Avanpost PKI

Управление жизненным циклом инфраструктуры открытых ключей из единого центра

Автоматизация процесса выпуска сертификатов на носителях

Классический процесс выпуска сертификата предполагает определенный порядок действий, включающий в себя: подготовку ключевого носителя, создание запроса на выдачу сертификата путем внесения данных по пользователю и создание ключевой пары, запись выпущенного сертификата на ключевой носитель и т.д. Все указанные процедуры требуют ручного ввода данных и осуществляются в разных приложениях, что занимает значительное время ответственного администратора. Когда в день выпускаются сотни сертификатов, а зачастую перевыпуск сертификатов осуществляется одномоментно и тогда их счет может идти уже на тысячи – объемы трудозатрат специалистов становятся более чем заметны. Снизить нагрузку на администраторов можно за счет автоматизации процесса с выполнением всех действий по выпуску сертификата в «едином окне».

• Автоматическое заполнение шаблона на основе данных о пользователях, полученных из различных источников (кадровая система, система ДБО, LDAP и т.д.)
• Генерация ключевой пары с использованием реализации алгоритмов csp или носителя. Размещение ключей на любых носителях, представленных на российском рынке.
• Автоматизированный процесс рассмотрения запроса, в том числе с проверкой данных через СМЭВ.
• Автоматический выпуск сертификата на УЦ и импорт на носитель
• Автоматическая публикация сертификата в различные системы, в т.ч. в ЕСИА

Интерфейс АБ

Интерфейс администратора безопасности Avanpost PKI представляет собой web-приложение с повышенным юзабилити и возможностью вывода функциональных и контрольных виджетов на дашборд (рабочий стол). Функционал консоли позволяет осуществлять как операционное управление, включающее управление сертификатами и ключевыми носителями, учет лицензий и дистрибутивов СКЗИ, так и настройку основных параметров, например, шаблонов запросов на сертификат, параметров подключения к УЦ, атрибутов доступа к функционалу и данным системы.

Автоматизация исполнения требований федерального законодательства и регуляторов

В соответствии с требованиями нормативных документов по криптографической защите необходимо осуществлять поэкземплярный учет криптографических средств, ключевых документов и носителей в соответствующих журналах. Это предполагает фиксирование всего движения лицензий и дистрибутивов СКЗИ, ключевых документов, usb-токенов и смарт-карт с закреплением их за ответственными пользователями. В организации, где количество обслуживаемых пользователей больше тысячи, с годами журналы поэкзмеплярного учета могут занимать целые шкафы документов. При этом вероятность ошибки значительно повышается. Ведение журналов поэкземплярного учета допускается в электронном виде, поэтому автоматизация соответствующего процесса в едином и удобном приложении не только сократит время ответственных специалистов, но и позволит хранить в актуальном состоянии всю необходимую информацию по движению СКЗИ.

• Автоматизирует выполнение требований с. 13 ч. 1, 2, 6; с. 14 ч. 2, 3, 4, 6, 7; с. 15 ч. 1; с. 17 ч. 1, 4, а также части 2.2 и части 5 статьи 18 Федерального закона №63-ФЗ «Об электронной подписи» от 6 апреля 2011 года.
• Автоматизирует ведение и предоставление отчетности по требованиям приказа ФАПСИ от 13 июня 2001 г. N 152, приказа ФСБ от 9 февраля 2005 г. N 66 (ПКЗ-2005)

Журнал поэкземплярного учета

При необходимости все хранимые в Avanpost PKI данные по учету СКЗИ можно распечатать в форме журнала поэкзмеплярного учета или схемы криптографической защиты. Для этого в системе предусмотрен функционал отчетности, который позволяет использовать как предустановленные шаблоны отчетов, так и самостоятельно конструировать их формы.

Управление жизненным циклом сертификатов и носителей

Для того, чтобы снизить риски компрометации криптографических ключей и ключевых носителей необходимо осуществлять ряд контрольных мероприятий, включающих: аудит изменения кадровой информации и статуса владельца сертификата; управление парольными политиками ключевых носителей; контроль сроков действия сертификатов и т.д. Ручное выполнение указанных процедур становится нереальным со значительным ростом числа сертификатов и обслуживаемых пользователей. Выходом из этой ситуации может стать использование специальной системы, предназначенной для сбора, обработки и представление ответственным специалистам всей необходимой информации для автоматизированного управления жизненным циклом сертификатов и ключевых носителей.

• Отзыв и приостановка действия сертификата при изменении статуса пользователя в т.ч. по кадровым событиям
• Контроль срока действия сертификата: напоминания, автоматический перевыпуск
• Контроль актуальности состава сертификата при изменении данных пользователя в источнике
• Форматирование и передача носителя другому пользователю
• Парольные политики для носителей
• Восстановление дубликата носителя при выходе из строя или утере

Список поддерживаемых носителей

В Avanpost PKI можно задать несколько типов одновременно поддерживаемых ключевых носителей. Т.е. при создании запроса на сертификат система сама определит какой ключевой носитель администратор установил в компьютер и предложит создать на нем ключевой контейнер. Это позволяет достичь универсальности и не ограничивать выбор производителя ключевого носителя. На сегодняшний день поддерживается все популярные модели usb-токенов и смарт-карт, как eToken, ruToken, ESMART, JaCarta, MS_KEY, YubiKey, KAZTOKEN и другие.

Список поддерживаемых УЦ

Как правило, любая крупная организация может использовать несколько удостоверяющих центров для разных целей. Например, выпуск сертификатов для юридически значимого документооборота осуществляется на аккредитованном УЦ на базе продуктов Крипто-Про, а для удаленной аутентификации используется центр сертификации MS CA. Поэтому Avanpost PKI поддерживает одновременную работу с несколькими УЦ на базе программных решений разных производителей. Выбор УЦ определяется шаблоном запроса на сертификат, который указывается при создании запроса. На текущий момент поддерживаются наиболее популярные реализации УЦ: Крипто-Про УЦ 1.5, Крипто-Про УЦ 2.0, Microsoft CA, RSA Keon 6.0, Валидата 1.0, Checkpoint, ViPNet и другие.

Сервис самообслуживания

Процесс выпуска сертификата включает не только действия администратора, но и подготовку соответствующей заявки пользователем. При этом данная заявка может требовать дополнительные согласования, например, непосредственным руководителем или администратором безопасности филиала. Поэтому наличие удобного сервиса самообслуживания, где пользователь сможет быстро составить запрос на выпуск сертификата, когда система сама подставит все необходимые данные пользователя, а согласующее лицо одобрить или отклонить его одним кликом мыши, - позволит значительно повысить эффективность всего процесса. Также данный сервис может являться едином центром управления всеми криптографическими объектами пользователя, в том числе ключевыми носителями, и предоставлять соответствующую вспомогательную информацию, например, как напоминания об окончании срока действия сертификата

• Позволяет создавать запросы на перевыпуск сертификатов
• Пользователи могут создавать запросы на сертификаты
• Пользователи могут разблокировать носители