Учет и управление жизненным циклом сертификатов
Система Avanpost PKI сопровождает полный цикл работы с сертификатами, начиная от создания запроса как администратором так и самим субъектом (пользователем, владельцем ИС), заканчивая выдачей готового для использования сертификата субъекту с поддержанием его в актуальном состоянии в дальнейшем (отслеживание срока действия, изменение данных и статуса субъекта сертификата).
При этом:
- поддерживается автоматическое заполнение полей шаблона заявления на выдачу сертификата на основе данных о пользователях, полученных из различных источников (кадровые системы, LDAP-каталоги, АБС и ДБО и т.д.).
- генерация ключевой пары осуществляется с использованием общепринятых криптографических стандартов, поддерживаются как отечественные криптографические провайдеры и ключевые носители, так и зарубежные.
- процесс рассмотрения и согласования запроса полностью реализуется системой (в том числе с возможностью дополнительной проверки данных во внешних системах и сервисах, например, СМЭВ).
- автоматизируется процесс непосредственного выпуска сертификата на УЦ и импорта выпущенного сертификата на ключевой носитель.
- поддерживается автоматическая публикация выпущенного сертификата в различные внешние информационные системы и сервисы (в том числе и в ЕСИА).
Avanpost PKI консолидирует и предоставляет ответственным специалистам всю необходимую информацию для автоматизированного управления жизненным циклом сертификатов:
- отзыв и приостановка действия сертификата при изменении статуса его владельца (например, увольнение или перевод).
- перевыпуск сертификата при изменении персональной информации владельца, а соответственно и атрибутивного состава сертификата.
- контроль за сроками действия сертификатов и ключей: напоминания, автоматический перевыпуск.
Внутренняя модель субъектов Avanpost PKI
Модель организации каталога субъектов в системе является иерархической и представлена в виде Центров регистрации и Компаний. В качестве субъектов может выступать как пользователь (сотрудник, физическое лицо), так и информационная система (например, веб-сервер). Avanpost PKI поддерживает механизмы эффективного разграничения доступа администраторов в рамках существующей иерархии, а также возможность учета владельцев информационных систем и организации бизнес-процессов, основанных на данной информации (например, подача заявления на выпуск или перевыпуск сертификата для информационной системы).
Каталог субъектов в системе может вестись как вручную, так и автоматизированно с использованием интеграционных решений с внешними системами-источниками через особый интерфейс адресной книги Avanpost PKI.
Список поддерживаемых УЦ
Avanpost PKI поддерживает одновременную работу с несколькими УЦ на базе программных решений разных производителей. Выбор УЦ определяется шаблоном запроса на сертификат, который указывается при создании запроса. На текущий момент поддерживаются наиболее популярные реализации УЦ: КриптоПро УЦ 1.5, КриптоПро УЦ 2.0, Microsoft CA, RSA Keon 6.0, Checkpoint, ViPNet и другие. Также Avanpost PKI поддерживает так называемый Offline УЦ, когда нет прямого взаимодействия с УЦ, а обмен осуществляется через промежуточные папки в файловой системе, что актуально при использовании внешних удостоверяющих центров, а также при наличии дополнительных требований к изоляции подсетей УЦ.
Учет и управление жизненным циклом лицензий на СКЗИ
Система Avanpost PKI сопровождает полный цикл работы с СКЗИ, начиная от первичного учета закупленных лицензий СКЗИ, заканчивая возвратом от владельца с фиксацией всех действий, произведенных с СКЗИ. Это позволяет отследить полную историю изменений по любому учтенному в системе СКЗИ и сформировать отчетные документы как по требованиям регуляторов, так и по внутренним требованиям безопасности.
Avanpost PKI:
- автоматизирует выполнение требований с. 13 ч. 1, 2, 6; с. 14 ч. 2, 3, 4, 6, 7; с. 15 ч. 1; с. 17 ч. 1, 4, а также части 2.2 и части 5 статьи 18 Федерального закона №63-ФЗ «Об электронной подписи» от 6 апреля 2011 года;
- автоматизирует ведение и предоставление отчетности по требованиям приказа ФАПСИ от 13 июня 2001 г. N 152, приказа ФСБ от 9 февраля 2005 г. N 66 (ПКЗ-2005);
- поддерживает справочники типов и дистрибутивов СКЗИ с возможностью контроля версий, что позволяет отслеживать актуальность установленных на рабочих местах сертифицированных СКЗИ согласно срокам действия. сертификатов соответствия;
- имеет механизмы дистрибуции СКЗИ - размещение дистрибутивов СКЗИ в системе с обеспечением доступа для скачивания дистрибутива с контролем легитимности скачивания (особенно актуально в крупных территориально распределенных организациях).
Журнал поэкземплярного учета
При необходимости все хранимые в Avanpost PKI данные по учету СКЗИ можно распечатать в форме журнала поэкзмеплярного учета или схемы криптографической защиты. Для этого в системе предусмотрен функционал отчетности, который позволяет использовать как предустановленные шаблоны отчетов, так и самостоятельно конструировать их формы.
Учет автоматизированных рабочих мест (АРМ)
Avanpost PKI позволяет вести учет автоматизированных рабочих мест в единой базе данных системы с возможностью определения:
- основных характеристик АРМ – серийный и инвентарный номера, IP-адреса, адрес месторасположения, наименование, виды и типы обрабатываемой на АРМ информации и т.д.
- владельца/владельцев АРМ
- перечня СКЗИ, установленных на АРМ
- дополнительных характеристик АРМ – операционная система, установленные средства антивирусной защиты и средства защиты от НСД и т.д.
Также Avanpost PKI дает возможность в автоматическом режиме осуществлять инвентаризацию СКЗИ, установленных на АРМ и контроль за средой функционирования СКЗИ. Это реализуется с использованием агентской подсистемы, более того, система позволяет удаленно заблокировать и разблокировать СКЗИ на конкретном АРМ.
Учет и управление жизненным циклом ключевых носителей
Avanpost PKI сопровождает полный цикл работы с ключевыми носителями, начиная от первичного учета закупленных носителей с их возможной инициализацией и заканчивая возвратом от владельца с фиксацией всех действий, произведенных с ключевыми носителями. Централизованное удаленное управление ключевыми носителями, применение и контроль политики ПИН-кодов и удаленная разблокировка ключевых носителей. Импорть сертификатов с ключевых носителей, учет и установка на любой подключенный к системе ключевой носитель из единого центра управления.
Список поддерживаемых носителей
В Avanpost PKI можно задать несколько типов одновременно поддерживаемых ключевых носителей. Это позволяет достичь универсальности и не ограничивать выбор производителя ключевого носителя. На сегодняшний день поддерживаются все популярные модели usb-токенов и смарт-карт, как eToken, ruToken, ESMART, JaCarta, MS_KEY, YubiKey, ФОРОС, KAZTOKEN и другие. Более того, Avanpost PKI поддерживает работу с «облачными ключевыми носителями» (например, КриптоПро DSS), реестром ОС и даже обычным USB-накопителем, на котором так же могут быть размещены сертификаты и ключи.
Сервис самообслуживания пользователей
Avanpost PKI предоставляет удобный личный кабинет пользователя, где он может запросить сертификат, оформить заявку на отзыв или перевыпуск сертификата, заказать ключевой носитель или лицензию на СКЗИ. Также данный сервис является единым центром управления всеми объектами пользователя, в том числе ключевыми носителями и сертификатами, и предоставляет соответствующую вспомогательную информацию (например, напоминания об окончании срока действия сертификата), позволяет разблокировать собственный ключевой носитель или получить от него ПИН-код.
Редактор бизнес-процессов
В состав Avanpost PKI входит редактор бизнес-процессов, реализованный в виде графического конструктора. Процесс в редакторе представляет собой схему, состоящую из набираемых из предустановленного списка различных условий и действий, настраиваемых и соединяемых между собой с помощью графического интерфейса. Процессы согласования могут настраиваться на различные типы заявок, например, первичный выпуск сертификата, отзыв сертификата, обеспечение ключевым носителем и СКЗИ. Также поддерживается автоматическая инициация любого бизнес-процесса по событию, например, перевыпуск сертификата в результате изменения личных данных субъекта или приближения срока окончания действия.
Хотите демонстрацию продукта? Обратитесь к нам по телефону или в любом мессенджере, указанным ниже. Также можно оставить запрос на электронную почту info@neosoft.pro.