Система управления всеми элементами инфраструктуры открытых ключей из единого центра

30
Требуется на выпуск сертификата
500
Cертификатов выпускается в день

Public key infrastructure

секунд
в
сокращается нагрузка на УЦ
раза
3

Учет и управление жизненным циклом сертификатов

А также в поддержку входит:
Генерация ключевой пары осуществляется с использованием общепринятых криптографических стандартов, поддерживаются как отечественные криптографические провайдеры и ключевые носители, так и зарубежные;
Автоматическое заполнение полей шаблона заявления на выдачу сертификата на основе данных о пользователях, полученных из различных источников (кадровые системы, LDAP-каталоги, АБС и ДБО и т. д.);
Система Avanpost PKI сопровождает полный цикл работы с сертификатами, начиная от создания запроса как администратором, так и самим субъектом (пользователем, владельцем ИС), заканчивая выдачей готового для использования сертификата субъекту с поддержанием его в актуальном состоянии в дальнейшем (отслеживание срока действия, изменение данных и статуса субъекта сертификата).
Поддерживается автоматическая публикация выпущенного сертификата в различные внешние информационные системы и сервисы (в том числе и в ЕСИА);
Процесс рассмотрения и согласования запроса полностью реализуется системой (в том числе с возможностью дополнительной проверки данных во внешних системах и сервисах, например, СМЭВ);
Чтобы снизить риски компрометации ключей, обеспечить непрерывность бизнеса и предоставления услуг необходимо осуществлять ряд контрольных мероприятий, включающих аудит изменения персональной информации и статуса владельца сертификата, контроль сроков действия сертификатов и ключей, своевременный отзыв сертификатов и т. д. Ручное выполнение указанных процедур становится нереальным со значительным ростом числа сертификатов и обслуживаемых пользователей.

Avanpost PKI консолидирует и предоставляет ответственным специалистам всю необходимую информацию для автоматизированного управления жизненным циклом сертификатов:
Классический процесс выпуска сертификата предполагает определенный порядок действий, включающий в себя: подготовку ключевого носителя, создание запроса на выдачу сертификата путем внесения данных по пользователю и создание ключевой пары, запись выпущенного сертификата на ключевой носитель и т. д.

Все указанные процедуры требуют ручного ввода данных и осуществляются в разных приложениях, что занимает значительное время ответственного администратора. Когда в день выпускаются сотни сертификатов, а зачастую перевыпуск сертификатов осуществляется одномоментно, и тогда их счет может идти уже на тысячи — объемы трудозатрат специалистов становятся более чем заметны. Снизить нагрузку на администраторов можно за счет автоматизации процесса с выполнением всех действий по выпуску сертификата в «едином окне».
Автоматизируется процесс непосредственного выпуска сертификата на УЦ и импорта выпущенного сертификата на ключевой носитель.
Отзыв и приостановка действия сертификата при изменении статуса его владельца (например, увольнение или перевод);
Перевыпуск сертификата при изменении персональной информации владельца, а соответственно и атрибутивного состава сертификата.
Внутренняя модель субъектов Avanpost PKI

Внутренняя модель субъектов Avanpost PKI

Модель организации каталога субъектов в системе является иерархической и представлена в виде Центров регистрации и Компаний. В качестве субъектов может выступать как пользователь (сотрудник, физическое лицо), так и информационная система (например, веб-сервер).

Avanpost PKI поддерживает механизмы эффективного разграничения доступа администраторов в рамках существующей иерархии, а также возможность учета владельцев информационных систем и организации бизнес-процессов, основанных на данной информации (например, подача заявления на выпуск или перевыпуск сертификата для информационной системы).

Каталог субъектов в системе может вестись как вручную, так и автоматизированно с использованием интеграционных решений с внешними системами-источниками через особый интерфейс адресной книги Avanpost PKI.

Система поддерживает различные сценарии синхронизации, в том числе: полную автоматическую загрузка данных, частичную загрузку данных (по решению администратора), синхронизацию изменений.
Список поддерживаемых УЦ

Список поддерживаемых УЦ

Как правило, любая крупная организация может использовать несколько удостоверяющих центров для разных целей. Например, выпуск сертификатов
для юридически значимого документооборота осуществляется на аккредитованном УЦ на базе продуктов КриптоПро, а для удаленной аутентификации используется центр сертификации MS CA. Поэтому Avanpost PKI поддерживает одновременную работу с несколькими УЦ на базе программных решений разных производителей.

Выбор УЦ определяется шаблоном запроса на сертификат, который указывается при создании запроса. В настоящее время поддерживают наиболее популярные реализации УЦ: КриптоПро УЦ 1.5, КриптоПро УЦ 2.0, Microsoft CA, RSA Keon 6.0, Checkpoint, ViPNet и другие. Также Avanpost PKI поддерживает так называемый Offline УЦ, когда нет прямого взаимодействия с УЦ, а обмен осуществляется через промежуточные папки в файловой системе, что актуально при использовании внешних удостоверяющих центров, а также при наличии дополнительных требований к изоляции подсетей УЦ.
Оставить свой вопрос
Сообщение
Компания
Телефон
E-mail
Ваше имя
Отправить
Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности
Форма для вопросов
Сообщение об успешной отправке!

Учет и управление жизненным циклом лицензий на СКЗИ

В соответствии с требованиями нормативных документов по криптографической защите необходимо осуществлять поэкземплярный учет криптографических средств, ключевых документов и носителей в соответствующих журналах. Это предполагает фиксирование всего движения лицензий и дистрибутивов СКЗИ, ключевых документов, usb-токенов и смарт-карт с закреплением их за ответственными пользователями. В организации, где количество обслуживаемых пользователей больше тысячи, с годами журналы поэкзмеплярного учета могут занимать целые шкафы документов. При этом вероятность ошибки значительно повышается. Ведение журналов поэкземплярного учета допускается в электронном виде, поэтому автоматизация соответствующего процесса в едином и удобном приложении не только сократит время ответственных специалистов, но и позволит хранить в актуальном состоянии всю необходимую информацию по движению СКЗИ.

Система Avanpost PKI сопровождает полный цикл работы с СКЗИ, начиная от первичного учета закупленных лицензий СКЗИ, заканчивая возвратом от владельца с фиксацией всех действий, произведенных с СКЗИ. Это позволяет отследить полную историю изменений по любому учтенному в системе СКЗИ и сформировать отчетные документы как по требованиям регуляторов, так и по внутренним требованиям безопасности.
Avanpost PKI:
Имеет механизмы дистрибуции СКЗИ — размещение дистрибутивов СКЗИ в системе с обеспечением доступа для скачивания дистрибутива с контролем легитимности скачивания (особенно актуально в крупных территориально распределенных организациях);
Поддерживает справочники типов и дистрибутивов СКЗИ с возможностью контроля версий, что позволяет отслеживать актуальность установленных на рабочих местах сертифицированных СКЗИ согласно срокам действия. сертификатов соответствия;
Автоматизирует выполнение требований с. 13 ч. 1, 2, 6; с. 14 ч. 2, 3, 4, 6, 7; с. 15 ч. 1; с. 17 ч. 1, 4, а также части 2.2 и части 5 статьи 18 Федерального закона № 63-ФЗ «Об электронной подписи» от 6 апреля 2011 года;
Автоматизирует ведение и предоставление отчетности по требованиям приказа ФАПСИ от 13 июня 2001 г. N 152, приказа ФСБ от 9 февраля 2005 г. N 66 (ПКЗ-2005).
Учет автоматизированных рабочих мест (АРМ)

Учет автоматизированных рабочих мест (АРМ)

Avanpost PKI позволяет вести учет автоматизированных рабочих мест в единой базе данных системы с возможностью определения:
Основных характеристик АРМ — серийный и инвентарный номера, IP-адреса, адрес месторасположения, наименование, виды и типы обрабатываемой на АРМ информации и т. д.
Дополнительных характеристик АРМ — операционная система, установленные средства антивирусной защиты и средства защиты от НСД и т.д.
Также Avanpost PKI дает возможность в автоматическом режиме осуществлять инвентаризацию СКЗИ, установленных на АРМ и контроль за средой функционирования СКЗИ. Это реализуется с использованием агентской подсистемы, более того, система позволяет удаленно заблокировать и разблокировать СКЗИ на конкретном АРМ.
Перечня СКЗИ, установленных на АРМ
Владельца/владельцев АРМ
Журнал поэкземплярного учета

Журнал поэкземплярного учета

При необходимости все хранимые в Avanpost PKI данные по учету СКЗИ можно распечатать в форме журнала поэкзмеплярного учета или схемы криптографической защиты. Для этого в системе предусмотрен функционал отчетности, который позволяет использовать как предустановленные шаблоны отчетов, так и самостоятельно конструировать их формы.

Учет и управление жизненным циклом ключевых носителей

Процессом, непосредственно сопровождающим жизненный цикл сертификата, является процесс управления жизненным циклом ключевого носителя — основного инструмента защищенного хранения сертификата и закрытого ключа. Система Avanpost PKI сопровождает полный цикл работы с ключевыми носителями, начиная от первичного учета закупленных носителей с их возможной инициализацией и заканчивая возвратом от владельца с фиксацией всех действий, произведенных с ключевыми носителями, что позволяет отследить полную историю изменений по любому учтенному в системе ключевому носителю и сформировать отчетные документы как по требованиям регуляторов, так и по внутренним требованиям безопасности.

С использованием агентской подсистемы Avanpost PKI осуществляет централизованное удаленное управление ключевыми носителями, применение и контроль политики ПИН-кодов и удаленную разблокировку ключевых носителей. Также система позволяет импортировать сертификаты с ключевых носителей, учесть их и даже установить сертификат и ключ на любой подключенный к системе ключевой носитель из единого центра управления.
Список поддерживаемых носителей

Список поддерживаемых носителей

В Avanpost PKI можно задать несколько типов одновременно поддерживаемых ключевых носителей. Т. е. при создании запроса на сертификат система сама определит, какой ключевой носитель администратор установил в компьютер, и предложит создать на нем ключевой контейнер. Это позволяет достичь универсальности и не ограничивать выбор производителя ключевого носителя. На сегодняшний день поддерживаются все популярные модели usb-токенов и смарт-карт, как eToken, ruToken, ESMART, JaCarta, MS_KEY, YubiKey, ФОРОС, KAZTOKEN и другие.

Более того, Avanpost PKI поддерживает работу с «облачными ключевыми носителями» (например, КриптоПро DSS), реестром ОС и даже обычным USB-накопителем, на котором так же могут быть размещены сертификаты и ключи.
Редактор бизнес-процессов
Редактор бизнес-процессов
Сервис самообслуживания пользователей
Процесс выпуска сертификата включает не только действия администратора, но и подготовку соответствующей заявки/заявления пользователем. При этом данная заявка может требовать дополнительные согласования, например, непосредственным руководителем или администратором безопасности. Наличие удобного сервиса самообслуживания, в котором пользователь сможет быстро составить запрос на выпуск сертификата, система сама подставить все необходимые данные пользователя, а согласующее лицо одобрить или отклонить его одним кликом мыши, позволит значительно повысить эффективность всего процесса.

Avanpost PKI предоставляет удобный личный кабинет пользователя, где он может запросить сертификат, оформить заявку на отзыв или перевыпуск сертификата, заказать ключевой носитель или лицензию на СКЗИ. Также данный сервис является единым центром управления всеми объектами пользователя, в том числе ключевыми носителями и сертификатами, и предоставляет соответствующую вспомогательную информацию (например, напоминания об окончании срока действия сертификата), позволяет разблокировать собственный ключевой носитель или получить от него ПИН-код.
Для того чтобы гибко и удобно настраивать процессы согласования и исполнения электронных заявок, в состав Avanpost PKI входит редактор бизнес-процессов, реализованный в виде графического конструктора. Данный редактор имеет дружелюбный web-интерфейс и максимально учитывает особенности согласования и исполнения электронных заявок в различных организациях. Процесс в редакторе представляет собой схему, состоящую из набираемых из предустановленного списка различных условий и действий, настраиваемых и соединяемых между собой с помощью графического интерфейса.

Гибкая настройка вычисления согласующих лиц осуществляется с помощью специальных функций, позволяющих учесть все уникальные условия и признаки, такие как иерархия модели субъектов, географическое местоположение, вид сертификата и т. п. Процессы согласования могут настраиваться на различные типы заявок, например, первичный выпуск сертификата, отзыв сертификата, обеспечение ключевым носителем и СКЗИ. Также поддерживается автоматическая инициация любого бизнес-процесса по событию, например, перевыпуск сертификата в результате изменения личных данных субъекта или приближения срока окончания действия.
Маркетинговые материалы
Демонстрация
Для более детального знакомства с возможностями наших решений мы готовы провести презентацию интересующего
вас продукта.

Как работает продукт

Сообщение
Компания
Телефон
E-mail
Ваше имя
Отправить

Заказать демонстрацию

Сообщение об успешной отправке!

Истории успеха

«В ходе внедрения Avanpost IDM был проведен полноценный аудит информационных систем и их классификация с учетом особенностей моделей безопасности. Также были разработаны технические решения, которые в дальнейшем позволят нам, действуя по единым правилам, самостоятельно расширять перечень подключаемых систем. Кроме того, были исправлены все выявленные расхождения и проблемы, а сами системы подготовлены для подключения к IDM. В дальнейших планах компании подключение дополнительных информационных систем, увеличение числа пользователей и их вовлечение в процессы управления доступом с помощью инструментов, имеющихся в подсистеме самообслуживания Avanpost Workflow. Намечено совершенствование ролевых моделей и обеспечение процессов автоматизации предоставления доступа на более детальном уровне»
Валерия
директор по информационным и производственным технологиям

Технологические преимущества

Используются технологии автоматического масштабирования ресурсов (Autoscaling), что позволяет сохранять стабильность работы при росте нагрузки и высвобождать неиспользуемые ресурсы при ее снижении.
Простота масштабируемости
Web-интерфейсы продуктов разработаны с использованием популярных Frameworks, что обеспечивает совместимость и поддержку браузерами. Широкие возможности по брендированию и кастомизации.
Современные
WEB-интерфейсы
Полностью собственная разработка
Разработка ведется с помощью двух современных технологических стеков, в зависимости от сложности бизнес-логики и требований к производительности: Postgre SQL/.Net Core/EF/Akka.Net/Angular — для продуктов со сложной бизнес-логикой; Go/BadgerDB/NATS/Vue.js — для высокопроизводительных сервисов. Обеспечено соответствие стандартам: XACML, NIST RBAC, SCIM, OpenID Connect, SAML, FIDO WebAuthn/U2F.
Доступность 24/7. Гибкость планов технической поддержки позволяет выбрать оптимальное соотношение цены и комплекса услуг.
Поддержка клиентов 24/7
Продукты разработаны для использования в высоконагруженных средах с применением технологий распределенных вычислений, кластеризации и балансировки нагрузки.
Отказоустойчивость при высоких нагрузках
Поддерживаемые технологии:
- полный набор используемых в России дистрибутивов Linux;
- Windows;
- контейнеризация Doker & Kubernets;
- Cloud Ready;
- популярные Open Source решения;
- популярные проприетарные решения.
Кроссплатформенность
Продукты адаптируются к архитектуре и системам заказчика, могут быть внедрены на сложной неоднородной мультидоменной ИТ инфраструктуре. Открытые API у всех продуктов и компонентов.
Гибкая интеграционная шина
Полностью собственная разработка
Разработка ведется с помощью двух современных технологических стеков, в зависимости от сложности бизнес-логики и требований к производительности: Postgre SQL/.Net Core/EF/Akka.Net/Angular — для продуктов со сложной бизнес-логикой; Go/BadgerDB/NATS/Vue.js — для высокопроизводительных сервисов. Обеспечено соответствие стандартам: XACML, NIST RBAC, SCIM, OpenID Connect, SAML, FIDO WebAuthn/U2F.

Технологические преимущества

Кроссплатформенность
Поддерживаемые технологии:
- полный набор используемых в России дистрибутивов Linux;
- Windows;
- контейнеризация Doker & Kubernets;
- Cloud Ready;
- популярные Open Source решения;
- популярные проприетарные решения.
Простота масштабируемости
Используются технологии автоматического масштабирования ресурсов (Autoscaling), что позволяет сохранять стабильность работы при росте нагрузки и высвобождать неиспользуемые ресурсы при ее снижении.
Поддержка клиентов 24/7
Доступность 24/7. Гибкость планов технической поддержки позволяет выбрать оптимальное соотношение цены и комплекса услуг.
Отказоустойчивость при высоких нагрузках
Продукты разработаны для использования в высоконагруженных средах с применением технологий распределенных вычислений, кластеризации и балансировки нагрузки.
Современные
WEB-интерфейсы
Web-интерфейсы продуктов разработаны с использованием популярных Frameworks, что обеспечивает совместимость и поддержку браузерами. Широкие возможности по брендированию и кастомизации.
Гибкая интеграционная шина
Продукты адаптируются к архитектуре и системам заказчика, могут быть внедрены на сложной неоднородной мультидоменной ИТ инфраструктуре. Открытые API у всех продуктов и компонентов.