Централизованное управление
инфраструктурой
открытых ключей

Решение на основе Indeed CM контролирует использование сертификатов КЭП и их носителей с ведением журнала СКЗИ

Запланировать демонстрацию

Описание решения

Сегодня электронная подпись и цифровые сертификаты используются не только внутри организаций для собственных нужд, но и для реализации межведомственного электронного документооборота, для работы с дистанционным банковским обслуживанием, для подачи заявок на конкурсных площадках. Иными словами, корректное, грамотное и безопасное применение электронной подписи жизненно необходимо для любой организации.

Внедрение PKI и асимметричной криптографии решает следующие задачи информационной безопасности:

  • замена устаревшей парольной аутентификации на усиленную двухфакторную при доступе в операционную систему и приложения (VPN, VDI и др.);
  • цифровая подпись и шифрование электронной почты;
  • применение квалифицированной электронной подписи для соответствия требованиям регуляторов, обеспечения юридически значимого документооборота, взаимодействия с системами дистанционного банковского обслуживания, участия в конкурсах и закупках;
  • шифрование данных: файлов, дисков и другой информации.

Однако сопровождение и управление PKI порождает ряд новых задач:

  • проблемы реализации единых подходов для управления устройствами разных моделей, а также сертификатами, выпущенными разными удостоверяющими центрами;
  • выпуск сертификатов пользователей в соответствии с их задачами: необходимо обеспечить наличие на смарт-карте пользователя требуемых для его работы сертификатов, не предоставив при этом избыточных сертификатов;
  • централизованное управление политиками PIN-кодов устройств (смарт-карт и USB-токенов): политики сложности PIN-кодов, регулярность их смены;
  • контроль сроков действия сертификатов, своевременное их обновление;
  • ведение учета смарт-карт и USB-токенов, закрепление их за сотрудниками и за их рабочими станциями для контроля за использованием ключевых носителей в организации;
  • ведение журнала учета средств криптографической защиты информации (СКЗИ) для соответствия требованиям регуляторов;
  • разблокировка заблокированных устройств, когда пользователь забывает свой PIN.

С развитием облачных технологий и распространением формата удаленной работы все популярнее становятся различные технологии, позволяющие использовать сертификаты без аппаратного ключевого носителя: сетевые и виртуальные смарт-карты, электронная подпись в облаке и на смартфоне.

Сложности, возникающие при администрировании и эксплуатации PKI, могут привести к финансовым и временным потерям организации, не говоря уже об угрозах информационной безопасности. Оптимальным решением будет использование специализированного продукта класса PKI Management – продукта для централизованного мониторинга и управления.

Продукты данного класса в первую очередь позволяют выполнять функции “менеджера сертификатов”. Соответственно, применение подобных программных комплексов позволит существенно повысить эффективность управления PKI и уровень информационной безопасности.

Для повышения эффективности и снижения издержек при администрировании PKI предлагается использовать комплексное решение Indeed Certificate Manager. Продукт направлен на централизацию и повышение эффективности операций, связанных с сертификатами, а также носителями ключевой информации.

Схема системы управления инфраструктурой открытых ключей

Важно отметить, что продукт Indeed CM не зависит от разработчиков удостоверяющих центров и аппаратных носителей. Соответственно, решение универсально для применения с разными продуктами.

Платформа Indeed CM предоставляет следующий функционал:

  • политики управления (выпуск, обновление, отзыв) всеми сертификатами, находящимися в обращении в компании;
  • политики управления носителями ключевой информации;
  • интеграция с компонентами инфраструктуры открытых ключей:
    удостоверяющие центры и центры регистрации, принтеры смарт-карт и т.п.;
  • интеграция с компонентами ИТ-инфраструктуры:
    службы каталогов, хранилища сертификатов, почтовые сервисы и т.п.
  • интеграция со средствами защиты информации:
    системы управления аутентификацией, средства защиты рабочих мест;
  • сервисы управления для администраторов и операторов системы;
  • сервисы самообслуживания пользователей;
  • предоставление сводной информации о контролируемых объектах (сертификаты, носители ключевой информации, пользователи);
  • предоставление программных интерфейсов (API) для интеграции со сторонними системами.

Поддерживаются следующие операции с ключами и сертификатами:

  • генерация ключевой пары и передача запроса на сертификат на УЦ;
  • выдача и отзыв сертификата открытого ключа;
  • обновление сертификатов.

Поддерживаются следующие операции с носителями ключевой информации:

  • инициализация и присвоение пользователю;
  • блокировка и разблокировка носителя;
  • установка и смена PIN-кода (поддерживаются требования к парольным политикам).

Иными словами, Indeed CM предоставляет администраторам и операторам PKI многофункциональную консоль управления сертификатами и ключевыми носителями.

Все параметры Indeed CM распространяются через механизм политик. Политика содержит в себе необходимые данные для подключения к удостоверяющим центрам, перечень сертификатов для выпуска и дополнительные параметры сертификатов (создание резервной копии ключей, использование ключей повторно при обновлении истекающих/истекших сертификатов и др.).

Политика назначается на узел организационной структуры (например, OU домена Active Directory), и все пользователи, находящиеся в данном узле или в его дочерних объектах, получают настройки из политики.

Дополнительно область действия политики можно отфильтровать пользовательской группой – на один объект организационной структуры можно назначить несколько политик и разделить пользователей между ними с помощью групп.

Поддержка интеграции с каталогом пользователей:

  • Active Directory

Поддерживаемые Удостоверяющие центры:

  • КриптоПро УЦ
  • Microsoft CA
  • Валидата УЦ

Поддерживаемый сервис облачной электронной подписи:

  • КриптоПРО DSS

Поддерживаемые типы операций с УЦ:

  • Получение шаблонов сертификатов
  • Одобрение запросов на сертификаты
  • Выпуск и перевыпуск сертификатов
  • Приостановка действия и отзыв сертификатов
  • Проверка статуса сертификата
  • Создание и обновление данных пользователя УЦ

Поддержка типов носителей ключевой информации:

  • Съемные аппаратные носители
  • Реестр ОС семейства Microsoft Windows
  • Trusted Platform Module (TPM)
  • Microsoft Windows Hello for Business
  • Indeed AirCard Enterprise

Поддержка моделей съемных аппаратных носителей ключевой информации:

Получить бюджетную оценку проекта

Получить опросный лист

отзывы клиентов

Консультация эксперта

Опыт работы ключевых сотрудников компании в отрасли информационной безопасности составляет более 10 лет. Силами наших специалистов успешно реализованы сотни проектов для компаний из различных отраслей: банки, телекоммуникация, энергетика, транспорт, государственные и учебные заведения.

Антон Шлыков

Руководитель службы технической поддержки

Михаил Яковлев

Эксперт по продукту Indeed СМ

Иван Лобанов

Эксперт по продукту Indeed СМ

Михаил Елычев

Менеджер продукта

другие решения