Public key infrastructure

А также в поддержку входит:

Генерация ключевой пары осуществляется с использованием общепринятых криптографических стандартов, поддерживаются как отечественные криптографические провайдеры и ключевые носители, так и зарубежные;

Автоматическое заполнение полей шаблона заявления на выдачу сертификата на основе данных о пользователях, полученных из различных источников (кадровые системы, LDAP-каталоги, АБС и ДБО и т. д.);

Поддерживается автоматическая публикация выпущенного сертификата в различные внешние информационные системы и сервисы (в том числе и в ЕСИА);

Система Avanpost PKI сопровождает полный цикл работы с сертификатами, начиная от создания запроса как администратором, так и самим субъектом (пользователем, владельцем ИС), заканчивая выдачей готового для использования сертификата субъекту с поддержанием его в актуальном состоянии в дальнейшем (отслеживание срока действия, изменение данных и статуса субъекта сертификата).

Процесс рассмотрения и согласования запроса полностью реализуется системой (в том числе с возможностью дополнительной проверки данных во внешних системах и сервисах, например, СМЭВ);

Чтобы снизить риски компрометации ключей, обеспечить непрерывность бизнеса и предоставления услуг, необходимо осуществлять ряд контрольных мероприятий, включающих аудит изменения персональной информации и статуса владельца сертификата, контроль сроков действия сертификатов и ключей, своевременный отзыв сертификатов и т. д. Ручное выполнение указанных процедур становится нереальным со значительным ростом числа сертификатов и обслуживаемых пользователей.

Avanpost PKI консолидирует и предоставляет ответственным специалистам всю необходимую информацию для автоматизированного управления жизненным циклом сертификатов:

Классический процесс выпуска сертификата предполагает определенный порядок действий, включающий в себя: подготовку ключевого носителя, создание запроса на выдачу сертификата путем внесения данных по пользователю и создание ключевой пары, запись выпущенного сертификата на ключевой носитель и т. д.

Все указанные процедуры требуют ручного ввода данных и осуществляются в разных приложениях, что занимает значительное время ответственного администратора. Когда в день выпускаются сотни сертификатов, а зачастую перевыпуск сертификатов осуществляется одномоментно, и тогда их счет может идти уже на тысячи — объемы трудозатрат специалистов становятся более чем заметны. Снизить нагрузку на администраторов можно за счет автоматизации процесса с выполнением всех действий по выпуску сертификата в «едином окне».

Автоматизируется процесс непосредственного выпуска сертификата на УЦ и импорта выпущенного сертификата на ключевой носитель.

Отзыв и приостановка действия сертификата при изменении статуса его владельца (например, увольнение или перевод);

Перевыпуск сертификата при изменении персональной информации владельца, а соответственно, и атрибутивного состава сертификата.

Внутренняя модель субъектов Avanpost PKI

Модель организации каталога субъектов в системе является иерархической и представлена в виде Центров регистрации и Компаний. В качестве субъектов может выступать как пользователь (сотрудник, физическое лицо), так и информационная система (например, веб-сервер).

Avanpost PKI поддерживает механизмы эффективного разграничения доступа администраторов в рамках существующей иерархии, а также возможность учета владельцев информационных систем и организации бизнес-процессов, основанных на данной информации (например, подача заявления на выпуск или перевыпуск сертификата для информационной системы).

Каталог субъектов в системе может вестись как вручную, так и автоматизированно с использованием интеграционных решений с внешними системами-источниками через особый интерфейс адресной книги Avanpost PKI.

Система поддерживает различные сценарии синхронизации, в том числе: полную автоматическую загрузку данных, частичную загрузку данных (по решению администратора), синхронизацию изменений.

Список поддерживаемых УЦ

Как правило, любая крупная организация может использовать несколько удостоверяющих центров для разных целей. Например, выпуск сертификатов
для юридически значимого документооборота осуществляется на аккредитованном УЦ на базе продуктов КриптоПро, а для удаленной аутентификации используется центр сертификации MS CA. Поэтому Avanpost PKI поддерживает одновременную работу с несколькими УЦ на базе программных решений разных производителей.

Выбор УЦ определяется шаблоном запроса на сертификат, который указывается при создании запроса. В настоящее время поддерживают наиболее популярные реализации УЦ: КриптоПро УЦ 1.5, КриптоПро УЦ 2.0, Microsoft CA, RSA Keon 6.0, Checkpoint, ViPNet и другие. Также Avanpost PKI поддерживает так называемый Offline УЦ, когда нет прямого взаимодействия с УЦ, а обмен осуществляется через промежуточные папки в файловой системе, что актуально при использовании внешних удостоверяющих центров, а также при наличии дополнительных требований к изоляции подсетей УЦ.

Оставить свой вопрос

Сообщение

Компания

Телефон

E-mail

Ваше имя

Отправить

Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности

Форма для вопросов

В соответствии с требованиями нормативных документов по криптографической защите необходимо осуществлять поэкземплярный учет криптографических средств, ключевых документов и носителей в соответствующих журналах. Это предполагает фиксирование всего движения лицензий и дистрибутивов СКЗИ, ключевых документов, usb-токенов и смарт-карт с закреплением их за ответственными пользователями. В организации, где количество обслуживаемых пользователей больше тысячи, с годами журналы поэкзмеплярного учета могут занимать целые шкафы документов. При этом вероятность ошибки значительно повышается. Ведение журналов поэкземплярного учета допускается в электронном виде, поэтому автоматизация соответствующего процесса в едином и удобном приложении не только сократит время ответственных специалистов, но и позволит хранить в актуальном состоянии всю необходимую информацию по движению СКЗИ.

Система Avanpost PKI сопровождает полный цикл работы с СКЗИ, начиная от первичного учета закупленных лицензий СКЗИ, заканчивая возвратом от владельца с фиксацией всех действий, произведенных с СКЗИ. Это позволяет отследить полную историю изменений по любому учтенному в системе СКЗИ и сформировать отчетные документы как по требованиям регуляторов, так и по внутренним требованиям безопасности.

Avanpost PKI:

Имеет механизмы дистрибуции СКЗИ — размещение дистрибутивов СКЗИ в системе с обеспечением доступа для скачивания дистрибутива с контролем легитимности скачивания (особенно актуально в крупных территориально распределенных организациях);

Поддерживает справочники типов и дистрибутивов СКЗИ с возможностью контроля версий, что позволяет отслеживать актуальность установленных на рабочих местах сертифицированных СКЗИ согласно срокам действия сертификатов соответствия;

Автоматизирует выполнение требований с. 13 ч. 1, 2, 6; с. 14 ч. 2, 3, 4, 6, 7; с. 15 ч. 1; с. 17 ч. 1, 4, а также части 2.2 и части 5 статьи 18 Федерального закона № 63-ФЗ «Об электронной подписи» от 6 апреля 2011 года;

Автоматизирует ведение и предоставление отчетности по требованиям приказа ФАПСИ от 13 июня 2001 г. N 152, приказа ФСБ от 9 февраля 2005 г. N 66 (ПКЗ-2005).

Учет автоматизированных рабочих мест (АРМ)

Avanpost PKI позволяет вести учет автоматизированных рабочих мест в единой базе данных системы с возможностью определения:

Основных характеристик АРМ — серийный и инвентарный номера, IP-адреса, адрес месторасположения, наименование, виды и типы обрабатываемой на АРМ информации и т. д.

Дополнительных характеристик АРМ — операционная система, установленные средства антивирусной защиты и средства защиты от НСД и т.д.

Также Avanpost PKI дает возможность в автоматическом режиме осуществлять инвентаризацию СКЗИ, установленных на АРМ и контроль за средой функционирования СКЗИ. Это реализуется с использованием агентской подсистемы, более того, система позволяет удаленно заблокировать и разблокировать СКЗИ на конкретном АРМ.

Перечня СКЗИ, установленных на АРМ

Владельца/владельцев АРМ

Журнал поэкземплярного учета

При необходимости все хранимые в Avanpost PKI данные по учету СКЗИ можно распечатать в форме журнала поэкзмеплярного учета или схемы криптографической защиты. Для этого в системе предусмотрен функционал отчетности, который позволяет использовать как предустановленные шаблоны отчетов, так и самостоятельно конструировать их формы.

Процессом, непосредственно сопровождающим жизненный цикл сертификата, является управление жизненным циклом ключевого носителя — основного инструмента защищенного хранения сертификата и закрытого ключа. Система Avanpost PKI сопровождает полный цикл работы с ключевыми носителями, начиная от первичного учета закупленных носителей с их возможной инициализацией и заканчивая возвратом от владельца с фиксацией всех действий, произведенных с ключевыми носителями, что позволяет отследить полную историю изменений по любому учтенному в системе ключевому носителю и сформировать отчетные документы как по требованиям регуляторов, так и по внутренним требованиям безопасности.

С использованием агентской подсистемы Avanpost PKI осуществляет централизованное удаленное управление ключевыми носителями, применение и контроль политики ПИН-кодов и удаленную разблокировку ключевых носителей. Также система позволяет импортировать сертификаты с ключевых носителей, учесть их и даже установить сертификат и ключ на любой подключенный к системе ключевой носитель из единого центра управления.

Список поддерживаемых носителей

В Avanpost PKI можно задать несколько типов одновременно поддерживаемых ключевых носителей. Т. е. при создании запроса на сертификат система сама определит, какой ключевой носитель администратор установил в компьютер, и предложит создать на нем ключевой контейнер. Это позволяет достичь универсальности и не ограничивать выбор производителя ключевого носителя. На сегодняшний день поддерживаются все популярные модели usb-токенов и смарт-карт, как eToken, ruToken, ESMART, JaCarta, MS_KEY, YubiKey, ФОРОС, KAZTOKEN и другие.

Более того, Avanpost PKI поддерживает работу с «облачными ключевыми носителями» (например, КриптоПро DSS), реестром ОС и даже обычным USB-накопителем, на котором так же могут быть размещены сертификаты и ключи.

Редактор бизнес-процессов

Редактор бизнес-процессов

Сервис самообслуживания пользователей

Процесс выпуска сертификата включает не только действия администратора, но и подготовку соответствующей заявки/заявления пользователем. При этом данная заявка может требовать дополнительные согласования, например, непосредственным руководителем или администратором безопасности. Наличие удобного сервиса самообслуживания, в котором пользователь сможет быстро составить запрос на выпуск сертификата, система - сама подставить все необходимые данные пользователя, а согласующее лицо - одобрить или отклонить его одним кликом мыши, позволит значительно повысить эффективность всего процесса.

Avanpost PKI предоставляет удобный личный кабинет пользователя, где он может запросить сертификат, оформить заявку на отзыв или перевыпуск сертификата, заказать ключевой носитель или лицензию на СКЗИ. Также данный сервис является единым центром управления всеми объектами пользователя, в том числе ключевыми носителями и сертификатами, и предоставляет соответствующую вспомогательную информацию (например, напоминания об окончании срока действия сертификата), позволяет разблокировать собственный ключевой носитель или получить от него ПИН-код.

Для того чтобы гибко и удобно настраивать процессы согласования и исполнения электронных заявок, в состав Avanpost PKI входит редактор бизнес-процессов, реализованный в виде графического конструктора. Данный редактор имеет дружелюбный web-интерфейс и максимально учитывает особенности согласования и исполнения электронных заявок в различных организациях. Процесс в редакторе представляет собой схему, состоящую из набираемых из предустановленного списка различных условий и действий, настраиваемых и соединяемых между собой с помощью графического интерфейса.

Гибкая настройка вычисления согласующих лиц осуществляется с помощью специальных функций, позволяющих учесть все уникальные условия и признаки, такие как иерархия модели субъектов, географическое местоположение, вид сертификата и т. п. Процессы согласования могут настраиваться на различные типы заявок, например, первичный выпуск сертификата, отзыв сертификата, обеспечение ключевым носителем и СКЗИ. Также поддерживается автоматическая инициация любого бизнес-процесса по событию, например, перевыпуск сертификата в результате изменения личных данных субъекта или приближения срока окончания действия.

Маркетинговые материалы

Демонстрация

Для более детального знакомства с возможностями наших решений мы готовы провести презентацию интересующего
вас продукта.

Сообщение

Компания

Телефон

E-mail

Ваше имя

Отправить

«В ходе внедрения Avanpost IDM был проведен полноценный аудит информационных систем и их классификация с учетом особенностей моделей безопасности. Также были разработаны технические решения, которые в дальнейшем позволят нам, действуя по единым правилам, самостоятельно расширять перечень подключаемых систем. Кроме того, были исправлены все выявленные расхождения и проблемы, а сами системы подготовлены для подключения к IDM. В дальнейших планах компании - подключение дополнительных информационных систем, увеличение числа пользователей и их вовлечение в процессы управления доступом с помощью инструментов, имеющихся в подсистеме самообслуживания Avanpost Workflow. Намечено совершенствование ролевых моделей и обеспечение процессов автоматизации предоставления доступа на более детальном уровне».

Валерия
директор по информационным и производственным технологиям