Каталог средств защиты информации

Avanpost PKI

Система управления всеми элементами инфраструктуры открытых ключей из единого центра.
image representing a theme in this article Сертификат ФСТЭК № 2710 от 07.09.2012 (до 07.09.2023)
программный комплекс «АванПост» - Соответствует требованиям документов: РД НДВ(4), ТУ
Схема сертификации: серия, испытательная лаборатория: АО «НПО «Эшелон», орган сертификации: ООО «ЦБИ», заявитель: ЗАО «ЛЕТА».

Сертификат ФСТЭК № 4254 от 22.05.2020 (до 22.05.2025)
программное обеспечение «Avanpost PKI» - Соответствует требованиям документов: РД НДВ(4)
Схема сертификации: серия, испытательная лаборатория: АО «НПО «Эшелон», орган сертификации: ООО «ЦБИ», заявитель: ООО «Аванпост».


Маркетинговые материалы: [pdf] Брошюра [pdf] Презентация

Учет и управление жизненным циклом сертификатов

Классический процесс выпуска сертификата предполагает определенный порядок действий, включающий в себя: подготовку ключевого носителя, создание запроса на выдачу сертификата путем внесения данных по пользователю и создание ключевой пары, запись выпущенного сертификата на ключевой носитель и т.д. Все указанные процедуры требуют ручного ввода данных и осуществляются в разных приложениях, что занимает значительное время ответственного администратора. Когда в день выпускаются сотни сертификатов, а зачастую перевыпуск сертификатов осуществляется одномоментно, и тогда их счет может идти уже на тысячи – объемы трудозатрат специалистов становятся более чем заметны. Снизить нагрузку на администраторов можно за счет автоматизации процесса с выполнением всех действий по выпуску сертификата в «едином окне».

Система Avanpost PKI сопровождает полный цикл работы с сертификатами, начиная от создания запроса как администратором так и самим субъектом (пользователем, владельцем ИС), заканчивая выдачей готового для использования сертификата субъекту с поддержанием его в актуальном состоянии в дальнейшем (отслеживание срока действия, изменение данных и статуса субъекта сертификата).

При этом:

  • Поддерживается автоматическое заполнение полей шаблона заявления на выдачу сертификата на основе данных о пользователях, полученных из различных источников (кадровые системы, LDAP-каталоги, АБС и ДБО и т.д.).
  • Генерация ключевой пары осуществляется с использованием общепринятых криптографических стандартов, поддерживаются как отечественные криптографические провайдеры и ключевые носители, так и зарубежные.
  • Процесс рассмотрения и согласования запроса полностью реализуется системой (в том числе с возможностью дополнительной проверки данных во внешних системах и сервисах, например, СМЭВ).
  • Автоматизируется процесс непосредственного выпуска сертификата на УЦ и импорта выпущенного сертификата на ключевой носитель.
  • Поддерживается автоматическая публикация выпущенного сертификата в различные внешние информационные системы и сервисы (в том числе и в ЕСИА).

Чтобы снизить риски компрометации ключей, обеспечить непрерывность бизнеса и предоставления услуг необходимо осуществлять ряд контрольных мероприятий, включающих аудит изменения персональной информации и статуса владельца сертификата, контроль сроков действия сертификатов и ключей, своевременный отзыв сертификатов и т.д. Ручное выполнение указанных процедур становится нереальным со значительным ростом числа сертификатов и обслуживаемых пользователей. Avanpost PKI консолидирует и предоставляет ответственным специалистам всю необходимую информацию для автоматизированного управления жизненным циклом сертификатов:

Отзыв и приостановка действия сертификата при изменении статуса его владельца (например, увольнение или перевод). Перевыпуск сертификата при изменении персональной информации владельца, а соответственно и атрибутивного состава сертификата. Контроль за сроками действия сертификатов и ключей: напоминания, автоматический перевыпуск.

Учет и управление жизненным циклом лицензий на СКЗИ

В соответствии с требованиями нормативных документов по криптографической защите необходимо осуществлять поэкземплярный учет криптографических средств, ключевых документов и носителей в соответствующих журналах. Это предполагает фиксирование всего движения лицензий и дистрибутивов СКЗИ, ключевых документов, usb-токенов и смарт-карт с закреплением их за ответственными пользователями. В организации, где количество обслуживаемых пользователей больше тысячи, с годами журналы поэкзмеплярного учета могут занимать целые шкафы документов. При этом вероятность ошибки значительно повышается. Ведение журналов поэкземплярного учета допускается в электронном виде, поэтому автоматизация соответствующего процесса в едином и удобном приложении не только сократит время ответственных специалистов, но и позволит хранить в актуальном состоянии всю необходимую информацию по движению СКЗИ.

Система Avanpost PKI сопровождает полный цикл работы с СКЗИ, начиная от первичного учета закупленных лицензий СКЗИ, заканчивая возвратом от владельца с фиксацией всех действий, произведенных с СКЗИ. Это позволяет отследить полную историю изменений по любому учтенному в системе СКЗИ и сформировать отчетные документы как по требованиям регуляторов, так и по внутренним требованиям безопасности.

Avanpost PKI:

  • Автоматизирует выполнение требований с. 13 ч. 1, 2, 6; с. 14 ч. 2, 3, 4, 6, 7; с. 15 ч. 1; с. 17 ч. 1, 4, а также части 2.2 и части 5 статьи 18 Федерального закона №63-ФЗ «Об электронной подписи» от 6 апреля 2011 года.
  • Автоматизирует ведение и предоставление отчетности по требованиям приказа ФАПСИ от 13 июня 2001 г. N 152, приказа ФСБ от 9 февраля 2005 г. N 66 (ПКЗ-2005).
  • Поддерживает справочники типов и дистрибутивов СКЗИ с возможностью контроля версий, что позволяет отслеживать актуальность установленных на рабочих местах сертифицированных СКЗИ согласно срокам действия. сертификатов соответствия.
  • Имеет механизмы дистрибуции СКЗИ - размещение дистрибутивов СКЗИ в системе с обеспечением доступа для скачивания дистрибутива с контролем легитимности скачивания (особенно актуально в крупных территориально распределенных организациях).

Учет и управление жизненным циклом ключевых носителей

Процессом, непосредственно сопровождающим жизненный цикл сертификата, является процесс управления жизненным циклом ключевого носителя - основного инструмента защищенного хранения сертификата и закрытого ключа. Система Avanpost PKI сопровождает полный цикл работы с ключевыми носителями, начиная от первичного учета закупленных носителей с их возможной инициализацией и заканчивая возвратом от владельца с фиксацией всех действий, произведенных с ключевыми носителями, что позволяет отследить полную историю изменений по любому учтенному в системе ключевому носителю и сформировать отчетные документы как по требованиям регуляторов так и по внутренним требованиям безопасности.

С использованием агентской подсистемы Avanpost PKI осуществляет централизованное удаленное управление ключевыми носителями, применение и контроль политики ПИН-кодов и удаленную разблокировку ключевых носителей. Также система позволяет импортировать сертификаты с ключевых носителей, учесть их и даже установить сертификат и ключ на любой подключенный к системе ключевой носитель из единого центра управления.

В Avanpost PKI можно задать несколько типов одновременно поддерживаемых ключевых носителей. Т.е. при создании запроса на сертификат система сама определит, какой ключевой носитель администратор установил в компьютер, и предложит создать на нем ключевой контейнер. Это позволяет достичь универсальности и не ограничивать выбор производителя ключевого носителя. На сегодняшний день поддерживаются все популярные модели usb-токенов и смарт-карт, как eToken, ruToken, ESMART, JaCarta, MS_KEY, YubiKey, KAZTOKEN и другие.

Более того, Avanpost PKI поддерживает работу с «облачными ключевыми носителями» (например, КриптоПро DSS), реестром ОС и даже обычным USB-накопителем, на котором так же могут быть размещены сертификаты и ключи.

Сервис самообслуживания пользователей

Процесс выпуска сертификата включает не только действия администратора, но и подготовку соответствующей заявки/заявления пользователем. При этом данная заявка может требовать дополнительные согласования, например, непосредственным руководителем или администратором безопасности. Наличие удобного сервиса самообслуживания, в котором пользователь сможет быстро составить запрос на выпуск сертификата, система сама подставить все необходимые данные пользователя, а согласующее лицо одобрить или отклонить его одним кликом мыши, позволит значительно повысить эффективность всего процесса.

Avanpost PKI предоставляет удобный личный кабинет пользователя, где он может запросить сертификат, оформить заявку на отзыв или перевыпуск сертификата, заказать ключевой носитель или лицензию на СКЗИ. Также данный сервис является едином центром управления всеми объектами пользователя, в том числе ключевыми носителями и сертификатами, и предоставляет соответствующую вспомогательную информацию (например, напоминания об окончании срока действия сертификата), позволяет разблокировать собственный ключевой носитель или получить от него ПИН-код.

Источник