Контроль использования ключевых носителей,
цифровых сертификатов и СКЗИ

Централизованное управление и учет средств электронной подписи

Certificate Manager

Использование цифровых сертификатов и ключевых носителей для многих компаний является обязательной практикой. Они применяются как для внутренних целей - защиты электронной почты, внутренний документооборот, аутентификация пользователей, так для общения со сторонними организациями при работе на торговых площадках, в ДБО и для формирования квалифицированной электронной цифровой подписи. Сертификаты могут выпускаться как на собственных удостоверяющих центрах компании, так и в сторонних аккредитованных организациях. Управление разрозненной популяцией ключевых носителей становится сложной задачей, решить которую призваны специализированные системы. Indeed Certificate Manager предлагает централизованное и эффективное решение этой задачи.

Описание задачи

В общем виде можно сформулировать следующие задачи управления носителями и сертификатами:

    • Контролирование использования сертификатов и ключевых носителей сотрудниками компании
    • Учет сторонних сертификатов, выпускаемых внешними УЦ для работы в ДБО, торговых площадках, ЕГАИС и пр.
    • Ведение электронного журнала учета СКЗИ

Решение

Для решение всех указанных задач в Indeed Certificate Manager реализованы соответствующие функции.

Контроль использования сертификатов и ключевых носителей

Для решения задачи контроля использования смарт-карт, токенов и сертификатов в Indeed CM реализован специализированный модуль - клиентский агент Indeed CM. Агент устанавливается на ПК пользователей и позволяет удаленно выполнять ряд операций:

    • Передавать на сервер Indeed CM информацию об используемых ключевых носителях - к какому ПК в данный момент подключены токены и какой пользователь работает на ПК
    • Блокировать сессию Windows или ключевой носитель, в случае нарушения правил использования. Например, смарт-карта (токен) может быть привязана к учетной записи пользователя или ПК; если текущий пользователь или ПК не совпадает с назначенными, агент может заблокировать смарт-карту
    • Смена PIN-кода по требованию администратора
    • Блокировка носителя по требованию администратора
    • Обновление сертификатов на носителе
    • Удаление информации с ключевого носителя

Таким образом, агент позволяет администраторам вести аудит использования смарт-карт и токенов и удаленно выполнять операции с ключевыми носителями на ПК пользователя. Также агент может предотвращать несанкционированное использование носителей.

Дополнительно к агенту, Indeed CM может отслеживать состояние учетной записи пользователя в каталоге Active Directory и приостанавливать действие сертификатов пользователей, чьи учетные записи были отключены. Это позволяет прекратить возможность использования сертификатов на период отпуска или увольнения сотрудника.

Учет сторонних сертификатов

Информация об уже записанных на носитель сертификатах считывается в момент закрепления носителя за пользователем и отображается в его профиле. При приближении окончания срока действия таких сертификатов, система уведомит пользователя и/или администратора о необходимости обновления сертификата.

Ведение электронного журнала СКЗИ

Для выполнения требований регуляторов организации может потребоваться вести журнал учета СКЗИ. Indeed CM позволяет вести такой журнал в электронном виде. При выпуске сертификатов в журнал автоматически будут добавляться новые СКЗИ. Также администратор может вручную добавить дополнительные СКЗИ различных типов, включая свои собственные, не входящие в стандартный набор. Просмотр журнала доступен в интерфейсе администратора Indeed CM, журнал также можно экспортировать в отдельный документ, формат которого настраивается под требования организации.

Ниже приведена общая схема решения.

Схема контроля использования ключевых носителей

В состав Indeed Certificate Manager входят следующие основные компоненты:

Indeed CM Server - основной компонент инфраструктуры Indeed CM. Представляет собой ASP.Net приложение, работающее на сервере Internet Information Services (IIS). Indeed CM Server обеспечивает централизованное управление пользователями системы, репозиторием карт, журналом СКЗИ и политиками безопасности. Также Indeed CM Server обеспечивает получение информации от агентов и выполнение операций разблокировки смарт-карт и журналирования событий.

Журнал событий - хранилище событий Indeed CM. В журнале фиксируются все события, связанные с жизненным циклом смарт-карт и изменением параметров системы. Просмотр журнала доступен в интерфейсе консоли администратора Indeed CM, там же возможно построение отчетов по различным критериям.

Журнал СКЗИ - электронный журнал учета средств криптографической защиты информации. Журнал позволяет выполнить требования регуляторов в части учета СКЗИ. Просмотр журнала доступен в интерфейсе консоли администратора Indeed CM.

Реестр ключевых носителей содержит информацию по всем зарегистрированным в системе устройствам. Просмотр реестра доступен в интерфейсе консоли администратора Indeed CM.

Агент Indeed CM - клиентский компонент, реализующий функции контроля и мониторинга использования ключевых носителей. Также агент обеспечивает удаленное выполнение операций со смарт-картами и токенами: блокировка, смена PIN, обновление сертификатов ключа электронной подписи и др.

Узнайте больше
Задайте вопрос в чате на нашем сайте
  • Какие задачи решает продукт?
  • Какие требования к инфраструктуре?
  • Как провести пилот?
  • Сколько стоит внедрение?
Клиенты о наших решениях
Владимир Солонин
В модуле SSO (Single Singh on) есть возможность придумать пароль за пользователя в момент его смены, а сложность этого пароля задается отдельной политикой, позволяющей сделать пароль как минимум длинным. Таким образом, решалась основная задача – пароли должны стать уникальными и сложными.
Владимир Солонин
директор по информационной безопасности, «СДМ-Банк»
Анатолий Скородумов
Мы отказались от парольного доступа к информационным системам (ИС) банка и внедрили строгую аутентификацию на основе биометрических сканеров. Основная ценность для бизнеса при внедрении такого класса системы — снижение потерь рабочего времени и повышение комфорта при работе с ИС.
Анатолий Скородумов
Начальник отдела информационной безопасности ОАО «Банк «Санкт-Петербург»
Иван Чернокнижников
«Проблемы с паролями в большой степени определяются человеческим фактором, поэтому простые организационные меры в данном случае малоэффективны. Для обеспечения безопасности данных необходимо использовать более защищенные методы аутентификации
Иван Чернокнижников
Руководитель отдела информационных технологий компании ООО «Газпром сера»
Алексей Иванов
Сотрудники теперь не записывают свои пароли где-нибудь, так как просто их не знают. Пароли генерируются с учетом сложности самой системой. Пользователь лишь идентифицирует себя по отпечатку пальца при необходимости ввода пароля в систему.
Алексей Иванов
Начальник Управления защиты информации Службы информационной безопасности АКБ "Абсолют Банк" (ПАО)
Александр Синицын
Количество систем и приложений выросло настолько, что стало практически невозможно дать ответ на простой вопрос: «Кто, к чему и на каких основаниях имеет доступ?». С помощью централизованных инструментов у администратора появилась возможность управлять правилами и политиками предоставления доступа.
Александр Синицын
начальник службы информационной безопасности ОАО «Крайинвестбанк»
Юрий Юрченко
Для "ОКБМ Африкантов", имеющего только в одной сети свыше 3000 рабочих станций, возможность централизованного управления доступом и аутентификацией крайне важна, ведь это позволяет не только в разы сэкономить время ИТ-персонала, но и в первую очередь сократить время ожидания для бизнес-пользователей.
Юрий Юрченко
руководитель IT-отдела ОАО «ОКБМ Африкантов»