Сегодня электронная подпись — неотъемлемый атрибут даже внутреннего документооборота: цифровые сертификаты являются универсальным средством строгой аутентификации, а использование ассиметричной криптографии обеспечивает надежное шифрование. Поддержка этого функционала требует развертывания и сопровождения инфраструктуры открытых ключей (PKI — Public Key Infrastructure).
С каждым днем поддержка PKI становится более трудоемкой и сложной задачей. Рост числа цифровых сертификатов увеличивает нагрузку на службы ИТ и ИБ, так как необходимо контролировать срок их действия и своевременно обновлять. Со временем сложнее контролировать использование ключевых носителей (смарт-карт и токенов), потому что устройства теряются, выходят из строя, заменяются и перемещаются между пользователями и офисами. С вводом в действие новых удостоверяющих центров линейно возрастают затраты на выпуск и обновление сертификатов. Требования регуляторов также добавляют определенные сложности: при использовании сертифицированной ГОСТ-криптографии для операций КЭП необходимо вести. Перечисленные проблемы требуют грамотного подхода к построению системы управления PKI.
Эффективное управление возможно
Одним из таких решений может стать применение специализированного программного комплекса, например, Indeed Card Management. Ниже приведена схема архитектуры решения, демонстрирующая основные модули системы и связи между ними.
Архитектурная схема решения
Источник: Indeed, 2017
Indeed Card Management (Indeed CM) позволяет решить основные сложности в работе с PKI: эффективно управлять жизненным циклом ключевых носителей, вести журналирование и аудит действий администраторов и пользователей с ключевыми носителями, автоматизировать процессы управления сертификатами пользователей, выполнять резервное копирование ключевой информации, предоставить сотрудникам механизм самообслуживания для оперативного решения основных задач использования ключевых носителей, вести учет СКЗИ.
Indeed CM ориентирован на работу с различными смарт-картами, при этом все поддерживаемые карты можно использовать в рамках одной инфраструктуры. Архитектура решения позволяет оперативно интегрировать новые ключевые носители. Сегодня продукт поддерживает следующие носители: Indeed AirKey Enterprise, Рутокен от компании «Актив», eToken от компании SafeNet, ESMART от компании ISBC, JaCarta от компании «Аладдин Р.Д.», AvestKey от компании «Авест», ID Prime от компании Gemalto.
Indeed CM поддерживает работу с КриптоПро УЦ и КриптоПро CSP, что позволяет применять решение в инфраструктурах, где требуется ГОСТ шифрование. Также в Indeed CM реализован электронный журнал учета СКЗИ в соответствии с приказом ФАПСИ №152. Следовательно, выполняется требования регуляторов в части учета средств криптографической защиты.
В настоящее время на рынке существует централизованный сервис электронной подписи КриптоПро DSS. Он позволяет применять облачную электронную подпись, что обеспечивает компаниям полноценную работу с ЭП без аппаратных носителей (токенов и смарт-карт). Благодаря поддержке управления жизненным циклом сертификатами на КриптоПро DSS, у пользователей Indeed CM появляется единая система работы как с облачной, так и с традиционной электронной подписью.
Использование специализированного принтера смарт-карт значительно сокращает время на персонализацию, что особенно важно при выпуске их в большом количестве. Indeed CM позволяет за одну операцию в пакетном режиме выпустить сертификаты, записать их на смарт-карты, а также персонифицировать карты с печатью данных сотрудников на них.
Интеграция Indeed CM с системой управления логическим доступом Indeed Enterprise SSO связывает жизненный цикл смарт-карт и токенов с учетными данными пользователей. В момент выпуска/назначения ключевого носителя, администратор может сразу сконфигурировать профиль доступа сотрудника в приложения (Single Sign-On профиль). В результате сотрудник, получая ключ от администратора, уже имеет все необходимое для полноценной работы. Таким образом, консоль Indeed CM является единой точкой управления жизненным циклом ключей, сертификатов и паролей, упрощая процедуры предоставления и получения доступа в сеть и приложения.
Получить максимум преимуществ
В результате, обеспечив централизованное управление PKI на базе Indeed Card Management, организация получает ряд преимуществ. Во-первых, автоматизация рутинных операций по поддержке инфраструктуры PKI значительно сокращает издержки на применение открытых ключей. Система повышает оперативность работы как администраторов, так и рядовых пользователей за счет сервиса самообслуживания.
Также организации могут использовать смарт-карты и USB-ключ любых производителей, так как у Indeed CM нет ограничений на парк используемых устройств. Так появляется возможность, при необходимости, плавно мигрировать с одних устройств на другие.
Программная реализация смарт-карты – виртуальная Indeed AirKey Enterprise – позволяет выполнять полный набор операций, доступный аппаратным ключам. С использованием Indeed AirKey Enterprise можно оперативно выпустить дубликат смарт-карты пользователю, если он забыл или сломал физический носитель.
Indeed CM полностью поддерживает работу с облачным удостоверяющим центром КриптоПро. Таким образом организации могут экономить на установке и настройке удостоверяющего центра, получая его как услугу.
Поддерживая такие технологии как КриптоПро DSS и облачный криптопровайдер КриптоПро Cloud CSP, Indeed CM позволяет управлять инфраструктурой облачной квалифицированной электронной подписи, что дает возможность использовать ГОСТ-криптографию без аппаратных носителей (смарт-карт и USB-ключей).
Благодаря передовым технологиям и фокусе на потребностях клиентов пользователи Indeed CM получают удобный и эффективный механизм взаимодействия с системой. Современный, эргономичный и функциональный интерфейс имеет адаптивный дизайн, благодаря этому с системой одинаково удобно работать как на персональном компьютере, так и на планшете или смартфоне.