Обзор JaCarta Management System 3.0


Обзор JaCarta Management System 3.0

В статье описывается система управления JaCarta Management System 3.0 российской компании «Аладдин Р. Д.», предназначенная для контроля над жизненным циклом ключевых носителей. В обзоре рассмотрены архитектура, технические характеристики и функциональные возможности, а также описано взаимодействие с системой управления.

Сертификат AM Test Lab

Номер сертификата: 188

Дата выдачи: 25.05.2017

Срок действия: 25.05.2022

Реестр сертифицированных продуктов »

 

 

1. Введение

2. Функциональные возможности

3. Архитектура и системные требования JaСаrta Management System

4. Работа с JaСаrta Management System

4.1. Управление пользователями

4.2. Управление профилями JMS, глобальными группами и ролями пользователей

4.3. Управление рабочими станциями

4.4. Операции с ключевыми носителями

4.5. Ведение актов и заявок

4.6. Учет СКЗИ

4.7. Ведение электронных журналов

4.8. Настройка уведомлений

5. Работа с ключевыми носителями в Клиенте JMS

6. Выводы

 

 

Введение

JaCarta Management System 3.0 (JMS) — корпоративная система управления жизненным циклом ключевых носителей JaCarta, eToken и Рутокен. Она входит в состав семейства аппаратных и программных продуктов JaCarta компании «Аладдин Р. Д.».

JMS автоматизирует выполнение типовых операций при работе с ключевыми носителями (регистрация, выпуск, назначение, временное отключение, разблокировка, замена), что позволяет централизованно управлять доступом к корпоративным системам и получать информацию обо всех действиях в отношении ключевых носителей. Система обеспечивает соблюдение требований российского законодательства в части учета средств криптографической защиты информации (СКЗИ).

Встроенные средства построения отчетов и печати документов позволяют отслеживать состояние инфраструктуры ключевых носителей и автоматизировать документооборот, связанный с их жизненным циклом.

На программное обеспечение JaCarta Management System выдан сертификат ФСТЭК России № 3355, подтверждающий ее соответствие 4 уровню контроля отсутствия недекларированных возможностей и требованиям Технических условий.

JMS зарегистрирована в Едином реестре российских программ для электронных вычислительных машин и баз данных под номером 311 (Минкомсвязь России).

 

Функциональные возможности

JaСаrta Management System позволяет:

  • автоматизировать учет всех ключевых носителей, в том числе сертифицированных СКЗИ. При этом учитываются владелец, номер, модель и срок службы ключевого носителя, а также объекты на нем и рабочие станции, использующие этот носитель;
  • управлять всем жизненным циклом ключевых носителей, включая выдачу, перевыпуск и отзыв ключевых носителей и всех связанных с ними объектов (сертификатов, ключей, меток модулей доверенной загрузки и др.);
  • централизованно управлять политиками информационной безопасности (ИБ) в отношении ключевых носителей;
  • проводить аудит действий пользователей и администраторов с помощью служебных журналов;
  • предоставлять сервис самообслуживания для пользователей, позволяя сотруднику самостоятельно совершать операции с ключевыми носителями, осуществляя их выпуск, отключение, синхронизацию, блокирование, разблокирование и замену без обращения в ИТ- или ИБ-отделы;
  • формировать и выводить на печать заявки на выдачу ключевых носителей и сертификатов, что позволяет автоматизировать документооборот, связанный с жизненным циклом ключевых носителей;
  • отслеживать изменения во внешних системах и обновлять свою базу данных в соответствии с ними;
  • отслеживать перемещение ключевых носителей между филиалами и распределять права по администрированию серверов JMS между штаб-квартирой и филиалами;
  • осуществлять резервное копирование, сохранять копии выпущенных объектов, общих настроек системы и профилей выпуска объектов, что позволяет гарантировать их сохранность, а также перевыпускать ключевые носители со старыми сертификатами;
  • создавать отчеты по ключевым носителям, пользователям, СКЗИ, рабочим станциям, в том числе и по отдельным филиалам.

Благодаря возможностям JMS значительно сокращается время выполнения операций, таких как:

  • поддержка многофункциональных ключевых носителей;
  • пакетная регистрация ключевых носителей JaCarta;
  • «взятие под управление» имеющихся ключевых носителей и объектов на них;
  • сохранение перевыпускаемых сертификатов;
  • автоматическая синхронизация ключевых носителей;
  • работа нескольких серверов JMS в автономном режиме;
  • разделение полномочий администраторов в филиальной сети;
  • создание кастомизированных запросов к удостоверяющим центрам (УЦ);
  • автоматический учет СКЗИ в соответствии с требованиями ФСБ России;
  • плавная миграция с SafeNet Authentication Manager (SAM) / Token Management System (TMS).

Сертифицированная версия JMS обеспечивает выполнение требований российского законодательства в области защиты персональных данных и конфиденциальной информации и может использоваться в автоматизированных системах, обрабатывающих конфиденциальную информацию до класса защищенности 1Г включительно, а также в информационных системах персональных данных (ИСПДн) до 1 класса включительно.

 

Архитектура и системные требования JaСаrta Management System

 

Рисунок 1. Архитектура JaСаrta Management System

Архитектура JaСаrta Management System

 

В состав JaСаrta Management System входят следующие компоненты:

  • Сервер JMS — ядро JMS, обеспечивающее централизованное управление учетными записями пользователей, ключевыми носителями, политиками и т. д. Возможен вариант установки нескольких серверов в кластере. Поддерживается виртуализация и резервное копирование закрытых ключей, баз данных и настроек системы.
  • Консоль управления JMS — Консоль администратора, позволяющая регистрировать пользователей, выполнять операции с ключевыми носителями пользователей, настраивать профили выпуска, создавать и редактировать глобальные группы JMS, выполнять планы обслуживания. Доступные объекты и операции в Консоли соответствуют роли и полномочиям конкретного администратора.
  • Клиент JMS — клиентский агент JMS на стороне пользователя, который выполняет функцию синхронизации содержимого ключевого носителя с данными на сервере, а также позволяет пользователю выполнять ряд операций с носителем в рамках сервиса самообслуживания (выпуск, отзыв, разблокировка, замена).
  • База данных JMS — обеспечивает централизованное хранение информации об учетных записях пользователей JMS, ключевых носителях, объектах, выпущенных на носителях, политиках, настройках JMS и т. д. Значимая информация хранится в криптохранилище.
  • Криптохранилище — виртуальный объект (область базы данных), где хранятся защищенные данные (закрытые ключи, PIN-коды и т. д.). Криптохранилище создается в процессе первоначальной настройки конфигурации JMS. Доступ к монтированию криптохранилища имеет только авторизованный оператор по предъявлению ключевого носителя с сертификатом.
  • JMS Server API — открытый API для разработки коннекторов к УЦ и ресурсным системам, собственного клиентского ПО, а также для интеграции с другими ИТ- и ИБ-системами предприятия.

 

Таблица 1. Системные требования сервера JMS

Операционные системы

  • Microsoft Windows Server 2008 SP2 (32/64-битные платформы);
  • Microsoft Windows Server 2008 R2 SP1;
  • Microsoft Windows Server 2012;
  • Microsoft Windows Server 2012 R2

Базы данных

  • Microsoft SQL Server 2008;
  • Microsoft SQL Server 2008 R2;
  • Microsoft SQL Server 2012

Дополнительное ПО

  • .NET Framework 2.0 или 3.5;
  • .NET Framework 4.0

 

Таблица 2. Системные требования Консоли управления JMS и Клиента JMS

Операционные системы
  • Microsoft Windows XP SP3 (32-битные платформы), SP2 (64-битные платформы);
  • Microsoft Windows Vista SP2 (32/64-битные платформы);
  • Microsoft Windows 7 SP1 (32/64-битные платформы);
  • Microsoft Windows 8.1 (32/64-битные платформы);
  • Microsoft Windows Server 2003 SP2 (32/64-битные платформы);
  • Microsoft Windows Server 2003 R2 SP2 (32/64-битные платформы);
  • Microsoft Windows Server 2008 SP2 (32/64-битные платформы);
  • Microsoft Windows Server 2008 R2 SP1;
  • Microsoft Windows Server 2012;
  • Microsoft Windows Server 2012 R2
Дополнительное ПО
  • .NET Framework 2.0 или 3.5;
  • .NET Framework 4.0.

 

Работа с JaСаrta Management System

Взаимодействие администратора или оператора с JMS осуществляется через Консоль управления JMS — графический интерфейс, предоставляющий доступ к серверу JMS с удаленных рабочих станций.

 

Рисунок 2. Интерфейс Консоли управления JMS

Интерфейс Консоли управления JMS

 

В соответствии с настройками рабочих станций Консоль управления JMS может быть запущена в режиме ограниченной функциональности. Тогда в Консоли отображаются не все разделы интерфейса и доступны не все функции. Такая Консоль управления удобна для взаимодействия с малоопытными пользователями, в обязанности которых входит ограниченное число действий (например, выпуск и отзыв ключевых носителей сотрудников в бюро пропусков организации).

Управление пользователями

Управление учетными записями пользователей осуществляется в разделе «Пользователи» Консоли управления JMS. Система управления предоставляет функции регистрации, удаления, блокирования, обновления учетных записей пользователей, привязки к ним ключевых носителей.

 

Рисунок 3. Пользователи Консоли управления JMS

Пользователи Консоли управления JMS

 

Предусмотрены два способа регистрации новых пользователей JMS из каталога Active Directory (AD) — выборочный (кнопка «Зарегистрировать») и общий для всех пользователей каталога (кнопка «Зарегистрировать всех»).

 

Рисунок 4. Окно регистрации новых пользователей

Окно регистрации новых пользователей

 

Также в качестве базы пользователей можно использовать базу данных УЦ КриптоПро 1.5 и 2.0. При том, что JMS поддерживает неограниченное число баз пользователей, учетные записи не дублируются, а «склеиваются», что позволяет одному пользователю JMS иметь комбинированный набор атрибутов — из AD и из УЦ.

JMS позволяет установить принудительную смену PIN-кода для ключевых носителей пользователей JMS. Если такая настройка для пользователя активирована, то он не сможет воспользоваться Клиентом JMS до тех пор, пока не сменит PIN-код своего ключевого носителя.

JMS позволяет назначить пользователям временный пароль для работы с JMS. Это удобно в случаях, когда пользователь временно не имеет доступа к своему ключевому носителю. При установке временного пароля задается срок его действия. Так же назначается пароль пользователя для временного доступа к AD. Данная функция очень полезна в случае, если в системе включен доступ пользователей по ключевым носителям с сертификатом, а сотрудник забыл/потерял ключевой носитель и находится далеко от администратора, то появляется возможность разрешить ему временный вход в Windows по паролю, задать этот пароль и определить срок его действия, по истечении которого снова включится принудительный вход по ключевому носителю.

 

Рисунок 5. Назначение временного пароля пользователя для работы с JMS

Назначение временного пароля пользователя для работы с JMS

Управление профилями JMS, глобальными группами и ролями пользователей

Профили JMS позволяют единожды выполнить необходимую работу по настройке политик выпуска. При выпуске нового ключевого носителя администратору достаточно нажать кнопку «Выпустить», и носитель, согласно выбранному профилю, пройдет процедуру инициализации: зададутся нужные политики PIN-кодов, сгенерируются ключевые пары по заданным алгоритмам, будут запрошены и сгенерированы в УЦ, а затем записаны на ключевой носитель (в том числе и удаленно) нужные сертификаты по нужным шаблонам (причем пользователь это может сделать и сам в Клиенте JMS, без обращения к администратору — если ему выданы соответствующие права). Все действия выполняются средствами JMS автоматически без участия человека, без ошибок и без траты времени на подбор параметров при каждом выпуске или обновлении ключевого носителя.

Профили определяются набором параметров и доступных функций, ориентированных на выполнение конкретной задачи. Профили JMS делятся на четыре группы:

  • профили выпуска ключевых носителей;
  • профили настроек клиентского агента;
  • профили инициализации ключевых носителей;
  • профили коннекторов со сторонними центрами сертификации.

 

Рисунок 6. Настройки профилей в Консоли управления JMS

Настройки профилей в Консоли управления JMS

 

JMS поддерживает создание профилей и настройку их параметров в зависимости от их типа.

 

Рисунок 7. Параметры нового профиля «Инициализация JaCarta PKI»

Параметры нового профиля «Инициализация JaCarta PKI»

 

Привязки профилей JMS по умолчанию осуществляются к OU (организационная единица в AD). Фильтр безопасности позволяет отменить действие профиля или наоборот добавить профиль к группе пользователей, независимо от их OU. Данный фильтр применяется как к группам AD, так и к внутренним группам JMS («Глобальные группы»), куда пользователи добавляются вручную.

 

Рисунок 8. Настройка глобальной группы JMS

Настройка глобальной группы JMS

 

JMS поддерживает использование коннекторов — программных компонентов, расширяющих функциональность JMS. Зарегистрированные коннекторы отображаются в настройках сервера JMS.

 

Рисунок 9. Вкладка «Коннекторы» сервера JMS

Вкладка «Коннекторы» сервера JMS

 

JMS позволяет задавать следующие профили коннекторов:

  • Настройки выпуска сертификатов через УЦ Microsoft CA — позволяет настроить параметры выпуска сертификатов в центре сертификации Microsoft;
  • Настройки выпуска сертификатов через УЦ КриптоПро 1.5 — позволяет настроить параметры выпуска сертификатов в центре сертификации КриптоПроверсии 1.5;
  • Настройки выпуска сертификатов через УЦ КриптоПро 2.0 — позволяет настроить параметры выпуска сертификатов в удостоверяющих центрах КриптоПро 2.0 и VipNet;
  • Выпуск ключевого носителя для использования в JaCarta SecurLogon —позволяет настроить параметры записи профиля Windows в ключевой носитель во время выпуска.

В поставку коннектора JaCarta SecurLogon входят серверный компонент коннектора для установки на сервер JMS и административный компонент коннектора для инсталляции на компьютер, на котором установлена Консоль управления JMS.

Профиль выпуска ключевых носителей для использования с JaCarta SecurLogon создается в Консоли JMS в разделе «Профили».

 

Рисунок 10. Настройка профиля JaCarta SecurLogon

Настройка профиля JaCarta SecurLogon

 

В JMS предусмотрены стандартные роли (Пользователь, Оператор, Аудитор, Администратор ИБ, Запуск плана обслуживания), каждая из которых включает определенный набор операций. Список доступных ролей отображается в подразделе «Роли» раздела «Пользователи и роли» Консоли управления JMS. Также есть возможность создавать собственные роли с любым набором полномочий и назначать их пользователям, при этом JMS позволяет делегировать управление контейнером ресурсной системы определенным пользователям. Пользователь, которому делегировано управление, сможет выполнять набор разрешенных операций с этим контейнером.

 

Рисунок 11. Роли пользователей JMS

Роли пользователей JMS

 

Рисунок 12. Выбор операций для делегирования

Выбор операций для делегирования

 

Рисунок 13. Выбор пользователей для делегирования управления

Выбор пользователей для делегирования управления

Управление рабочими станциями

На рабочие станции пользователей JMS устанавливается Клиент JMS, выполняющий функцию синхронизации содержимого ключевого носителя с сервером JMS. Администратор JMS через Консоль управления может выполнять регистрацию, блокирование, удаление и обновление свойств рабочих станций пользователей JMS. Также поддерживается установка Клиента JMS на рабочие станции, не входящие в домен. Такие рабочие станции регистрируются в системе автоматически.

 

Рисунок 14. Список зарегистрированных рабочих станций в разделе «Рабочие станции» Консоли управления JMS

Список зарегистрированных рабочих станций в разделе «Рабочие станции» Консоли управления JMS

Операции с ключевыми носителями

JMS поддерживает следующие операции с ключевыми носителями:

  • регистрация ключевых носителей в JMS;
  • экспорт и импорт ключевых носителей;
  • назначение ключевого носителя пользователю;
  • выпуск ключевого носителя администратором;
  • одобрение администратором использования незарегистрированного ключевого носителя, подсоединенного пользователем;
  • включение/отключение возможности использования ключевого носителя;
  • синхронизация ключевых носителей;
  • отзыв ключевого носителя;
  • замена ключевого носителя;
  • возврат в эксплуатацию ключевого носителя;
  • разблокировка подсоединенного ключа в удаленном режиме;
  • замена отпечатков пальцев, сохраненных в памяти JaCarta PKI/BIO.

Управление ключевыми носителями осуществляется в разделе «Ключевые носители» Консоли управления JMS.

 

Рисунок 15. Управление ключевыми носителями в Консоли управления JMS

Управление ключевыми носителями в Консоли управления JMS

 

Для удобства администратора предусмотрен раздел «Подключенные ключевые носители», позволяющий оперативно осуществлять операции с ключевыми носителями, подключенными к Консоли управления JMS.

 

Рисунок 16. Подключенные ключевые носители в Консоли управления JMS

Подключенные ключевые носители в Консоли управления JMS

 

Регистрация нового ключевого носителя, подключенного к Консоли управления JMS, осуществляется через интерфейс мастера регистрации ключевых носителей. Также предусмотрена функция пакетной регистрации, позволяющая регистрировать большое число ключевых носителей из файла без необходимости подключать каждый отдельно.

 

Рисунок 17. Регистрация нового ключевого носителя

Регистрация нового ключевого носителя

 

JMS позволяет экспортировать ключевые носители на другой экземпляр JMS. Существует два варианта экспорта:

  • экспорт заранее подготовленного списка ключевых носителей;
  • экспорт ключевых носителей, выбранных в интерфейсе Консоли управления JMS.

 

Рисунок 18. Утилита генерации списка экспортируемых ключевых носителей

Утилита генерации списка экспортируемых ключевых носителей

 

JMS позволяет назначить пользователю выбранный ключевой носитель.

 

Рисунок 19. Назначение ключевого носителя

Назначение ключевого носителя

 

Администратор JMS инициализирует выпуск ключевых носителей. При этом JMS может автоматически генерировать и выводить на печать соответствующую документацию, сопровождающую выпуск.

 

Рисунок 20. Выпуск ключевого носителя

Выпуск ключевого носителя

 

JMS позволяет вывести ключевой носитель из эксплуатации — временно отключить возможность использования ключевого носителя (при этом автоматически приостанавливается действие сертификатов в УЦ), отозвать (при этом сертификаты в УЦ отзовутся автоматически) или заменить ключевой носитель. Возможна замена ключевого носителя без выпуска нового сертификата с восстановлением старого сертификата из резервной копии, если она делалась при первоначальном выпуске.

 

Рисунок 21. Отключение ключевого носителя

Отключение ключевого носителя

 

Консоль управления предоставляет функции синхронизации ключевых носителей с сервером JMS, при активации которой Клиент JMS в автоматическом режиме выполняет синхронизацию содержимого ключевых носителей с базой данных JMS при их подключении к рабочему месту пользователя. Если администратор решит изменить профиль для группы пользователей (например, добавить еще один сертификат или отозвать и удалить ранее выпущенный сертификат), он это делает один раз, а настройка автоматически применяется ко всей группе пользователей, на которых действует профиль. При нажатии кнопки «Синхронизация» сервер JMS приведет состояние ключевого носителя в соответствии с измененным профилем — выпустит новые сертификаты и запишет на носитель либо отзовет более ненужные сертификаты и удалит их с устройства. Можно настроить запрос синхронизации по расписанию на Клиентах либо по какому-то событию, например, при запуске Клиента JMS, — это избавит пользователей от необходимости проводить синхронизацию вручную.

При работе с ключевыми носителями JaCarta PKI/BIO администратор может с Консоли управления JMS заменить биометрические данные пользователя (отпечатки пальцев), сохраненные в памяти ключевого носителя.

 

Рисунок 22. Получение биометрических данных пользователя

Получение биометрических данных пользователя

 

JMS позволяет привязать ключевые носители к определенному контейнеру ресурсной системы. Первоначальная привязка к контейнеру происходит во время регистрации ключевого носителя. Также после назначения и/или выпуска ключевого носителя для какой-либо учетной записи этот ключевой носитель привязывается к контейнеру, в котором находится такая учетная запись. Консоль администратора JMS предоставляет возможность изменить привязку ключевых носителей, которые зарегистрированы, но еще на назначены и/или не выпущены на имя какого-либо пользователя.

 

Рисунок 23. Выбор контейнера ресурсной системы для привязки

Выбор контейнера ресурсной системы для привязки

 

Система позволяет осуществлять установку в базе данных JMS текущего административного PIN-кода для конкретного приложения ключевого носителя.

 

Рисунок 24. Ввод административного PIN-кода приложения и его подтверждение

Ввод административного PIN-кода приложения и его подтверждение

 

JMS позволяет выполнить экспорт резервных копий закрытых ключей и соответствующих им сертификатов, выпущенных на ключевые носители, в виде контейнера PFX. Экспортировать можно не только действующие закрытые ключи и сертификаты, но и ранее удаленные с ключевых носителей. Такая возможность предусмотрена для закрытых ключей и сертификатов, которые были выпущены с помощью УЦ Microsoft, КриптоПро УЦ 1.5/2.0.

JMS предоставляет возможность взять под управление ключевые носители (и объекты, содержащиеся в их памяти), выпущенные до установки и настройки JMS, в том числе ключевые носители, содержащие объекты, выпущенные сторонними УЦ. Например, в организации до установки JMS имеются ключи, в память которых записаны сертификаты, выпущенные на имя пользователей с помощью УЦ Microsoft. Администратор может настроить параметры выпуска этих ключевых носителей в JMS таким образом, чтобы они были взяты под управление без повторного выпуска сертификатов, уже содержащихся в памяти этих ключевых носителей.

Взятие под управление может относиться к следующим типам объектов, содержащимся в памяти ключевого носителя:

  • сертификаты УЦ Microsoft;
  • сертификаты КриптоПро УЦ 1.5;
  • сертификаты КриптоПро УЦ 2.0;
  • сертификаты ViPNet УЦ 4.6;
  • профили JaCarta SecurLogon.

 

Рисунок 25. Выбор криптопровайдера, с помощью которого выпускался внешний объект (сертификат на ключевом носителе), при настройке профиля «Внешние объекты»

Выбор криптопровайдера, с помощью которого выпускался внешний объект (сертификат на ключевом носителе), при настройке профиля «Внешние объекты»

Ведение актов и заявок

Администратор задает шаблоны документов, а JMS автоматически генерирует нормативную документацию, связанную с выпуском ключевых носителей (заявки и акты) и жизненным циклом ключевой информации. Сформированные документы хранятся в базе данных JMS и могут быть распечатаны по требованию администратора.

 

Рисунок 26. Работа с актами и заявками в Консоли управления JMS

Работа с актами и заявками в Консоли управления JMS

Учет СКЗИ

JMS позволяет вести учет СКЗИ (включая ключевые документы и нормативные документы). Учет ведется при выпуске сертификатов с помощью коннекторов к УЦ КриптоПро 1.5/2.0 и ViPNet УЦ 4.6.

Функция учета СКЗИ является лицензируемой. Если лицензия на функцию учета СКЗИ отсутствует или истекла, то пользовательский интерфейс Консоли управления JMS скрывает вкладку учета СКЗИ.

 

Рисунок 27. Учет СКЗИ в Консоли управления JMS

Учет СКЗИ в Консоли управления JMS

 

Функции учета СКЗИ приведены в таблице 3.

 

Таблица 3. Функции учета СКЗИ средствами JMS

Учет программных СКЗИ
  • Просмотр списка и свойств зарегистрированных программных СКЗИ;
  • регистрация новых программных СКЗИ;
  • управление учетом (прекратить/возобновить учет);
  • назначение/отмена назначения программному СКЗИ следующих категорий:
    • лицо, установившее СКЗИ;
    • рабочая станция;
    • лицензия;
    • дистрибутив;
  • назначение ответственного лица для СКЗИ;
  • введение СКЗИ в эксплуатацию;
  • выведение СКЗИ из эксплуатации;
  • возвращение СКЗИ в эксплуатацию;
  • уничтожение зарегистрированного программного СКЗИ;
  • просмотр и печать нормативных документов, сформированных в течение жизненного цикла учета программных СКЗИ.
Учет дистрибутивов СКЗИ
  • Просмотр списка и свойств зарегистрированных дистрибутивов СКЗИ;
  • регистрация новых дистрибутивов СКЗИ;
  • импорт дистрибутивов СКЗИ;
  • создание копии диска из эталонного дистрибутива СКЗИ (тиражирование);
  • редактирование дистрибутива СКЗИ;
  • передача (экспорт) дистрибутива СКЗИ и документации;
  • удаление дистрибутива СКЗИ или его копии;
  • просмотр и печать нормативных документов, сформированных в течение жизненного цикла учета дистрибутива СКЗИ.
Учет лицензий СКЗИ
  • Просмотр списка и свойств зарегистрированных лицензий;
  • регистрация лицензий (включая пакетную);
  • назначение лицензии (назначение свободной лицензии экземпляру СКЗИ);
  • возврат лицензии (возврат лицензии в список свободных лицензий);
  • экспорт лицензий;
  • удаление лицензии (из списка зарегистрированных лицензий);
  • просмотр и печать нормативных документов, сформированных в течение жизненного цикла учета лицензии СКЗИ.
Учет ключевых документов
  • Просмотр списка и свойств ключевых документов;
  • просмотр и печать нормативных документов, сформированных в течение жизненного цикла ключевых документов;
  • автоматический учет документов, при создании которых использовались КриптоПро CSP или ViPNet CSP.
Учет нормативной документации
  • Просмотр списка и свойств нормативной документации;
  • печать нормативной документации.
Учет типов СКЗИ
  • Просмотр списка и свойств зарегистрированных типов СКЗИ;
  • редактирование свойств зарегистрированных типов СКЗИ;
  • регистрация программных и аппаратных типов СКЗИ;
  • удаление зарегистрированных типов СКЗИ.
Учет типов нормативной документации
  • Просмотр списка и свойств типов нормативной документации;
  • задание шаблона печати выбранному типу нормативной документации;
  • задание начального значения внутренней нумерации документов.
Ведение журналов событий
  • Просмотр списка и свойств событий, происходящих с СКЗИ;
  • фильтрация событий, происходящих с СКЗИ по временным промежуткам;
  • поиск.

Ведение электронных журналов

JMS предоставляет возможность ведения и работы с электронными журналами аудита событий, связанных с работой JMS. События можно отфильтровать по временным промежуткам (час, день, неделя и т. д.) и по типу (Успешные, Предупреждение, Ошибки и Фатальные). Каждая запись журнала содержит информацию о дате и месте его возникновения, а также подробное описание сопутствующих действий пользователя.

 

Рисунок 28. Электронный журнал JMS

Электронный журнал JMS

Настройка уведомлений

JMS поддерживает возможность рассылки уведомлений администратору по электронной почте. При этом задаются следующие параметры (таблица 4).

 

Таблица 4. Настройка параметров уведомлений

НастройкаОписание
Включить отправку Email-уведомленийАктивация настроек соединения с почтовым сервером
SMTP-серверIP-адрес или полное различаемое имя почтового сервера
ПортПорт подключения к почтовому серверу
Защищенное соединениеЗащищенное соединение с почтовым сервером в режиме StartTLS
ПользовательИмя пользователя, от имени которого будет осуществляться соединение с почтовым сервером
ПарольПароль для выбранного пользователя
ОтправительАдрес электронной почты, который будет значиться в качестве отправителя в уведомлениях
Кодировка сообщенияКодировка рассылаемых уведомлений (windows-1251 или utf-8)

 

Рисунок 29. Окно настройки SMTP

Окно настройки SMTP

 

Работа с ключевыми носителями в Клиенте JMS

Клиент JMS устанавливается на рабочие станции пользователей JMS. Он позволяет управлять ключевыми носителями и получать от сервера JMS необходимую информацию о них.

 

Рисунок 30. Информация о ключевом носителе и перечень возможных действий

Информация о ключевом носителе и перечень возможных действий

 

Администратор в Консоли управления JMS задает перечень операций над ключевыми носителями — при соответствующих разрешениях пользователь может самостоятельно выпускать, разблокировать и заменять ключевые носители, подключенные к рабочей станции, с помощью Клиента JMS.

 

Рисунок 31. Параметры выпуска ключевого носителя

Параметры выпуска ключевого носителя

 

Пользователь может самостоятельно синхронизировать и вывести ключевой носитель из обращения (в этом случае восстановить работоспособность носителя может только администратор JMS).

При блокировке ключевого носителя в случае превышения числа попыток неправильного ввода PIN-кода разблокировка осуществляется с помощью специальной утилиты, входящей в состав Клиента JMS, по схеме «вопрос-ответ». Сгенерированный программой запрос пользователь передает администратору JMS. Сервер JMS может осуществлять полностью автоматическую разблокировку ключевых носителей без передачи запроса и ответа пользователем.

 

Рисунок 32. Разблокировка ключевого носителя с помощью кода запроса

Разблокировка ключевого носителя с помощью кода запроса

 

Выводы

Основное преимущество внедрения и использования JMS — это сокращение финансовых и временных затрат на поддержание инфраструктуры открытых ключей при повышении уровня ИБ. Удобство пользователей повышается за счет автоматизации работы с ключевыми носителями. JMS позволяет централизованно управлять доступом к корпоративным системам и получать информацию обо всех действиях в отношении ключевых носителей.

Основная идея создания JMS — полноценная поддержка ключевых носителей и смарт-карт нового поколения JaCarta. Также система поддерживает Рутокен и eToken, в том числе модели eToken ГОСТ и eToken PRO (Java).

JMS интегрируется с другими продуктами российских вендоров (УЦ, СКУД и др.) путем разработки дополнительных коннекторов.

Сертифицированная версия JMS обеспечивает выполнение требований российского законодательства в области защиты персональных данных и конфиденциальной информации и может использоваться для защиты информации в ИСПДн до 1 уровня включительно и при создании автоматизированных информационных систем до класса защищенности 1Г включительно. Также JMS дополнительно обеспечивает соблюдение требований регуляторов в части учета СКЗИ.

Из явных недостатков JMS можно выделить работу только с компьютерами под операционной системой Microsoft Windows (не поддерживаются Linux и macOS). В ближайшем будущем разработчик планирует выпустить версию Клиента JMS для Linux.

Реестр сертифицированных продуктов »

Записаться на демонстрацию

...

Запросить пробную версию

...

Запросить цены

...

Задать вопрос

...
Выбор редакции: 

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.