Эффективное применение инфраструктурой открытых ключей

Инфраструктура открытых ключей (Public Key Infrastructure, PKI) предлагает решение многих проблем информационной безопасности:

Замена устаревшей парольной аутентификации на строгую двухфакторную при доступе в операционную систему и приложения (VPN, VDI и др.);

Цифровая подпись и шифрование электронной почты;

Применение квалифицированной электронной подписи для соответствия требованиям регуляторов и обеспечения юридически значимого документооборота;

Шифрование данных: файлов, дисков, и другой информации. Но сопровождение самой инфраструктуры открытых ключей порождает ряд новых задач:

Выпуск сертификатов пользователей в соответствии с их задачами: необходимо обеспечить наличие на смарт-карте пользователя требуемых для его работы сертификатов, не предоставив при этом избыточных сертификатов;

Управление пользовательскими PIN-кодами устройств (смарт-карт и USB-токенов): политики сложности PIN-кодов, регулярность их смены;

Контроль сроков действия сертификатов, своевременное их обновление;

Ведение учета смарт-карт и USB-токенов, закрепление их за сотрудниками;

Ведение журнала учета средств криптографической защиты информации (СКЗИ) для соответствия требованиям регуляторов;

Разблокировка заблокированных устройств, когда пользователь забывает свой PIN.

Эффективное применение PKI невозможно без качественного решения описанных задач. Для этих целей применяются специализированное программное обеспечение класса Card Management System (CMS).

Indeed Certificate Manager

Программный комплекс Indeed Certificate Manager (Indeed CM) представляет собой централизованную систему управления инфраструктурой открытых ключей. Indeed CM позволяет привести процессы использования PKI в соответствие с потребностями бизнес-подразделений, ИТ департамента, службы безопасности и внешних регуляторов.

Сокращение издержек

Indeed Certificate Manager призван сократить издержки компаний на рутинные операции обслуживания PKI:

Выпуск сертификатов. Indeed CM автоматически формирует список сертификатов для выпуска на основе механизма политик использования PKI. Все пользователи, подпадающие под действия одной политики получают идентичный набор настроек и сертификатов. Операции по созданию запросов на сертификаты, их выпуску и записи на ключевой носитель выполняется в автоматизированном режиме.

Рядовым пользователям системы предоставляется удобный кабинет самообслуживания, выполненный в формате web-приложения. В этом кабинете пользователи, если им разрешено политикой, могут самостоятельно производить выпуск и обновление сертификатов, снижая нагрузку на департамент ИТ.

Indeed CM отправляет почтовые уведомления администраторам и пользователям на заданные события системы. Например, администратор и/или пользователь получают уведомление о приближении окончания срока действия сертификата, что позволяет вовремя обновить сертификат и избежать простоев в работе.

Indeed CM позволяет производить разблокировку заблокированного носителя без визита пользователя к администратору. Такая разблокировка может быть выполнена до или после входа пользователя в операционную систему, а также с или без явного участия администратора.

Indeed CM предоставляет программный интерфейс (API) через который он интегрируется со сторонними системами. Такая интеграция расширяет возможности по автоматизации процессов использования сертификатов и ключевых носителей. Например, по событию из системы класса Identity Management Indeed CM может отозвать сертификат уволенного сотрудника.

В состав Indeed CM входит электронный журнал учета средств криптографической защиты информации (СКЗИ), соответствующий приказу ФАПСИ №152. Использую этот журнал, сотрудники безопасности выполняют требования регуляторов в части учета средств криптографической защиты без применения бумажных носителей и ручного заполнения необходимых данных.

Учет сертификатов, выданных сторонними организациями. Если в организации применяются сертификаты, выданные сторонними (не собственными) удостоверяющими центрами, Indeed CM позволяет занести информацию о таких сертификатов в базу решения и своевременно напомнить администратору и пользователю о скором истечении таких сертификатов. Это позволяет избежать простоев в работе с банками и торговыми площадками.

Повышение безопасности

Используя Indeed Certificate Manager, компании повышают общий уровень своей информационной безопасности за счет следующих возможностей:

Централизованное применение политики PIN кодов. При выпуске ключевого носителя на него записываются требования к PIN: сложность, частота смены, глубина истории и другие – набор параметров зависит от модели устройства. Политики хранятся и распространяются централизованно, администраторам не нужно прописывать политики для каждого отдельного носителя.

Учет ключевых носителей. Каждое устройство - смарт-карта или USB-токен - закрепляются за ответственным сотрудником. Операции по выпуску или обновлению сертификатов на носителе могут выполнить только администратор Indeed CM или сам пользователь – владелец устройства.

Своевременный отзыв сертификатов уволенных сотрудников. Для того, чтобы оперативно прекращать доступ уволенных сотрудников к информационным ресурсам компании, Indeed CM включает специализированный сервис, который с заданной периодичностью проверяет каталог пользователей и отзывает сертификаты у пользователей, отмеченных как уволенные.

Гибкая настройка прав на работу с системой. Indeed CM позволяет компаниям определить собственные роли безопасности с настраиваемым перечнем разрешенных операций. Это позволяет администраторам привести ролевую модель Indeed CM в соответствие с принятыми в компании бизнес-процессами.

Контроль использования ключевых носителей на ПК пользователей. Indeed CM позволяет компаниям отслеживать, какие носители и кем подключаются к ПК организации.

Администратор может жестко закрепить ключевой носитель за пользователем или конкретным ПК. Если система обнаружит несоответствие (например, носитель подключен в сессии нелегитимного пользователя или к неразрешенному ПК), ключевой носитель может быть заблокирован.