Учет и управление жизненным циклом сертификатов
Классический процесс выпуска сертификата предполагает определенный порядок действий, включающий в себя: подготовку ключевого носителя, создание запроса на выдачу сертификата путем внесения данных по пользователю и создание ключевой пары, запись выпущенного сертификата на ключевой носитель и т.д. Все указанные процедуры требуют ручного ввода данных и осуществляются в разных приложениях, что занимает значительное время ответственного администратора. Когда в день выпускаются сотни сертификатов, а зачастую перевыпуск сертификатов осуществляется одномоментно, и тогда их счет может идти уже на тысячи – объемы трудозатрат специалистов становятся более чем заметны. Снизить нагрузку на администраторов можно за счет автоматизации процесса с выполнением всех действий по выпуску сертификата в «едином окне».
Система Avanpost PKI сопровождает полный цикл работы с сертификатами, начиная от создания запроса как администратором так и самим субъектом (пользователем, владельцем ИС), заканчивая выдачей готового для использования сертификата субъекту с поддержанием его в актуальном состоянии в дальнейшем (отслеживание срока действия, изменение данных и статуса субъекта сертификата).
При этом:
Чтобы снизить риски компрометации ключей, обеспечить непрерывность бизнеса и предоставления услуг необходимо осуществлять ряд контрольных мероприятий, включающих аудит изменения персональной информации и статуса владельца сертификата, контроль сроков действия сертификатов и ключей, своевременный отзыв сертификатов и т.д. Ручное выполнение указанных процедур становится нереальным со значительным ростом числа сертификатов и обслуживаемых пользователей. Avanpost PKI консолидирует и предоставляет ответственным специалистам всю необходимую информацию для автоматизированного управления жизненным циклом сертификатов:
Внутренняя модель субъектов Avanpost PKI
Модель организации каталога субъектов в системе является иерархической и представлена в виде Центров регистрации и Компаний. В качестве субъектов может выступать как пользователь (сотрудник, физическое лицо), так и информационная система (например, веб-сервер). Avanpost PKI поддерживает механизмы эффективного разграничения доступа администраторов в рамках существующей иерархии, а также возможность учета владельцев информационных систем и организации бизнес-процессов, основанных на данной информации (например, подача заявления на выпуск или перевыпуск сертификата для информационной системы).
Каталог субъектов в системе может вестись как вручную, так и автоматизированно с использованием интеграционных решений с внешними системами-источниками через особый интерфейс адресной книги Avanpost PKI. Система поддерживает различные сценарии синхронизации, в том числе:
• Полную автоматическую загрузка данных.
• Частичную загрузку данных (по решению администратора).
• Синхронизацию изменений.
Список поддерживаемых УЦ
Как правило, любая крупная организация может использовать несколько удостоверяющих центров для разных целей. Например, выпуск сертификатов для юридически значимого документооборота осуществляется на аккредитованном УЦ на базе продуктов КриптоПро, а для удаленной аутентификации используется центр сертификации MS CA. Поэтому Avanpost PKI поддерживает одновременную работу с несколькими УЦ на базе программных решений разных производителей.
Выбор УЦ определяется шаблоном запроса на сертификат, который указывается при создании запроса. На текущий момент поддерживаются наиболее популярные реализации УЦ: КриптоПро УЦ 1.5, КриптоПро УЦ 2.0, Microsoft CA, RSA Keon 6.0, Checkpoint, ViPNet и другие. Также Avanpost PKI поддерживает так называемый Offline УЦ, когда нет прямого взаимодействия с УЦ, а обмен осуществляется через промежуточные папки в файловой системе, что актуально при использовании внешних удостоверяющих центров, а также при наличии дополнительных требований к изоляции подсетей УЦ.
Учет и управление жизненным циклом лицензий на СКЗИ
В соответствии с требованиями нормативных документов по криптографической защите необходимо осуществлять поэкземплярный учет криптографических средств, ключевых документов и носителей в соответствующих журналах. Это предполагает фиксирование всего движения лицензий и дистрибутивов СКЗИ, ключевых документов, usb-токенов и смарт-карт с закреплением их за ответственными пользователями. В организации, где количество обслуживаемых пользователей больше тысячи, с годами журналы поэкзмеплярного учета могут занимать целые шкафы документов. При этом вероятность ошибки значительно повышается. Ведение журналов поэкземплярного учета допускается в электронном виде, поэтому автоматизация соответствующего процесса в едином и удобном приложении не только сократит время ответственных специалистов, но и позволит хранить в актуальном состоянии всю необходимую информацию по движению СКЗИ.
Система Avanpost PKI сопровождает полный цикл работы с СКЗИ, начиная от первичного учета закупленных лицензий СКЗИ, заканчивая возвратом от владельца с фиксацией всех действий, произведенных с СКЗИ. Это позволяет отследить полную историю изменений по любому учтенному в системе СКЗИ и сформировать отчетные документы как по требованиям регуляторов, так и по внутренним требованиям безопасности.
Avanpost PKI:
Журнал поэкземплярного учета
При необходимости все хранимые в Avanpost PKI данные по учету СКЗИ можно распечатать в форме журнала поэкзмеплярного учета или схемы криптографической защиты. Для этого в системе предусмотрен функционал отчетности, который позволяет использовать как предустановленные шаблоны отчетов, так и самостоятельно конструировать их формы.
Учет автоматизированных рабочих мест (АРМ)
Avanpost PKI позволяет вести учет автоматизированных рабочих мест в единой базе данных системы с возможностью определения:
• Основных характеристик АРМ – серийный и инвентарный номера, IP-адреса, адрес месторасположения, наименование, виды и типы обрабатываемой на АРМ информации и т.д.
• Владельца/владельцев АРМ.
• Перечня СКЗИ, установленных на АРМ.
• Дополнительных характеристик АРМ – операционная система, установленные средства антивирусной защиты и средства защиты от НСД и т.д.
Также Avanpost PKI дает возможность в автоматическом режиме осуществлять инвентаризацию СКЗИ, установленных на АРМ и контроль за средой функционирования СКЗИ. Это реализуется с использованием агентской подсистемы, более того, система позволяет удаленно заблокировать и разблокировать СКЗИ на конкретном АРМ.
Учет и управление жизненным циклом ключевых носителей
Процессом, непосредственно сопровождающим жизненный цикл сертификата, является процесс управления жизненным циклом ключевого носителя - основного инструмента защищенного хранения сертификата и закрытого ключа. Система Avanpost PKI сопровождает полный цикл работы с ключевыми носителями, начиная от первичного учета закупленных носителей с их возможной инициализацией и заканчивая возвратом от владельца с фиксацией всех действий, произведенных с ключевыми носителями, что позволяет отследить полную историю изменений по любому учтенному в системе ключевому носителю и сформировать отчетные документы как по требованиям регуляторов так и по внутренним требованиям безопасности.
С использованием агентской подсистемы Avanpost PKI осуществляет централизованное удаленное управление ключевыми носителями, применение и контроль политики ПИН-кодов и удаленную разблокировку ключевых носителей. Также система позволяет импортировать сертификаты с ключевых носителей, учесть их и даже установить сертификат и ключ на любой подключенный к системе ключевой носитель из единого центра управления.
Список поддерживаемых носителей
В Avanpost PKI можно задать несколько типов одновременно поддерживаемых ключевых носителей. Т.е. при создании запроса на сертификат система сама определит, какой ключевой носитель администратор установил в компьютер, и предложит создать на нем ключевой контейнер. Это позволяет достичь универсальности и не ограничивать выбор производителя ключевого носителя. На сегодняшний день поддерживаются все популярные модели usb-токенов и смарт-карт, как eToken, ruToken, ESMART, JaCarta, MS_KEY, YubiKey, ФОРОС, KAZTOKEN и другие.
Более того, Avanpost PKI поддерживает работу с «облачными ключевыми носителями» (например, КриптоПро DSS), реестром ОС и даже обычным USB-накопителем, на котором так же могут быть размещены сертификаты и ключи.
Сервис самообслуживания пользователей
Процесс выпуска сертификата включает не только действия администратора, но и подготовку соответствующей заявки/заявления пользователем. При этом данная заявка может требовать дополнительные согласования, например, непосредственным руководителем или администратором безопасности. Наличие удобного сервиса самообслуживания, в котором пользователь сможет быстро составить запрос на выпуск сертификата, система сама подставить все необходимые данные пользователя, а согласующее лицо одобрить или отклонить его одним кликом мыши, позволит значительно повысить эффективность всего процесса.
Avanpost PKI предоставляет удобный личный кабинет пользователя, где он может запросить сертификат, оформить заявку на отзыв или перевыпуск сертификата, заказать ключевой носитель или лицензию на СКЗИ. Также данный сервис является единым центром управления всеми объектами пользователя, в том числе ключевыми носителями и сертификатами, и предоставляет соответствующую вспомогательную информацию (например, напоминания об окончании срока действия сертификата), позволяет разблокировать собственный ключевой носитель или получить от него ПИН-код.
Редактор бизнес-процессов
Для того, чтобы гибко и удобно настраивать процессы согласования и исполнения электронных заявок, в состав Avanpost PKI входит редактор бизнес-процессов, реализованный в виде графического конструктора. Данный редактор имеет дружелюбный web-интерфейс и максимально учитывает особенности согласования и исполнения электронных заявок в различных организациях. Процесс в редакторе представляет собой схему, состоящую из набираемых из предустановленного списка различных условий и действий, настраиваемых и соединяемых между собой с помощью графического интерфейса. Гибкая настройка вычисления согласующих лиц осуществляется с помощью специальных функций, позволяющих учесть все уникальные условия и признаки, такие как иерархия модели субъектов, географическое местоположение, вид сертификата и т.п. Процессы согласования могут настраиваться на различные типы заявок, например, первичный выпуск сертификата, отзыв сертификата, обеспечение ключевым носителем и СКЗИ. Также поддерживается автоматическая инициация любого бизнес-процесса по событию, например, перевыпуск сертификата в результате изменения личных данных субъекта или приближения срока окончания действия.
Для более детального знакомства с возможностями наших решений мы готовы провести презентацию интересующего Вас продукта.
Российская разработка
Политика лицензирования
Лицензии и сертификаты
Возможность кастомизации
Интеграция решений
Партнерская сеть
«Мы очень тщательно подошли к выбору разработчика системы по управлению аутентификацией, сертификатами и ключевыми носителями. Российская разработка Аванпост полностью соответствовала нашим требованиям. С ее помощью нам удалось значительно автоматизировать многие рутинные операции, связанные с поддержкой PKI-инфраструктуры банка, и как результат, сократить трудозатраты персонала. В настоящее время Avanpost PKI обслуживает более 300 000 сертификатов ключей подписи. Отдельно хочу отметить, что концепция импортозамещения в области высоких технологий приносит свои результаты и способствует появлению и бурному развитию качественных российских ИТ систем, эффективно конкурирующих с западными аналогами по набору и полноте функций. И, что особенно актуально ввиду сложной экономической ситуации и значительного роста курсов валют, российские решения имеют разумный уровень стоимости. Мы полностью удовлетворены сотрудничеством с компанией «Аванпост» и серьезно рассматриваем возможности продолжения этого сотрудничества по другим продуктам компании»
«Создание принципиально новой АИС „Налог-3“ – важнейший ИТ-проект ФНС России. Учитывая его значимость и особую роль ИБ для нормальной работы АИС, мы установили очень высокую планку требований ко всем элементам СОБИ и, в частности, к технологической платформе подсистемы управления идентификационной информацией и электронными ключами. Проведенный отбор и проверка в условиях масштабного пилотного проекта показали, что победившая в конкурсе российская разработка в плане функциональности не уступает лучшим зарубежным решениям в области IDM и PKI, что она обеспечена качественной поддержкой и позволяет значительно снизить затраты, сэкономив бюджетные средства. Это свидетельствует о значительном прогрессе всей российской отрасли ИБ».
«С помощью российского программного продукта мы не просто многократно ускорили процессы управления доступом, но перешли в качественно новое состояние, когда процессы информационной безопасности и другие технические моменты перестали сдерживать развитие основной деятельности банка. Технологии Avanpost IDM позволили сохранить информацию в прошлых наработках банка в сфере управления доступом и продвинуться вперед».
«В ходе внедрения Avanpost IDM был проведен полноценный аудит информационных систем и их классификация с учетом особенностей моделей безопасности. Также были разработаны технические решения, которые в дальнейшем позволят нам, действуя по единым правилам, самостоятельно расширять перечень подключаемых систем. Кроме того, были исправлены все выявленные расхождения и проблемы, а сами системы подготовлены для подключения к IDM. В дальнейших планах компании подключение дополнительных информационных систем, увеличение числа пользователей и их вовлечение в процессы управления доступом с помощью инструментов, имеющихся в подсистеме самообслуживания Avanpost Workflow. Намечено совершенствование ролевых моделей и обеспечение процессов автоматизации предоставления доступа на более детальном уровне»
Ведущий российский разработчик систем идентификации и управления доступом к информационным ресурсам предприятия
Все права защищены © Avanpost 2023
129085, г. Москва
ул. Годовикова, д. 9, стр. 17
