Обзор систем управления ключевыми носителями и цифровыми сертификатами (PKI)

Вступление в силу новых правил аккредитации удостоверяющих центров

Государство решило ужесточить требования к удостоверяющим центрам (УЦ), выдающим ключи и сертификаты к электронным подписям. Не все участники рынка могут им соответствовать, поэтому количество центров заметно сократится. 

Требования усилились по части размера собственных средств и страховой ответственности: 

Цель введения новых правил для УЦ – сокращение количества аккредитованных УЦ, чтобы на рынке остались только ответственные игроки. 

Однако формальными требованиями к УЦ решено было не ограничиваться, поэтому была введена дополнительная процедура, аналогичная той, которая существует в банковской сфере — оценка деловой репутации, чистоты намерений у компании и ее руководителей. Заниматься таким анализом должна правительственная комиссия.

С 1 июля 2020 года УЦ должны были пройти новую аккредитацию по новым требованиям 63-ФЗ. Со списком УЦ, прошедшим отбор, уже можно ознакомиться на сайте Минцифры. В их числе и УЦ, входящие в группу компаний СКБ Контур: удостоверяющий центр СКБ Контур и «Сертум-Про».

«актив»

Компанией «Актив» на рынке представлен Рутокен KeyBox, средство администрирования и управления жизненным циклом ключевых носителей (USB-токенов, смарт-карт и других устройств), ориентированный на использование в корпоративных сетях, построенных на технологиях Microsoft Windows. Рутокен KeyBox представляет собой Indeed Card Management, продаваемый под брендом Рутокен.

Рутокен KeyBox позволяет эффективно управлять жизненным циклом ключевых носителей, дает возможность вести журнал и осуществлять аудит действий с ключевыми носителями, автоматизировать процессы управления сертификатами пользователей, выполнять резервное копирование ключевой информации. Рутокен KeyBox позволяет существенно снижать издержки и повышать уровень комфорта при внедрении PKI.

Возможности:

 Подробнее с продуктом Рутокен KeyBox можно ознакомиться здесь.

«аладдин р.д.»

Компанией «Аладдин Р.Д.» на рынке представлена система управления ключевыми носителями и цифровыми сертификатами JaCarta Management System.  На момент написания статьи единственная система управления, включенная в реестр отечественного ПО и рекомендованная для внедрения в государственных и муниципальных учреждениях.

JaCarta Management System (JMS) — система управления, полноценно поддерживающая новое поколение средств аутентификации и электронной подписи JaCarta, а также смарт-карты и токены SafeNet eToken (в т. ч. модели ГОСТ). Система автоматизирует типовые операции при работе с токенами, позволяет централизованно управлять доступом к корпоративным системам и получать информацию обо всех действиях в отношении средств аутентификации и электронной подписи.

Возможности:

• автоматизация типовых операций управления жизненным циклом токенов (назначение, выпуск, предоставление/отзыв прав, временное отключение, разблокировка, замена);
• поддержка работы со следующими моделями токенов и смарт-карт: USB-токены и смарт-карты JaCarta (JaCarta PKI, PKI/Flash, ГОСТ, ГОСТ/Flash, JaCarta PKI/BIO (в версии JMS 1.1)), USB-токены и смарт-карты SafeNet eToken (eToken PRO, eToken PRO (Java), eToken NG-Flash (Java), eToken ГОСТ), а также ;
• централизованное управление политиками безопасности в отношении средств аутентификации и электронной подписи;
• поддерживаемые удостоверяющие центры: УЦ Microsoft CA, УЦ Microsoft CA с КриптоПро CSP, УЦ КриптоПро 1.5, УЦ КриптоПро 2.0 (в версии JMS 1.1), Валидата CSP (в версии JMS 2.0);
• управление пользователями и их ключевыми носителями;
• Self-service для делегирования части операций по управлению токеном пользователю (позволяет сотруднику компании совершать необходимые операции с токеном без обращения в службу Help Desk);
• синхронизация с внешними системами (например, отзыв/отключение ключевого носителя в случае удаления или блокировки пользователя во внешней системе);
• ведение журнала действий пользователя по использованию токенов и смарт-карт, а также журнала действий администраторов, выполняемых через консоль администратора;
• резервное копирование как выпущенных объектов (закрытых ключей, сертификатов), так и настроек системы в целом;
• пакетная регистрация токенов (возможность регистрации всех приобретенных токенов JaCarta за несколько минут);
• возможность автоматически включать в работу токены и смарт-карты, выпущенные ранее. При этом все ранее выпущенные объекты сохраняются на ключевом носителе;
• автоматическая синхронизация изменений, позволяющая применить все совершенные обновления к содержимому токенов без необходимости перевыпуска токенов пользователей вручную (за определенное время до истечения срока действия сертификата JMS автоматически запрашивает в УЦ новый сертификат и записывает его в память токена удаленно);
• учет средств криптографической защиты информации в соответствии с требованиями регуляторов;
• управление токенами внешних пользователей, позволяющее вести учет токенов и смарт-карт пользователей, работающих вне корпоративной сети — партнеров, заказчиков, удаленных сотрудников и т. д.;
• плавная миграция с SafeNet Authentication Manager (SAM) / Token Management System (TMS);
• имеет сертификат соответствия ФСТЭК России (сертификат ФСТЭК № 3355 от 02.03.2021 до 02.03.2021 по 4 уровню РД НДВ и ТУ).

Подробнее с продуктом JaCarta Management System можно ознакомиться здесь.

Gemalto (safenet)

Компанией Gemalto на рынке представлено программное решение для управления инфраструктурой аутентификации в масштабах предприятия SafeNet Authentication Manager (SAM).

SAM представляет собой комплексную платформу, позволяющую организациям управлять полным жизненным циклом аутентификации на всем предприятии и реализовывать строгую аутентификацию в облаке на основе единой интегрированной системы. В его функционал также входит управление ключевыми носителями и цифровыми сертификатами.

Возможности:

Hid global

Компанией HID Global на рынке представлена система управления смарт-картами и смарт-токенами ActivID CMS.

ActivID CMS представляет собой комплексное, гибкое и высококонфигурируемое решение для управления выпуском и администрирования смарт-карт. Система управления картами ActivID позволяет предприятиям легко и безопасно управлять используемыми смарт-картами и USB-токенами.

Предприятия, использующие систему управления картами ActivID Credential Management System (CMS), имеют возможность безопасно включать сертификаты PKI и другие средства идентификации в различные устройства, в том числе смарт-карты, токены и мобильные телефоны.

Возможности:

• возможность выпуска и управления смарт-картами, используемыми для широкого спектра офисных приложений, обеспечения безопасности сети и для приложений, повышающих эффективность работы;
• возможность использования для организации контроля логического и физического доступа;
• управление устройствами аутентификации (смарт-картами, USB-смарт-токенами и т. д.), данными (статическими паролями, биометрическими и демографическими данными), программными компонентами (программами генерации одноразовых паролей и программами идентификации личности — Personal Identity Verification (PIV)) и цифровыми идентификаторами (в том числе сертификатами PKI);
• взаимодействие с широким спектром сред, включая операционные системы, каталоги, клиентские и серверные системы управления идентификаторами, центры сертификатов и системы контроля физического доступа;
• комплексная защищенная система аудиторского контроля, фиксирующая все события и отражающая их в отчетах;
• защищенный прозрачный метод передачи засекреченных данных, записанных на смарт-карты или USB-токены, подсоединенные к пользовательской рабочей станции;
• ролевая система управления через веб-портал по преднастроенным административным ролям с возможностью дальнейшего детального распределения полномочий;
• встроенный механизм интеграции с большим количеством систем смежной инфраструктуры (LDAP, CA и т. п.);
• интеграция с PKI-клиентом ActivID ActivClient для автоматизированного обслуживания смарт-карт на клиентских системах и станциях самообслуживания (киоски);
• поддержка стороннего клиентского ПО и смарт-карт через стандартный протокол PKCS#11 (например, SafeNet eToken, E-Smart);
• SDK для интеграции через API со сторонними системами управления учетными данными (IDM, СКУД) и кастомизации выпуска смарт-карт.

Подробнее с продуктом ActivID CMS можно ознакомиться здесь.

Indeed id

Компанией Indeed ID на рынке представлена система управления ключевыми носителями и цифровыми сертификатами пользователей Indeed Card Management.

Indeed Card Management обеспечивает решение задач, связанных с применением инфраструктуры открытых ключей в масштабах предприятия. В рамках представленной системы поддерживаются различные смарт-карты и удостоверяющие центры (в том числе поддерживающие ГОСТ-шифрование).

Возможности:

• управление жизненным циклом ключевых носителей;
• учет средств криптографической защиты информации;
• поддержка работы с ключевыми носителями разных типов и производителей: USB-ключи Rutoken компании «Актив», USB-ключи и смарт-карты eToken компании SafeNet, USB-ключи и смарт-карты JaCarta компании «Аладдин Р.Д.», USB-ключи и смарт-карты ESMART компании ISBC, USB-ключи AvestKey компании «Авест», смарт-карты ID Prime компании Gemalto. При этом все поддерживаемые носители можно использовать в рамках одной инфраструктуры;
• возможность использования уникальной виртуальной смарт-карты Indeed AirKey Enterprise, полностью эмулирующей поведение физической смарт-карты и исключающей затраты, связанные с приобретением, сопровождением и заменой пластиковых смарт-карт, считывателей, USB-токенов;
• централизованное управление цифровыми сертификатами на протяжении всего жизненного цикла;
• автоматизация процессов управления цифровыми сертификатами пользователей;
• поддержка работы с удостоверяющими центрами Microsoft CA, КриптоПро УЦ 1.5 и КриптоПро УЦ 2.0;
• аутентификация пользователей сервиса самообслуживания по секретным вопросам;
• резервное копирование ключевой информации (создание дубликатов утерянных или поврежденных ключевых носителей);
• ведение журналов событий и аудит действий администраторов и пользователей с ключевыми носителями;
• самостоятельное оперативное решение пользователями основных задач использования ключевых носителей (через сервис самообслуживания);
• возможность разблокировки ключевых носителей на стороне пользователя до входа в ОС;
• управление картами за пределами сети предприятия, которое пользователи могут выполнять самостоятельно (через удаленный сервис самообслуживания);
• ведение электронного журнала учета СКЗИ в соответствии с требованиями регуляторов;
• возможность печати на картах и выпуск сертификатов в пакетном режиме;
• построение отчетов о событиях системы;
• веб-интерфейс, который адаптируется к размеру экрана пользователя (удобно работать на персональном компьютере, планшете или смартфоне);
• интеграция с системами управления логическим доступом Indeed EA и Indeed ESSO, что позволяет синхронизировать жизненные циклы смарт-карт и учетных данных (в момент выпуска ключевого носителя администратор может сразу сконфигурировать SSO-профиль пользователя);
• наличие API для интеграции с внешними системами класса Identity Management и др.

Подробнее о продукте Indeed Card Management можно прочитать здесь (также с детальным описанием продукта можно ознакомиться в статье «Обзор Indeed Card Management»).

Аванпост

Компанией «Аванпост» на рынке представлен программный комплекс Avanpost, решающий задачи по автоматизации задач, связанных с организацией и управлением доступом к информационным ресурсам предприятия. В его состав входит модуль, обеспечивающий централизованное управление всеми элементами инфраструктуры открытых ключей из единого интерфейса.

Avanpost PKI предусматривает возможность управления неограниченным количеством ключевых носителей и сертификатов пользователей. В его составе реализованы такие функции, как управление электронными сертификатами, управление информацией о токенах и централизованной базой с информацией о токенах, ведение поэкземплярного учета средств криптографической защиты информации, автоматизация процесса выпуска сертификатов, реализация полного цикла workflow, ведение различных журналов событий.

Возможности:

Как выбрать сертификат для подписи

Ниже расскажем, как подписывать отчетность в контролирующие органы сертификатом руководителя, выданным УЦ ФНС, или сертификатом физлица. 

Как отозвать электронную доверенность

Электронную доверенность нужно отозвать, например, если физлицо уже не работает в обслуживающей бухгалтерии и не должно иметь полномочий подписывать документы за организацию. 

Отзыв электронной доверенности — формализованный документ, который надо подписать сертификатом руководителя, выданным УЦ ФНС. Отозвать доверенность можно в «Реквизитах плательщика» в блоке доверенности. Заполните форму отзыва и отправьте ее, подписав сертификатом руководителя или предварительно запросив подпись от руководителя. Когда от ФНС придет ответ, что отзыв принят, доверенность перестанет действовать.

Как отправить электронную доверенность в фнс

! На скринах, которые вы увидите дальше, — прототипы. То, как в итоге будет выглядеть в Экстерне работа с электронными доверенностями, может отличаться от представленных изображений.  

В Экстерне в «Реквизитах плательщика» в блоке «Подписание документов» можно будет выбрать сертификат физлица и затем нажать на кнопку «Добавить доверенность».  

Затем будут варианты: 

• «Заполнить» — появится окно, куда надо внести данные. 
• «Есть принятая электронная доверенность» — если раньше вы уже работали в другой системе отчетности с сертификатом физлица, можно просто ввести данные действующей электронной доверенности.

Руководитель сможет выдать права на отправку отчетности в конкретную ИФНС, а не во все сразу, но по умолчанию Экстерн будет считать, что доверенность действует во всех ИФНС.

Как подписать и отправить электронную доверенность

Здесь может быть две ситуации. 

В «Реквизитах плательщика» будет отражаться, какого числа был отправлен запрос на подпись руководителю, а в списке организаций появится статус «Доверенность ожидает подписи».   

Когда руководитель подпишет доверенность по ссылке из полученного письма, вы увидите уведомление в Экстерне и сможете отправить доверенность в ФНС. После этого нужно будет подождать ответ от ФНС.

Если от ФНС пришел отказ, вы сможете посмотреть причину отказа и переоформить доверенность.

Если ФНС приняла доверенность, вы сможете отчитываться за организацию, данные из доверенности будут подтягиваться в сообщение о представительстве, которое высылается вместе с отчетами. 

Криптопро csp: как установить/скопировать сертификат/контейнер/ключ в реестр?

Многопользовательский режим работы в экстерне

Раньше, чтобы добавить пользователя в Экстерн, требовалось купить рабочее место и сертификат. В июле появится возможность добавлять в Экстерн пользователей, не выпуская на них сертификат в процессе покупки, если у них уже будет сертификат физлица. Дело в том, что теперь при переходе в разные организации у сотрудника может оставаться на руках один и тот же сертификат физлица.

Как добавить в Экстерн нового пользователя (с сертификатом или без):

Носители для электронной подписи

Носители для электронной подписи (токены) – это специализированные устройства для хранения и применения ключа электронной подписи. Внешне такое устройство напоминает обычную флешку, однако, в зависимости от модели и области применения подписи, обладает рядом дополнительных свойств, например, защита паролем, встроенная криптография и пр.

Выпуск и хранение усиленной квалифицированной электронной подписи на отчуждаемом носителе (токене) – наиболее безопасный вариант использования ЭЦП. Так как запароленный носитель вы можете хранить в безопасном месте и полностью контролировать доступ к нему.

Однако, с 1 июля 2021 года для целого ряда пользователей вопрос о том, где же хранить электронную подпись – на токене или на компьютере – отпадёт естественным образом. Пользователи, обязанные получать ЭЦП в УЦ ФНС, обязаны будут и предоставить для этой подписи защищенный носитель.

Носитель для электронной подписи: где купить

Токены продаются в самых разных местах. Вы можете купить токен у дистрибьютора производителя, можете обратиться в специализированный интернет-магазин или к оператору ЭДО. А можно купить токен в коммерческом УЦ, в котором вы привыкли получать подпись.

Например, УЦ «Деловая сеть» является авторизованным партнёром компании «Актив», выпускающей серию носителей Рутокен. Поэтому у нас вы всегда можете приобрести носители Рутокен непосредственно от производителя. Также наш УЦ предлагает носители JaCarta компании «Аладдин».

При этом у вас есть возможность использовать уже имеющиеся носители (в зависимости от типа носителя и электронной подписи) более чем для одной электронной подписи. Например, носитель Рутокен Lite позволяет хранить и использовать до 10 электронных подписей.  Сколько электронных подписей поместится на конкретный носитель – уточняйте при покупке.

 JaCartaносители для ЭЦПРутокентокен

Отчетность в пфр

Чтобы отправлять отчетность в ПФР, вам, как и раньше, нужно будет сначала передать в ПФР регистрационные данные с информацией о сертификате (инструкция). При этом вы сможете выбрать в списке сертификат руководителя, выданный УЦ ФНС, или сертификат физлица.

При отправке отчета СЗВ-ТД, а также документов ЗПЭД и УПУП сертификат нужно выбрать перед отправкой — в выборе сертификатов появятся сертификаты физлица и сертификаты УЦ ФНС. 

Если вы сдаете в ПФР только отчеты СЗВ-ТД, регистрационную информацию можно не отправлять. 

Отчетность в фнс, росстат

Чтобы отчитываться в ФНС и Росстат, вам нужно будет выбрать сертификат руководителя, выданный УЦ ФНС, или сертификат физлица в реквизитах плательщика как сертификат для подписи (инструкция).

Отчетность в фсс

При отправке отчетности вы сможете выбрать сертификат руководителя, выданный УЦ ФНС, или сертификат физлица в списке.

Если сотрудник будет отправлять документы с сертификатом физлица, ему необходимо, как и прежде, сначала зарегистрироваться на портале ФСС и передать в ФСС бумажную доверенность старого образца (инструкция).

Появился новый участник рынка — удостоверяющий центр фнс

На рынке центров появился УЦ ФНС, который станет крупнейшим участником и займет ключевое место в общей инфраструктуре. 

С 1 января 2022 года УЦ ФНС начнет бесплатно выдавать сертификаты руководителям юрлиц, предпринимателям и нотариусам. Остальные аккредитованные УЦ будут выдавать сертификаты только физлицам или уполномоченным лицам организации. 

Цель изменений – повышение уровня доверия к процедуре выдачи сертификата. 

С 1 июля 2021 года УЦ ФНС действует в пилотном режиме. Он поможет до конца года настроить взаимодействие ФНС с клиентами и операторами ЭДО, чтобы понять, как должна осуществляться процедура. 

Российский рынок систем управления ключевыми носителями и цифровыми сертификатами

В России, в отличие от мирового рынка, устоялся более узкий рынок, куда вошли системы управления ключевыми носителями и цифровыми сертификатами.

Они применяются как в государственном, так и в коммерческом секторе. Одним из главных преимуществ российских продуктов является то, что они работают со всеми самыми распространенными в нашей стране моделями токенов (SafeNet eToken, JaCarta, Rutoken и т. д.) и смарт-карт, а также интегрируются с российскими удостоверяющими центрами.

Кроме того, отличительной особенностью российских продуктов является функция ведения поэкземплярного учета средств криптографической защиты информации (СКЗИ) в соответствии с требованиями ФСБ России, которые присущи только нашему рынку.

Российские известные решения представлены такими компаниями, как «Аванпост», «Аладдин Р.Д.», Indeed ID и «Актив».

Из зарубежных производителей в России широко представлены продукты таких компаний, как Gemalto (купившая SafeNet) и HID Global. При этом компания Gemalto является обладателем прав на продукцию SafeNet, включая популярную у нас линейку eToken (первоначально принадлежавшую Aladdin Knowledge Systems и ранее приобретенную SafeNet).

Часть представленных решений являются сертифицированными средствами защиты информации и имеют сертификаты соответствия ФСТЭК России. Ниже представлен перечень сертифицированных продуктов с указанием имеющихся у них сертификатов соответствия ФСТЭК России:

• программный комплекс Avanpost (компания «Аванпост») — сертификат ФСТЭК России № 2710 от 07.09.2021 до 07.09.2021 на соответствие ТУ и 4 уровню РД НДВ (серия);
• программное обеспечение JaCarta Management System (компания «Аладдин Р.Д.») — сертификат ФСТЭК России № 3355 от 02.03.2021 до 02.03.2021 по 4 уровню РД НДВ и ТУ (серия);
• программное обеспечение SafeNet Authentication Manager 8.2 (компания Gemalto) — сертификат ФСТЭК России № 2769 от 03.12.2021 до 03.12.2021 на ТУ и 4 РД НДВ с ограничениями (серия).

Краткий обзор продуктов, представленных на российском рынке, приведен ниже.

Системы управления ключевыми носителями и цифровыми сертификатами

Рассматриваемые системы обеспечивают централизованное управление ключевыми носителями и хранящимися на них сертификатами на протяжении всего их жизненного цикла.

Основными функциями таких систем являются:

• централизованное управление жизненным циклом ключевых носителей;
• автоматизация процессов управления сертификатами пользователей;
• выпуск сертификатов с использованием внешних удостоверяющих центров;
• резервное копирование ключевой информации;
• журналирование и аудит действий администраторов и пользователей в рамках системы;
• функционал самообслуживания для сотрудников.

Как правило, система реализуется с помощью следующих компонентов:

• серверная часть — осуществляет централизованное управление смарт-картами, токенами, различными политиками и т. д.;
• база данных системы — обеспечивает централизованное хранение информации об учетных записях пользователей, ключевых носителях, политиках, настройках и т. д.;
• консоль управления сервером — консоль администратора, позволяющая администраторам регистрировать пользователей, выполнять операции с ключевыми носителями пользователей, настраивать различные политики и т. д.;
• клиентская часть — устанавливается на стороне пользователя и позволяет выполнять функцию синхронизации содержимого ключевого носителя с данными на сервере, а также позволяет пользователю выполнять ряд операций с ключевыми носителями;
• коннекторы к целевым системам и удостоверяющим центрам.

Смотрите вебинар о последних изменениях

Подробно обо всех изменениях и нюансах работы с новыми сертификатами мы рассказали на вебинаре 24 июня. Смотрите запись по ссылке. 

Сформировалась новая схема представления полномочий

Это изменение серьезнее всех остальных скажется на бизнес-процессах компаний. Ранее, когда вы получали сертификат на уполномоченное лицо организации, УЦ выдавал сертификат, в котором были указаны организация и владелец сертификата. В связи с этим возникали две проблемы. Особенно их чувствовали крупные компании, использующие большое количество сертификатов уполномоченных лиц.

1. Если в группе компаний одно уполномоченное лицо имеет полномочия представлять несколько компаний группы, ему потребуются несколько таких сертификатов. Например, если один бухгалтер сдает отчетность за 15 организаций группы, он получает в УЦ 15 сертификатов.

2. Некоторые участники электронного взаимодействия уверены, что поскольку сертификат содержит сведения о юрлице и физлице, представляющем организацию, то УЦ, выдавая такой сертификат, проверяет полномочия выступать от имени этого юрлица и что эти полномочия в силе.

Действительно, УЦ обязан проверить полномочия, но суть этих полномочий не всегда ясна. Что конкретно может делать конкретный сотрудник, по сертификату не понятно. Также невозможно быть уверенным в том, что полномочия сотрудника продолжают действовать.

Поэтому было решено, наконец, отвязать представление полномочий от сертификата и начать выпускать уполномоченным лицам сертификаты просто на физлиц. Сотрудник приходит в УЦ, при этом для УЦ этот сотрудник просто Иванов, а не бухгалтер, экономист или кто-то еще.

Рассказать о том, какие полномочия есть у Иванова, выступать от имени каких-то предприятий, может электронная доверенность, которая подписывается руководителем организации и содержит сведения о доверенном лице и его полномочиях выступать от имени организации.

Фнс разъяснила, кто и как может получить бесплатную кэп с 1 июля | фнс россии | 77 город москва

Электронные доверенности

С 1 января 2022 года сотрудники организаций смогут получать и использовать только сертификаты физлиц. В таком сертификате не указана организация, только Ф.И.О. сотрудника. Чтобы представлять организацию и подписывать от ее имени документы, сотруднику нужна будет электронную доверенность.

Окончательные нормативно-правовые акты, которые утвердят электронную доверенность, появятся ближе к июлю. Мы следим за ситуацией и готовим решение, которое позволит использовать ее в сервисах Контура. Первой системой, с которой можно будет взаимодействовать по электронной доверенности, будет ФНС.

Электронные доверенности для отчетности в фнс

Электронная доверенность подтверждает, что физлицо имеет полномочия сдавать за организацию какие-либо документы в ФНС. Она должна быть подписана сертификатом руководителя, выданным УЦ ФНС.  

Электронная доверенность заменит текущую бумажную доверенность с подписью руководителя. 

Формат электронной доверенности представителя налогоплательщика для отправки документов в ФНС прописан в проекте приказа и начнет действовать с 1 июля 2021 года. Однако вся новая схема работы — с переходом на сертификаты физлиц и электронные доверенности — станет обязательной только с 1 января. Таким образом, есть еще полгода переходного периода, когда будут действовать старый и новый сценарии работы.

Выводы

Системы управления ключевыми носителями и цифровыми сертификатами — это решения для централизованного учета, управления и аудита ключевых носителей и цифровых сертификатов, которые позволяют автоматизировать большинство перечисленных операций и значительно снизить нагрузку на администраторов информационных систем, операторов удостоверяющих центров и других сотрудников компании (например, сотрудников Help Desk).

Широкое применение методов аутентификации на основе PKI, а также использование защищенных носителей ключевой информации способствуют появлению в инфраструктуре компаний таких решений, как системы управления ключевыми носителями и цифровыми сертификатами.

Из зарубежных производителей систем управления ключевыми носителями и цифровыми сертификатами на российском рынке активно присутствуют Gemalto (SafeNet) и HID Global. В рамках импортозамещения наблюдается рост популярности продуктов российских разработчиков — таких, как «Аванпост», «Аладдин Р.Д.», Indeed ID и «Актив»:

1. Avanpost PKI — предназначен для централизованного управления всеми элементами PKI из единого интерфейса. Сюда входит управление электронными сертификатами, ключевыми носителями, ведение поэкземплярного учета СКЗИ, автоматизация процесса выпуска сертификатов, реализация полного цикла workflow, ведение журналов событий.
2. JaCarta Management System (JMS) — система управления, полноценно поддерживающая новую линейку средств аутентификации и электронной подписи JaCarta, а также смарт-карты и токены SafeNet eToken (в т. ч. модели ГОСТ). Система автоматизирует типовые операции при работе с токенами, позволяет централизованно управлять доступом к корпоративным системам и получать информацию обо всех действиях в отношении средств аутентификации и ЭП. JMS дополнительно обеспечивает соблюдение требований российского законодательства в части учета СКЗИ.
3. Indeed Card Management — система, позволяющая выполнять учет и управление ключевыми носителями, сертификатами и СКЗИ, резервное копирование ключевой информации. Она автоматизирует работу с несколькими УЦ и предоставляет сервис самообслуживания пользователей и возможность использования виртуальной смарт-карты.
4. Рутокен KeyBox — средство администрирования и управления жизненным циклом ключевых носителей (USB-токенов, смарт-карт и других устройств), ориентированное на использование в корпоративных сетях, построенных на технологиях Microsoft Windows. Рутокен KeyBox является системой, обеспечивающей связь между учетными записями пользователей, средствами аутентификации, приложениями и регламентами ИБ (корпоративной политикой безопасности).

https://www.youtube.com/watch?v=o_iXpxXmInM

Компании Gemalto (SafeNet), HID Global, «Аладдин Р.Д.» и «Актив», помимо систем управления ключевыми носителями и цифровыми сертификатами, также занимаются производством ключевых носителей (USB-токены и смарт-карты). Компании «Аванпост» и Indeed ID самостоятельно не производят ключевые носители, однако поддерживают распространенных в России моделей ключевых носителей токенов, смарт-карт и биометрических считывателей.