JaCarta Management System 4LX для Linux
Учёт и централизованное управление средствами аутентификации и электронной подписи, защищёнными носителями информации, средствами безопасной удалённой работы
Реализует учёт и управление жизненным циклом аппаратных и программных средств аутентификации и электронной подписи, защищёнными носителями информации (ЗНИ) JaCarta SF/ГОСТ и средствами безопасной удалённой работы Aladdin LiveOffice.
Предоставляет дополнительные функции для работы с ЗНИ и средствами безопасной удалённой работы
Работа с защищёнными носителями информации
- Аутентификация и авторизация пользователей в процессе монтирования скрытых разделов
- Централизованная запись ISO-образов на предназначенные для этого открытые и скрытые разделы
- Перепрошивка операционной системы (firmware) и другие
Работа со средствами безопасной удалённой работы
- Персонализация (запись на прикладной раздел настроек для удалённого доступа)
- Регистрация средств вычислительной техники (СВТ)
- Обновления образов операционной системы (LiveOS), загрузчика (LiveBoot) и другие
JaCarta Management System 4LX обеспечивает широкий набор функций
- Учёт аппаратных средств аутентификации и электронной подписи – электронных ключей (ЭК), а также защищённых носителей информации, таких как JaCarta SF/ГОСТ и средств обеспечения безопасной дистанционной работы Aladdin LiveOffice , используемых сотрудниками.
- Автоматизация учёта электронных ключей JaCarta, в том числе сертифицированных ФСБ России как СКЗИ или обладающих несколькими функциями. Учитываются владелец, номер, модель электронного ключа, а также объекты на нём и рабочие станции, использующие токены.
- Управление на всех этапах жизненного цикла ЭК, ЗНИ, Aladdin LiveOffice , включая их выдачу, перевыпуск и отзыв, и всеми связанными с ними объектами (сертификаты, ключи, метки модулей доверенной загрузки и др.).
- Взятие под управление имеющихся ЭК, ЗНИ, Aladdin LiveOffice, в том числе, содержащих сертификаты, выпущенные сторонними организациями, и выпущенных ранее с автоматическим включением в работу.
Гибкие возможности интеграции c УЦ, ресурсными системами и средствами обеспечения ИБ
- Взаимодействие с популярными и распространёнными удостоверяющими центрами (УЦ), такими, как Microsoft CA (через встроенный прокси), Dogtag и др. Встроенный офлайн-коннектор, обеспечивает работу JMS с любыми удостоверяющими центрами, в том числе аттестованными или расположенными в изолированных контурах, не нарушая требований к информационной безопасности, предъявляемых к ним.
- Интеграция с ресурсными системами – источниками информации о пользователях и рабочих станциях, в качестве которых может выступать не только FreeIPA и Samba AD, но и Microsoft AD.
- Работа со всеми ЭК линейки JaCarta, ЗНИ JaCarta SF/ГОСТ и Aladdin LiveOffice.
Предоставляет удобный сервис самообслуживания пользователям
Сервис самообслуживания пользователей позволяет сотруднику самостоятельно совершать операции с ЭК, ЗНИ и средством обеспечения безопасной дистанционной работы Aladdin LiveOffice, осуществляя их выпуск, отключение, синхронизацию, блокирование, разблокирование, смену PIN-кода, замену и отзыв без обращения в ИТ или ИБ отделы.
Пользователи также имеют возможность выполнять специфические для ЗНИ и Aladdin LiveOffice операции, такие как монтирование скрытых разделов и запись и обновление ISO-образов и микропрограммного обеспечения (МПО) для ЗНИ, регистрация средств вычислительной техники (СВТ) и перезапись ОС, пользовательских данных и загрузчика для Aladdin LiveOffice.
Неограниченные производительность, масштабируемость и отказоустойчивость
Система JMS 4LX спроектирована с учётом высоких требований к производительности и поддерживает как вертикальную (за счёт более производительного аппаратного обеспечения), так и горизонтальную (кластеризация) масштабируемость. Более того, реализованные технологии исключают практическую возможность отказа в обслуживании клиентского запроса.
Поддерживаются кластерные технологии (NLB) и распространённые аппаратные балансировщики нагрузки. Возможность резервного копирования настроек, базы данных системы, закрытых ключей и сертификатов.
На существующих внедрениях JMS обслуживает десятки тысяч пользователей (до 100 тысяч) без внесения каких-либо ощутимых задержек в работу администраторов и пользователей.
JMS 4LX проходит нагрузочные тестирования и оптимизацию по результатам тестирования на специально разработанном облачном стенде, позволяющем имитировать практически любую нагрузку в самых разнообразных сценариях работы платформы.
Автоматизированное отслеживание действий пользователей и администраторов
В состав JMS 4LX входит система журналирования, позволяющая фиксировать все события, связанные с управлением администраторами и эксплуатацией пользователями ЭК/ЗНИ/Aladdin LiveOffice и объектов на них. Система ведёт служебный журнал, что облегчает диагностику неисправностей и разбор конфликтных ситуаций.
В части ЗНИ система автоматически при каждой синхронизации собирает с подключённых ЗНИ журналы их использования, недоступные пользователю ЗНИ. В журналах содержится информация обо всех фактах использования или попыток использования ЗНИ – подключения, попытки монтирования (удачные/неудачные) и т.д.
Удобная настраиваемая подсистема отчётов позволяет в любой момент получить информацию обо всех событиях в системе в нужном разрезе.
Все события, связанные с управлением ЭК/ЗНИ/Aladdin LiveOffice и эксплуатацией ЗНИ, могут быть выгружены на сервер Syslog, что означает возможность интеграции платформы с любыми стандартными SIEM-системами.
В JMS 4LX реализована настраиваемая система уведомлений посредством отправки сообщений на e-mail, которая помогает администраторам отслеживать важные для них события: подключение нового токена/ЗНИ/Aladdin LiveOffice, окончание срока действия сертификатов на токене и т.д.
Входит в реестр отечественного ПО, соответствует требованиям регуляторов
JaCarta Management System 4LX для Linux представляет собой настоящее отечественное ПО.
Система JMS 4LX создана в России, учитывает специфику нашей страны и включена в (Единый реестр отечественного ПО № 11260).
Сертификат ФСТЭК России a№ 4516 от 25.01.2022 на соответствие ТУ и 4 уровню доверия позволяет использовать её для защиты информации в ИСПДн до 1 уровня включительно и при создании автоматизированных ИС до класса защищённости 1Г включительно.
Ориентация на российского потребителя позволяет в полной мере удовлетворить потребности заказчиков, например, организовать учёт СКЗИ в соответствии с требованиями ФСБ России.
Технические подробности
Основные функции JMS 4LX
Учёт средств аутентификации, электронной подписи и других совместимых средств обеспечения информационной безопасности
- Поэкземплярный учет и регистрация аппаратных средств аутентификации и электронной подписи, а также защищённых носителей информации JaCarta SF/ГОСТ (средство контроля отчуждения (переноса) информации со съёмных машинных носителей информации, защищённых носителей информации (ЗНИ)) и средств обеспечения безопасной дистанционной работы Aladdin LiveOffice, используемых сотрудниками
- Автоматизация учёта всех электронных ключей (ЭК), ЗНИ и Aladdin LiveOffice, в том числе сертифицированных СКЗИ. Учёт владельца, номера, модели и срока службы электронного ключа, а также объектов на нём и рабочих станций, использующих этот носитель
- Регистрация новых аппаратных средств аутентификации и электронной подписи в пакетном режиме с использованием загружаемых в программный комплекс информационных файлов, полученных от поставщика аппаратных средств аутентификации и электронной подписи
Управление жизненным циклом программных и аппаратных объектов PKI-инфраструктуры, защищённых носителей информации, средств обеспечения безопасной дистанционной работы и других совместимых средств обеспечения информационной безопасности
- Управление всем жизненным циклом электронных ключей, ЗНИ, Aladdin LiveOffice, включая их выдачу, перевыпуск, отзыв и всех связанных с ними объектов (сертификатов, ключей, меток модулей доверенной загрузки и др.)
- Взятие под управление имеющихся ЭК, ЗНИ, Aladdin LiveOffice, в том числе, содержащих и, выпущенных ранее (при этом все ранее выпущенные объекты сохраняются на ЭК, ЗНИ, Aladdin LiveOffice) с автоматическим включением их в работу
- Централизованное управление политиками ПИН-кодов в отношении ЭК, ЗНИ, Aladdin LiveOffice
- Формирование и вывод на печать актов и заявок на выдачу электронных ключей, ЗНИ, Aladdin LiveOffice и сертификатов, а также значимых полей выпущенных сертификатов с отметками о выдаче и получении, что позволяет автоматизировать документооборот, связанный с их жизненным циклом
- Разблокировка ЭК пользователем в ручном (“запрос-ответ”) или автоматическом режиме
Автоматизация процессов выпуска и обновления сертификатов для аутентификации и электронной подписи согласно политикам
- Автоматизация процессов выдачи электронных ключей сотруднику, персонализации электронных ключей, записи ключевой информации и аутентификационных данных в память электронных ключей
- В случае изменения политик безопасности автоматическое применение всех выполненных обновлений к содержимому электронных ключей без необходимости перевыпуска электронных ключей пользователей вручную. После применения изменённой политики автоматически перевыпускаются сертификаты на электронные ключи, подпадающие под эту изменённую политику
- В случае изменения личных данных пользователей автоматический запрос на выпуск новых сертификатов с изменившимися личными данными и запись их на электронные ключи, без необходимости перевыпуска ЭК пользователей вручную
Ролевая модель, делегирование
- Гибкая ролевая модель безопасности c предустановленными ролями и возможностью создания собственных
- Стандартные роли системы ("Пользователь", "Оператор", "Аудитор", "Администратор ИБ", "Запуск плана обслуживания"), каждая из которых включает определённый набор прав
- Разграничение области действия роли в пределах некоторой иерархии объектов
Работа с удостоверяющими центрами и сертификатами
- Выпуск цифровых сертификатов в автоматическом и полуавтоматическом (с одобрением выпуска оператором УЦ) режимах
- Выпуск сертификатов на УЦ Microsoft CA через компонент MSCA Proxy
- Выпуск сертификатов на УЦ Dogtag с помощью штатного коннектора
- Работа с УЦ, в том числе с прошедшими аккредитацию, когда невозможно установить канал связи между JMS и УЦ в Offline режиме с помощью специального Offline адаптера
- Создание кастомизированных запросов на сертификат с возможностью выбора необходимых атрибутов пользователя для УЦ Microsoft CA и для Offline адаптера
- Отображение информации о всех выпущенных и найденных цифровых сертификатах на одном экране "Сертификаты"
- Контроль срока действия сертификатов и закрытых ключей с возможностью отправки оповещения о скором истечении действия сертификата на электронную почту
- Публикация сертификатов, выпущенных сторонними организациями, в Active Directory для последующей интеграции с системами электронного документооборота
Поддержка ресурсных систем
- Управление ключами пользователей из различных ресурсных систем посредством регистрации в программном комплексе пользователей из следующих баз учетных данных: Microsoft Active Directory, FreeIPA, Samba AD DC, ALD Pro*
- Связывание учётных записей пользователей из разных ресурсных систем по совпадающему атрибуту для избегания путаницы при назначении и дальнейшем управлении электронными ключами пользователей
Ведение поэкземплярного учета СКЗИ
- Поэкземплярный учёт средств криптографической защиты информации (СКЗИ), в том числе учёт
- Регистрации в базе данных программного комплекса дистрибутивов, копий дистрибутивов, документации, лицензий СКЗИ, аппаратных модулей СКЗИ и носителей ключевой информации (электронные ключи JaCarta, сертифицированные ФСБ России как СКЗИ, КриптоПро CSP, ViPNet CSP), подлежащих учету
- Передачи экземпляров СКЗИ (электронные ключи JaCarta, сертифицированные ФСБ России как СКЗИ, КриптоПро CSP, ViPNet CSP и т.п.) и документации сотрудникам
- Установки программных СКЗИ (КриптоПро CSP, ViPNet CSP) и лицензий на АРМ пользователей
- Обнаружение и регистрация ранее установленных на АРМ пользователей КриптоПро CSP 3.6, 3.9, 4.0, 5.0 ViPNet CSP 4.2, 4.4 и лицензий на эти СКЗИ, при наличии сетевого соединения между серверным компонентом программного комплекса и АРМ пользователя и наличии запущенного клиентского компонента программного комплекса на АРМ пользователя
- Автоматическое создание в электронном журнале учета СКЗИ событий, относящихся к регистрации, передаче пользователю, введению в эксплуатацию, выводу из эксплуатации, уничтожению экземпляров СКЗИ для следующих СКЗИ:
- электронные ключи JaCarta, сертифицированные ФСБ России как СКЗИ;
- КриптоПро CSP 3.6, 3.9, 4.0, 5.0;
- ViPNet CSP 4.2, 4.4.
- Ведение электронного журнала учета ключевых документов и автоматическое создание в нем событий, относящихся к регистрации, передаче пользователю, введению в эксплуатацию, выводу из эксплуатации, уничтожению ключевых документов, созданных с использованием следующих СКЗИ:
- КриптоПро CSP 3.6, 3.9, 4.0, 5.0;
- ViPNet CSP 4.2, 4.4.
Автоматизация работы с защищёнными носителями информации JaCarta SF/ГОСТ
- Автоматизация следующих операций
- Инициализация (запись атрибутов в соответствии с установленным администратором ПО JMS профилем; атрибуты профиля устанавливаются в соответствии с политиками ИБ, принятыми в организации)
- Разметка Flash-памяти ЗНИ на открытые/закрытые разделы, количество и размеры которых устанавливаются администратором ПО JMS в соответствии с политиками организации
- Запись ISO-образов (при необходимости) из источников, расположенных по адресу, указанному администратором ПО JMS
- Считывание журналов событий безопасности и попыток несанкционированного доступа с ЗНИ пользователей в процессе синхронизации и передачи их на сервер JMS для хранения в единой базе системы
- Очистка журналов аудита с ЗНИ после успешной синхронизации
- Обновление встроенного программного обеспечения
- Обезличивание (приведения к заводским настройкам)
- Предоставление пользователю возможности доступа к закрытым разделам ЗНИ при условии успешной аутентификации в ПО JMS в соответствии с установленными администратором ПО JMS политиками использования ЗНИ
- Предоставление пользователю возможности доступа к закрытым разделам ЗНИ с использованием предварительно подготовленных администратором ПО JMS файлов-контейнеров, передаваемых пользователю защищённым способом в случае невозможности подключения к серверу ПО JMS
Автоматизация работы со средствами обеспечения безопасной дистанционной работы Aladdin LiveOffice
- Автоматизация следующих операций
- Инициализация (создание пользователя и запись атрибутов в соответствии с установленным администратором ПО JMS профилем; атрибуты профиля устанавливаются в соответствии с политиками ИБ, принятыми в организации)
- Персонализация (запись на прикладной раздел настроек для удаленного доступа и реквизитов SecurLogon)
- Регистрация СВТ (средства вычислительной техники)
- Разблокировка средств обеспечения безопасной дистанционной работы
- Обновление образов операционной системы (LiveOS) и загрузчика (LiveBoot)
- Считывание журналов аудита средств обеспечения безопасной дистанционной работы пользователей в процессе синхронизации и передачи их на сервер JMS для хранения в единой базе системы
- Очистка журналов средств обеспечения безопасной дистанционной работы после успешной синхронизации
- Приведение к заводским настройкам
Личный кабинет пользователя
- Web-портал самообслуживания для пользователей
- Предоставление сервиса самообслуживания для пользователей, позволяющего сотруднику самостоятельно совершать операции с ЭК, ЗНИ и Aladdin LiveOffice, осуществляя их выпуск, отключение, синхронизацию, блокирование, разблокирование, смену PIN-кода, замену и отзыв без обращения в ИТ- или ИБ-отделы
- Для ЗНИ функции управления доступом к монтированию скрытых разделов, перезаписи ISO-образов и перепрошивки встроенного программного обеспечения, смены PIN-кода пользователя, сбора журналов
- Для Aladdin LiveOffice функции обновления образов, сбора журналов, смены пароля пользователя
- Осуществление технической поддержки и сопровождения пользователей, устройств и объектов на них через клиентскую часть
- Функции самообслуживания также доступны для электронных ключей и ЗНИ через "толстый клиент" на ОС Windows (JMS клиент), на ОС Linux (JWA-трей) доступны функции быстрого доступа к ЗНИ с возможностью монтирования\размонтирования защищённого раздела.
Аудит действий администраторов и пользователей системы
- Журнал аудита (записи аудита административных операций)
- Журнал Клиентских событий (записи событий, полученных с клиента)
- Журнал предупреждений (журнал событий, требующих особого рассмотрения у администратора)
- Журнал выполнения планов обслуживания (сведения о запуске, прохождении, результате выполнения планов обслуживания)
- Журналы аудита JaCarta SF/ГОСТ (записи событий безопасности и несанкционированного доступа (НСД))
- Журналы аудита Aladdin LiveOffice (записи событий безопасности, администрирования и эксплуатации)
Возможность уведомления
- Оповещение по e-mail для администраторов и пользователей по значимым событиям в системе
- Оповещение пользователя посредством всплывающих уведомлений в клиентском компоненте
- Отправка событий журналов аудита на Syslog-сервер для возможности интеграции с SIEM-системами
Масштабируемость и отказоустойчивость
- Поддержка кластерных технологий (NLB) и распространённых аппаратных балансировщиков нагрузки
- Резервное копирование настроек и базы данных системы
- Резервное копирование закрытых ключей и сертификатов
| Системные требования |
» Сервер JMS
» СУБД
» JMS Web Admin
» JMS Web Agent
» Web-клиент из состава компонентов «Консоль управления JMS» и «JMS Web Agent»
» Клиент JMS, Консоль управления JMS («толстые клиенты»)
|
||||||||||||
| Модели поддерживаемых электронных ключей и других совместимых средств обеспечения информационной безопасности |
Электронные ключи
Защищенные носители информации
Средства обеспечения безопасной дистанционной работы
|
||||||||||||
| Поддерживаемые УЦ |
|
||||||||||||
| Ресурсные системы |
|
||||||||||||
| Масштабируемость и отказоустойчивость |
|
||||||||||||
| Территориальные ограничения использования продукта | Нет (ограничения есть только при использовании сертифицированных СКЗИ) | ||||||||||||
| Необходимость наличия лицензий на распространение JMS | Нет (лицензия ФСБ России на распространение СКЗИ требуется при продаже носителей с поддержкой российской криптографии, например, JaCarta-2 ГОСТ) | ||||||||||||
| Локализация (поддерживаемые языки) |
|
||||||||||||
| Поддерживаемые СКЗИ (функция "Учёт СКЗИ") | В JMS реализована поддержка ключевых носителей, являющихся сертифицированными СКЗИ, таких, как JaCarta-2 ГОСТ, а также сертифицированных программных СКЗИ, например, КриптоПро и ViPNet CSP. Благодаря встроенным возможностям определения новых типов СКЗИ JMS позволяет вести учёт любых аппаратных и программных СКЗИ в соответствии с нормативными правилами регулятора (ФСБ России). | ||||||||||||
| Возможность добавления других моделей электронных ключей | Есть (по запросу) | ||||||||||||
| Сертификация |
ФСТЭК России Сертификат ФСТЭК России №4516 от 25.01.2022 на соответствие ТУ и 4 уровню доверия позволяет использовать JMS для защиты информации в ИСПДн до 1 уровня включительно и при создании автоматизированных ИС до класса защищённости 1Г включительно. |
||||||||||||
| Единый реестр отечественного ПО | JMS — Система управления средствами информационной безопасности JaCarta Management System 4LX для среды функционирования Linux, включенная в Единый реестр отечественного ПО (№ 11260) и рекомендуемая к закупкам государственными и муниципальными органами власти (при наличии отечественного решения государственные структуры не могут приобретать аналогичное по функциям импортное ПО) | ||||||||||||
| Масштабирование | От 100 до 1 000 000 устройств (использование JMS для работы менее чем со 100 электронными ключами и средствами информационной безопасности нецелесообразно) |
Архитектура JMS 4LX
Сервер JMS
Сервер JMS — ядро JMS, осуществляющее централизованное управление учётными записями пользователей, токенами, политиками и т.д. Может быть установлен как единичный сервер или развёрнут как кластер. Поддерживается виртуализация и резервное копирование баз данных и настроек системы.
База данных JMS
База данных JMS обеспечивает централизованное хранение информации об учётных записях пользователей JMS, токенах, объектах, выпущенных на токенах, политиках, настройках JMS и т.д.
JMS Web Admin
JMS Web Admin работает как Web-сервис и позволяет регистрировать пользователей, выполнять операции с токенами пользователей, настраивать профили выпуска, создавать и редактировать глобальные группы JMS, выполнять планы обслуживания. Доступ к объектам и операциям в JMS Web Admin определяется полномочиями конкретного администратора в соответствии с назначенной ему ролью. Работает одинаково на ОС MS Windows и ОС семейства Linux.
Консоль управления JMS
Консоль управления JMS — консоль администратора, позволяющая регистрировать пользователей, выполнять операции с токенами пользователей, настраивать профили выпуска, создавать и редактировать глобальные группы JMS, выполнять планы обслуживания. Доступ к объектам и операциям в консоли управления определяется полномочиями конкретного администратора в соответствии с назначенной ему ролью. Работает только на ОС MS Windows.
JMS WebAgent
JMS WebAgent — сервис, работающий на стороне пользователя и на стороне администратора. Сервис реализует личный Web-кабинет пользователя на локальной рабочей станции, который выполняет функцию синхронизации содержимого токена с данными на сервере, а также позволяет пользователю выполнять ряд операций с токеном в рамках сервиса самообслуживания (выпуск, разблокировка, отзыв).
Помимо личного Web-кабинета пользователя, сервис позволяет взаимодействовать и ЭК, ЗНИ и пр. из страницы браузера JMS Web Admin и Личного кабинета пользователя.
Клиент JMS
Клиент JMS — клиентский агент JMS на стороне пользователя, который выполняет функцию синхронизации содержимого токена с данными на сервере, а также позволяет пользователю выполнять ряд операций с токеном в рамках сервиса самообслуживания (выпуск, разблокировка, отзыв).
Задать вопрос эксперту
