Порядок применения КСПК NGate и ПАК «КриптоПро УЦ 2.0» на платформе Astra Linux для обеспечения защиты информации участников платформы цифрового рубля

Порядок применения КСПК NGate и ПАК «КриптоПро УЦ 2.0 на платформе Astra Linux для обеспечения защиты информации участников платформы цифрового рубля»

Код курса Т395, 10 дней

Статус

Авторский практический курс Учебного центра «Информзащита»

Аннотация

Предварительная подготовка

• Базовые знания и навыки по работе с Astra Linux.

• Для глубокого освоения материала рекомендуется прослушать курсы:

• Т105 «Порядок установки, настройки и эксплуатации СКЗИ «КриптоПро CSP 5.0» в ОС Linux, Windows и смежных средах»;

• Т341 «Порядок развертывания PKI с применением ПАКМ «КриптоПро HSM» и настройки платежного модуля КриптоПро PCI HSM;
• T390 «Настройка КриптоПро NGate для обеспечения контролируемого защищённого удаленного доступа пользователей к корпоративным ресурсам».

Пакет слушателя

• Фирменные учебные пособия.
• Дополнительные материалы по тематике программы в электронном виде.

Дополнительно

После успешной сдачи зачета выпускники получают свидетельства Учебного центра «Информзащита».

Обучение на данном курсе учитывается при получении в Учебном центре «Информзащита» документов установленного образца об обучении по дополнительным профессиональным программам в области информационной безопасности.

Программа учебного курса

Модуль 1.

• Введение. Исполнения NGate. Аппаратные платформы NGate. Технические характеристики АП NGate.
• Требования по установке и эксплуатации КСПК NGate. Основные требования по защите организационно-техническим и административным мерам обеспечения безопасности эксплуатации КСПК NGATE. Общие требования по защите КСПК NGate от НСД.
• Требования безопасности. Обеспечение условий эксплуатации Аппаратной платформы NGate для СКЗИ «КриптоПро NGate». Безопасность при эксплуатации Аппаратной платформы NGate для СКЗИ «КриптоПро NGate».
• ПО СКЗИ «Криптографический сетевой программный комплекс «КриптоПро NGate». Примеры конфигураций. Минимальная конфигурация. Конфигурация: Кластер и балансировщик нагрузки. Конфигурация: Кластер, балансировщик нагрузки и маршрутизатор. Лицензионная политика шлюза «КриптоПро NGate».
• Типовые сценарии применения СКЗИ «КриптоПро NGate» для защиты персональных данных. Технические решения ООО «КРИПТО-ПРО» для криптографической защиты персональных биометрических данных. Подписание биометрических образцов для передачи в ЕБС и при обработке в информационных системах. Защита биометрических образцов при передаче по каналам связи. Защита удаленного подключения пользователей для аутентификации с использованием биометрических данных.
• Установка и предварительная настройка NGate для сценария с балансировкой нагрузки. Создание загрузочной флеш-карты для аппаратной платформы. Установка программного обеспечения NGate на центре управления и на узлах кластера.
• Создание инфраструктуры открытых ключей для сценария с балансировкой нагрузки. инфраструктуры PKI с использованием встроенного сервиса Системы управления.
• Развёртывание инфраструктуры PKI с использованием внешнего УЦ. ПАК «КриптоПро УЦ» 2.0. Создание и экспорт сервисных ключей. Установка Корневого сертификата УЦ в Windows. Формирование запроса на выпуск сертификата в Windows. Установка сертификата администратора в Windows.
• Настройка шлюза NGate. Подключение АРМ Администратора к Системе управления. Создание элемента кластера. Настройка Узлов NGate в кластере. Создание элемента сертификата удостоверяющего центра. Ввод лицензионных ключей. Создание элемента серверного мандата. Настройка защищаемых ресурсов.
• Примеры настройки конфигураций NGate. Примеры конфигураций: Минимальная конфигурация. Конфигурация: Кластер и балансировщик нагрузки. Конфигурация: Кластер, балансировщик нагрузки и маршрутизатор. HAProxy. Пример настройки шлюза NGate в конфигурации с балансировкой нагрузки NGate.
• Администрирование системы в процессе эксплуатации. Расширенная настройка защищаемых ресурсов. Настройка параметров сетевых интерфейсов и SSH доступа в web-интерфейсе. Смена паролей. Смена имени системы. Добавление или замена Узла NGate.
• Резервное копирование конфигурации кластера. Возможности. Ограничения. Порядок проведения резервного копирования конфигурации кластера.
• Диагностика и мониторинг. Низкоуровневый мониторинг расходования ресурсов. Проверка состояния системы. Запись диагностической информации о системе. Включение и отключение расширенной диагностики КриптоПро. Запись системных журналов на удалённые syslog серверы. «КриптоПро Центр мониторинга».
• Обновление ПО NGate. Обновление посредством специальной утилиты. Обновление из ISO образа.
• Продвинутые настройки. Создание элемента набора статических заголовков. Создание элемента набора динамических заголовков.
• Решение нештатных ситуаций. Руководство по устранению неисправностей. Возможные проблемы при настройке шлюза NGate. Структура _CERT_TRUST_STATUS.

Модуль 2.

• Назначение и основные возможности программно-аппаратного комплекса (ПАК) «Удостоверяющий центр «КриптоПро УЦ» версии 2.0. на платформе Astra Linux. Нормативно-правовое обеспечение деятельности УЦ. Назначение. Область применения. Основные функции. Логические компоненты. Технические средства. Функциональные роли. Защита от несанкционированного доступа.
• Планирование развертывания ПАК «Удостоверяющий центр «КриптоПро УЦ» версии 2.0 на платформе Astra Linux. Типовые схемы публикации УЦ в сети Интернет. Лицензионные ограничения. Структура и режимы работы ЦР. Реализация ролевого администрирования. Политика PKI. Состав сертификатов ключей проверки ЭП и CRL. Дополнительные задачи УЦ.
• Порядок выполнения работ по разворачиванию УЦ на платформе Astra Linux. Подготовка ОС. Организационно-технические меры при развертывании КриптоПро УЦ в ОС СН Astra Linux SE. Установка КриптоПро CSP. Установка СУБД. Установка Программы настройки УЦ (pkica). Автоматический запуск сервисов УЦ. Установка CRL в хранилище.
• Настройка сервера ЦС. Установка ПО ЦС. Настройка подключения к БД. Установка и настройка службы очередей NATS Streaming. Настройка подключения к NATS Streaming без использования TLS. Создание базы данных ЦС. Запуск сервиса ЦС. Создание экземпляра ЦС. Настройка расписания выпуска CRL. Настройка шаблонов сертификатов. Создание ключа и сертификата ЦС. Создание ключа и сертификата корневого ЦС. Установка сертификата ЦС. Добавление ключа подписи ЦС. Загрузка ключа подписи ЦС.
• Настройки ЦС. Редактирование настроек ЦС. Список адресов точек распространения CRL (CDP). Список адресов точек доступа к информации о ЦС (AIA). Режим контроля соответствия требований к квалифицированному сертификату. Сроки действия. Точность часов ЦС. Интервалы перекрытия CRL. Автозагрузка ключа ЦС. Алгоритм формирования серийных номеров. Состав расширения «Идентификатор ключа центра сертификатов». Политика криптопровайдеров. Запрет на выпуск сертификатов ключом УЦ с алгоритмом ГОСТ Р 34.10-2001. Точность часов ЦС. Шаблон по умолчанию. Расширение «Доступ к сведениям Центра сертификации» в сертификатах службы OCSP. Расширение «Размещения опубликованных CRL». Расширение «Следующая публикация CRL». Кодировка имени субъекта. Контроль длин атрибутов имени субъекта. Состав расширения «Использование ключа» в сертификатах ЦС. Некритическое расширение «Использование ключа».
• Выпуск и установка служебных TLS сертификатов. Создание запросов. Выпуск служебных сертификатов. Установка служебных сертификатов. Выпуск и установка CRL. Выпуск CRL. Установка CRL в хранилище. Настройка подключения к NATS Streaming с использованием TLS.
• Настройка сервера ЦР. Подготовка сервисных сертификатов. Установка ПО ЦР. Настройка подключения к БД. Настройка подключения к NATS Streaming. Создание базы данных ЦР. Развертывание веб-сервера. Подготовка служебных ключей и сертификатов. Развертывание веб-сервера nginx в замкнутой программной среде (ЗПС) ОС Astra Linux SE. Конфигурация nginx для Центра №регистрации.
• Добавление операторов Центра регистрации. Добавление шаблонов сертификатов. Настройка печатных форм.
• Настройка рабочего места Оператора. Подготовка рабочего места Оператора. Подключение к веб-интерфейсу ЦР. Проверка работоспособности.

Модуль 3.

• Техническое обслуживание ПАК «КРИПТОПРО УЦ 2.0» на платформе Astra Linux. Регламент технического обслуживания. Требования к квалификации персонала, обеспечивающего техническое обслуживание УЦ. Требования к квалификации персонала, обеспечивающего техническое обслуживание вычислительной техники и периферийного оборудования, а также общесистемного программного обеспечения. Требования к квалификации персонала, обеспечивающего техническое обслуживание специализированного программного обеспечения.
• Сервер Центра сертификации. Создание запросов и выпуск сертификатов. Файл со значениями расширений. Установка сертификатов в хранилище. Экземпляры Центра сертификации. Просмотр списка экземпляров ЦС. Вывод информации об экземпляре ЦС. Добавление нового экземпляра ЦС. Установка экземпляра ЦС по умолчанию. Удаление экземпляра ЦС.
• Добавление ключа подписи ЦС. Загрузка ключей подписи ЦС. Получение подробной информации о ключе подписи ЦС. Получение списка ключей подписи ЦС. Выгрузка ключей подписи ЦС. Изменение назначения ключа подписи ЦС. Вывод из эксплуатации ключа подписи ЦС.
• Шаблоны сертификатов. Список шаблонов ЦС. Структура шаблона сертификата. Субъект сертификата. Срок действия сертификата. Расширения сертификата. Получение шаблона. Добавление нового шаблона. Редактирование шаблона. Удаление шаблона. Создание файла с закодированным расширением «Шаблон сертификата». Создание файла с закодированным расширением «Тип идентификации при выдаче сертификата».
• Списки отзыва (CRL). Выпуск CRL. Получение CRL, действующих на указанный момент времени. Расписание выпуска CRL. Формат расписания выпуска CRL. Получение расписания выпуска CRL. Изменение расписания выпуска CRL. Получение сертификатов. Получение запросов на сертификат. Получение запросов на отзыв.
• Сервер Центра регистрации. Настройки Центра регистрации. Шаблоны сертификатов. Политика имен. Экземпляр ЦС по умолчанию. Операторы Центра регистрации. Добавление оператора. Обновление данных оператора. Получение данных о операторе. Получение списка операторов. Группы операторов Центра регистрации. Добавление группы. Обновление данных группы. Получение списка групп.
• АРМ Оператора ЦР. Подключение Оператора к веб-интерфейсу Центра регистрации. Описание веб-интерфейса. Создание (регистрация) пользователя. Выпуск сертификата Создание нового запроса на сертификат. Загрузка запроса на сертификат из файла. Сертификаты. Отзыв сертификата. Запросы на сертификат. Запросы на отзыв.
• Обновление ПО ПАК «Удостоверяющий центр «КриптоПро УЦ» версии 2.0 на платформе Astra Linux.
• Итоговый зачет.

Последующее обучение.

Для руководителя УЦ ПАК «КриптоПро УЦ» 2.0

БТ01 -> Т010 -> Т478  ->Т020 -> Т389 ->Т341 ->Т534 ->Т347 ->Т348

Для технического специалиста УЦ ПАК «КриптоПро УЦ» 2.0

БТ31 -> Т010 -> Т478 ->Т030 -> Т389 -> Т341 ->Т534->Т347 ->Т348

Для администратора Органа криптографической защиты

БТ31 -> Т010 ->Т105 ->Т035 -> Т389

Для оператора УЦ ПАК «КриптоПро УЦ» 2.0 и СЭП «КриптоПро DSS»

Т029-> Т037-> Т057