Учёт и управление жизненным циклом аппаратных и программных средств аутентификации и электронной подписи, включая распространённые токены и смарт-карты различных производителей, "облачные" токены, хранящиеся на них объекты, а также аппаратные и программные OTP-/U2F-аутентификаторы.
Производительный сервер усиленной аутентификации (2FA) для предоставления второго фактора аутентификации компаниям, по той или иной причине не готовым к развёртыванию PKI-инфраструктуры или желающим обеспечить усиленную аутентификацию с использованием одноразовых паролей какой-то части своих сотрудников.
Сертифицировано ФСТЭК России.
JMS позволяет автоматизировать учёт токенов JaCarta, Рутокен и ESMART, в том числе сертифицированных ФСБ России как СКЗИ или обладающих несколькими функциями. Учитываются владелец, номер, модель, а также объекты на токене и рабочие станции, использующие токены. Аналогичным образом учитываются "облачные токены" (Крипто Про DSS) и сертификаты, выпускаемые в личные хранилища пользователей и рабочих станций.
Наряду с PKI-токенами, JMS также ведёт учёт аппаратных OTP- и U2F- токенов, а также программных аутентификаторов OTP, реализованных с использованием разработанного "Аладдин Р.Д." мобильного приложения для двухфакторной аутентификации Aladdin.2FA , а также сторонними приложениями Google Authenticator и Яндекс.Ключ.
Для оформления бумажных документов, таких, как отчёты и заявки на выдачу токена, в JMS реализована встроенная подсистема печати.
JMS автоматически ведёт реестр токенов, подключенных к рабочим станциям пользователей, и администратор JMS может принять решение о регистрации любого из таких токенов в системе и применении к ним установленных политик ИБ.
Подобным же образом ведётся реестр аппаратных и программных OTP-, U2F-аутентификаторов, а также сертификатов, выпускаемых в личные хранилища пользователей или рабочих станций.
Наряду с токенами, JMS 3.7 ведёт реестр считывателей смарт-карт линейки JCR производства компании "Аладдин Р.Д.".
Автоматическое ведение реестра позволяет избежать регистрации недоверенных токенов в системе, а также случайной регистрации и инициализации токена, выданного сторонней организацией (например, ФНС России или банком), что может привести к потере важной информации.
С помощью встроенной подсистемы печати JMS может формировать и выводить на печать заявки на выдачу, замену и отзыв токена или сертификатов. Доступна функция "отложенной печати", позволяющая накапливать документы для одномоментной распечатки по требованию.
Наличие подсистемы печати позволяет максимально упростить ведение документооборота, связанного с жизненным циклом токенов, избавить офицеров безопасности от рутинной работы, а также исключить риск ошибок при заполнении документов.
JMS может учитывать любые программные и аппаратно-программные СКЗИ, автоматически учитывать ключевые документы, формировать журналы учёта СКЗИ и ключевых документов, согласно Приказу ФАПСИ № 152, а также даёт возможность формировать и распечатывать отчёт по каждому событию, произошедшему с СКЗИ или ключевым документом.
Таким образом, JMS позволяет обеспечить полное соблюдение требований регулирующих органов по работе с сертифицированными СКЗИ и контролю за использованием токенов.
JMS — первая из систем управления, поддерживающая работу с многофункциональными токенами (токенами, выполняющими несколько задач, например, обеспечивающими аутентификацию и электронную подпись).
Применение многофункциональных токенов даёт возможность сократить бюджет на закупку токенов и сэкономить рабочее время системных администраторов и офицеров безопасности на управление парком токенов.
JMS позволяет полностью управлять токенами и программными средствами аутентификации на всех этапах их жизненного цикла, включая выдачу, перевыпуск и отзыв токенов и всех связанных с ними объектов (сертификатов, ключей, меток АПМДЗ и т.д.). Автоматическая синхронизация токенов и поддержка популярных Удостоверяющих центров позволяют мгновенно приводить текущий парк токенов в актуальное состояние.
Поддерживаются все токены и смарт карты линейки JaCarta, распространённые модели токенов и смарт-карт сторонних компаний-производителей (Рутокен, ESMART), а также аппаратные и программные OTP-, U2F-аутентификаторы, включая "облачные" токены (Крипто Про DSS).
JMS позволяет освободить персонал от рутинных сервисных операций с токенами за счёт их автоматизации. В случае обновления политик ИБ или истечения срока действия сертификатов система JMS сама перевыпустит сертификаты и применит все совершённые изменения политик к токену.
Подобным образом автоматизированы операции с аппаратными и программными OTP-, U2F- и messaging-аутентификаторами, а также "облачными" токенами (Крипто Про DSS).
В результате пользователи избавляются от составления заявок и простоев в работе, а офицеры безопасности получают возможность использовать освободившееся время для решения других задач.
JMS может сохранять в защищённом хранилище копии выпущенных объектов, в том числе сертификатов. Это позволяет гарантировать их сохранность и записывать при необходимости старые сертификаты из резервной копии на новые токены.
JMS также даёт возможность импортировать резервные копии закрытых ключей и сертификатов из внешних ресурсных систем, например, из Microsoft CA Key Recovery Agent.
JMS поддерживает работу как с популярными и распространёнными Удостоверяющими центрами, такими, как Microsoft CA, КриптоПро 1.5 и 2.0, ViPNet 4.6 и Notary-Pro, так и с достаточно экзотическими, например, Dogtag и др. Отдельного упоминания заслуживает Оффлайн-коннектор, позволяющий использовать JMS для работы с аттестованными Удостоверяющими центрами, расположенными в изолированных контурах, не нарушая требований к информационной безопасности, предъявляемых к ним.
Интеграция с Удостоверяющими центрами позволяет совершать выпуск, перевыпуск и отзыв сертификатов для токенов в автоматическом режиме (полуавтоматическом в случае Оффлайн-коннектора), что значительно сокращает временные и финансовые затраты на администрирование инфраструктуры токенов.
Кроме разнообразных Удостоверяющих центров, JMS также интегрируется с ресурсными системами – т. е. источником информации о пользователях может выступать не только Microsoft AD, но и FreeIPA, Крипто Про и даже собственная служба каталогов JMS – JDS (JaCarta Directory Service).
Возможность свободного подключения к разнообразным ресурсным системам также позволяет выполнять в JMS так называемые операции "связывания" (обратимые). В процессе связывания в рамках учётной записи JMS собирается информация из учётных записей пользователя в разных ресурсных системах, что позволяет в итоге строить очень гибкие и удобные шаблоны для работы с сертификатами.
С помощью реализованного в JMS механизма профилей платформа связывает между собой такие сущности, как "пользователь", "токен", "программный или аппаратный OTP-/U2F-аутентификатор" или "объект на токене". Профиль представляет собой набор правил (политик), применяемых к перечисленным сущностям. Профиль может быть применён к контейнеру (OU) ресурсной системы, группе или отдельному пользователю. В профиле, например, можно указать параметры сертификатов, выпускаемых на токены пользователей из конкретной OU. Включение нового пользователя в указанную OU вызовет автоматический выпуск для него указанного сертификата и запись его на токен в процессе синхронизации (применения политик). Исключение пользователя из OU вызовет автоматический отзыв его сертификата и удаление последнего с токена пользователя.
Конфигурируя JMS, администратор настраивает политики для всех OU, групп или индивидуальных пользователей JMS. При этом действуют все правила наследования и фильтрации в полной аналогии с реализацией Microsoft AD. Затем администратор настраивает параметры синхронизации (фактически, расписание), после чего система автоматически отслеживает все изменения и в зависимости от перемещения пользователя по подразделениям компании выпускает/блокирует/отзывает токены и/или объекты на них. Вмешательство администратора в дальнейшем требуется только в случае необходимости внесения изменения в политики или разрешения нештатных ситуаций.
Благодаря своим возможностям автоматизации, JMS существенно повышает качество и производительность работы специалистов ИТ- и ИБ-служб организации, оставляя им время для решения других важных задач.
Одним из важных преимуществ, предоставляемых JMS, является исключение риска человеческой ошибки за счёт полной автоматизации рутинных операций по администрированию токенов и объектов на них. Администратор один раз заполняет профиль, тщательно проверяет корректность заполнения, проверяет результат применения профиля. После этого профиль всегда отрабатывает корректно, поскольку отсутствует главный источник ошибок – многократный ручной ввод/редактирование информации.
Автоматическая синхронизация токенов с помощью JMS позволяет максимально сократить время простоя пользователей из-за периодического изменения политик информационной безопасности. Пользователю достаточно подключить токен к рабочему месту, на котором установлен Клиент JMS, после чего токен автоматически синхронизируется с базой данных JMS и будет готов к работе.
Система также следит за сроком действия пользовательских сертификатов и актуальностью данных в них. В назначенный срок или при изменении существенных данных в сертификате (например, фамилии) JMS позаботится об автоматическом перевыпуске сертификата и записи нового сертификата на токен пользователя в процессе синхронизации.
В JMS реализован сервис самообслуживания пользователей, который позволяет сотруднику самостоятельно совершать операции с токенами, осуществляя их выпуск, синхронизацию, разблокирование и отзыв без обращения в ИТ- или ИБ-отдел.
Это значительно ускоряет время решения возможных проблем и значительно снижает затраты на администрирование инфраструктуры аутентификации и электронной подписи.
Сервис самообслуживания позволяет кардинально сократить время, затрачиваемое ИТ-персоналом на администрирование парка токенов, так как у пользователя появляется инструмент для самостоятельного решения простых рутинных вопросов, не требующих высокой квалификации, но отнимающих значительное время на их решение.
Теперь администратору не нужно забирать токены для обновления сертификатов или разблокирования — всё это легко может сделать пользователь непосредственно на своём рабочем месте.
Сервис самообслуживания JMS значительно улучшает пользовательский опыт использования токенов, так как упрощает проведение операций и позволяет существенно снизить время простоя сотрудника в ожидании необходимых действий ИТ-специалиста.
Токен перестаёт быть обузой. Его эксплуатация больше не ассоциируется с потерей рабочего времени сотрудников. Он становится реальным инструментом повышения уровня информационной безопасности.
Благодаря сервису самообслуживания JMS пользователи могут избежать простоев в своей работе, так как могут быстро решить большинство вопросов, связанных с эксплуатацией токенов. К ним относятся выпуск, синхронизация, разблокирование и отзыв токена, актуализация сертификатов и смена PIN-кода.
Начиная с версии 3.7, JMS предоставляет пользователям Web-портал самообслуживания, который позволит решать стандартные задачи работы с токенами через Интернет с использованием тонких клиентов на Windows, Linux и MacOS (не все токены поддерживаются).
JMS позволяет сотрудникам осуществлять самостоятельный выпуск токенов. При этом в момент выпуска на токен автоматически будут записаны все необходимые объекты в соответствии с актуальной политикой информационной безопасности, утверждённой в организации.
Самостоятельный выпуск токенов позволяет сэкономить значительное количество времени как сотруднику, так и офицерам безопасности, тем самым сокращая непроизводственные затраты и увеличивая производительность труда.
Все привычные для администраторов JMS инструменты управления электронными ключами и сертификатами распространяются на OTP- и U2F-токены, программные аутентификаторы для мобильных устройств, а также SMS.
Производительность сервера 2FA JAS ограничена только производительностью компонентов инфраструктуры, к которым JAS подключается с использованием стандартных протоколов.
В качестве OTP-токена может использоваться разработанное компанией "Аладдин Р.Д." мобильное приложение для двухфакторной аутентификации - Aladdin 2FA , а также сторонние приложения Яндекс.Ключ, Google Authenticator или Microsoft Authenticator. Использование мобильного приложения Aladdin 2FA от "Аладдин Р.Д." решает проблему безопасной передачи секрета в процессе активации мобильного приложения.
Поддержка стандартных протоколов и открытый API дают возможность интеграции JAS с популярными серверами доступа сторонних вендоров (Microsoft, Citrix, Palo Alto, Check Point, VMware, Fortinet и др. – список постоянно пополняется).
Система JMS спроектирована с учётом высоких требований к производительности и поддерживает как вертикальную (за счёт более производительного аппаратного обеспечения), так и горизонтальную (кластеризация) масштабируемость.
Поддерживаются кластерные технологии Microsoft Windows Server, обеспечивающие балансировку нагрузки между несколькими серверами JMS, отказоустойчивость серверов JMS, работающих с общей базой данных, а также катастрофоустойчивость при разнесении серверов и баз данных JMS по разным площадкам.
На существующих внедрениях JMS обслуживает десятки тысяч пользователей (до 100 тысяч) без внесения каких-либо ощутимых задержек в работу администраторов и пользователей.
Начиная с версии 3.7, JMS проходит нагрузочные тестирования и оптимизацию по результатам тестирования на специально разработанном облачном стенде, позволяющем имитировать практически любую нагрузку в самых разнообразных сценариях работы платформы.
JMS спроектирована с учётом высоких требований к скорости и количеству выполняемых операций (возможны учёт и управление более 1 000 000 токенов).
Поддерживаются кластерные технологии Microsoft Windows Server, обеспечивающие балансировку нагрузки между несколькими серверами JMS, отказоустойчивость серверов JMS, работающих с общей базой данных, а также катастрофоустойчивость при разнесении серверов и баз данных JMS по разным площадкам.
В JMS реализован встроенный механизм ролей и полномочий, позволяющий распределить обязанности по управлению автономными серверами JMS между администраторами головного офиса и филиалов организации. При этом каждый администратор может делегировать часть своих полномочий по управлению сервером JMS другому участнику ролевой модели.
JMS создана с учётом потребностей больших территориально-распределённых организаций. Каждый токен может быть отнесён к конкретному подразделению или филиалу. Система построения отчётов позволяет проводить аудит использования токенов как по отдельному филиалу, так и по всей филиальной сети.
При низкой пропускной способности каналов между филиалами и головным офисом серверы JMS могут работать в автономном режиме (с возможностью управления каждым из них из консоли администратора).
В JMS реализована поддержка сред виртуализации VMware ESX, VMware ESXi и Hyper-V, что позволяет использовать систему в условиях современной серверной архитектуры и обеспечить дополнительный уровень надёжности.
В состав JMS входит мощная система журналирования, позволяющая фиксировать все события (существует возможность фильтрации), связанные с управлением администраторами и эксплуатацией пользователями как токенов и объектов на них, так и программных и аппаратных OTP-/U2F-аутентификаторов. Система ведёт собственный служебный журнал, что облегчает диагностику неисправностей и разбор конфликтных ситуаций.
Отдельно следует отметить журнал событий аутентификации, появившийся в JMS версии 3.7 в связи с включением в JMS производительного сервера 2FA аутентификации JAS.
Настраиваемая подсистема отчётов позволит в любой момент получить информацию обо всех событиях в системе.
JMS ведёт собственный служебный журнал, в котором фиксируются все события с токенами, сертификатами и закрытыми/открытыми ключами, а также все действия пользователей и администраторов. Ведение журнала облегчает диагностику неисправностей и разбор конфликтных ситуаций.
Исторически в JMS реализована настраиваемая система уведомлений, которая помогает администраторам отслеживать важные для них события: подключение нового токена, окончание срока действия сертификатов на токене и т.д. путём отправки сообщений на e-mail.
С версии JMS 3.7 все события, связанные с управлением, эксплуатацией и аутентификацией в JMS могут быть выгружены на сервер Syslog, что означает возможность интеграции JMS с любыми стандартными SIEM-системами.
В JMS реализована гибкая подсистема построения отчётов, позволяющая оперативно получить и вывести на печать всю необходимую информацию о токенах, пользователях, рабочих станциях и СКЗИ. Возможно построение отчётов как по отдельным подразделениям или филиалам, так и по всей филиальной сети организации.
В JMS на архитектурном уровне заложены механизмы безопасности, гарантирующие надёжную защиту инфраструктуры аутентификации и электронной подписи.
Доступ администраторов и пользователей к функциям JMS в соответствии с заданными ролевой моделью полномочиями возможен только после прохождения процедуры двухфакторной аутентификации.
Все значимые данные платформы хранятся в защищённом криптохранилище. В сертифицированной версии JMS 3.7 для защиты данных используется наложенное сертифицированное СКЗИ Крипто БД, разработанное компанией "Аладдин Р.Д." и много лет успешно внедряемое в крупнейших организациях российского рынка.
Каналы передачи данных шифруются с помощью HTTPS (SSL). Отказоустойчивость обеспечивается технологиями Microsoft Windows Server и резервным копированием базы данных.
Для безопасного хранения критически важных данных, таких, как закрытые ключи и PIN-коды, в JMS реализован специальный виртуальный объект — Криптохранилище. Оно создаётся в процессе первоначальной настройки системы и является областью базы данных JMS. Информация, хранящаяся в Криптохранилище, зашифрована и недоступна для администраторов и пользователей.
В JMS поддерживаются кластерные технологии (NLB) и резервное копирование выпущенных объектов, что позволяет обеспечить высокий уровень надёжности и катастрофоустойчивости. Функция резервного копирования также даёт возможность перевыпускать токены со старыми сертификатами.
Для обеспечения защиты от перехвата информации передача данных между Сервером JMS и Консолью управления JMS, а также Клиентом JMS осуществляется в зашифрованном виде – по протоколу HTTPS (т.е. с использованием SSL/TLS). Это позволяет надёжно защитить передаваемую информацию от изменения или перехвата.
JMS сертифицирована ФСТЭК России на отсутствие недекларированных возможностей (НДВ) по 4 уровню контроля и соответствие Техническим условиям (сертификат соответствия № 3355 от 03 марта 2015 года). Это позволяет применять JMS в информационных системах персональных данных до 1 уровня включительно и при создании автоматизированных систем до уровня защищённости 1Г включительно.
Система JMS создана в России, учитывает специфику нашей страны и включена в Единый реестр отечественного ПО (№ 311). Ориентация на российского потребителя позволяет в полной мере удовлетворить потребности, такие, как учёт СКЗИ в соответствии с требованиями ФСБ России.
JMS сертифицирована ФСТЭК России на отсутствие недекларированных возможностей (НДВ) по 4 уровню контроля и соответствие Техническим условиям (сертификат соответствия № 3355 от 03 марта 2015 года).
JMS версии 3.7 находится в процессе сертификации во ФСТЭК России на соответствии 4 уровню доверия.
Для клиентов, использующих системы иностранного происхождения, например, SafeNet Authentication Manager (SAM) или Token Management System (TMS), доступна простая миграция на JMS с сохранением всех настроек и данных.
JMS — первая система управления жизненным циклом токенов, зарегистрированная в Едином реестре отечественного ПО (№ 311) и рекомендуемая к закупкам государственными предприятиями и органами власти (при наличии отечественного решения структуры, финансируемые из российского бюджета, не могут приобретать аналогичное по функциям импортное ПО).
JMS разработана российскими программистами для решения задач и проблем российских заказчиков, внесена в Единый реестр отечественного ПО (№ 311) и сертифицирована ФСТЭК России (сертификат соответствия № 3355 от 03 марта 2015 года).
JMS версии 3.7 находится на сертификации по новым требованиям ФСТЭК России на соответствие УД-4.
Возможности системы по автоматическому учёту всех СКЗИ (как аппаратных, так и программных) и ключевых документов позволяют соблюсти все требования ФСБ России по учёту СКЗИ и выгодно отличают JMS от иностранных аналогов.
"Аладдин Р.Д." — первый российский вендор, производящий как собственные токены (JaCarta), так и систему управления ими (JMS). Это обеспечивает гарантированную совместимость продуктов, а также позволяет учитывать пожелания заказчиков в процессе дальнейшего развития JMS и токенов JaCarta.
JMS разработана российскими программистами для решения задач и проблем российских заказчиков, внесена в Единый реестр отечественного ПО и сертифицирована ФСТЭК России.
Уникальные возможности системы по автоматическому учёту всех СКЗИ (как аппаратных, так и программных) и ключевых документов позволяют соблюсти все требования ФСБ России по учёту СКЗИ и выгодно отличают JMS от иностранных аналогов.
Для организаций, столкнувшихся с запретом на использование иностранного ПО или техническими ограничениями, присущими западным решениям, в JMS предусмотрена процедура простой и быстрой миграции с SAM/TMS с сохранением всех ранее введённых данных и настроек. При этом не требуется менять уже работающую инфраструктуру, вносить изменения в AD и перестраивать налаженные бизнес-процессы.
Перенос данных пользователей и информации о выпущенных токенах и сертификатах может осуществляться поэтапно, а обе системы (JMS и SAM/TMS) могут работать одновременно.
За счёт автоматизации процессов установки и настройки, а также ряда уникальных возможностей, таких, как пакетная регистрация и взятие под управление выпущенных ранее токенов, внедрение JMS максимально сжато во времени.
Система предоставляет современный и интуитивно-понятный интерфейс как для администраторов и офицеров безопасности (Консоль управления JMS), так и для пользователя (Клиент JMS).
Начиная с версии JMS 3.7, у администраторов и пользователей появляются дополнительные возможности, делающие процессы управления и эксплуатации ещё более удобными:
В JMS реализована уникальная функция — пакетная регистрация токенов JaCarta. С каждой партией токенов JaCarta предоставляется специальный файл, позволяющий за несколько минут автоматически внести в систему всю необходимую информацию (номера чипов, СКЗИ и корпусов). При этом сами токены даже не нужно вынимать из коробки.
Имеется возможность самостоятельного создания файла пакетной регистрации для ранее закупленных токенов.
JMS позволяет автоматически включить в работу ранее выпущенные токены и избежать проблем, связанных с их повторной инициализацией (что может приводить, например, к невозможности читать старые почтовые сообщения из-за удаления криптографических ключей с токена). При этом все выпущенные объекты сохраняются на токене.
JMS позволяет полностью автоматизировать процессы выпуска/отзыва программных и аппаратных OTP-/U2F-аутентификаторов – фактически свести их к назначению на каталог (OU), группу или пользователя.
Вместе с системой JMS предоставляется открытый API, позволяющий интегрировать её с другими информационными системами. Например, обеспечить управление пользователями JMS из другой системы, организовать экспорт списка пользователей и рабочих станций в JMS, создавать собственное клиентское ПО и так далее.
Лицензирование JMS максимально прозрачно, а цены фиксированы в рублях и не зависят от колебаний курсов на валютном рынке. В базовую поставку JMS уже включены все необходимые функции для полноценной автоматизации учёта и управления токенами. Дополнительные возможности лицензируются отдельно, что позволяет оптимизировать затраты и спланировать постепенное развитие системы.
Приобретённый продукт включает в себя сертификат как минимум на 1 год технической поддержки.
JMS лицензируется только по количеству пользователей, токенами которых управляет система. В рамках одной версии срок действия лицензии не ограничен. Лицензия даёт право использовать стандартные функции продукта и добавлять в JMS новых пользователей, пока их число не превысит лимит лицензии.
Такие условия выгодно отличают JMS от конкурирующих решений и позволяют значительно снизить стоимость внедрения и эксплуатации системы.
Внедрение JMS максимально сжато во времени. Это достигается за счёт автоматизации процесса установки и настройки, а также ряда уникальных возможностей, таких, как пакетная регистрация и взятие под управление выпущенных ранее токенов.
По опыту Пенсионного фонда России после тестирования и настройки JMS в пилотной зоне процесс внедрения системы в каждом из филиалов ПФР в среднем занимал всего 3 рабочих дня.
В отличие от зарубежных систем управления жизненным циклом токенов цены на лицензии JMS фиксированы в рублях и не зависят от изменений на валютном рынке. Лицензии можно докупать поштучно, что позволяет гибко планировать развитие JMS. Дополнительные возможности лицензируются отдельно, что позволяет оптимизировать затраты и спланировать постепенное развитие системы.
Техническая поддержка предоставляется на основе соответствующего сертификата сроком на 1, 2 или 3 года. Минимальный срок технической поддержки составляет 1 год (включен в стоимость базовой лицензии продукта). Сертификат даёт право на получение всех обновлений продукта, получение консультаций по установке и использованию системы, а также доступ к Базе знаний по JMS и токенам JaCarta.
Системные требования |
» Сервер JMS
» СУБД
» АРМ пользователей (Клиент JMS, Консоль управления JMS)
» Сервер JAS
» JAS-плагин для NPS
» JAS-плагин для AD FS
» JAS-плагин для Microsoft RDG
» JAS-плагин для JOL
|
||||||||||||||||
Модели поддерживаемых токенов |
JaCarta
ESMART
eToken
Рутокен
Мобильные приложения
|
||||||||||||||||
Поддерживаемые УЦ |
|
||||||||||||||||
Базы учётных данных и рабочих станций |
|
||||||||||||||||
Отказоустойчивость и надёжность |
|
||||||||||||||||
Территориальные ограничения использования продукта | Нет (ограничения есть только при использовании сертифицированных СКЗИ) | ||||||||||||||||
Необходимость наличия лицензий на распространение JMS | Нет (лицензия ФСБ России на распространение СКЗИ требуется при продаже токенов с поддержкой российской криптографии, например, JaCarta ГОСТ, eToken ГОСТ, Рутокен ЭЦП) | ||||||||||||||||
Локализация (поддерживаемые языки) |
|
||||||||||||||||
Поддерживаемые СКЗИ (функция "Учёт СКЗИ") | В JMS реализована поддержка ключевых носителей, являющихся сертифицированными СКЗИ, таких, как JaCarta, Рутокен, ESMART, а также сертифицированных программных СКЗИ, например, КриптоПро и ViPNet CSP. Благодаря встроенным возможностям определения новых типов СКЗИ JMS позволяет вести учёт любых аппаратных и программных СКЗИ в соответствии с нормативными правилами регулятора (ФСБ России). | ||||||||||||||||
Возможность добавления других моделей токенов | Есть (по запросу) | ||||||||||||||||
Сертификация |
ФСТЭК России Сертификат ФСТЭК России № 3355 от 03.03.2015 на соответствие ТУ и отсутствие НДВ по 4 уровню контроля позволяет использовать JMS для защиты информации в ИСПДн до 1 уровня включительно и при создании автоматизированных ИС до класса защищённости 1Г включительно. Министерство обороны России Сертификат соответствия № 4002 от 27.06.2018. |
||||||||||||||||
Единый реестр отечественного ПО | JMS — первая система управления жизненным циклом токенов, включенная в Единый реестр отечественного ПО (№ 311) и рекомендуемая к закупкам государственными и муниципальными органами власти (при наличии отечественного решения государственные структуры не могут приобретать аналогичное по функциям импортное ПО) | ||||||||||||||||
Масштабирование | От 100 до 1 000 000 токенов (использование JMS для работы менее чем со 100 токенами нецелесообразно) |
Сервер JMS — ядро JMS, осуществляющее централизованное управление учётными записями пользователей, токенами, политиками и т.д. Может быть установлен как единичный сервер или развёрнут как кластер. Поддерживается виртуализация и резервное копирование закрытых ключей, баз данных и настроек системы.
База данных JMS обеспечивает централизованное хранение информации об учётных записях пользователей JMS, токенах, объектах, выпущенных на токенах, политиках, настройках JMS и т.д. Значимая информация хранится в криптохранилище.
Криптохранилище — виртуальный объект (область базы данных), где хранятся критически важные данные (закрытые ключи, PIN-коды и т.д.). Криптохранилище создаётся в процессе первоначальной настройки конфигурации JMS.
Консоль управления JMS — консоль администратора, позволяющая регистрировать пользователей, выполнять операции с токенами пользователей, настраивать профили выпуска, создавать и редактировать глобальные группы JMS, выполнять планы обслуживания. Доступ к объектам и операциям в консоли управления определяется полномочиями конкретного администратора в соответствии с назначенной ему ролью.
Клиент JMS — клиентский агент JMS на стороне пользователя, который выполняет функцию синхронизации содержимого токена с данными на сервере, а также позволяет пользователю выполнять ряд операций с токеном в рамках сервиса самообслуживания (выпуск, разблокировка, отзыв).
JMS Server API — открытый API для разработки коннекторов к УЦ и ресурсным системам, собственного клиентского ПО, а также для интеграции с другими ИТ- и ИБ-системами предприятия.
JMS предоставляет открытый серверный API, обеспечивающий дополнительные возможности по расширению функциональности системы с помощью добавления новых модулей, разработки коннекторов к УЦ и ресурсным системам, создания собственного клиентского программного обеспечения, а также интеграции JMS в существующие корпоративные системы.
Для интеграции JMS с внешней системой в сценариях, когда JMS является ведущей системой, необходимо разработать "коннектор". Коннектор к внешней системе позволяет в автоматическом режиме управлять данными, которые внешней системе требуется разместить на токене.
В JMS уже реализован коннектор, предназначенный для взаимодействия с таким классом систем, как Удостоверяющие центры (УЦ). Коннектор этого типа реализует общую логику работы с УЦ. Работа же с конкретной реализацией УЦ осуществляется через адаптеры (как расширение коннектора), учитывающие специфическую логику данного УЦ. Если у заказчика есть необходимость работать с новым УЦ, поддержка которого ещё не была осуществлена в JMS, он может разработать свой адаптер.
Для интеграции JMS с внешней системой, которая будет являться источником учётных записей пользователей и рабочих станций, необходимо разработать адаптер к ресурсной системе.
В числе ключевых возможностей и преимуществ, ставших доступными в версии 3.7:
По сравнению с версией 2.5 в JMS 3.0 были реализованы следующие функции: