JaCarta Management System
Учёт и управление жизненным циклом аппаратных и программных средств аутентификации и электронной подписи, включая распространённые токены и смарт-карты различных производителей, "облачные" токены, хранящиеся на них объекты, а также аппаратные и программные OTP-/U2F-аутентификаторы.
Производительный сервер усиленной аутентификации (2FA) для предоставления второго фактора аутентификации компаниям, по той или иной причине не готовым к развёртыванию PKI-инфраструктуры или желающим обеспечить усиленную аутентификацию с использованием одноразовых паролей какой-то части своих сотрудников.
Сертифицировано ФСТЭК России.
Все токены на учёте
JMS позволяет автоматизировать учёт токенов JaCarta, Рутокен и ESMART, в том числе сертифицированных ФСБ России как СКЗИ или обладающих несколькими функциями. Учитываются владелец, номер, модель, а также объекты на токене и рабочие станции, использующие токены. Аналогичным образом учитываются "облачные токены" (Крипто Про DSS) и сертификаты, выпускаемые в личные хранилища пользователей и рабочих станций.
Наряду с PKI-токенами, JMS также ведёт учёт аппаратных OTP- и U2F- токенов, а также программных аутентификаторов OTP, реализованных с использованием разработанного "Аладдин Р.Д." мобильного приложения для двухфакторной аутентификации Aladdin.2FA , а также сторонними приложениями Google Authenticator и Яндекс.Ключ.
Для оформления бумажных документов, таких, как отчёты и заявки на выдачу токена, в JMS реализована встроенная подсистема печати.
Автоматическое ведение реестра токенов
JMS автоматически ведёт реестр токенов, подключенных к рабочим станциям пользователей, и администратор JMS может принять решение о регистрации любого из таких токенов в системе и применении к ним установленных политик ИБ.
Подобным же образом ведётся реестр аппаратных и программных OTP-, U2F-аутентификаторов, а также сертификатов, выпускаемых в личные хранилища пользователей или рабочих станций.
Наряду с токенами, JMS 3.7 ведёт реестр считывателей смарт-карт линейки JCR производства компании "Аладдин Р.Д.".
Автоматическое ведение реестра позволяет избежать регистрации недоверенных токенов в системе, а также случайной регистрации и инициализации токена, выданного сторонней организацией (например, ФНС России или банком), что может привести к потере важной информации.
Настраиваемая подсистема печати
С помощью встроенной подсистемы печати JMS может формировать и выводить на печать заявки на выдачу, замену и отзыв токена или сертификатов. Доступна функция "отложенной печати", позволяющая накапливать документы для одномоментной распечатки по требованию.
Наличие подсистемы печати позволяет максимально упростить ведение документооборота, связанного с жизненным циклом токенов, избавить офицеров безопасности от рутинной работы, а также исключить риск ошибок при заполнении документов.
Учёт СКЗИ по требованиям ФСБ России
JMS может учитывать любые программные и аппаратно-программные СКЗИ, автоматически учитывать ключевые документы, формировать журналы учёта СКЗИ и ключевых документов, согласно Приказу ФАПСИ № 152, а также даёт возможность формировать и распечатывать отчёт по каждому событию, произошедшему с СКЗИ или ключевым документом.
Таким образом, JMS позволяет обеспечить полное соблюдение требований регулирующих органов по работе с сертифицированными СКЗИ и контролю за использованием токенов.
Многофункциональные токены
JMS — первая из систем управления, поддерживающая работу с многофункциональными токенами (токенами, выполняющими несколько задач, например, обеспечивающими аутентификацию и электронную подпись).
Применение многофункциональных токенов даёт возможность сократить бюджет на закупку токенов и сэкономить рабочее время системных администраторов и офицеров безопасности на управление парком токенов.
Полный контроль
от выпуска до отзыва
JMS позволяет полностью управлять токенами и программными средствами аутентификации на всех этапах их жизненного цикла, включая выдачу, перевыпуск и отзыв токенов и всех связанных с ними объектов (сертификатов, ключей, меток АПМДЗ и т.д.). Автоматическая синхронизация токенов и поддержка популярных Удостоверяющих центров позволяют мгновенно приводить текущий парк токенов в актуальное состояние.
Поддерживаются все токены и смарт карты линейки JaCarta, распространённые модели токенов и смарт-карт сторонних компаний-производителей (Рутокен, ESMART), а также аппаратные и программные OTP-, U2F-аутентификаторы, включая "облачные" токены (Крипто Про DSS).
Автоматическая синхронизация токенов
JMS позволяет освободить персонал от рутинных сервисных операций с токенами за счёт их автоматизации. В случае обновления политик ИБ или истечения срока действия сертификатов система JMS сама перевыпустит сертификаты и применит все совершённые изменения политик к токену.
Подобным образом автоматизированы операции с аппаратными и программными OTP-, U2F- и messaging-аутентификаторами, а также "облачными" токенами (Крипто Про DSS).
В результате пользователи избавляются от составления заявок и простоев в работе, а офицеры безопасности получают возможность использовать освободившееся время для решения других задач.
Резервное копирование сертификатов
JMS может сохранять в защищённом хранилище копии выпущенных объектов, в том числе сертификатов. Это позволяет гарантировать их сохранность и записывать при необходимости старые сертификаты из резервной копии на новые токены.
JMS также даёт возможность импортировать резервные копии закрытых ключей и сертификатов из внешних ресурсных систем, например, из Microsoft CA Key Recovery Agent.
Поддержка популярных Удостоверяющих центров и ресурсных систем
JMS поддерживает работу как с популярными и распространёнными Удостоверяющими центрами, такими, как Microsoft CA, КриптоПро 1.5 и 2.0, ViPNet 4.6 и Notary-Pro, так и с достаточно экзотическими, например, Dogtag и др. Отдельного упоминания заслуживает Оффлайн-коннектор, позволяющий использовать JMS для работы с аттестованными Удостоверяющими центрами, расположенными в изолированных контурах, не нарушая требований к информационной безопасности, предъявляемых к ним.
Интеграция с Удостоверяющими центрами позволяет совершать выпуск, перевыпуск и отзыв сертификатов для токенов в автоматическом режиме (полуавтоматическом в случае Оффлайн-коннектора), что значительно сокращает временные и финансовые затраты на администрирование инфраструктуры токенов.
Кроме разнообразных Удостоверяющих центров, JMS также интегрируется с ресурсными системами – т. е. источником информации о пользователях может выступать не только Microsoft AD, но и FreeIPA, Крипто Про и даже собственная служба каталогов JMS – JDS (JaCarta Directory Service).
Возможность свободного подключения к разнообразным ресурсным системам также позволяет выполнять в JMS так называемые операции "связывания" (обратимые). В процессе связывания в рамках учётной записи JMS собирается информация из учётных записей пользователя в разных ресурсных системах, что позволяет в итоге строить очень гибкие и удобные шаблоны для работы с сертификатами.
Автоматическая поддержка исполнения политик безопасности
С помощью реализованного в JMS механизма профилей платформа связывает между собой такие сущности, как "пользователь", "токен", "программный или аппаратный OTP-/U2F-аутентификатор" или "объект на токене". Профиль представляет собой набор правил (политик), применяемых к перечисленным сущностям. Профиль может быть применён к контейнеру (OU) ресурсной системы, группе или отдельному пользователю. В профиле, например, можно указать параметры сертификатов, выпускаемых на токены пользователей из конкретной OU. Включение нового пользователя в указанную OU вызовет автоматический выпуск для него указанного сертификата и запись его на токен в процессе синхронизации (применения политик). Исключение пользователя из OU вызовет автоматический отзыв его сертификата и удаление последнего с токена пользователя.
Централизованное управление политиками
Конфигурируя JMS, администратор настраивает политики для всех OU, групп или индивидуальных пользователей JMS. При этом действуют все правила наследования и фильтрации в полной аналогии с реализацией Microsoft AD. Затем администратор настраивает параметры синхронизации (фактически, расписание), после чего система автоматически отслеживает все изменения и в зависимости от перемещения пользователя по подразделениям компании выпускает/блокирует/отзывает токены и/или объекты на них. Вмешательство администратора в дальнейшем требуется только в случае необходимости внесения изменения в политики или разрешения нештатных ситуаций.
Снижение затрат на администрирование
Благодаря своим возможностям автоматизации, JMS существенно повышает качество и производительность работы специалистов ИТ- и ИБ-служб организации, оставляя им время для решения других важных задач.
Исключение "человеческого фактора"
Одним из важных преимуществ, предоставляемых JMS, является исключение риска человеческой ошибки за счёт полной автоматизации рутинных операций по администрированию токенов и объектов на них. Администратор один раз заполняет профиль, тщательно проверяет корректность заполнения, проверяет результат применения профиля. После этого профиль всегда отрабатывает корректно, поскольку отсутствует главный источник ошибок – многократный ручной ввод/редактирование информации.
Исключение простоя в работе пользователей
Автоматическая синхронизация токенов с помощью JMS позволяет максимально сократить время простоя пользователей из-за периодического изменения политик информационной безопасности. Пользователю достаточно подключить токен к рабочему месту, на котором установлен Клиент JMS, после чего токен автоматически синхронизируется с базой данных JMS и будет готов к работе.
Система также следит за сроком действия пользовательских сертификатов и актуальностью данных в них. В назначенный срок или при изменении существенных данных в сертификате (например, фамилии) JMS позаботится об автоматическом перевыпуске сертификата и записи нового сертификата на токен пользователя в процессе синхронизации.
Пользователи позаботятся о себе сами
В JMS реализован сервис самообслуживания пользователей, который позволяет сотруднику самостоятельно совершать операции с токенами, осуществляя их выпуск, синхронизацию, разблокирование и отзыв без обращения в ИТ- или ИБ-отдел.
Это значительно ускоряет время решения возможных проблем и значительно снижает затраты на администрирование инфраструктуры аутентификации и электронной подписи.
Меньше администрирования
Сервис самообслуживания позволяет кардинально сократить время, затрачиваемое ИТ-персоналом на администрирование парка токенов, так как у пользователя появляется инструмент для самостоятельного решения простых рутинных вопросов, не требующих высокой квалификации, но отнимающих значительное время на их решение.
Теперь администратору не нужно забирать токены для обновления сертификатов или разблокирования — всё это легко может сделать пользователь непосредственно на своём рабочем месте.
Повышение комфорта пользователей
Сервис самообслуживания JMS значительно улучшает пользовательский опыт использования токенов, так как упрощает проведение операций и позволяет существенно снизить время простоя сотрудника в ожидании необходимых действий ИТ-специалиста.
Токен перестаёт быть обузой. Его эксплуатация больше не ассоциируется с потерей рабочего времени сотрудников. Он становится реальным инструментом повышения уровня информационной безопасности.
Больше времени для работы
Благодаря сервису самообслуживания JMS пользователи могут избежать простоев в своей работе, так как могут быстро решить большинство вопросов, связанных с эксплуатацией токенов. К ним относятся выпуск, синхронизация, разблокирование и отзыв токена, актуализация сертификатов и смена PIN-кода.
Web-портал самообслуживания
Начиная с версии 3.7, JMS предоставляет пользователям Web-портал самообслуживания, который позволит решать стандартные задачи работы с токенами через Интернет с использованием тонких клиентов на Windows, Linux и MacOS (не все токены поддерживаются).
Самостоятельный выпуск токенов
JMS позволяет сотрудникам осуществлять самостоятельный выпуск токенов. При этом в момент выпуска на токен автоматически будут записаны все необходимые объекты в соответствии с актуальной политикой информационной безопасности, утверждённой в организации.
Самостоятельный выпуск токенов позволяет сэкономить значительное количество времени как сотруднику, так и офицерам безопасности, тем самым сокращая непроизводственные затраты и увеличивая производительность труда.
Реализует сервис усиленной (2FA) аутентификации
Удобство управления
Все привычные для администраторов JMS инструменты управления электронными ключами и сертификатами распространяются на OTP- и U2F-токены, программные аутентификаторы для мобильных устройств, а также SMS.
Производительность
Производительность сервера 2FA JAS ограничена только производительностью компонентов инфраструктуры, к которым JAS подключается с использованием стандартных протоколов.
Универсальность
В качестве OTP-токена может использоваться разработанное компанией "Аладдин Р.Д." мобильное приложение для двухфакторной аутентификации - Aladdin 2FA , а также сторонние приложения Яндекс.Ключ, Google Authenticator или Microsoft Authenticator. Использование мобильного приложения Aladdin 2FA от "Аладдин Р.Д." решает проблему безопасной передачи секрета в процессе активации мобильного приложения.
Поддержка стандартных протоколов и открытый API дают возможность интеграции JAS с популярными серверами доступа сторонних вендоров (Microsoft, Citrix, Palo Alto, Check Point, VMware, Fortinet и др. – список постоянно пополняется).
Производительность, масштабируемость и отказоустойчивость
Система JMS спроектирована с учётом высоких требований к производительности и поддерживает как вертикальную (за счёт более производительного аппаратного обеспечения), так и горизонтальную (кластеризация) масштабируемость.
Поддерживаются кластерные технологии Microsoft Windows Server, обеспечивающие балансировку нагрузки между несколькими серверами JMS, отказоустойчивость серверов JMS, работающих с общей базой данных, а также катастрофоустойчивость при разнесении серверов и баз данных JMS по разным площадкам.
На существующих внедрениях JMS обслуживает десятки тысяч пользователей (до 100 тысяч) без внесения каких-либо ощутимых задержек в работу администраторов и пользователей.
Начиная с версии 3.7, JMS проходит нагрузочные тестирования и оптимизацию по результатам тестирования на специально разработанном облачном стенде, позволяющем имитировать практически любую нагрузку в самых разнообразных сценариях работы платформы.
Производительность и отказоустойчивость
JMS спроектирована с учётом высоких требований к скорости и количеству выполняемых операций (возможны учёт и управление более 1 000 000 токенов).
Поддерживаются кластерные технологии Microsoft Windows Server, обеспечивающие балансировку нагрузки между несколькими серверами JMS, отказоустойчивость серверов JMS, работающих с общей базой данных, а также катастрофоустойчивость при разнесении серверов и баз данных JMS по разным площадкам.
Распределение ролей и полномочий
В JMS реализован встроенный механизм ролей и полномочий, позволяющий распределить обязанности по управлению автономными серверами JMS между администраторами головного офиса и филиалов организации. При этом каждый администратор может делегировать часть своих полномочий по управлению сервером JMS другому участнику ролевой модели.
Поддержка филиальной структуры
JMS создана с учётом потребностей больших территориально-распределённых организаций. Каждый токен может быть отнесён к конкретному подразделению или филиалу. Система построения отчётов позволяет проводить аудит использования токенов как по отдельному филиалу, так и по всей филиальной сети.
При низкой пропускной способности каналов между филиалами и головным офисом серверы JMS могут работать в автономном режиме (с возможностью управления каждым из них из консоли администратора).
Поддержка виртуализации
В JMS реализована поддержка сред виртуализации VMware ESX, VMware ESXi и Hyper-V, что позволяет использовать систему в условиях современной серверной архитектуры и обеспечить дополнительный уровень надёжности.
Мощная система журналирования
В состав JMS входит мощная система журналирования, позволяющая фиксировать все события (существует возможность фильтрации), связанные с управлением администраторами и эксплуатацией пользователями как токенов и объектов на них, так и программных и аппаратных OTP-/U2F-аутентификаторов. Система ведёт собственный служебный журнал, что облегчает диагностику неисправностей и разбор конфликтных ситуаций.
Отдельно следует отметить журнал событий аутентификации, появившийся в JMS версии 3.7 в связи с включением в JMS производительного сервера 2FA аутентификации JAS.
Настраиваемая подсистема отчётов позволит в любой момент получить информацию обо всех событиях в системе.
Учёт всех действий в системе
JMS ведёт собственный служебный журнал, в котором фиксируются все события с токенами, сертификатами и закрытыми/открытыми ключами, а также все действия пользователей и администраторов. Ведение журнала облегчает диагностику неисправностей и разбор конфликтных ситуаций.
Отправка уведомлений
Исторически в JMS реализована настраиваемая система уведомлений, которая помогает администраторам отслеживать важные для них события: подключение нового токена, окончание срока действия сертификатов на токене и т.д. путём отправки сообщений на e-mail.
С версии JMS 3.7 все события, связанные с управлением, эксплуатацией и аутентификацией в JMS могут быть выгружены на сервер Syslog, что означает возможность интеграции JMS с любыми стандартными SIEM-системами.
Настраиваемые отчёты
В JMS реализована гибкая подсистема построения отчётов, позволяющая оперативно получить и вывести на печать всю необходимую информацию о токенах, пользователях, рабочих станциях и СКЗИ. Возможно построение отчётов как по отдельным подразделениям или филиалам, так и по всей филиальной сети организации.
Реализует встроенные механизмы ИБ
В JMS на архитектурном уровне заложены механизмы безопасности, гарантирующие надёжную защиту инфраструктуры аутентификации и электронной подписи.
Доступ администраторов и пользователей к функциям JMS в соответствии с заданными ролевой моделью полномочиями возможен только после прохождения процедуры двухфакторной аутентификации.
Все значимые данные платформы хранятся в защищённом криптохранилище. В сертифицированной версии JMS 3.7 для защиты данных используется наложенное сертифицированное СКЗИ Крипто БД, разработанное компанией "Аладдин Р.Д." и много лет успешно внедряемое в крупнейших организациях российского рынка.
Каналы передачи данных шифруются с помощью HTTPS (SSL). Отказоустойчивость обеспечивается технологиями Microsoft Windows Server и резервным копированием базы данных.
Криптохранилище для важных данных
Для безопасного хранения критически важных данных, таких, как закрытые ключи и PIN-коды, в JMS реализован специальный виртуальный объект — Криптохранилище. Оно создаётся в процессе первоначальной настройки системы и является областью базы данных JMS. Информация, хранящаяся в Криптохранилище, зашифрована и недоступна для администраторов и пользователей.
Отказоустойчивость и резервное копирование
В JMS поддерживаются кластерные технологии (NLB) и резервное копирование выпущенных объектов, что позволяет обеспечить высокий уровень надёжности и катастрофоустойчивости. Функция резервного копирования также даёт возможность перевыпускать токены со старыми сертификатами.
Использование защищённых каналов
Для обеспечения защиты от перехвата информации передача данных между Сервером JMS и Консолью управления JMS, а также Клиентом JMS осуществляется в зашифрованном виде – по протоколу HTTPS (т.е. с использованием SSL/TLS). Это позволяет надёжно защитить передаваемую информацию от изменения или перехвата.
Сертифицировано ФСТЭК России
JMS сертифицирована ФСТЭК России на отсутствие недекларированных возможностей (НДВ) по 4 уровню контроля и соответствие Техническим условиям (сертификат соответствия № 3355 от 03 марта 2015 года). Это позволяет применять JMS в информационных системах персональных данных до 1 уровня включительно и при создании автоматизированных систем до уровня защищённости 1Г включительно.
Настоящее отечественное ПО
Система JMS создана в России, учитывает специфику нашей страны и включена в Единый реестр отечественного ПО (№ 311). Ориентация на российского потребителя позволяет в полной мере удовлетворить потребности, такие, как учёт СКЗИ в соответствии с требованиями ФСБ России.
JMS сертифицирована ФСТЭК России на отсутствие недекларированных возможностей (НДВ) по 4 уровню контроля и соответствие Техническим условиям (сертификат соответствия № 3355 от 03 марта 2015 года).
JMS версии 3.7 находится в процессе сертификации во ФСТЭК России на соответствии 4 уровню доверия.
Для клиентов, использующих системы иностранного происхождения, например, SafeNet Authentication Manager (SAM) или Token Management System (TMS), доступна простая миграция на JMS с сохранением всех настроек и данных.
Участник Реестра отечественного ПО
JMS — первая система управления жизненным циклом токенов, зарегистрированная в Едином реестре отечественного ПО (№ 311) и рекомендуемая к закупкам государственными предприятиями и органами власти (при наличии отечественного решения структуры, финансируемые из российского бюджета, не могут приобретать аналогичное по функциям импортное ПО).
Соответствие требованиям регуляторов
JMS разработана российскими программистами для решения задач и проблем российских заказчиков, внесена в Единый реестр отечественного ПО (№ 311) и сертифицирована ФСТЭК России (сертификат соответствия № 3355 от 03 марта 2015 года).
JMS версии 3.7 находится на сертификации по новым требованиям ФСТЭК России на соответствие УД-4.
Возможности системы по автоматическому учёту всех СКЗИ (как аппаратных, так и программных) и ключевых документов позволяют соблюсти все требования ФСБ России по учёту СКЗИ и выгодно отличают JMS от иностранных аналогов.
Учёт запросов заказчиков
"Аладдин Р.Д." — первый российский вендор, производящий как собственные токены (JaCarta), так и систему управления ими (JMS). Это обеспечивает гарантированную совместимость продуктов, а также позволяет учитывать пожелания заказчиков в процессе дальнейшего развития JMS и токенов JaCarta.
Учёт российской специфики
JMS разработана российскими программистами для решения задач и проблем российских заказчиков, внесена в Единый реестр отечественного ПО и сертифицирована ФСТЭК России.
Уникальные возможности системы по автоматическому учёту всех СКЗИ (как аппаратных, так и программных) и ключевых документов позволяют соблюсти все требования ФСБ России по учёту СКЗИ и выгодно отличают JMS от иностранных аналогов.
Поддержка миграции с SAM и TMS
Для организаций, столкнувшихся с запретом на использование иностранного ПО или техническими ограничениями, присущими западным решениям, в JMS предусмотрена процедура простой и быстрой миграции с SAM/TMS с сохранением всех ранее введённых данных и настроек. При этом не требуется менять уже работающую инфраструктуру, вносить изменения в AD и перестраивать налаженные бизнес-процессы.
Перенос данных пользователей и информации о выпущенных токенах и сертификатах может осуществляться поэтапно, а обе системы (JMS и SAM/TMS) могут работать одновременно.
Легко устанавливается, легко управляется, удобно эксплуатируется
За счёт автоматизации процессов установки и настройки, а также ряда уникальных возможностей, таких, как пакетная регистрация и взятие под управление выпущенных ранее токенов, внедрение JMS максимально сжато во времени.
Система предоставляет современный и интуитивно-понятный интерфейс как для администраторов и офицеров безопасности (Консоль управления JMS), так и для пользователя (Клиент JMS).
Начиная с версии JMS 3.7, у администраторов и пользователей появляются дополнительные возможности, делающие процессы управления и эксплуатации ещё более удобными:
- возможность скрывать неиспользуемые элементы управления в графическом интерфейсе консоли управления администратора, которая позволит значительно облегчить интерфейс;
- наличие Web-портала и Web-клиентов, обладающих упрощённым удобным Web-интерфейсом (поддерживаются не все токены).
Пакетная регистрация токенов
В JMS реализована уникальная функция — пакетная регистрация токенов JaCarta. С каждой партией токенов JaCarta предоставляется специальный файл, позволяющий за несколько минут автоматически внести в систему всю необходимую информацию (номера чипов, СКЗИ и корпусов). При этом сами токены даже не нужно вынимать из коробки.
Имеется возможность самостоятельного создания файла пакетной регистрации для ранее закупленных токенов.
Работа с ранее выпущенными токенами
JMS позволяет автоматически включить в работу ранее выпущенные токены и избежать проблем, связанных с их повторной инициализацией (что может приводить, например, к невозможности читать старые почтовые сообщения из-за удаления криптографических ключей с токена). При этом все выпущенные объекты сохраняются на токене.
Назначение программных и аппаратных OTP-/U2F-аутентификаторов
JMS позволяет полностью автоматизировать процессы выпуска/отзыва программных и аппаратных OTP-/U2F-аутентификаторов – фактически свести их к назначению на каталог (OU), группу или пользователя.
Гибкость в настройке и модификации
Вместе с системой JMS предоставляется открытый API, позволяющий интегрировать её с другими информационными системами. Например, обеспечить управление пользователями JMS из другой системы, организовать экспорт списка пользователей и рабочих станций в JMS, создавать собственное клиентское ПО и так далее.
Экономим ваши деньги. Недорого
Лицензирование JMS максимально прозрачно, а цены фиксированы в рублях и не зависят от колебаний курсов на валютном рынке. В базовую поставку JMS уже включены все необходимые функции для полноценной автоматизации учёта и управления токенами. Дополнительные возможности лицензируются отдельно, что позволяет оптимизировать затраты и спланировать постепенное развитие системы.
Приобретённый продукт включает в себя сертификат как минимум на 1 год технической поддержки.
Бессрочные лицензии
JMS лицензируется только по количеству пользователей, токенами которых управляет система. В рамках одной версии срок действия лицензии не ограничен. Лицензия даёт право использовать стандартные функции продукта и добавлять в JMS новых пользователей, пока их число не превысит лимит лицензии.
Такие условия выгодно отличают JMS от конкурирующих решений и позволяют значительно снизить стоимость внедрения и эксплуатации системы.
Быстрые установка и настройка
Внедрение JMS максимально сжато во времени. Это достигается за счёт автоматизации процесса установки и настройки, а также ряда уникальных возможностей, таких, как пакетная регистрация и взятие под управление выпущенных ранее токенов.
По опыту Пенсионного фонда России после тестирования и настройки JMS в пилотной зоне процесс внедрения системы в каждом из филиалов ПФР в среднем занимал всего 3 рабочих дня.
Фиксированные рублёвые цены
В отличие от зарубежных систем управления жизненным циклом токенов цены на лицензии JMS фиксированы в рублях и не зависят от изменений на валютном рынке. Лицензии можно докупать поштучно, что позволяет гибко планировать развитие JMS. Дополнительные возможности лицензируются отдельно, что позволяет оптимизировать затраты и спланировать постепенное развитие системы.
Год техподдержки включен в стоимость
Техническая поддержка предоставляется на основе соответствующего сертификата сроком на 1, 2 или 3 года. Минимальный срок технической поддержки составляет 1 год (включен в стоимость базовой лицензии продукта). Сертификат даёт право на получение всех обновлений продукта, получение консультаций по установке и использованию системы, а также доступ к Базе знаний по JMS и токенам JaCarta.
Нам доверяют
Технические подробности
| Системные требования |
Сервер JMS
АРМ пользователей (Клиент JMS, Консоль управления JMS)
|
| Модели поддерживаемых токенов |
JaCarta
ESMART
Другие модели — по запросу eToken
Рутокен
|
| Поддерживаемые УЦ |
|
| Базы учётных данных пользователей и рабочих станций |
|
| Отказоустойчивость и надёжность |
|
| Территориальные ограничения использования продукта | Нет (ограничения есть только при использовании сертифицированных СКЗИ) |
| Необходимость наличия лицензий на распространение JMS | Нет (лицензия ФСБ России на распространение СКЗИ требуется при продаже токенов с поддержкой российской криптографии, например, JaCarta ГОСТ, eToken ГОСТ, Рутокен ЭЦП) |
| Локализация (поддерживаемые языки) |
|
| Поддерживаемые СКЗИ (функция "Учёт СКЗИ") | В JMS реализована поддержка ключевых носителей, являющихся сертифицированными СКЗИ, таких, как JaCarta, Рутокен, ESMART, а также сертифицированных программных СКЗИ, например, КриптоПро и ViPNet CSP. Благодаря встроенным возможностям определения новых типов СКЗИ JMS позволяет вести учёт любых аппаратных и программных СКЗИ в соответствии с нормативными правилами регулятора (ФСБ России). |
| Возможность добавления других моделей токенов | Есть (по запросу) |
| Сертификация |
ФСТЭК России Сертификат ФСТЭК России № 3355 от 03.03.2015 на соответствие ТУ и отсутствие НДВ по 4 уровню контроля позволяет использовать JMS для защиты информации в ИСПДн до 1 уровня включительно и при создании автоматизированных ИС до класса защищённости 1Г включительно. Министерство обороны России Сертификат соответствия № 4002 от 27.06.2018. |
| Единый реестр отечественного ПО | JMS — первая система управления жизненным циклом токенов, включенная в Единый реестр отечественного ПО (№ 311) и рекомендуемая к закупкам государственными и муниципальными органами власти (при наличии отечественного решения государственные структуры не могут приобретать аналогичное по функциям импортное ПО) |
| Масштабирование | От 100 до 1 000 000 токенов (использование JMS для работы менее чем со 100 токенами нецелесообразно) |
JMS — клиент-серверное приложение
Сервер JMS
Сервер JMS — ядро JMS, осуществляющее централизованное управление учётными записями пользователей, токенами, политиками и т.д. Может быть установлен как единичный сервер или развёрнут как кластер. Поддерживается виртуализация и резервное копирование закрытых ключей, баз данных и настроек системы.
База данных JMS
База данных JMS обеспечивает централизованное хранение информации об учётных записях пользователей JMS, токенах, объектах, выпущенных на токенах, политиках, настройках JMS и т.д. Значимая информация хранится в криптохранилище.
Криптохранилище
Криптохранилище — виртуальный объект (область базы данных), где хранятся критически важные данные (закрытые ключи, PIN-коды и т.д.). Криптохранилище создаётся в процессе первоначальной настройки конфигурации JMS.
Консоль управления JMS
Консоль управления JMS — консоль администратора, позволяющая регистрировать пользователей, выполнять операции с токенами пользователей, настраивать профили выпуска, создавать и редактировать глобальные группы JMS, выполнять планы обслуживания. Доступ к объектам и операциям в консоли управления определяется полномочиями конкретного администратора в соответствии с назначенной ему ролью.
Клиент JMS
Клиент JMS — клиентский агент JMS на стороне пользователя, который выполняет функцию синхронизации содержимого токена с данными на сервере, а также позволяет пользователю выполнять ряд операций с токеном в рамках сервиса самообслуживания (выпуск, разблокировка, отзыв).
JMS Server API
JMS Server API — открытый API для разработки коннекторов к УЦ и ресурсным системам, собственного клиентского ПО, а также для интеграции с другими ИТ- и ИБ-системами предприятия.
JMS предоставляет открытый серверный API, обеспечивающий дополнительные возможности по расширению функциональности системы с помощью добавления новых модулей, разработки коннекторов к УЦ и ресурсным системам, создания собственного клиентского программного обеспечения, а также интеграции JMS в существующие корпоративные системы.
Интеграция с внешней системой
Для интеграции JMS с внешней системой в сценариях, когда JMS является ведущей системой, необходимо разработать "коннектор". Коннектор к внешней системе позволяет в автоматическом режиме управлять данными, которые внешней системе требуется разместить на токене.
Интеграция с новым типом УЦ
В JMS уже реализован коннектор, предназначенный для взаимодействия с таким классом систем, как Удостоверяющие центры (УЦ). Коннектор этого типа реализует общую логику работы с УЦ. Работа же с конкретной реализацией УЦ осуществляется через адаптеры (как расширение коннектора), учитывающие специфическую логику данного УЦ. Если у заказчика есть необходимость работать с новым УЦ, поддержка которого ещё не была осуществлена в JMS, он может разработать свой адаптер.
Интеграция с ресурсными системами
Для интеграции JMS с внешней системой, которая будет являться источником учётных записей пользователей и рабочих станций, необходимо разработать адаптер к ресурсной системе.
В числе ключевых возможностей и преимуществ, ставших доступными в версии 3.7:
- автономный сервер усиленной аутентификации 2FA JAS теперь в составе платформы. В новой версии управление OTP- и U2F-аутентификаторами осуществляется на основе политик ровно таким же образом, как и управление токенами и сертификатами;
- собственное мобильное приложение для iOS и Android;
- отработанные схемы интеграции с серверами доступа Microsoft, Citrix, Palo Alto, Check Point, VMware, Fortinet и др.;
- реализация в рамках единой версии платформы масштаба предприятия и платформы, адаптированной для работы с Удостоверяющими центрами, в том числе находящимися в изолированных контурах. Специальные возможности и удобная система лицензирования для каждой из платформ;
- полная интеграция с Крипто Про DSS – возможность управления учётными записями пользователей и виртуальными токенами Крипто Про DSS из консоли управления JMS теми же средствами, что и привычными объектами управления JMS;
- существенное увеличение производительности и улучшение пользовательского интерфейса, исправление мелких недочётов.
- Добавлена дополнительная возможность кастомизации запросов для УЦ КриптоПро 2.0:
- дополнительное имя субъекта (Subject Alternative Names);
- использование ключа (Key Usage);
- расширенное использование ключа (Extended Key Usage);
- средство ЭП владельца (Owner’s digital signature tool);
- политики сертификата (Certificate Policies).
- Реализована возможность обновления JMS-клиентов средствами Сервера JMS.
- Реализована возможность отслеживания версий JMS-клиентов, установленных на ПК пользователей.
- В Консоли управления JMS добавлен раздел "Сертификаты" с отображением всей информации обо всех выпущенных/найденных сертификатах, идентификаторах, объектах.
- Реализован механизм поиска и учёта сертификатов на рабочих станциях с возможностью отправки оповещений о скором истечении и истечении сроков действия сертификатов. Поиск осуществляется:
- в личном хранилище пользователя;
- в личном хранилище компьютера;
- в файловом хранилище, в указанном каталоге.
- Реализована возможность выпуска сертификатов в личное хранилище пользователя с помощью следующих поставщиков криптографии:
- Microsoft Enhanced CSP;
- КриптоПро CSP;
- ViPNet CSP.
- Реализована поддержка поставщика криптографии Microsoft Base SmartCard CSP.
- Реализована поддержка электронных ключей ESMART:
- ESMART Token;
- ESMART Token ГОСТ.
- Реализовано динамическое управление уровнем ведения журналов диагностической информации сервера JMS.
- Реализована поддержка сертификатов оператора, соответствующих новому ГОСТ (ГОСТ Р 34.10-2012) для следующих поставщиков криптографии:
- КриптоПро CSP;
- ViPNet CSP.
- Реализованы Web-порталы:
- портал оператора;
- внутренний портал пользователя (Intranet);
- внешний портал пользователя (Internet).
- Улучшена диагностика взаимодействия с Сервером JMS при работе в кластере.
- Реализовала возможность создавать документы отчётности с детализированным описанием параметров сертификатов вплоть до отдельной переменной в компонентах имени.
- Реализована возможность повторно использовать в шаблоне печати параметров сертификата (устранено ограничение формата RTF).
- Изменена лицензионная политика: лицензия учитывается, только если пользователю назначен токен или сертификат.
По сравнению с версией 2.5 в JMS 3.0 были реализованы следующие функции:
- Реализована поддержка УЦ ViPNet 4.6 (ИнфоТеКС)
- Реализовано управление жизненным циклом сертификатов, выпускаемых через УЦ ViPNet
- Реализована поддержка актуальной версии УЦ КриптоПро 2.0 (2.0.5938.0000)
- Сохранена совместимость с УЦ КриптоПро 2.0 RC4
- Добавлена поддержка УЦ КриптоПро 2.0 (2.0.5938.0000)
- Реализовано взятие под управление сертификатов, выпущенных сторонними организациями с отслеживанием срока их действия и информированием администратора о необходимости обновления
- Реализован учёт СКЗИ
- Реализовано ручное управление экземплярами СКЗИ, дистрибутивами и лицензиями
- Реализован полностью автоматический учёт ключевых документов, созданных с помощью КриптоПро CSP и ViPNet CSP
- Реализовано автоматическое формирование нормативной документации
- Реализовано журналирование операций учёта СКЗИ и ключевых документов
- Реализована функция печати нормативной документации
- Реализованы журналы учёта СКЗИ и ключевых документов по форме из Приказа ФАПСИ № 152
- Добавлена поддержка NTLM аутентификации в клиентском агенте
- Добавлена возможность открытия сессии в клиентском агенте с использованием доменного логина и пароля
- Реализована поддержка отправки уведомлений администраторам для событий из клиентского журнала и журнала предупреждений
- В консоль управления администратора добавлен экран "Акты и заявки" для просмотра и печати документов, формируемых при выпуске КН и сертификатов
- Реализована функция выявления сертификатов с истекающими сроками действия
- Реализованы email-уведомления администратора о сертификатах (в том числе, выпущенных сторонними УЦ) с истекающим сроком действия
