно установлен".

Рисунок 3 - Успешная установка КриптоПро CSP

ГАРАНТ:

Рисунок не приводится.

4. Нажмите на кнопку "ОК";

5. Запустите КриптоПро CSP.

6. На вкладке "Общие" нажмите на кнопку "Ввод лицензии" и введите лицензионный ключ;

Рисунок 4 - Вкладка "Общие". КриптоПро CSP

ГАРАНТ:

Рисунок не приводится.

Для настройки криптопровайдера необходимо выполнить следующие действия:

1. Запустите КриптоПро CSP от имени Администратора;

2. Перейдите на вкладку "Настройки TLS";

3. Включите в разделе "Клиент" следующие чекбоксы:

Не проверять сертификат сервера на отзыв;

Не проверять назначение собственного сертификата.

Рисунок 5 - Вкладка "Настройки TLS". КриптоПро CSP

ГАРАНТ:

Рисунок не приводится.

4. Нажмите на кнопку "Применить". Появится запрос на перезагрузку АРМ;

Рисунок 6 - Запрос на перезагрузку после смены режима работы

ГАРАНТ:

Рисунок не приводится.

5. нажмите на кнопку "Да";

6. АРМ перезагрузится.

2.3. Установка плагина "КриптоПро ЭЦП browser plug-in"

Плагин "КриптоПро ЭЦП Browser plug-in" предназначен для создания и проверки электронной подписи на веб-страницах с использованием СКЗИ "КриптоПро CSP".

Файл установки доступен по адресу:

https://www.ciTptopro.ru/products/cades/plugin/get_2_0

Последовательность шагов для установки плагина:

1. Запустите файл установки;

Рисунок 7 - Скачанный файл установки

ГАРАНТ:

Рисунок не приводится.

2. Нажмите "Да" в окне подтверждения установки плагина;

Рисунок 8 - Подтверждение установки

ГАРАНТ:

Рисунок не приводится.

3. При необходимости разрешите выполнение программы;

Рисунок 9 - Разрешение на установку плагина

ГАРАНТ:

Рисунок не приводится.

4. выполняется процесс установки;

Рисунок 10 - Процесс установки плагина

ГАРАНТ:

Рисунок не приводится.

4. Отображается уведомление об успешной установке плагина;

Рисунок 11 - Успешно выполнена установка плагина

ГАРАНТ:

Рисунок не приводится.

5. Нажмите кнопку "OK";

6. Затем включите расширение КриптоПро ЭЦП в используемом для работы и ИС АОКЗ браузере (см. ниже рисунки по шагам 1 - 3):

6.1. Запустите браузер;

6.2. Выберите в настройках браузера пункт "Дополнения";

Рисунок 12 - Включение плагина в браузере. Шаг-1

ГАРАНТ:

Рисунок не приводится.

6.3. Отображается список расширений, доступных для включения;

Рисунок 13 - Включение плагина в браузере. Шаг-2

ГАРАНТ:

Рисунок не приводится.

6.4. Найдите в списке и включите расширение КриптоПро ЭЦП;

Рисунок 14 - Включение плагина в браузере. Шаг-3

ГАРАНТ:

Рисунок не приводится.

6.5. В браузере в верхнем правом углу отобразится уведомление об успешной установке плагина;

Рисунок 15 - Уведомление об успешной установке плагина в браузере

ГАРАНТ:

Рисунок не приводится.

7. Плагин успешно установлен.

8. В заключение следует проверить корректность установки плагина:

8.1. Открыть страницу проверки работы плагина: https://www.cryptopro.ru/sites/default/files/products/cades/demopage/simple.html

8.2. Отобразится окно для подтверждения доступа;

Примечание:

Чтобы данное окно для подтверждения доступа не отображалось в будущем при подписании документов электронной подписью в ИС АОКЗ, следует добавить доверенные узлы в плагин. О том, как это сделать, см. следующий раздел настоящей инструкции.

Рисунок 16 - Запрос подтверждения доступа

ГАРАНТ:

Рисунок не приводится.

8.3. Нажмите кнопку "Да";

8.4. Отображается страница проверки плагина. При успешной установке плагина на данной странице отображается надпись "Плагин загружен" с зеленой точкой (см. ниже рисунок).

Примечание:

При отсутствии корневого сертификата удостоверяющего центра и личного сертификата безопасности, установленных на АРМ пользователя, отобразится уведомление об ошибке на странице проверки плагина. Как установить данные сертификаты, см. в разделе "Установка сертификатов безопасности".

Рисунок 17 - Страница для проверки плагина

ГАРАНТ:

Рисунок не приводится.

2.4. Добавление доверенных узлов в КриптоПро ЭЦП browser plug-in

Выберите ПУСК -> КРИПТО-ПРО Настройки ЭЦП Browser Plug-in.

Рисунок 18 - Открытие настроек плагина

ГАРАНТ:

Рисунок не приводится.

В браузере откроется страница с настройками плагина.

Нажмите правой кнопкой мыши на пункте "Настройки ЭЦП Browser Plug-in" и в меню выберите "Дополнительно > Открыть папку с файлом". Затем в открывшейся папке нажмите правой кнопкой мыши на файле "Настройки ЭЦП Browser Plug-in" и в меню выберите "Открыть с помощью > [Yandex/ChromiumGOST]" (см. рисунки ниже).

Рисунок 19 - Открытие настроек плагина в браузере

ГАРАНТ:

Рисунок не приводится.

Рисунок 20 - Открытие настроек плагина в браузере

ГАРАНТ:

Рисунок не приводится.

Система отображает настройки плагина в браузере.

Добавьте доверенные узлы в окне настроек плагина.

В качестве доверенного узла можно указать адрес https://*.roskazna.ru.

Нажмите кнопку "Сохранить", чтобы записать введенные доверенные узлы.

2.5. Установка сертификатов

Для выполнения функций в ИС АОКЗ на АРМ пользователя должны быть установлены сертификаты:

корневой сертификат головного удостоверяющего центра (см. раздел "Установка корневого сертификата головного удостоверяющего центра");

личный сертификат пользователя (см. раздел "Установка личного сертификата безопасности").

Если для формирования цепочки сертификатов требуется установка подчиненного сертификата, то она производится аналогично установке корневого сертификата с единственным отличием: на шаге 4.3 нужно выбрать хранилище сертификатов "Промежуточные центры сертификации".

Примечание:

Сертификат безопасности выдается аккредитованным удостоверяющим центром, который уполномочен создавать такие сертификаты.

2.5.1. Установка корневого сертификата головного удостоверяющего центра

1. Правой кнопкой мыши нажмите на файле корневого сертификата ГУЦ и выберите пункт "Установить сертификат";

2. Отобразится мастер импорта сертификатов;

Рисунок 21 - Мастер импорта сертификатов

3. Выберите хранилище "Локальный компьютер" и нажмите на кнопку "Далее";

Примечание:

Если отсутствует возможность выбора хранилища "Локальный компьютер", следует обратиться к системному администратору ЛВС для настройки прав локального администратора АРМ.

Рисунок 22 - Выбор хранилища сертификата

ГАРАНТ:

Рисунок не приводится.

4. В окне "Хранилище сертификатов" активируйте переключатель "Поместить сертификаты в следующее хранилище" и укажите директорию размещения сертификата;

4.1. Нажмите на кнопку "Обзор ...";

4.2. Откроется окно "Выбор хранилища сертификата";

Рисунок 23 - Выбор хранилища сертификата

ГАРАНТ:

Рисунок не приводится.

4.3. Выберите хранилище "Доверенные корневые центры сертификации";

4.4. Нажмите на кнопку "ОК".

5. Откроется окно завершения работы мастера импорта сертификатов;

Рисунок 24 - Окно завершения работы мастера импорта сертификатов

ГАРАНТ:

Рисунок не приводится.

6. Нажмите на кнопку "Готово";

7. Появится сообщение, что импорт успешно выполнен;

Рисунок 25 - Завершение установки

ГАРАНТ:

Рисунок не приводится.

8. Нажмите на кнопку "ОК".

2.5.2. Установка личного сертификата (при необходимости)

Установка сертификата пользователя в хранилище личных сертификатов АРМ пользователя выполняется в случае, если файл сертификата пользователя не является единым целым с закрытым ключом (в процессе получения в УЦ сертификат в формате "*.cer" был записан на отдельный носитель информации).

Установка сертификата пользователя в хранилище личных сертификатов АРМ пользователя выполняется под учетной записью пользователя, которая будет использоваться в процессе входа в ИС АОКЗ.

Для установки сертификата пользователя в хранилище личных сертификатов АРМ пользователя средствами СКЗИ "КриптоПро" необходимо:

1) Открыть приложение "КриптоПро CSP" и перейти на вкладку "Сервис";

Рисунок 26 - Вкладка "Сервис"

ГАРАНТ:

Рисунок не приводится.

2) Нажать кнопку "Установить личный сертификат";

3) выбрать личный сертификат, нажав на кнопку "Обзор";

Рисунок 27 - Выбор сертификата

ГАРАНТ:

Рисунок не приводится.

4) Нажать кнопку "Далее";

5) Отобразится окно с данными о выбранном сертификате;

6) Нажать кнопку "Далее";

7) Указать контейнер закрытого ключа;

Если контейнер располагается на присоединенном носителе, то следует установить признак "Найти контейнер автоматически";

Рисунок 28 - Выбор контейнера закрытого ключа

ГАРАНТ:

Рисунок не приводится.

8) Указать хранилище сертификата;

Рисунок 29 - Выбор хранилища сертификата

ГАРАНТ:

Рисунок не приводится.

9) Нажать кнопку "Готово";

Рисунок 30 - Завершение настроек установки сертификата

ГАРАНТ:

Рисунок не приводится.

10) Сертификат установлен в контейнер закрытого ключа и в хранилище "Личное" на АРМ пользователя.

2.6. Настройка браузера

Перед началом работы с ИС АОКЗ браузер должен быть настроен на работу по ГОСТу:

1. Откройте браузер;

2. Откройте настройки браузера;

Рисунок 31 - Открытие настроек браузера

ГАРАНТ:

Рисунок не приводится.

3. В панели навигации открыть раздел "Системные";

Рисунок 32 - Открытие системных настроек браузера

ГАРАНТ:

Рисунок не приводится.

4. Включите чекбокс "Подключаться к сайтам, использующим шифрование по ГОСТ. Требуется КриптоПро CSP".

Рисунок 33 - Включение настройки браузера для подключения к сайтам, использующим шифрование по ГОСТ

ГАРАНТ:

Рисунок не приводится.

3. Регистрация в ИС АОКЗ

3.1. В данной инструкции не рассматривается процедура регистрации в ПОИБ СОБИ ФК. При возникновении вопросов по работе в ПОИБ СОБИ ФК необходимо воспользоваться инструкциями, которые размещены на сайте Федерального казначейства https://roskazna.gov.ru в разделе "ГИС" - "Система обеспечения безопасности информации Федерального казначейства".

4.2. Для работы в ИС АОКЗ пользователю организации необходимо добавить роль "Сотрудник ОКИ" в ПОИБ СОБИ ФК.

4.2.1. Пользователю необходимо войти в ПОИБ СОБИ ФК по ссылке https://sobi.cert.roskazna.ru и выбрать свой сертификат для входа.

По умолчанию после входа открывается профиль пользователя.

Рисунок 34 - Профиль пользователя в ПОИБ СОБИ ФК

ГАРАНТ:

Рисунок не приводится.

Для изменения полномочий необходимо перейти на вкладку "Полномочия" и нажать кнопку "Изменить".

Рисунок 35 - Вкладка "Полномочия" в ПОИБ СОБИ ФК

ГАРАНТ:

Рисунок не приводится.

В появившемся окне необходимо из выпадающего списка выбрать ИС АОКЗ, после чего отметить галочкой роль "Сотрудник ОКИ" и нажать кнопку "Продолжить".

Рисунок 36 - Назначение роли "Сотрудник ОКИ" в ПОИБ СОБИ ФК

ГАРАНТ:

Рисунок не приводится.

Далее необходимо выбрать свой сертификат (при наличии нескольких действующих сертификатов выбирается любой из них) и нажать кнопку "Подписать".

Рисунок 37 - Формирование заявки на изменение полномочий пользователя

ГАРАНТ:

Рисунок не приводится.

После успешного подписания заявки система выдает сообщение, что заявка принята. После создания заявка поступает на утверждение Регистратору организации.

Рисунок 38 - Заявка на изменение полномочий пользователя

ГАРАНТ:

Рисунок не приводится.

Перечень всех заявок можно просмотреть в разделе "Заявки" ПОИБ СОБИ ФК.

После утверждения заявки в ПОИБ СОБИ ФК Регистратором на адрес электронной почты пользователя, указанный при регистрации, придет сообщение об исполнении заявки.

4. Порядок работы в ИС АОКЗ

Для работы в ИС АОКЗ необходимо перейти по одной из следующих ссылок:

- https://aokz.cert.roskazna.ru - вход по сертификату;

- https://aokz.login.roskazna.ru - вход по логину и паролю.

Интерфейс ИС АОКЗ содержит следующие разделы:

- Экземпляры СКЗИ

- Лицензии

Рисунок 39 - Разделы ИС АОКЗ

ГАРАНТ:

Рисунок не приводится.

4.1. Раздел "Экземпляры СКЗИ"

В разделе "Экземпляры СКЗИ" содержится полный список экземпляров СКЗИ, переданных в Организацию.

Рисунок 40 - Раздел "Экземпляры СКЗИ"

ГАРАНТ:

Рисунок не приводится.

Для просмотра детальной информации об экземпляре СКЗИ, необходимо нажать на соответствующую строку в табличном представлении. В карточке экземпляра СКЗИ можно просмотреть общие данные об экземпляре СКЗИ, привязанные к экземпляру СКЗИ лицензии и информацию о мероприятиях, выполненных с данным экземпляром.

Карточка экземпляра содержит следующие разделы:

- Информация;

- Мероприятия;

- Лицензии;

- История.

Рисунок 41 - Вкладка "Информация" карточки экземпляра СКЗИ

ГАРАНТ:

Рисунок не приводится.

В разделе "Информация" представлены основные данные экземпляра СКЗИ. Для того, чтобы ознакомиться с комплектом поставки дистрибутива, необходимо нажать на кнопку Для скачивания дистрибутива в открывшемся диалоговом окне выбрать файл или нажать на кнопку "Скачать все" для скачивания комплекта поставки СКЗИ целиком.

В разделе "Мероприятия" отображаются действия, выполненные с экземпляром СКЗИ с момента передачи экземпляра СКЗИ в Организацию.

Рисунок 42 - Вкладка "Мероприятия" карточки экземпляра СКЗИ

ГАРАНТ:

Рисунок не приводится.

В разделе "Лицензии" отображается список лицензий, переданных в Организацию совместно с указанным экземпляром СКЗИ или привязанных к нему вручную. Нажав на строку с лицензией, система переведет на страницу, где можно просмотреть лицензионный ключ, нажав на кнопку (рисунок не приводится).

Рисунок 43 - Вкладка "Лицензии" карточки экземпляра СКЗИ

ГАРАНТ:

Рисунок не приводится.

4.2. Управление экземплярами СКЗИ

Рисунок 44 - Поля поиска экземпляров СКЗИ

ГАРАНТ:

Рисунок не приводится.

Экземпляры Организации

Для перевода экземпляра СКЗИ в следующий статус по бизнес-процессу, необходимо в разделе "Экземпляры" выбрать экземпляр СКЗИ и нажать на необходимую кнопку перехода: (рисунок не приводится).

Также есть возможность выполнить данные мероприятия в карточке экземпляра СКЗИ. Для этого откройте карточку экземпляра СКЗИ, выбрав его в списке, и нажмите на кнопку перехода в соответствующий статус.

Ниже в таблице приведен перечень действий и уточняющие сведения, которые указываются при выполнении действий с экземплярами СКЗИ.

Действие	Уточняющие сведения
Подтверждение получения	Дата сопроводительного документа; Номер сопроводительного документа.
Установка (Ввод в действие)	Дата ввода в действие; Номер подтверждающего документа.
Изъятие (Вывод из действия)	Дата изъятия; Номер подтверждающего документа.
Возврат	Номер сопроводительного документа; Дата сопроводительного документа.

5. Раздел "Лицензии"

В разделе "Лицензии" отображен список лицензий на экземпляры СКЗИ в виде таблицы.

Рисунок 45 - Раздел "Лицензии" ИС АОКЗ

ГАРАНТ:

Рисунок не приводится.

Наименования столбцов таблицы имеют следующие значения:

"N" - порядковый номер лицензии в списке;

"Лицензионный ключ" - лицензионный ключ;

"СКЗИ" - наименование, версия и сборка экземпляра СКЗИ;

"Срок действия" - срок действия лицензии;

"Действует" - статус лицензии;

"Дата изменения" - дата изменения данных лицензии.

Предусмотрена возможность фильтрации списка лицензий согласно данным выбранного столбца.

В карточке лицензии можно просмотреть общие данные о лицензии, приложенные к лицензии файлы, а также привязанные к лицензии экземпляры СКЗИ.

6. Выход из системы

Для выхода из ИС АОКЗ необходимо нажать на кнопку "Выход из системы" и перезапустить браузер.