Avanpost IDM Access System
 

Avanpost IDM Access System

Продукт
Разработчики: Технологии развития бизнеса (Avanpost) Аванпост
Дата премьеры системы: 2004
Дата последнего релиза: 2017/10/03
Технологии: ИБ - Аутентификация

Содержание

Avanpost Access System - линейка технических средств, используемых при построении корпоративной системы идентификации и аутентификации и корпоративной инфраструктуры открытых ключей.

ПК Avanpost позволяет построить интегрированную систему управления идентификацией и доступом (IAM – Identity access management) пользователей к различным информационным ресурсам на основе PKI-инфраструктуры (Public Key Infrastructure – инфраструктура открытых ключей) с использованием двухфакторной аутентификации и отечественной криптографии, привязанной в режиме реального времени к кадровой системе организации. Потенциал модульной масштабируемой архитектуры ПК Avanpost позволяет в кратчайшие сроки внедрить систему в организации любого масштаба с функционирующими процессами любой сложности и эффективно обслуживать ее при достаточно разумных финансовых затратах, что крайне существенно в нынешней весьма непростой экономической ситуации.

Система Avanpost была создана в 2004 году, и первыми крупными клиентами, внедрившими ее, стали банки, так как продукт разработан в полном соответствии с высокими требованиями в части информационной безопасности, предъявляемыми регуляторами к кредитно-финансовым организациям. Эта особенность повышает актуальность продукта для использования в компаниях различного профиля деятельности. Сегодня Avanpost является универсальным продуктом, готовым к внедрению в компаниях самого различного профиля. Программный комплекс соответствует требованиям Стандарта ЦБ РФ (СТО БР ИББС-1.0-2010), PCI DSS v2.0, а также Федерального закона № 152-ФЗ «О персональных данных» и требованиям ФСБ по управлению лицензиями и дистрибутивами СКЗИ. В отличие от аналогичных систем зарубежных производителей в ПК Avanpost учтены все нюансы законодательства Российской Федерации и требований отраслевых стандартов.

ПК Avanpost был успешно внедрен в ряде российских банков (в том числе входящих в ТОР-50), на данный момент работы по внедрению продукта ведутся в нескольких крупных строительных компаниях. Одним из первых заказчиков, внедривших ПК Avanpost, стал Русь-банк.

Компания Avanpost приняла меры к тому, чтобы преодолеть такие присущие лидирующим на рынке IDM-решениям недостатки в потребительских характеристиках, как высокая стоимость, отсутствие коннекторов к информационным системам, популярным в среде российских корпоративных пользователей, жесткие требования к ролевой модели доступа. Так, вендор обещает в конце третьего квартала текущего года выпустить новый инструментарий Role Management & Analytics, который позволит автоматизировать назначение прав доступа на основе модели бизнес-ролей, что значительно упростит и сократит процесс внедрения IDM Avanpost.

Средняя стоимость проекта внедрения ПК Avanpost составляет 15 млн. руб., сюда входит стоимость клиентских и серверных лицензий, серверов, услуг консалтинга, разработки коннекторов к информационным системам заказчика и работ по внедрению.

Цена среднего коннектора около 150 тыс. руб. (на настоящий момент в портфеле вендора более сотни готовых коннекторов к наиболее распространенным в России прикладным системам). Как правило, согласованно с IDM у заказчиков работает более десятка ИС, и к каждой из них требуется свой коннектор. В результате стоимость коннекторов в общей стоимости проекта составляет заметную часть.

Поскольку работа коннекторов тесно связана с ядром системы, их созданием Avanpost занимается самостоятельно и не предлагает сторонним компаниям интерфейсы прикладного программирования (API). Это позволяет на фоне постоянно модернизируемого ядра системы корректно вносить изменения в продукт в целом.

Внимание потенциальных заказчиков могут привлечь возможности ПК Avanpost, отражающие такие современные тренды в ИТ, как мобильность пользовательского доступа и поддержка облачных архитектур.[1]

Новый модуль Avanpost Mobile уже поддерживает однократную аутентификацию (SSO) для планшетов и смартфонов, работающих на платформе Android, и безопасную работу с корпоративной информацией за счет организации защищенного соединения на время сеанса связи. Компания Avanpost заявила о завершении в ближайшее время аналогичного модуля для ОС WindowsPhone и намерениях разработать к середине осени такой же модуль для платформы iOS.

2017

Выпуск Avanpost IDM 5.5

3 октября 2017 года компания "Аванпост" выпустила очередную версию своего продукта — Avanpost IDM 5.5. Она содержит большое количество функциональных доработок и усовершенствований, благодаря которым продукт стал соответствовать требованиям крупных российских организаций-заказчиков.

По мнению разработчиков, Avanpost IDM 5.5 представляет первостепенный интерес для всех категорий заказчиков: крупных коммерческих организаций, госкорпораций, федеральных органов власти, ведомств, имеющих филиальную структуру на всей территории страны.

Главные изменения связаны с реализацией политик обработки кадровых событий, оптимизацией средств построения ролевых моделей для организаций с разветвленной структурой и с созданием механизма разрешения SOD-конфликтов. Кроме того, встроенные средства организации электронного документооборота стали более функциональными, также расширился набор модулей сопряжения (коннекторов) Avanpost IDM с различными управляемыми системами (в первую очередь, с российским инфраструктурным и прикладным ПО).

Политики обработки кадровых событий

Теперь Avanpost IDM содержит гибкие средства настройки политик обработки кадровых событий (приема на работу и увольнения, изменения должности и мн. др.). Для структурных подразделений, должностей или произвольных списков пользователей стало возможным не только выбирать сценарий автоматического реагирования системы (из числа предопределенных, а также настроенных в ходе внедрения), но и задавать тонкие нюансы такой обработки.

При этом весь функционал создания и настройки сценариев обработки кадровых событий встроен в Avanpost 5.5 и доступен в интерфейсе администратора IDM-системы. Как результат, уполномоченные сотрудники заказчика могут самостоятельно описывать и менять политики обработки кадровых событий — без необходимости доработки или обращения к интегратору. При этом возможности редактора политик покрывают практически все потребности любой крупной организации.

Ролевые модели крупных организаций с разветвленной структурой

Целый ряд нововведений в настройке ролевой модели упрощает создание и сопровождение ролевых моделей в крупных территориально распределенных организациях.

Реализованный в версии 5.5 механизм позволяет создавать универсальные роли, автоматически формирующие состав прав для получающего ее пользователя — в зависимости от его данных.

Как подчеркнули в "Аванпост", механизм вычисления ролей критически важен для применения Avanpost IDM в крупных организациях с разветвленной структурой. При этом, как и в случае с редактором политик обработки кадровых событий, механизм вычисления ролей встроен в Avanpost 5.5 и доступен заказчику через пользовательский интерфейс.

Разрабатывая механизм вычисления ролей, влияющий на жизненный цикл IDM, "Аванпост" провела обследование, включая консультации со своими клиентами — федеральными ведомствами и коммерческими организациями (Федеральная налоговая служба России, Россельхозбанк и ряд других). Анализ полученных данных позволил создать простое и гибкое решение, охватывающее большинство сценариев настройки ролевой модели для крупной территориально распределенной организации.

Кроме того, ряд усовершенствований в блоке настройки ролевых моделей упростил создание ролей, сопровождение и вывод из эксплуатации, сделал более удобной работу с архивными ролями, а также предоставил пользователям расширенные средства фильтрации для поиска ролей.

Разрешения SoD-конфликтов

SoD (Segregation of duties) — это концепция разделения полномочий, основная идея которой состоит в предотвращении выполнения управляющих и контролирующих действий одним лицом. При практическом применении этой концепции большое значение приобретает выявление и предотвращение SoD-конфликтов, т.е. такого разделения полномочий, которое приводит к противоречиям в правах пользователя (например, к взаимоисключающим полномочиям). Подобные конфликты являются причиной злоупотребления правами пользователями.

Механизм предотвращения SoD-конфликтов, встроенный в Avanpost IDM 5.5:

  • защищает организацию от нарушения политики SOD, обеспечивает высокий уровень автоматизации, позволяет устанавливать сложные критерии назначения роли, настраивать ограничения использования роли — с минимальным уровнем ложных срабатываний, утверждают разработчики.
  • повышает целостность ролевой модели, так как защищает от технических ошибок (например, устанавливает запрет на удаление роли при наличии зависимостей). Кроме того, в Avanpost IDM 5.5 сотрудник не сможет получить роль, на которую у него нет полномочий.
  • упрощает сопровождение IDM-решений — теперь работа с несколькими тысячами ролей не представляет значительных трудностей.

Документооборот, сопровождающий работу IDM

Расширены возможности подсистемы управления процессами обработки заявок и поддержания соответствующего электронного документооборота:

  • блоки бизнес-процессов интегрированы с системой событий, а сценарии выхода из блока можно задавать в графическом редакторе.
  • оптимизировано реагирование на ошибки времени выполнения (например, нужный ресурс недоступен) — теперь такие заявки попадают к администратору IDM, который может выполнять корректирующие действия, после чего обработка заявки будет продолжена.
  • уменьшено число необратимых действий, а также улучшены механизмы напоминаний и эскалации заявок.
  • бизнес-процессы в Avanpost IDM стали асинхронными: после любого действия пользователя интерфейс ПО «замирает» на минимальное время, после чего дальнейшая обработка заявки выполняется в фоновом режиме. Это привело к качественному скачку отзывчивости интерфейса.
  • оптимизирован механизм импорта/экспорта схем бизнес-процессов — это особенно значимо для больших схем, с которыми оперируют крупные организации.

Модули сопряжения IDM с другими элементами ИС

В Avanpost IDM доступно большое число готовых коннекторов к популярному российскому ПО (например, 1С:Предприятие или СЭД DocsVision), а также к ПО с открытым кодом: ОС на основе Linux, СУБД, всем распространенным реализациям каталогов LDAP (Open LDAP, 389 LDAP, Free IPA) и др.

Вместе с тем, "Аванпост" продолжает создавать коннекторы, а также обеспечивает совместимость существующих коннекторов c актуальными версиями соответствующего ПО. В частности, была проверена совместимость Avanpost IDM 5.5 с распространенными зарубежными ОС на базе Linux (Red Hat, SUSE, Ubuntu и Debian), а также с российской операционной системой уровня предприятия (ОС АЛЬТ компании «Базальт СПО»). Во всех случаях универсальный коннектор Avanpost IDM для ОС Linux обеспечивает как управление пользователями и их правами, так и извлечение учетных данных, на которое, в свою очередь, опираются инструменты автоматизированного построения ролевых моделей и проведения аудитов фактических прав доступа.

Avanpost IDM в связке с WebSSO

IDM-решение "Аванпост" в связке с Avanpost WebSSO автоматически приобретает ряд функций, важных для управления правами доступа на крупных порталах и в SaaS-сервисах с очень большим числом (миллионами) пользователей, отметили в компании.

Так, работая в связке с программным продуктом Avanpost WebSSO (однократная аутентификация пользователя в приложениях всех типов: облачных, мобильных, традиционных), IDM-система "Аванпост" автоматически приобретает функцию «проверки на лету» (on-demand provisioning). В такой конфигурации IDM-система вообще не требует коннектора для прямого взаимодействия с теми ИТ-системами, которые работают с WebSSO через стандартные протоколы аутентификации. Реагируя на такой запрос, WebSSO «спрашивает» IDM-систему, соответствует ли он правам пользователя.

Для определенных видов информационных систем (например, порталы или SaaS-сервисы, с которыми может работать большое число внешних пользователей) это дает целый ряд возможностей:

  • Во-первых, при такой схеме аудит прав не требуется, поскольку IDM каждый раз проверяет права пользователя в указанной системе по ролевой модели, что исключает отклонение фактических прав в системе от утвержденных.
  • Во-вторых, упрощается интеграция IDM с другими элементами ИС: если при разработке коннектора нужно реализовать 12 функций, то при подключении через WebSSO их всего две.
  • Наконец, заказчик получает возможность сократить затраты на лицензии, поскольку учитывается только фактическое использование ПО.

Число активных лицензий Avanpost PKI превысило 1 млн

18 мая 2017 года компания Аванпост объявила о превышении числа в 1 млн активных лицензий продукта Avanpost PKI.

Согласно заявлению компании, для большинства заказчиков (~70% внедрений) Avanpost PKI - системообразующая ИБ-технология. Она поддерживает все аспекты работы с открытыми ключами и электронной подписью, полный набор функций работы с токенами, включая служебный документооборот, связанный с формированием и удовлетворением заявок на выдачу и подготовку носителей, с изъятием компрометированных или планово снятых с обслуживания носителей.

Avanpost PKI (а также IDM и SSO) сертифицирован ФСТЭК России и включен в Единый реестр российских программ для электронных вычислительных машин и баз данных.

Согласно статистике вендора, на 18 мая 2017 года, наибольшее число лицензий на Avanpost PKI (55%) приходится на российские банки, 25% — на госсектор и крупных муниципальных заказчиков, 10% использует нефтегазовый сектор, 10% — другие предприятия и организации.

2016

Плагины к Avanpost SSO

14 ноября 2016 года компания "Аванпост" сообщила о расширении линейки плагинов, используемых в работе Avanpost SSO.

Плагины работают под браузерами Internet Explorer (IE), Google Chrome, Mozilla Firefox.

Avanpost SSO – модуль, обеспечивающий прозрачную аутентификацию и идентификацию пользователей. Он предназначен для создания системы единого входа и формирования механизмов многофакторной аутентификации для доступа к различным информационным системам. Решение помогает централизованно управлять паролями пользователей в соответствии с политикой паролей, и автоматически аутентифицировать пользователей в обслуживаемых системой приложениях. В качестве связующего звена между сотрудниками и приложениями используются плагины.

При загрузке браузера плагин обращается к Avanpost SSO и запрашивает шаблоны с параметрами страниц, которые необходимо отслеживать. После этого в автономном режиме фиксирует - на какие страницы заходит пользователь. Если страница соответствует шаблону, плагин запрашивает у Аванпост SSO логин и пароль для сотрудника.

Аванпост SSO в соответствии с принятой в компании политикой безопасности может дополнительно запросить PIN к токену, биометрические данные и т.п. При корректности предоставленной специалистом информации, Avanpost SSO передает логин и пароль, а плагин предоставляет доступ на нужный сайт.

До недавнего времени плагины, обеспечивающие связь между пользователем и программным обеспечением, функционировали под браузером IE (для работы Аванпост SSO c "толстым" клиентом плагинов не требуется). Специалисты компании "Аванпост" разработали инструменты, работающие под браузерами Google Chrome и Mozilla Firefox.

« Решение Avanpost SSO для управления паролями своих сотрудников применяют крупнейшие российские компании. У многих из них использование определенного браузера является корпоративным стандартом, который мы не можем игнорировать. Разработка новых плагинов для нашего продукта – это вопрос удобства пользователей и стремления нашей компании соответствовать самым высоким требованиям заказчиков.

Александр Санин, коммерческий директор Аванпост
»

Модернизирован конструктор бизнес-процессов

11 октября 2016 года компания Аванпост сообщила о выпуске модернизированного конструктора бизнес-процессов в релизе программного продукта Avanpost IDM 5.0.

Конструктор бизнес-процессов - часть модуля заявок. С его помощью определяются участники процессов и схема согласования документов в зависимости от параметров заявки.

Апдейт конструктора в Avanpost IDM 5.0 связан с необходимостью повышения гибкости этого инструмента. В предыдущей версии программного продукта механизм содействовал в настройке логики в зависимости от системы, к которой запрашивается доступ. Процесс был линейным, жестко регламентированным, ограничивал выбор вариантов согласования заявки. Крупным заказчикам, с которыми работает компания Аванпост, необходимо поддерживать большое количество сценариев взаимодействия, минимизировать необходимость доработок, в частности, для согласования доступа к разным информационным системам.

Модернизированный механизм помогает настроить процессы с использованием ветвлений, внутренних справочников Avanpost IDM 5.0, внешних справочников и других сущностей. В сценарии согласования есть возможность предусмотреть его зависимость от учетной записи, подразделения пользователя, его прав в системе.

Конструктор представляет бизнес-процессы в BPMN-нотации. Эта модель общепризнанна в профессиональном сообществе, удобна, как для технических специалистов и аналитиков, так и для обычных пользователей.

Усовершенствованный редактор поддерживает версионность бизнес-процессов. Документы в работе продолжают движение в соответствии с процессом, действующим на момент создания. Заявки, поступившие в систему после создания новой версии, проходят согласование по другим правилам.

Конструктор изначально обладает предустановленным набором базовых активностей: начало и окончание бизнес-процесса, управляющие конструкция (ветвление и выбор). К ним также относятся активности, которые позволяют организовать взаимодействие с пользователем (блок параллельного принятия решений, почтовые уведомления), внутренними и внешними сервисами (асинхронный и синхронный вызов сервиса).

В этой версии предусмотрена возможность добавить дополнительные активности. Например, делегирование действий пользователя, которое включается, когда заявленный для выполнения процесса сотрудник не смог в отведенное время выполнить задачу.

Конструктор помогает взаимодействовать с внешними справочниками и системами. После предоставления прав по заявке в IDM требуются дополнительные ручные действия администратора, то модуль автоматически создает наряд на выполнение этой задачи в системе Service Desk.

Пользователи получат больше возможностей и смогут оперировать учетными записями и ролями, настраивая их в соответствии с потребностями.

« Движок бизнес-процессов, реализованный в 4-й версии, был одним из наиболее узких мест с точки зрения интеграции нашего продукта в бизнес-процессы крупных заказчиков. Его переработка, а также реализация графического редактора к нему – важнейшее технологическое нововведение 5-й версии Avanpost IDM. Он позволяет как организовать гибкий процесс согласования, в том числе параллельный, так и интегрировать систему с процессами, контролируемыми другими информационными системами, такими как системы Service Desk и системы документооборота. Его гибкость подтверждена в нескольких успешных проектах в крупных компаниях, уже приступивших к использованию Avanpost IDM 5.0.

Олег Губка, директор по развитию Аванпост
»

Программные продукты Аванпост внесены в реестр отечественного ПО

Реестр отечественного программного обеспечения пополнился решениями компании Аванпост. В соответствии с приказом Минкомсвязи России продукты линейки Avanpost включены в класс ПО, к которому относятся средства обеспечения информационной безопасности предприятия.

Экспертный совет при Минкомсвязи одобрил заявку компании-разработчика на добавление в реестр российских программ для электронных вычислительных машин и баз данных всей линейки решений:

  • Avanpost IDM – система централизованного управления доступом к корпоративным ресурсам предприятия;
  • Avanpost PKI – система управления всеми элементами PKI-инфраструктуры (токены, сертификаты, лицензии СКЗИ) из единого центра;
  • Avanpost SSO – система управления аутентификацией пользователей (парольные политики, система единого входа в приложения и т.п.).

Системы комплексного управления доступом Аванпост являются полностью российской разработкой и хорошо известны на рынке. Их используют органы государственной власти федерального и регионального уровня, включая ФТС, ФНС и ДИТ Москвы, банки из ТОП-50, в частности, Россельхозбанк, Московский Индустриальный Банк, МТС Банк а также средние и крупные коммерческие организации различных сфер деятельности.

Avanpost PKI интегрирован с сервером электронной подписи КриптоПро DSS

Программно-аппаратный комплекс КриптоПро DSS предназначен для централизованного, защищенного хранения закрытых ключей пользователей, а также для удаленного выполнения операций по созданию электронной подписи (ЭП) в интересах пользователей при взаимодействии с КриптоПро HSM. Интеграция реализована через веб-сервисы сервера электронной подписи. В результате внедрения администратор или пользователь Avanpost PKI получают возможность создавать запрос на выпуск сертификата с последующим одобрением на Удостоверяющем центре (УЦ), интегрированном с DSS. При создании запроса осуществляется генерация криптографических ключей в КриптоПро HSM, которые хранятся в нем в защищенном модуле.

Таким образом, стал возможен учет всех сертификатов пользователей, в том числе выпущенных на DSS, с опцией реагирования на кадровые события, например, отзыв сертификата при увольнении.

В результате разработки и интеграции пользователи смогут управлять всеми своими ключами и сертификатами, в том числе выпущенными на КриптоПро DSS, из единой консоли – личного кабинета Avanpost PKI.

Avanpost PKI 5.0 поддерживает работу как c известными на российском рынке версиями удостоверяющих центров, таких производителей как КРИПТО-ПРО, Microsoft, Сигнал-КОМ, Инфотекс (ViPNet), RSA (Keon), так и с более специфичными как Checkpoint и Валидата.

Avanpost PKI интегрирован со средством защиты от несанкционированного доступа Аккорд-АМДЗ

Работы проводились совместно с «ИнфоКрипт» - разработчиком средств криптографической защиты информации, средств защиты информации от несанкционированного доступа и технологическим партнером компании ОКБ САПР, производителя СЗИ семейства Аккорд.

Аппаратный модуль доверенной загрузки СЗИ НСД Аккорд для IBM-совместимых ПК – серверов и рабочих станций локальной сети обеспечивает защиту устройств и информационных ресурсов от несанкционированного доступа. Аккорд-АМДЗ производится в 6 вариантах, что позволяет использовать его на различных, с точки зрения шинных интерфейсов, машинах. Интеграция с Avanpost PKI реализована с унифицированным контроллером (PCI, PCI-X) Аккорд-5.5, сочетающим функции АМДЗ с аппаратно-реализованной криптографической подсистемой.

В результате разработки коннектора и интеграции пользователи смогут управлять всеми своими ключами и сертификатами через модуль Аванпост PKI, синхронизированный с базой данных СЗИ НСД Аккорд. Администратор или пользователь Avanpost PKI получили возможность создавать ключи на ключевых носителях, работающих с СЗИ НСД Аккорд , приостанавливать и возобновлять их действие или отзывать их.

Avanpost IDM 5.0

28 июня 2016 года компания Аванпост сообщила о выводе на рынок релиза системы Avanpost IDM 5.0.

Среди изменений в Avanpost IDM 5.0 – модуль самообслуживания со встроенным полнофункциональным графическим редактором бизнес-процессов. Кардинально переработан пользовательский интерфейс, улучшены прикладные программные интерфейсы, усовершенствован механизм назначения ролей.

Компания начинает продвижение Avanpost IDM 5.0 на рынке систем управления доступом, как самостоятельного продукта. До октября 2015 года Avanpost IDM 5.0 была частью программного комплекса «Avanpost», в который входили модули PKI и SSO. Выделение модулей в самостоятельные продукты дает возможность оптимизировать ценовую политику, более гибко управлять релизами.

В этом релизе системы усовершенствованный модуль самообслуживания помогает запрашивать дополнительные права доступа, согласовывать их изменения, менять пароли учетных записей в управляемых информационных системах. Также в Avanpost IDM 5.0 учтен один из современных трендов мирового развития IDM-систем – использование графического редактора бизнес-процессов. Его наличие повышает удобство пользования и позволяет программному продукту выйти на один уровень с западными разработками, в которых этот инструмент уже используется. Нововведения значительно увеличили гибкость решения.

Полностью переработан пользовательский интерфейс. В работах по его модификации приняли участие специалисты по юзабилити, учтены замечания и пожелания клиентов. Для верстки веб-приложений используется популярный CSS-фреймворк Bootstrap, что открывает широкие возможности для брендирования и кастомизации интерфейса к требованиям заказчиков.

Еще одна особенность версии - значительные улучшения прикладных программных интерфейсов. В частности, реализован механизм, позволяющий внешним системам работать со всеми объектами IDM. Этим решена проблема интеграции с системами класса Service Desk, SiEM-системами и другими продуктами.

Внесены изменения в программный интерфейс (API) для коннекторов к управляемым системам. Интерфейс четко определяет требуемые операциями параметры, упрощая разработку коннекторов. При этом сохраняется поддержка коннекторов, реализованных для IDM версии 4.0. Созданы инструменты обращения к внешним сервисам, что позволяет интегрировать процессы, управляемые в IDM, с процессами, автоматизированными в других системах предприятия.

Для упрощения и систематизации управления учетными записями в интегрированных системах изменен механизм назначения ролей и добавлена возможность генерации паролей в соответствии с определяемой для ресурса политикой. Сгенерированные пароли можно рассылать пользователям, их руководителям, владельцам и администраторам ресурсов. Версия ПО позволяет создавать карточки сотрудников, вносить изменения в их данные и справочники организационной структуры. Информация о пользователе из разных источников объединяется в одну карточку по ключу.

« Наша цель – создать продукт, не уступающий лидерам мирового рынка, но при этом глубоко учитывающий особенности и специфику российских заказчиков. Сегодня российский бизнес, особенно средний, находится между двумя нуждами – экономить на новых проектах или обновлении работающих систем и надежно защищать информационные ресурсы компании. И наша разработка, с учетом ее стоимости и функциональности, решает обе эти задачи гораздо эффективнее, чем западные аналоги. Поэтому все больше заказчиков рассматривают Avanpost IDM как приоритетное решение для управления доступом.

Андрей Конусов, генеральный директор компании Аванпост
»

2015

Выпущено первое крупное обновление ПК Avanpost 4.1

В версии программного комплекса (ПК) «Avanpost 4.1» усовершенствован целый ряд функций модулей IDM и PKI. В итоге, упростилось использование системы в крупных территориально распределенных организациях, а также на предприятиях с большим числом внештатных сотрудников. Во многих случаях стало возможно существенно сократить набор ролей и обеспечить более гибкие сценарии согласования заявок на их изменение и выдачу сотрудникам.

В первую очередь отметим ряд усовершенствований подсистемы IDM Workflow, отвечающей за изменение прав доступа сотрудника на основе его заявки или заявки руководителя.

В модели информационной безопасности территориально распределенной организации, как правило, имеется как минимум два среза: собственно роли, определяющие доступ к тем или иным ИТ-системам, а также различные независимые от ролей ограничения, например, на доступ из конкретных территориальных единиц (центрального офиса и филиалов). Теперь прямо в заявке на получение роли можно выбирать значения ее свойств, отвечающих срезам модели ИБ. Так, можно выборочно указать объекты, на которых сотрудник получит указанную роль – и в заявке автоматически будут правильно назначены визирующие лица и маршрут согласования. В реальных организациях, где число срезов может быть достаточно большим, возможность легко комбинировать роли и свойства не только делает оформление заявок более гибким, но и позволяет сделать ролевую модель значительно более компактной и лаконичной.

Кроме того, для IDM Workflow были разработаны специальные отчеты, позволяющие территориально распределенным организациям со сложными сценариями визирования заявок на выдачу прав, следить за ходом процессов согласования, своевременно выявляя «зависание» заявок. Такой контроль значительно сокращает потери рабочего времени, связанные с задержками в выдаче прав доступа. Кроме того, в системе появились отчеты, позволяющие проанализировать частоту выдачи тех или иных прав.

По-новому реализовано управление правами пользователя при изменении должности. Раньше в подобных случаях система автоматически отзывала старые роли и назначала новые – в соответствии с действующей ролевой моделью. Эти изменения были связаны с датой приказа, после которой сотрудник уже не мог выполнять старые служебные обязанности. Теперь эти изменения могут быть применены не только автоматически, но и проведены через цикл переаттестации прав сотрудника, которым управляет подсистема IDM Workflow. В этом случае заявка автоматически создается и направляется по заранее настроенному пути, зависящему от входящих в нее ролей. Ответственные лица подтверждают отзыв старых и назначение новых ролей, вынося решение по всей заявке или выборочно для отдельных ролей. Новый механизм полезен во многих случаях, например, когда требовался период совмещения старых и новых должностей. Теперь все просто: заявка попадает на визирование и к старому, и к новому руководителям, которые отмечают нужную конфигурацию ролей.

В ПК «Avanpost 4.1» разграничение прав доступа администратором филиалов стало штатной функцией. Теперь IDM-систему, развернутую для всей организации и управляемую из одной или нескольких точек, можно настроить так, чтобы администраторы видели только сотрудников своей территориальной единицы (центрального офиса, регионального филиала, обособленного подразделения и др.) и, соответственно, управляли бы только правами этих пользователей, просматривали бы только их ошибки при назначении ролей, ошибки аудита и т. п. Это усовершенствование очень важно практически, поскольку позволяет совместить централизованную установку IDM-системы с децентрализованным администрированием.

Важнейшее изменение в работе с внештатными сотрудниками, которые не числятся в кадровой системе, связано с возможностью, минуя кадровую систему, вносить данные о них прямо в систему IDM – через Web-приложение с удобным графическим интерфейсом. Внештатных сотрудников можно включать в штатную структуру, менять их должности и статусы. Определенные возможности работы с внештатными сотрудниками имелись в ПК «Avanpost» и ранее, но теперь они значительно расширены и стали штатными.

Среди других усовершенствований отметим механизм иерархической классификации и каталогизации ролей, дополнительные возможности механизма выгрузки отчетов в различных форматах, а также появившуюся в модуле PKI возможность отправлять PIN-коды по SMS (этой функции нет в представленных на российском рынке конкурирующих решениях для управления ключевыми носителями – TMS).

Создан модуль сопряжения Avanpost 4.1 => DIRECTUM

4 марта 2015 года компания Аванпост объявила о создании модуля сопряжения (коннектора), связывающего подсистему IDM программного комплекса (ПК) «Avanpost 4.1» с системой электронного документооборота DIRECTUM.

В коннекторе DIRECTUM реализован интерфейс, необходимый ядру IDM. Новый коннектор Аванпост поддерживает все основные функции управления доступом, позволяя создавать, блокировать и разблокировать учетные записи, назначать и отзывать конкретные права и роли пользователям – в полном соответствии с действующей ролевой моделью и всевозможными кадровыми событиями (приемом на работу, увольнениями, должностными перемещениями и др.). Помимо этого, коннектор позволяет производить аудит прав пользователей в системе DIRECTUM.

Посредством интеграции с IDM, управление правами в популярной системе электронного документооборота DIRECTUM может быть полностью автоматизировано, что освободит ИТ-администраторов от рутинной работы по созданию учетных записей и управлению их правами вручную. Специалисты ИБ-подразделений благодаря этой разработке получают возможность контроля соответствия прав пользователей в ролевой модели.

ПК «Avanpost 4.1» интегрирован с системой управления предприятием Галактика ERP

18 марта 2015 года компания Аванпост объявила о выпуске двух модулей сопряжения (коннектора) программного комплекса (ПК) «Avanpost 4.1» с системой управления предприятием Галактика ERP и с системой Галактика Управление персоналом. Создание новых коннекторов укладывается в политику развития интеграционной инфраструктуры продуктов, направленную на расширения портфеля интеграционных модулей с популярными на российском рынке корпоративными системами.


Кадровый коннектор

Новый коннектор ПК «Avanpost 4.1» позволяет модулю IDM автоматически получать из системы «Галактика HCM» всю необходимую информацию, включая: справочники сотрудников, должностей, подразделений, информацию о приеме на работу, отпуске, увольнении, назначении и изменении данных сотрудника. Коннектор поддерживает режимы работы с полной и частичной синхронизацией данных. Коннектор является модулем для службы синхронизации Avanpost, он может быть использован как основной источник информации, а также совместно с коннекторами к другим видам источников.

Целевой коннектор

В коннекторе к целевой системе реализован полный протокол обмена данными с IDM-ядром. Соответственно, ПК «Avanpost 4.1» может управлять всеми настройками встроенной в «Галактика ERP» системы контроля доступа: создавать, блокировать и разблокировать учетные записи, назначать и отзывать конкретные права и роли пользователям – в полном соответствии с действующей ролевой моделью и всевозможными кадровыми событиями (приемом на работу, увольнениями, должностными перемещениями и др.). Также, Avanpost IDM получает возможность извлекать актуальные данные о фактических учетных записях и правах пользователей, включить кадровую систему в аудит прав доступа и выявлять отклонения от ролевой модели и при необходимости отменять их. Коннектор работает через программные интерфейсы стандартного административного клиента ERP Галактика.

Посредством сопряжения с IDM, управление правами в Галактика ERP становится полностью автоматизированным, что решает проблему нагрузки на администраторов, а специалисты ИБ получают рабочий инструмент всестороннего контроля доступа пользователей к функциям, а также отслеживания действий администраторов в части изменения доступа пользователей.

«Принимая во внимание новую стратегию импортозамещения многие компании выбирают российские автоматизированные системы для оперативного решения главных управленческих задач. По своим функциональным возможностям, полноте реализации процессов планирования система Галактика ERP не имеет аналогов среди российских ИТ-решений. Поэтому создание коннектора к системам управления предприятием Галактика ERP и Галактика Управление персоналом – актуальное событие для нашей компании, – поведал Андрей Конусов, генеральный директор компании Аванпост. – Сегодня программный комплекс Avanpost интегрирован практически со всеми кадровыми системами, широко распространенными в российских компаниях, что позволяет нам оставаться лидерами отечественного рынка IDM и успешно конкурировать с западными аналогами, теряющими свою популярность в новых экономических условиях».

Выполнена интеграция «Avanpost 4.1» с Microsoft SharePoint

3 июня 2015 года компания Аванпост сообщила о создании коннектора для связи подсистемы IDM программного комплекса (ПК) «Avanpost 4.1» с платформой Microsoft SharePoint.

Коннектор поддерживает все основные функции управления доступом, помогая управлять ролями и группами пользователей, создавать учетные записи, выполнять аудит прав в системе SharePoint. Интеграция с IDM поможет автоматизировать управление правами в системе SharePoint, что, по мнению разработчиков, избавит ИТ-администраторов от огромного объема рутинной работы по созданию учетных записей и управлению их правами вручную. Специалисты ИБ-подразделений получат возможность контроля соответствия прав пользователей в ролевой модели.

Коннектор действует через стандартные веб-сервисы системы - SharePoint Web Services, которые допускают удаленную работу с элементами системы. Таким образом, архитектурно ресурсу в IDM-решении будет соответствовать сайт или коллекция сайтов в SharePoint.

«Компания Аванпост продолжает преодолевать такие присущие лидирующим на рынке IDM-решениям недостатки в потребительских характеристиках, как высокая стоимость и отсутствие коннекторов к информационным системам, популярным в среде российских корпоративных пользователей. Наша новая разработка для популярного корпоративного решения по совместной работе Microsoft SharePoint призвана повысить организационную гибкость и расширить бизнес-возможности клиентов», - отметил Андрей Конусов, генеральный директор компании Аванпост.

«Avanpost IDM 4.3» поддерживает MS SQL Server

7 июля 2015 года компания Аванпост объявила о выходе версии «Avanpost IDM 4.3».

Наиболее значимая доработка этого релиза - поддержка реляционной СУБД MS SQL Server.

В качестве СУБД может использоваться MS SQL Server 2012 и более поздние версии, что облегчает интеграцию IDM в действующую ИТ-инфраструктуру и оптимизирует расходы на поддержку, позволяя избежать привлечения специалистов со стороны.

  • В интерфейсе самообслуживания (workflow) список ролей, доступных для запроса пользователем, может ограничиваться на основании информации о положении пользователя в организационной структуре.

  • Улучшено управление учетными записями. Стала доступно разблокирование учетной записи пользователя на определенный срок. При разблокировании пользователя в интерфейсе администратора можно указать дату завершения режима разблокирования, и при ее наступлении пользователь будет автоматически блокирован. В новой версии добавлена функциональная роль администратора учетных записей. Функции роли адаптированы для работы оператора службы технической поддержки, занимающегося решением проблем аутентификации пользователей в системах.

  • Разработан механизм создания ролевой матрицы на основе дополнительных вычисляемых признаков пользователей. Теперь, помимо признаков, относящихся к должностному положению пользователя, для автоматического назначения роли может быть использовано условие, выполнение которого обеспечивает получение роли пользователем.

«Компания Аванпост придерживается клиентоориентированной политики в своем бизнес-развитии, поэтому мы развиваем функционал продукта исходя из потребностей заказчиков. Новые релизы решения IDM призваны удовлетворить все ранее заявленные запросы, что позволит «Avanpost» оставаться более гибкой и открытой платформой для создания удобной системы управления доступом для любой организации», - отметил Андрей Конусов, генеральный директор Аванпост.

«Avanpost IDM 4.3» включил поддержку SCIM

30 июля 2015 года компания Аванпост объявила о создании модуля сопряжения (коннектора) для работы по протоколу SCIM. С помощью этой разработки упрощается управление идентификационной информацией во множестве популярных SaaS-сервисов.

Спецификация протокола Simple Cloud Identity Management (SCIM) предназначена для упрощения управления аккаунтами пользователей в «облачных» приложениях и сервисах. Эта спецификация создана с использование существующих схем и вариантов развертывания, с особой ориентацией на простоту разработки и интеграции в использовании действующих моделей аутентификации, авторизации и защиты конфиденциальности. Протокол разработан на основе опыта интеграции облачных приложений (SaaS) с внутренней инфраструктурой компаний для автоматизации управления учетными записями пользователей.

Схема взаимодействия SCIM, 2014

Стандарт поддерживается большинством провайдеров облачных сервисов, включая Salesforce.com, Cisco, Google. Поддержка этого стандарта обеспечивает Аванпост значительное расширение списка поддерживаемых систем современными SaaS-сервисами. Для систем, которые не имеют поддержки протокола, доступна реализация сервиса в соответствии со спецификацией.

Коннектор поддерживает все основные функции управления доступом учетными записями и автоматически создает пользователей предприятия в каталоге провайдера сервиса. Организация, которая размещает системы в облаке, получает возможность миграции внутренних каталогов пользователей в инфраструктуру поставщика сервиса SCIM, сохраняя при этом возможность оперативного управления доступами пользователей. Также спецификация может использоваться в качестве внутреннего стандарта для интеграции внутренних систем с IDM.

«Помимо интеграции с «облачными» сервисами данный протокол является современным, универсальным и хорошо документированным стандартом, который может использоваться нашими клиентами в качестве эффективной альтернативы собственным разработкам. Следуя технологиям будущего в области управления доступом к информационным ресурсам, мы стремимся к опережению западных решений, предлагая в рамках импортозамещения российским заказчикам достойный продукт», - отметил Олег Губка, директор по развитию компании Аванпост.

Avanpost IDM 4.3 интегрирован с комплексом бизнес-приложений Oracle E-Business Suite

В сентябре 2015 года было объявлено о создании модуля сопряжения (коннектора), связывающего подсистему IDM программного комплекса (ПК) «Avanpost 4.3» с набором бизнес-приложений Oracle E-Business Suite. Данный пакет предназначен для автоматизации основных направлений деятельности предприятий и включает в себя финансовый сервис, модуль управление логистикой, активами предприятия, взаимоотношениями с клиентами (CRM), эффективностью бизнеса (CPM) и другие.

Применение коннектора позволит исключить необходимость ручного ввода информации, возможные ошибки рассогласования данных между приложениями, обеспечивая удобство работы администратора и пользователя. Коннектор Аванпост реализует стандартный контракт модуля IDM для взаимодействия с целевыми управляемыми системами. А именно позволяет управлять ролями и группами пользователей, создавать, блокировать и разблокировать учетные записи, производить аудит прав доступа в случае необходимости в системе Oracle E-Business Suite.

Благодаря сопряжению с IDM, снижается нагрузка на системных администраторов в части ручного создания учетных записей для пользователей и управления их правами, а специалисты ИБ получают возможность контроля за правами пользователя в рамках их аудита. Интеграция IDM с Oracle E-Business Suite происходит через собственный пакет хранения процедур компании Oracle, который входит в стандартную инсталляцию базы данных системы и содержит логику управления пользователями, их правами и ролевыми моделями.

Avanpost 5.0

20 октября 2015 года компания Аванпост объявила о выпуске пятого релиза комплекса «Avanpost 5.0».

В этой версии переработаны все функциональные модули:

  • IDM, PKI и SSO,
  • архитектура
  • важнейшие подсистемы
    • пользовательский интерфейс,
    • управление бизнес-процессами,
    • интеграция с внешними системами,
    • управление ролями и др.

В модернизированной версии ПК «Avanpost 5.0» модули IDM, PKI и SSO стали самостоятельными полнофункциональными программными продуктами, они могут внедряться и использоваться как в сочетании, так и по отдельности. Такой подход к выпуску продуктов поможет крупным организациям более гибко управлять расходами и изменениями, комбинировать решения Аванпост с уже используемыми, сходными по назначению, разработками других ИБ-вендоров. Аванпост получает возможность теснее связать жизненные циклы своих продуктов с ситуацией на рынке, благоприятной динамикой спроса на определенные решения и напряженностью конкуренции в различных сегментах. Кроме того, компания теперь может применить более гибкий маркетинг, разнести во времени выход крупных обновлений основных функциональных модулей (продуктов), чтобы дозировать объем изменений, с которыми одномоментно сталкивается клиент компании. Этот подход реализован в ПК «Avanpost 5.0», где вначале выходит система PKI (октябрь 2015), после нее — IDM (декабрь 2015), а затем SSO и ряд дополнительных модулей (февраль 2016).

Скриншот окна продукта (2015)

В анонсе выпуска системы компания отметила взаимную интеграцию нескольких продуктов линейки ПК Avanpost при их внедрении. Сохраняется синергический эффект и все возможности комплексных систем управления доступом по формуле: IDM + PKI + SSO.

Важное изменение связано с переводом всех приложений линейки «Avanpost 5.0» на архитектуру веб-приложений и использование тонкого клиента. Основные преимущества этого подхода:

  • упрощение администрирования,
  • снижение требований к конфигурации рабочих мест,
  • улучшенная информационная безопасность и масштабируемость,
  • снижение общей стоимости владения системой (TCO)
  • ускорение возврата инвестиций (ROI).

Аванпост перенесла в модифицированную архитектуру весь функционал «толстых» клиентов и получила простой и эргономичный пользовательский интерфейс.

Пользовательский интерфейс переработан полностью. Его проектирование и тестирование проводилось в сотрудничестве с профессиональной командой специалистов по юзабилити. В части технологий, интерфейс реализован на основе популярной библиотеки Bootstrap (CSS Framework). Для версии «Avanpost 5.0» разработано оригинальное стилевое оформление.

В «Avanpost 5.0» появилось информационное табло (dashboard) с «живой» сводкой основных параметров, необходимых администратору безопасности для мониторинга, выявления нештатных ситуаций и адекватного реагирования. Число таких параметров возросло до 35 (в ПК «Avanpost 4.0» их было около десятка).

Вся подсистема AvanpostWorkflow переведена на движок бизнес-процессов и создание собственного полнофункционального графического редактора диаграмм процессов. Движок, созданный на платформе WindowsWorkflowFoundation (WWF, часть .NET Framework 4.5), обеспечивает большую гибкость процессов согласования заявок, делегирования, замещения пользователей, эскалации задач при согласовании заявок и др.

В системе AvanpostWorkflow появился программный интерфейс для подключения внешних систем согласования заявок, например, имеющейся у заказчика системы ServiceDesk, портала интранет или системы делопроизводства).

В Avanpost IDM переработан и улучшен программный интерфейс (API) коннекторов к управляемым системам. Теперь сама структура классов, наборы методов и их параметры максимально выявляют для разработчика логику взаимодействия связываемых систем, помогают заметить ошибки. Значительно сокращается время изучения API, ускоряется разработка коннекторов и снижается число ошибок программирования и затраты на тестирование.

Зная целевую систему и не зная принципы функционирования IDM, разработчик может создать коннектор и быть уверенным, что он будет работать.

Для Avanpost PKI разработана основанная на подключаемых модулях (plugin) универсальная система поддержки практически любых удостоверяющих центров (УЦ), алгоритмов генерации ключей, а также применяемых организацией криптоносителей. На основе этой системы создан ряд модулей интеграции. В частности, модуль для инфраструктуры PKI ViPNet, необходимый многим госструктурам, где на ViPNet построена защита сегментов сети.

Версия Avanpost PKI работает со всеми УЦ, которые поддерживались предыдущими версиями ПК «Avanpost». На 20 октября Avanpost PKI 5.0 поддерживает работу с УЦ:

Ряд изменений произошел в управлении служебными ролями, такими, как «администратор IDM», «офицер безопасности» или «администратор удостоверяющих центров в системе PKI». Эти предустановленные в системе роли (иногда их еще называют «функциональными») определяют полномочия лиц, отвечающих за настройку и эксплуатацию систем IDM.

Появилась возможность менять полномочия предустановленных функциональных ролей и создавать новые роли с произвольным набором полномочий. Этот механизм позволяет предоставить системным администраторам лишь минимально необходимые полномочия в соответствии с текущими ИТ-процессами. Раньше эта распространенная ситуация приводила к выдаче избыточных полномочий или требовала написания и сопровождения программного кода, обеспечивающего специфические аспекты управления полномочиями ролей. Теперь все делается расстановкой «галочек».

Усовершенствован механизм выдачи ролей, в котором унифицированы все варианты обработки заданий на управление ролями и учетными записями. В линейке «Avanpost 5.0» эти задания создаются администраторами (через специальную консоль), самими пользователями (через систему самообслуживания) и внешними системами (через обработчики событий в источниках данных).

Реализован механизм, обеспечивающий организацию ролевой модели на основе дополнительных вычисляемых признаков пользователей. Теперь автоматическое назначение роли может быть связано не только с должностным положением пользователя, но с любым условием, выполнение которого обеспечивает получение роли.

Имеются другие нововведения, облегчающие использование продуктов линейки Avanpost в крупных территориально-распределенных организациях. Это:

  • интерфейс реконсиляции ролей,
  • инструментарий для связывания организационной структуры со структурой домена,
  • средства создания паролей в соответствии с политикой, определенной для ресурса и др.

Необходимость в этих изменениях выявлена в реальных проектах, выполняемых партнерами Аванпост в госструктурах и крупных коммерческих организациях после выхода ПК «Avanpost 4.0».

«Подготовка нового релиза Avanpost пришлась на непростое время для всего российского ИТ-рынка, где тон задавали такие хорошо известные явления, как секвестирование бюджетов организаций на новые ИТ- и ИБ-решения, стремление продлить время жизни намечавшихся к замене устаревших решений, ограничение намеченных проектов лишь самыми необходимыми нововведениями. В этих условиях единственно правильным шагом для нашей компании стал ускоренный переход к многопродуктовой модели бизнеса. Можно было бы этим ограничиться, тем более, что мы давно шли к этой модели. Уверен, клиенты бы нас поняли, но мы не пошли на этот компромисс — и выполнили весь план разработок нового релиза "Avanpost", сделав наши продукты столь же удобными во внедрении и использовании, как и лучшие западные аналоги, — отметил Андрей Конусов, генеральный директор компании Аванпост. — Это не только дело принципа, но и ясный расчет, ведь все новые инструменты не только усиливают впечатление от продуктов линейки Avanpost, но и заметно ускоряют внедрения, а также позволяют в большинстве проектов обойтись вообще без какого-либо программирования. А это — большая экономия времени и средств. И реальная возможность совместно с партнерами максимально оперативно поддержать любые бизнес-проекты наших заказчиков. Особо отмечу важность в плане импортозамещения еще упростившейся интеграции линейки "Avanpost 5.0" с российским прикладным и инфраструктурным софтом и с ПО OpenSource. Приятно сознавать, что для организации любого размера наши продукты — это выгодная альтернатива или замена любым конкурирующим продуктам в сфере комплексного управления доступом и создания инфраструктуры открытых ключей — без каких-либо натяжек и компромиссов».

В ПК «Avanpost» реализована синхронизация паролей

19 ноября 2015 года было объявлено о реализации в ПК «Avanpost» механизма синхронизации паролей между целевыми системами. Таким образом, пользователи смогут использовать единый пароль во всех интегрированных с IDM системах и менять его любым способом с возможностью синхронизации со всеми аккаунтами в этих системах. Специалистам IT- ИБ-подразделений функция предоставляет возможность централизованного сброса паролей и возможность установки единой парольной политики предприятия.

Разработка компании Аванпост состоит из модуля перехвата паролей, работающего на стороне целевой системы, и обработчика событий смены паролей в IDM, который синхронизирует полученный пароль с аккаунтами пользователя в других системах. Модуль перехвата включает в себя провайдер паролей, регистрирующийся на сервере целевой системы и общую, независимую от интегрируемой системы, службу доставки паролей. Отметим, что взаимодействие службы доставки паролей с IDM производится асинхронно, через очередь сообщений, которые шифруются сертификатом сервера системы. После распространения по аккаунтам пароли не сохраняются, что гарантирует безопасную синхронизацию.

Провайдер паролей для Microsoft Active Directory основан на интерфейсе парольных фильтров – стандартной возможности расширения парольных политик Active Directory. Фильтр при этом должен быть установлен на всех контроллерах, взаимодействующих с рабочими станциями пользователей или сервисами, через которые выполняется смена пароля.

Avanpost Access System получила "добро" к выходу на рынок Беларуси

1 декабря 2015 года компания Аванпост сообщила о завершении процедуры сертификации программного комплекса «Avanpost IDM» в Оперативно-аналитическом центре при Президенте Республики Беларусь.

Сертификат соответствия № BY/112 02.02. 036 00156 действителен до июня 2020 года. По состоянию на 1 декабря 2015 года компания Аванпост – единственный российский поставщик IDM-решений, получивший сертификат соответствия государственным нормативам, перечисленным в документе «ТР 2013/027/BY Информационные технологии. Средства защиты информации. Информационная безопасность».

Сертификация ПК «Avanpost» на белорусском рынке важна для компании, как инструмент продвижения на рынок. Законодательство Республики Беларусь предписывает обязательное использование в системах информационной безопасности только сертифицированных решений.

Никита Сильченко, генеральный директор компании Тайгер Оптикс, авторизованного дистрибьютора решений Аванпост в Республике Беларусь и Казахстане, отметил:

- Совместное получение сертификата СЗИ является новым шагом в партнерских отношениях компаний Аванпост и Тайгер Оптикс. Решения Аванпост находятся в нужном месте в нужное время, и мы как дистрибьютор продолжаем инвестировать в успех российского вендора в Республике Беларусь и прочих территориях присутствия.

Андрей Конусов, генеральный директор компании Аванпост, пояснил:

- Успешная сертификация нашего решения открывает корпоративным клиентам и государственным предприятиям Республики Беларусь возможности ведущей системы идентификации и управления доступом к информационным ресурсам предприятия – «Avanpost IDM». Мы рады предоставить высококачественный продукт, готовый к внедрению прямо сейчас. Обязательный сертификат СЗИ снимает барьеры для применения нашей IDM-системы в госсекторе, поэтому наше решение будет интересно также и для государственных заказчиков. Сейчас рассматривается возможность открытия офиса Аванпост в Минске, в том числе локальной инженерной компетенции, что подтверждает нашу готовность к долгосрочному сотрудничеству с партнерами и клиентами в Республике Беларусь.

2014

Avanpost 3.0 интегрирован с АИС «Налог-3»

4 февраля 2014 года компания Аванпост объявила о завершении первого этапа создания подсистемы управления идентификационной информацией и электронными ключами на основе программного комплекса (ПК) «Avanpost 3.0» в АИС «Налог-3».

Подсистема - один из ключевых элементов системы обеспечения информационной безопасности (СОБИ) АИС «Налог-3». К 4 февраля 2014 года завершена поставка ПК «Avanpost 3.0», выполнены все работы по развертыванию подсистемы в рамках нескольких площадок заказчика.

ФНС России выбрала ПК «Avanpost 3.0» по итогам открытого конкурса на создание первой пусковой очереди СОБИ ИС «Налог-3». Исполнителем работ по созданию подсистемы управления идентификационной информацией и электронными ключами стала компания «Элвис-Плюс», платиновый партнер компании Аванпост.

АИС «Налог-3» – новая отраслевая информационная система для обеспечения основной деятельности ФНС России, её задача - упростить и ускорить консолидацию налоговых данных, предоставить доступ к ним на всей территории РФ. У АИС «Налог-3» одноуровневая централизованнпч архитектура, что создает большие преимущества в части развертывания, сопровождения и использования, но создает и новые риски, повышает требования к информационной безопасности.

Выбирая технологическую платформу для подсистемы управления идентификационной информацией и электронными ключами, заказчик представил детальный набор требований к функциональным и эксплуатационным характеристикам, провел масштабный пилотный проект, в ходе которого ПК «Avanpost 3.0» протестирован на общем стенде с комплексной системой ИБ. Проведена интеграция ПК «Avanpost 3.0» с пилотными информационными системами заказчика, нагрузочное тестирование. Результаты испытаний подтвердили - ПК «Avanpost 3.0» отвечает всем требованиям заказчика.

Следующим шагом в реализации проекта станет опытно-промышленная эксплуатация системы управления идентификационной информацией и электронными ключами (в составе СОБИ АИС «Налог-3») в 20 инспекциях ФНС, находящихся в Москве, Республике Татарстан, Волгоградской, Калужской, Московской, Нижегородской, Рязанской областях. После ввода в эксплуатацию в полном объеме АИС «Налог-3» предстоит поддерживать работу 120 тыс. пользователей и около 2 тыс. территориальных единиц ФНС России.

«Создание принципиально новой АИС "Налог-3" – важнейший ИТ-проект ФНС России. Учитывая его значимость и особую роль ИБ для нормальной работы АИС, мы установили очень высокую планку требований ко всем элементам СОБИ и, в частности, к технологической платформе подсистемы управления идентификационной информацией и электронными ключами, – отметил Олег Ковалев, начальник Центра безопасности информации ФГУП ГНИВЦ ФНС России. – Проведенный отбор и проверка в условиях масштабного пилотного проекта показали, что победившая в конкурсе российская разработка в плане функциональности не уступает лучшим зарубежным решениям в области IDM и PKI, что она обеспечена качественной поддержкой и позволяет значительно снизить затраты, сэкономив бюджетные средства. Это свидетельствует о значительном прогрессе всей российской отрасли ИБ».

Avanpost 3.0 интегрирован с системами ДБО

Флагманский продукт компании Аванпост может быть легко интегрирован практически с любыми системами ДБО для управления сертификатами и носителями клиентов банков. Интеграция значительно упрощает работу банковских администраторов безопасности, а также ускоряет разработку коннекторов к конкретным системам ДБО.

Интерфейс реализован в виде серверного ПО, которое автоматически «забирает» необходимую информацию о запросах и клиентах из системы ДБО и переносит ее во внутреннюю БД модуля PKI ПК «Avanpost». Здесь администраторы безопасности проверяют и подтверждают запрос, после чего сертификат передается обратно в ДБО-систему и доставляется пользователю ее штатными средствами. Расписание работы и многие другие параметры сервиса задаются настройками, что не только обеспечивает большую гибкость в управлении механизмом интеграции, но и позволяет унифицировать наиболее сложные компоненты коннекторов к системам ДБО и вынести их в один многократно используемый элемент с хорошо документированными нтерфейсами прикладного программирования (API). Чтобы подключить к ПК «Avanpost» практически любое хранилище сертификатов, нужно лишь написать простейший плагин, описывающий формат хранилища. В итоге, по оценкам специалистов Аванпост, использование новой разработки позволяет в два-три раза сократить время создания коннекторов к системам ДБО и практически исключает необходимость их модификации при выходе новых версий ядра и основных модулей ПК «Avanpost».

Механизм интеграции в ДБО успешно прошел проверку в пилотных проектах и уже применяется в нескольких крупных кредитно-финансовых организациях в режиме промышленной эксплуатации.

ПК «Avanpost 3.0» интегрирован с любыми доверенными источниками данных

Разработка компании Аванпост более чем вдвое сокращает время создания коннекторов (модулей подключения) системы ПК «Avanpost 3.0» к доверенным источникам данных, а также значительно снижает затраты на сопровождение этих модулей. Это связано с тем, что теперь множество сложных функций, вынесены в универсальный функциональный блок, совместно используемый различными коннекторами. Теперь, чтобы подключить практически любой источник данных к ПК «Avanpost», нужно лишь написать простейший плагин, описывающий структуру данных и способ взаимодействия с источником.

Отметим также, что новая инфраструктура интеграции существенно облегчает внедрение, поскольку участники внедрения работают с хорошо документированными интерфейсами прикладного программирования (API) и с единой гибко настраиваемой службой интеграции.

Более того, на базе новой инфраструктуры интеграции компания Аванпост создала инструментарий разработчика (Software Development Kit, или SDK), которым уже в ближайшее время смогут пользоваться партнеры компании и клиенты, внедрившие ПК «Avanpost». Большое число готовых коннекторов и простота их разработки являются существенным конкурентным преимуществом «ПК Avanpost 3.0». Теперь это преимущество еще возрастет.

Новая разработка Аванпост решает еще несколько задач, особенно важных для крупных заказчиков. Так, поддержка загрузки сразу из множества источников значительно облегчает централизованное внедрение ПК «Avanpost 3.0» на предприятиях с изначально децентрализованной инфраструктурой, применяющих в различных подразделениях разные кадровые системы, а также дополнительные источники данных: корпоративные порталы, реестры договорников и внешних сотрудников и др. Другое важное новшество касается стратегии загрузки информации из источников. Система может работать сразу с несколькими источниками, при этом в каждом случае алгоритм работы может существенно различаться. С помощью настроек этот алгоритм можно гибко настроить – с учетом приоритетов, очередности, а также полноты данных в источнике, наличия информации о событиях (например, кадровых приказов), метода работы с источником, поддержки им функции журналирования и др. Механизм стратегий полностью освобождает разработчика коннектора от реализации алгоритма синхронизации, обеспечения целостности данных, необходимости изучения структуры БД «Avanpost».

Модуль ресертификации ролей (МРР)

В мае 2014 года было объявлено о выпуске модуля ресертификации ролей (МРР), обеспечивающего пользователей программного комплекса (ПК) «Avanpost 3.0» инструментарием для управления жизненным циклом бизнес-ролей. Таким образом, новая разработка Аванпост представляет интерес для всех пользователей ПК «Avanpost 3.0», поскольку позволяет поддерживать в актуальном состоянии ролевую модель (РМ), которая управляет IDM-решением и определяет, какие именно права в тех или иных информационных системах предприятия должны иметь его сотрудники и внешние пользователи (например, работающие по схеме аутсорсинга). При этом процессы внесения изменений в ролевую модель легко накладываются на организационную структуру предприятия, а также процедуры согласования и визирования, предусмотренные регламентами электронного документооборота.

В любой организации, использующей IDM, необходимость в корректировке ролевой модели возникает постоянно: при появлении новой, замене или прекращении использования какой-либо существующей информационной системы; при изменении должностных обязанностей сотрудников и организационной структуры; при появлении новых должностей; при формировании рабочих групп, ориентированных на решение какой-либо проблемы, затрагивающей сразу несколько подразделений. Во всех подобных случаях уполномоченные сотрудники (владельцы ролей) обращаются к новому модулю ресертификации ролей ПК «Avanpost 3.0». Здесь они оформляют заявки на создание, изменение или удаление определенных ролей, после чего заявки проходят согласование у должностных лиц в соответствии с утвержденными регламентами. Если заявка получила все необходимые визы, МРР Avanpost автоматически корректирует ролевую модель – и IDM-решение начинает работать по новым правилам, проведя необходимую перенастройку подсистем управления доступом, встроенных в прикладные и инфраструктурные элементы ИС предприятия.

МРР Avanpost предоставляет гибкие средства описания запрашиваемых изменений РМ и организации документооборота, достаточные, чтобы отразить специфику практически любого предприятия. Так, заявки могут содержать запросы на согласование как новой роли, так и дополнительного права или свойства в рамках уже существующей роли. Добавление, изменение и исключение свойств в роли можно ограничить определенным сроком, по истечении которого роль будет восстановлена в соответствии с первоначальными настройками. Можно заранее описать маршруты согласования заявок, если же маршрут не задан, его нетрудно сформировать с учетом ответственных лиц по данному ресурсу. Можно создавать пакеты маршрутов, добавлять в один маршрут согласования заявки нескольких прав и свойств для ряда ресурсов. Отметим, что в МРР Avanpost реализованы области видимости, т.е. разграничение доступа по ролям и ресурсам для пользователей.

Модуль ресертификации ролей выполняет еще несколько важных функций, в частности, ведет журнал изменений ролевой модели, а также позволяет узнать (также на основе заявок), какие именно роли присвоены тем или иным категориям сотрудников.

Внедрение модуля ресертификации ролей ПК «Avanpost 3.0» позволяет привлечь к коллективной работе над ролевой моделью организации руководителей бизнес-подразделений и ключевых сотрудников. Теперь в администрировании ролей участвуют не только администраторы безопасности, имеющие доступ к консоли управления IDM, но и бизнес-пользователи, отвечающие за конкретные бизнес-процессы и/или информационные ресурсы уровня подразделения или предприятия в целом, а также администраторы прикладных информационных систем и другие заинтересованные лица. Эти категории пользователей работают с простым и эргономичным Web-интерфейсом Avanpost IDM Workflow, делающим прозрачными все операции с заявками и процесс принятия решений об изменении доступа для групп пользователей.

Контроль, автоматизация и централизованное управление ролевой моделью с участием как офицеров безопасности, так и бизнес-подразделений существенно повышает уровень информационной безопасности организации. При этом, модуль ресертификации ролей ПК «Avanpost 3.0» упрощает аналитическую работу офицеров безопасности, направленную на выяснение того, как изменение прав доступа влияет на безопасность информационной системы предприятия.

Подчеркнем, что пользователи ПК «Avanpost 3.0» получают МРР бесплатно. Отметим также, что МРР опирается на инфраструктурные элементы этого IDM-решения, в частности, на подсистему электронного документооборота Avanpost IDM Workflow.

ПК «Avanpost 3.0» интегрирован с удостоверяющим центром CheckPoint

В мае 2014 года было объявлено о выпуске модуля сопряжения (коннектора) программного комплекса (ПК) «Avanpost 3.0» с удостоверяющим центром (УЦ) CheckPoint. Коннектор встраивается в подсистему работы с открытыми ключами (PKI) ПК «Avanpost» и позволяет выпускать, обновлять и отзывать сертификаты указанного УЦ.

Выпущенные сертификаты могут применяться в модуле SSO (однократная аутентификация при входе в приложения).

Вся работа с УЦ CheckPoint, как и с другими поддерживаемыми УЦ, делается через пользовательский интерфейс консоли администратора безопасности ПК «Avanpost 3.0».

Сформированный здесь запрос на выпуск сертификата автоматически попадает на рассмотрение оператору УЦ. Если запрос одобрен, сервер ПК «Avanpost» с помощью коннектора выпускает сертификат в УЦ CheckPoint. После этого сервер уведомляет (в интерфейсе консоли администратора и по электронной почте) администратора безопасности, создавшего запрос, об успешном выпуске сертификата и позволяет ему установить выпущенный сертификат на ключевой носитель, используя стандартный интерфейс ПК «Avanpost 3.0». Аналогично обрабатываются и запросы на обновление и отзыв сертификатов. Таким образом, использование нового УЦ не меняет установленный документооборот организации, не создает дополнительную нагрузку на персонал и не требует его дополнительного обучения.

Создание коннектора к УЦ CheckPoint стало очередным шагом в реализации программы по интеграции ПК «Avanpost 3.0» с наиболее популярными на российском рынке удостоверяющими центрами. В настоящее время, наряду с CheckPoint, в число поддерживаемых УЦ входят также: КриптоПро, RSA Keon, NotaryPRO, Microsoft и Validata. Отметим, что в дальнейшем функциональность коннектора к УЦ CheckPoint будет расширяться. В частности, появится учет лицензий УЦ CheckPoint – аналогично тому, как эта функция реализована для УЦ КриптоПро.

Avanpost 4.0

5 июня 2014 года компания Аванпост объявила о выпуске четвертого релиза своего флагманского продукта – программного комплекса «Avanpost 4.0».

По технологическому уровню, функциональности и простоте внедрения этот релиз - самый масштабный за все время существования ПК «Avanpost», поставил его в один ряд с ведущими IDM-системами высшего класса, продвигаемыми мировыми лидерами в сфере ИТ и ИБ.

Продукт компании Аванпост соответствует российской нормативной базе в области информационной безопасности, поддерживает важнейшие российские разработки в этой сфере (УЦ, ЭП, смарт-карты и токены, универсальные карты и др.) и обеспечивает технологическую независимость российского бизнеса и системы госуправления на таком важном участке ИБ, как комплексное управление доступом к конфиденциальной информации.

После выпуска релиза 3.0 (март 2012 года) выполнен ряд важных разработок:

  • новая инфраструктура интеграции с доверенными источниками информации и с удостоверяющими центрами,
  • поддержка двух- и трехфакторной аутентификации и биометрических технологий идентификации,
  • реализована SSO[2] для ведущих мобильных платформ Android и iOS,
  • выпущено множество новых коннекторов (модулей сопряжения) ПК «Avanpost» с прикладными и инфраструктурными элементами ИС предприятия.

Переработана архитектура продукта, что упростило создание коннекторов и помогает добавлять новые механизмы аутентификации, реализовать различные варианты N-факторной аутентификации (например, за счет взаимодействия с IDM, PKI, биометрией, СКУД и др.).

В составе продукта три основных модуля (IDM[3], PKI[4] и SSO), которые можно внедрять отдельно или в любых сочетаниях.

Другая существенная часть ПК «Avanpost 4.0» - различные инструменты:

  • помогающие создавать и поддерживать в актуальном состоянии ролевые модели;
  • организовывать документооборот, связанный с управлением доступом;
  • разрабатывать коннекторы к различным ИТ- и ИБ-системам;
  • гибко настраивать информационно-аналитические отчеты.

Функции модуля Avanpost Mobile (см. ниже) перенесены в модуль SSO.


Преимущества «Avanpost 4.0»:

  • Версия ПК «Avanpost 4.0» рассчитана на широкий диапазон масштабов внедрений - впервые полнофункциональное IDM-решение стало доступным для среднего российского бизнеса.

  • В новый релиз ПК «Avanpost» включены в обобщенной форме все ключевые доработки, сделанные в 2013 году в рамках крупных внедрений. «Avanpost 4.0» поддерживает децентрализованные организации любого размера, одновременно применяющие в различных подразделениях разнородные кадровые системы.

  • Существенно повышена масштабируемость решения: нагрузочные испытания подтверждают работоспособность ПК «Avanpost 4.0» в конфигурации на 30 тыс. групп и 150 тыс. пользователей в домене. Верхняя планка масштабирования гораздо выше.

  • «Avanpost 4.0» поддерживает различные варианты трансграничного управления правами доступа в группах организаций, взаимодействующих по схеме кластера. В такой схеме центральная организация должна надежно контролировать доступ к своим приложениям, информационным ресурсам и элементам ИТ-инфраструктуры для сотрудников множества сторонних организаций (партнеров, аутсорсеров, членов расширенной цепочки поставок и др.), не имея при этом прямого доступа к их внутренним кадровым системам. В российской экономике такие кластеры характерны для вертикально-интегрированных компаний, а также для ряда отраслей экономики (телекоммуникации, ТЭК, сельскохозяйственное производство, аэрокосмическая отрасль, машиностроение и др.).

  • На платформе ПК «Avanpost 4.0» можно создавать IDM-решения и комплексные системы управления доступом для гибридных ИС, объединяющих традиционные приложения и элементы ИТ-инфраструктуры и частные облака, работающие по схеме IaaS, PaaS и SaaS (в последнем случае требуется API облачного приложения).

  • Решение Аванпост для частных облаков и гибридных ИС полностью проработано, его коммерческое продвижение начнется как только на российском рынке появится устойчивый спрос на подобные решения.

  • Увеличено число точек взаимодействия ПК «Avanpost 4.0» с другими системами. Среди них: системы дистанционного банковского обслуживания (ДБО), удостоверяющие центры (поддерживаются все УЦ, популярные на российском рынке), устройства для биометрической идентификации, СКУД, различные дополнительные средства аутентификации.

  • Для каждого вида взаимодействия (например, ядра IDM – с доверенными источниками данных и целевыми системами) разработан унифицированный интерфейс и используемая всеми коннекторами инфраструктура интеграции, в которую перенесено множество наиболее сложных функций (например, синхронизация данных).

  • Для коннекторов с доверенными источниками данных и целевыми системами создан инструментарий разработчика (SDK), которым могут пользоваться сторонние организации. Это упрощает интеграцию ПК «Avanpost 4.0» с унаследованными системами, закрытыми внутрикорпоративными разработками, с отраслевыми решениями и системами для узких сегментов рынка.

  • На 5 июня 2014 года ПК «Avanpost 4.0» располагает наибольшим числом готовых коннекторов к распространенным на российском рынке ИТ-системам, а также доступными технологиями их разработки силами вендора, партнеров и клиентов.

  • В ПК «Avanpost 4.0» появилось решение – перенесенный в модуль SSO функционал модуля Avanpost Mobile, поддерживающий обе наиболее популярные мобильные платформы: Android и iOS. Для обеих платформ этот модуль предоставляет безопасный доступ через веб-браузер с мобильных устройств к внутрикорпоративным порталам и интранет-приложениям (интранет-портал, корпоративная веб-почта Microsoft Outlook Web App и др.). Версия для Android также содержит встроенную полнофункциональную систему SSO, поддерживающую системы VoIP-телефонии, видео- и видеоконференцсвязи (Skype, SIP), а также любые Android-приложения (клиенты корпоративных систем: CRM, ERP, HRM, бухгалтерия и др.) и облачные веб-сервисы. Модуль Avanpost Mobile и система Mobile SSO позволяют компании-клиенту полностью интегрировать устройства, использующие наиболее популярные мобильные платформы, в корпоративную инфраструктуру IDM, созданную на базе ПК «Avanpost».

  • Одним из ключевых нововведений стали инструменты создания и поддержания в актуальном состоянии "ролевых моделей". В таких моделях, являющихся ядром IDM-решения, четко прописаны категории сотрудников, их права в каждой инфраструктурной или прикладной подсистеме ИС, а также индивидуальные отклонения от этой схемы для отдельных сотрудников и групп.

По мнению разработчиков, на 5 июня 2014 года ПК «Avanpost 4.0» – единственное на российском рынке IDM-решение, со встроенным полным набором инструментов для создания ролевых моделей, их поддержания в актуальном состоянии.

  • Использование механизма заявок в модуле ресертификации ролей и в ряде других подсистем ПК «Avanpost» максимально упрощает вовлечение бизнес-подразделений в процессы администрирования IDM. В ПК «Avanpost 4.0» он реализован как веб-приложение, с которым работают все категории пользователей: сотрудники могут самостоятельно регистрировать заявки, которые затем проходят заданные маршруты и регламенты визирования; а для их настройки нужны соответствующие полномочия. В частности, реализован механизм делегирования, сложные правила управления групповыми заявками (визирующие лица могут утверждать заявку для одних кандидатов и отклонять – для других), зоны видимости, а также заявки, вызывающие вре́менное изменение режима работы ПК «Avanpost» (например, создание роли, действующей одну неделю), которое по истечении указанного периода будет автоматически отменено. Отметим, что при рассмотрении заявок на изменение настроек IDM, свои решения пользователи подтверждают квалифицированной электронной подписью (ранее такой механизм действовал только при обработке заявок в модуле PKI).

Подсистема Avanpost Workflow допускает описание достаточно сложных сценариев обработки заявок.

  • В ПК «Avanpost 4.0» встроена новая унифицированная подсистема подготовки отчетов, которая используется во всех функциональных модулях: IDM, PKI, Role Manager и др. Работа с этой системой идет через специальное Web-приложение, а технология создания отчета рассчитана на пользователей и администраторов, имеющих базовые навыки программирования на языках HTML и C#. Это обеспечивает практически неограниченную гибкость, позволяет создавать отчеты со сложной логикой, а также шаблоны сложных отчетов, которые в ходе внедрения проходят глубокую кастомизацию под нужды конкретной организации. Разработку, индивидуальную настройку отчетов могут проводить как интеграторы, так и специалисты заказчика.

  • Библиотека, в составе которой более десяти предустановленных форм отчетов.

«Два года назад, через месяц после выпуска ПК "Avanpost 3.0", начался принципиально новый этап в развитии нашей компании: в кратчайшие сроки она должна была превратиться из нишевого поставщика хороших технологий в области IDM, PKI и SSO в респектабельного ИБ-вендора, предлагающего рынку полнофункциональную российскую IDM-систему, способную успешно конкурировать с мировыми грандами в этой сфере, и при этом быть гораздо более доступной и простой во внедрении. Развитие базовых технологий, встраивание в продукт множества новых функций и служебных инструментов стали одним из трех главных приоритетов (наряду со стратегией развития и построением эффективных каналов продвижения). Релиз 4.0 – результат этих усилий, проходивших на фоне высокой изменчивости мирового и российского рынков ИБ, где одни тренды действовали сходно, а другие разнонаправленно, – поведал Андрей Конусов, генеральный директор компании Аванпост. – Впервые российская IDM достигла такой сбалансированности и зрелости, когда не осталось существенных функций, по которым она принципиально отстает от ведущих западных решений. Более того, она выигрывает у них не только по цене, но и по ряду принципиальных особенностей, касающихся функциональности, практичности, методологической обеспеченности, открытости и глубины интеграции в ИС предприятия. Это важный этап в развитии всего российского рынка ИБ, ведь IDM – один из немногих успешно развивающихся его сегментов. Мы не собираемся снижать набранный темп развития ПК "Avanpost". Много разработок уже завершены и ждут оптимального момента для вывода на рынок, многие близки к завершению, есть немало идей. Наша задача – сделать ПК "Avanpost" самой привлекательной и гибкой платформой для создания комплексных систем управления доступом для любого российского предприятия».

Подсистема виртуальных ресурсов Avanpost 4.0

3 июля 2014 года компания Аванпост сообщила о новой подсистеме виртуальных ресурсов для программного комплекса «Avanpost 4.0».

Новая разработка позволяет учитывать в ролевой модели предприятия права из любых прикладных и инфраструктурных ИТ-систем, имеющих собственные механизмы управления доступом, но не участвующих в фактическом обмене данными с IDM-решением с помощью полнофункционального коннектора.

Использование новой подсистемы помогает координировать управление доступом в таких изолированных системах с кадровыми событиями и утвержденными правилами управления доступом. Кроме того, подсистема упрощает документирование настроек управления доступом в корпоративной ИС.

По мнению разработчиков, подсистема виртуальных ресурсов ПК «Avanpost 4.0» особенно полезна при работе с унаследованными ИТ-системами и ПО, функционирующим в выделенных и физически изолированных контурах безопасности ИС. Применение виртуальных ресурсов оправдано и как временная мера на период разработки полнофункционального модуля сопряжения.

Виртуальный коннектор подключается к ПК «Avanpost 4.0» по общим правилам, что и обычные полнофункциональные модули сопряжения, но в отличие от последних, он взаимодействует не с реальной ИТ-системой, а со специальным справочником, где перечислены изолированные системы, и для каждой из них указаны названия ролей, групп и других сущностей, задействованных во встроенной системе управления доступом.

IDM-ядро ПК «Avanpost 4.0» реагируя на кадровые события (прием на работу, увольнения, должностные перемещения и др.), инициирует изменение состояния прав доступа во всех подключенных ИТ-системах, включая изолированные. Для систем, имеющих полнофункциональные модули сопряжения, процесс полностью автоматизирован, и его завершение не требует участия администраторов. Виртуальный коннектор для всех необходимых действий формирует задания в системе Service Desk, назначая их исполнителями соответствующих ИБ-администраторов, что обеспечивает контроль исполнение заданий и нагрузку на администраторов. При этом использование в заданиях характерных для каждой системы названий ролей, групп и других сущностей значительно упрощает работу администратора и снижает вероятность его ошибок.


Role Manager: анализ прав пользователей

Ресурсы workflow

Консоль администратора

Avanpost 4.0 - новый SOAP-коннектор

19 августа 2014 года компания Аванпост объявила о выпуске универсального модуля сопряжения (коннектора), связывающего программный комплекс (ПК) «Avanpost 4.0» со всевозможными целевыми системами, которыми управляет IDM-решение.

Модуль сопряжения работает по стандартному протоколу SOAP (далее – SOAP-коннектор). Новая разработка Аванпост опирается на наиболее распространенные варианты реализации веб-сервисов в корпоративном сегменте и позволяет органично вписать ПК «Avanpost 4.0» в SOA-инфраструктуру компании-заказчика.

SOAP-коннектор, в первую очередь, предназначен для организаций, уже имеющих или стремящихся к созданию информационной системы на основе сервис-ориентированной архитектуры (SOA). При этом данный коннектор значительно упрощает подключение к ПК «Avanpost 4.0» различных прикладных и инфраструктурных подсистем ИС предприятия силами заказчиков и интеграторов. Коннектор найдет применение и в проектах интеграции, выполняемых с привлечением разработчиков целевых систем.

SOAP-коннектор подключается ко встроенной в ПК «Avanpost 4.0» стандартной инфраструктуре сопряжения с целевыми информационными системами. В свою очередь, целевая система должна предоставлять веб-сервис, с помощью которого коннектор сможет безопасно извлекать нужную информацию (например, для построения ролевой модели или проведения аудита), а также менять настройки управления доступом. Вместе с коннектором поставляется контракт веб-сервиса (описание WSDL и схема XSD), описывающий методы, типы сообщений и другие детали взаимодействия коннектора с веб-сервисом целевой системы.

Новый коннектор существенно расширяет спектр инструментов и методов разработки. SOAP-коннектор создан на основе открытых стандартов и ориентирован на технологии, составляющие фундамент современной реализации сервис-ориентированной архитектуры в информационной системе предприятия. Интеграция, выполненная с помощью SOAP-коннектора, не вынуждает разработчика конкретного модуля сопряжения применять информационные технологии, лежащие в основе ПК «Avanpost 4.0» и позволяет полнее абстрагироваться от структурных особенностей подключаемой системы, которые могут меняться от версии к версии.

ПК «Avanpost 4.0» интегрирован с удостоверяющим центром Валидата

Компания Аванпост в сентябре 2014 года объявила о выпуске модуля сопряжения (коннектора) программного комплекса (ПК) «Avanpost 4.0» с удостоверяющим центром (УЦ) Валидата. Коннектор встраивается в подсистему работы с открытыми ключами (PKI) ПК «Avanpost 4.0» и позволяет выпускать, обновлять и отзывать сертификаты указанного УЦ. При этом сертификаты УЦ Валидата могут применяться в модуле SSO (однократная аутентификация в прикладном и инфраструктурном ПО) ПК «Avanpost 4.0».

Данный коннектор представляет особый интерес для организаций – госструктур и банков, – имеющих юридически значимый документооборот с ЦБ РФ. Изначально инфраструктура работы с открытыми ключами УЦ Валидата не позволяла выпускать, отзывать и обновлять сертификаты с помощью стороннего ПО. Соответственно, создание нового коннектора потребовало значительной совместной работы специалистов компаний Аванпост и «Валидата». Теперь работа в ПК «Avanpost 4.0» работа с УЦ Валидата организована точно так же, как и с другими поддерживаемыми УЦ – через пользовательский интерфейс консоли администратора безопасности. Здесь администратор формирует запрос на необходимые действия с сертификатами, получает уведомления об одобрении и отклонении запросов удостоверяющим центром, а также устанавливает выпущенные сертификаты на ключевые носители. Кроме того, администратор, создавший запрос, получает по электронной почте уведомления о прохождении этапов обработки последнего в УЦ.

Выпуск ключей с помощью модуля Avanpost PKI значительно менее трудоемок, нежели использование стандартных средств УЦ. При этом в ПК «Avanpost 4.0» рабочий процесс и отдельные процедуры полностью унифицированы как для различных УЦ, так и для допустимых действий с сертификатами. Всё это существенно снижает нагрузку на персонал, упрощает обучение и способствует унификации документооборота организации.

Число поддерживаемых УЦ, наряду с УЦ Валидата, входят также: КриптоПро, RSA Keon, NotaryPRO, Microsoft и CheckPoint. Хотя УЦ Валидата не столь широко распространен, как другие УЦ, его поддержка в зрелой полностью российской ИТ-системе, объединяющей функции PKI, SSO и IDM, исключительно важна для целого ряда российских организаций, тесно взаимодействующих с ЦБ РФ.

ПК «Avanpost 4.0» интегрирован с АБС «Кворум»

8 октября 2014 года компания Аванпост сообщила о создании модуля сопряжения подсистемы IDM программного комплекса (ПК) «Avanpost 4.0» с автоматизированной банковской системой (АБС) «Кворум».

Новая разработка Аванпост представляет первостепенный интерес для всех кредитно-финансовых организаций, использующих ИТ-решения на базе банковской платформы «Quorum. Банк».

В коннекторе АБС «Кворум» реализован полный протокол обмена данными с IDM-ядром. ПК «Avanpost» может управлять всеми настройками системы контроля доступа, встроенной в эту АБС: создавать, блокировать и разблокировать учетные записи, назначать и отзывать конкретные права и роли пользователям, в полном соответствии с действующей ролевой моделью и всевозможными кадровыми событиями (приемом на работу, увольнениями, должностными перемещениями и др.).

IDM-ядро ПК «Avanpost» получает возможность извлекать актуальные данные о фактических учетных записях и правах пользователей, что позволяет включить АБС «Кворум» в аудит прав доступа, позволяющий выявлять отклонения от ролевой модели и при необходимости отменять их, а также в процессы создания и ресертификации ролевой модели банка.

Посредством сопряжению с IDM, управление правами в АБС «Кворум» становится полностью автоматизированным, что освобождает администраторов АБС от огромного объема рутинной работы, предотвращает ошибки и закрывает возможности для широкого спектра злоупотреблений и компьютерных преступлений. При этом банк получает инструмент всестороннего контроля доступа пользователей к функциям АБС и хранящейся в ней информации, а также контроля над действиями администраторов в части изменения доступа пользователей.

Учитывая роль АБС в деятельности кредитно-финансовой организации, эти изменения существенно повышают уровень информационной безопасности в целом, снижают риски мошенничества и резонансных преступлений, способных негативно повлиять на репутацию банка.

ПК «Avanpost 4.0» совместим с линейкой ключей Рутокен

30 октября 2014 года компания Аванпост и компания «Актив» объявили о полной совместимости программного комплекса (ПК) «Avanpost 4.0» со всей линейкой электронных ключей Рутокен, включая модели «Рутокен S», «Рутокен ЭЦП» и «Рутокен RF».

Компания «Актив» - технологический партнер Аванпост с июля 2013 года. Развитие модельного ряда Рутокен и, в частности, появление модели «Рутокен RF» (со встроенной меткой RFID) потребовали от компании «Актив» создания совершенно новой версии драйверов, которые не поддерживали некоторые механизмы взаимодействия, задействованные в ПК «Avanpost 4.0».

Компании выявили проблему, провели доработку драйверов и тестирование, в том числе в реальных проектах.

Носители «Рутокен S», «Рутокен ЭЦП» и «Рутокен RFID» рекомендованы для использования в качестве аппаратного носителя ключевой информации в проектах по созданию инфраструктуры открытых ключей или комплексных систем управления доступом любой сложности, выполненных на базе ПК «Avanpost 4.0». Рекомендация распространяется на проекты с высокими требованиями к безопасности, поскольку и ПК «Avanpost 4.0» и сертифицированные идентификаторы Рутокен со встроенной российской криптографией и интегрированными RFID-меткамии являются российскими разработками и соответствуют требованиям действующей нормативной базы РФ в области ИБ.

Пользователи ИБ-систем, в которых интегрированы решения обеих компаний, получают функциональность IDM, PKI и SSO (в зависимости от конфигурации ПК «Avanpost 4.0») и полнофункциональное средство по учету и управлению своими ключевыми носителями. Это расширяет возможности использования электронных ключей Рутокен в организациях, где требуется вести персонифицированный учет ключевых носителей и выпущенных сертификатов.

ПК «Avanpost 4.0» – переаттестация прав пользователей

2 декабря 2014 года компания Аванпост объявила об обновлениифункции программного комплекса (ПК) «Avanpost 4.0» – переаттестации прав пользователей.

Эта функция упрощает корректное изменение прав доступа к различным элементам корпоративной информационной системы при переводе сотрудника на новую должность. Предусмотрены различные варианты процедуры изменения прав, что позволяет учесть особенности конкретной организации и снизить нагрузку на ИТ-персонал, а также руководителей и сотрудников бизнес-подразделений.

ПК «Avanpost 4.0» при кадровых перемещениях сотрудника сам отзывает его старые роли и назначает новые. Ранее выданные в соответствии с ролевой моделью роли и права доступа отзывались у сотрудников при переводе, безусловно, и заменялись на положенные по новой должности. Теперь эти изменения могут быть применены не только автоматически, но и может быть запущен цикл переаттестации прав сотрудника. В этом случае, будет автоматически сформирована заявка, которая пройдет по заранее настроенному пути, зависящему от входящих в заявку ролей. Ответственным лицам будет предложено подтвердить отзыв старых ролей и назначение новых. При этом, любой участник процесса может как вынести решение по всей заявке, так и выборочно подтвердить отдельные назначения прав или отзыв отдельных ролей. Процессом визирования управляет штатная подсистема ПК «Avanpost 4.0» – IDM Workflow (изменение прав доступа сотрудника на основе его заявки или заявки руководителя).

Появление отдельной процедуры снизило вероятность инцидентов, связанных с преждевременной потерей необходимых пользователю прав (сотрудник, переведенный на новую должность, продолжает выполнять функции старой должности), и сделало процесс более прозрачным, понятным и контролируемым, снизило вероятность ошибок. Кроме того, связь кадровых событий и функций IDM стала более гибкой. Это особенно важно для крупных организаций, где ежедневно происходит множество таких событий.

Совершенствование механизмов управления ролевой моделью организации и механизмов управления правами конкретных пользователей – один из важнейших приоритетов в развитии ПК «Avanpost 4.0». В рамках этой работы были, в частности, созданы как подсистема IDM Workflow, так и модули Role Manager и «Ресертификация ролей», позволяющие быстро и методически корректно создать и оптимизировать ролевую модель, а в дальнейшем поддерживать ее в актуальном состоянии.

Планы на ПК «Avanpost 5.0»

Важнейшая задача – сделать новый релиз ПК «Avanpost 5.0» удобным для внедрения и сопровождения, как и западные продукты, где до 90% настроек не требуют программирования и делаются «расстановкой галочек». В 5-м релизе и в последующих обновлениях ПК «Avanpost» значительно повысится гибкость встроенной системы workflow, которая управляет обработкой всевозможных заявок (на изменение прав доступа пользователя, ресертификацию ролей и др.). В специальном графическом редакторе можно будет задавать бизнес-процессы любой сложности, зависящие от условий и имеющие сложную логику. Кроме того, все модули получат совершенно новый пользовательский интерфейс, построенный на Web-технологиях. Значительно упростится и настройка отчетов.

Наличие самостоятельных и вместе с тем взаимно интегрированных полнофункциональных модулей IDM, PKI и SSO – это принципиальное преимущество ПК «Avanpost» перед любыми IDM-решениями, представленными на российском рынке, в том числе и новыми. Соответственно, задача Аванпост – максимально повысить долю комплексных проектов, выполняемых по формуле IDM+PKI+SSO. Выбирая такое решение, заказчики повышают безопасность своих ИС, а для Аванпост и партнеров это означает, что внедрение одного продукта повышает готовность заказчика приобрести также один или два других модуля, чтобы получить максимальный синергический эффект. В 2015 г. к комплексу IDM, PKI и SSO будут добавлены некоторые дополнительные функции, например, единая консоль управления всем набором присоединенных модулей, вывод на единую информационную панель (dashboard) ключевых параметров и индикаторов критических событий, относящихся ко всем модулям, а также интеграция с системами анализа корреляций событий ИБ (Altiris).

Еще одно направление работ связано с поддержкой в ПК «Avanpost 5.0» всевозможных механизмов аутентификации. В настоящее время поддерживаются биометрические датчики и аутентификация с помощью аппаратных ключей (смарт-карт и токенов). Вскоре к ним добавятся одноразовые пароли, доставляемые с помощью SMS или создаваемые с помощью автономных аппаратных генераторов или иным способом. В итоге, заказчик сам сможет задавать нужный ему алгоритм N-факторной аутентификации.

ПК «Avanpost 4.0» – единственное IDM-решение, в которое встроен полный комплект инструментов для построения ролевых моделей, их оптимизации и поддержания в актуальном состоянии. Эти инструменты не нужно отдельно приобретать и внедрять. Разработка Avanpost Role Manager и модуля ресертификации ролей стала прорывом для всего российского рынка IDM: впервые любая организация получила реальную возможность внедрить и сопровождать IDM-систему методически корректно, а сроки внедрения даже в самых крупных организациях сократились с нескольких лет до полугода. Теперь задача Аванпост – добиться, чтобы методически корректно проводились все или почти все внедрения. Важным шагом в этом направлении станет завершение разработки ориентированной на интеграторов и консультантов методологии внедрения ПК «Avanpost 5.0», в равной мере охватывающей как организационные, так и технологические моменты. Кроме того, компания будет и дальше развивать технологии управления ролевыми моделями и, в частности, научит ПК «Avanpost» отслеживать, какими из имеющихся у них прав сотрудники предприятия пользуются, а какими нет. Эта технология позволит гораздо полнее и эффективнее устранять избыточные права.

Дальнейшие планы развития продуктовой линейки предусматривают портирование ПК «Avanpost» на ОС и БД с открытым исходным кодом (2016 г.), а также постепенное расширение функциональности ПК «Avanpost» и превращение его в модульный продукт с высокой степенью синергии от совместного использования двух и более модулей (2017 г.), охват новых смежных направлений. Среди наиболее вероятных кандидатов: системы класса MDM (mobile device management) и СКУД (управление физическим доступом сотрудников в помещения). Напомним, что ранее Аванпост проработала на пилотных проектах различные сценарии совместного использования технологий IDM, PKI и СКУД. При этом с 2016 г. расширение функциональности ПК «Avanpost» будет происходить не только за счет создания ПО «с нуля», но и путем поглощения перспективных команд разработчиков.

Особый приоритет на 2015 г. составляет госсектор, где Аванпост уже занимает прочные позиции, имеет портфель завершенных внедрений, а в настоящее время выполняет реальные и пилотные проекты, имеет лиды. Среди других отраслей, где у компании также есть проекты и пилоты, наиболее важным является банковский сектор, полностью готовый к широкомасштабным внедрениям IDM и комплексных систем управления доступом. К этой категории заказчиков относятся также страховые компании, атомная- и электроэнергетика, нефтегазовый сектор. Значительные усилия будут направлены и на более масштабное проникновение в ритейл и ряд других отраслей, где у Аванпост пока есть только пилоты.

Чтобы как можно быстрее создать технологии, ускоряющие внедрения, Аванпост создаст в 2015 г. новый центр разработки на 20-30 специалистов высшей квалификации. Новый центр будет находиться в одном из удаленных регионов РФ и будет отвечать за стратегическое развитие ПК «Avanpost» в соответствии с дорожной картой продуктовой линейки (roadmap). Это позволит полностью исключить влияние конкретных проектов, являющееся до настоящего времени главной причиной периодически случающихся отклонений от плана разработки нового функционала ПК «Avanpost». Московский же центр разработки сосредоточится в основном на доработках и улучшениях, связанных с конкретными внедрениями, например, на создании коннекторов. Кроме того, будет создана команда региональных представителей Аванпост для России, Казахстана и Беларуси. В 2015 г. в команду войдут presale-специалисты, а в 2016 г. к ним добавятся инженеры по внедрениям. Создание этого подразделения резко повысит эффективность продвижения ПК «Avanpost» и удовлетворенность заказчиков ходом внедрения.

2012

Avanpost 3.0

Программный комплекс «Avanpost 3.0» – система идентификации и управления доступом к информационным ресурсам предприятия (IDM) и управления инфраструктурой открытых ключей (PKI). ПК «Avanpost 3.0» является уникальным продуктом, по соотношению полноты функционала и стоимости не имеющий аналогов на российском и западном рынках. Разработан специально для того, чтобы единолично закрыть большинство проблем, которые возникают у служб ИБ при реализации политик безопасности в различных областях.

В сентябре 2012 года компания Avanpost объяила о завершении процедуры сертификации в ФСТЭК России своей основной разработки – программного комплекса (ПК) Avanpost 3.0. Сертификационные испытания проводились в лаборатории ЗАО «Научно-производственное объединение «Эшелон». Сертификат соответствия №2710 сроком до 7 сентября 2015 года удостоверяет, что в ПК Avanpost встроены соответствующие требованиям действующих технических условий и руководящих документов средства защиты от несанкционированного доступа к информации (не содержащей сведений, составляющих государственную тайну), а также, что это ПО не содержит недекларированных возможностей (НДВ). Отметим, что сертификация ПК Avanpost по НДВ проведена по четвертому уровню контроля.

Получение сертификата ФСТЭК – важнейший этап в развитии ПК Avanpost, ведь во многих случаях законодательство РФ предписывает использование в системах информационной безопасности только сертифицированных решений. Этого, в частности, требуют основополагающие нормативные документы в области защиты персональных данных (ФЗ-152) и информационной безопасности в банковской системе (СТО БР ИББС).

Особо подчеркнем: в тексте сертификата непосредственно указано, что ПК Avanpost можно использовать для защиты информации в информационных системах персональных данных (ИСПДн) до класса 1 включительно, в автоматизированных системах (АС) до класса 1Г включительно. Возможность применения ПК Avanpost в системах, требующих самого высокого класса защиты персональных данных, исключительно важна для всего рынка IDM, т. к. в ближайшие годы именно защита персональных данных и ИС кредитно-финансовых организаций будут оставаться основными драйверами развития рынка ИБ в России.

Отметим, что по своим функциональным характеристикам ПК Avanpost вполне соответствует требованиям даже самых крупных организаций, в то время как стоимость внедрения этого первого российского комплексного IDM-решения вполне приемлема для среднего бизнеса. Множество таких организаций уже осознало необходимость срочного внедрения IDM-систем, еще большее число потенциальных заказчиков в настоящее время проводят внедрения инфраструктурных систем и бизнес-приложений, которые напрямую ведут к IDM-системам. Соответственно, компания Avanpost и ее партнеры прогнозируют быстрый рост российского рынка IDM и уверены, что именно ПК Avanpost будет оптимальным выбором для большинства новых заказчиков. В то же время, многих из них отсутствие сертификата ФСТЭК вынудило бы ограничиться пилотными проектами. Теперь эта преграда устранена, что несомненно будет способствовать ускоренному развитию всего российского рынка IDM.


Поддержка персональных аппаратных средств аутентификации (токены, смарт-карты и др.), являющихся основой двухфакторной аутентификации. ПК «Avanpost 3.0» совместим со всеми распространенными на российском рынке вариантами токенов, включая популярные семейства eTocken («Аладдин Р.Д.») и Rutoken (компания «Актив»), линейки компаний «МультиCофт» (MS_Key) и ISBC, a также новейшие разработки компании «Аладдин Р.Д.» на базе платформы JaCarta. Отметим, что «Аладдин Р.Д.» и компания «Актив» являются технологическими партнерами компании Аванпост.

Второй проект связан с быстрым ростом интереса к трехфакторной аутентификации, которая усиливает аутентификацию на базе ключевых носителей за счет использования информации о фактическом местонахождении сотрудника, полученной из системы СКУД. Аванпост активно поддерживает эту новую перспективную тенденцию, поскольку трехфакторная аутентификация позволяет противодействовать халатности и нарушениям регламентов использования токенов, а также выявлять и пресекать различные схемы компьютерных преступлений, когда злоумышленник, выдав себя за легитимного пользователя защищенной ИС, становится невидимым для системы ИБ. В настоящее время полностью проработана архитектура системы трехфакторной аутентификации на базе ПК «Avanpost 3.0», реализован универсальный коннектор к популярной СКУД AS101 (производство компании «МИККОМ-ИСБ»), который позволяет IDM-системе не только получать необходимую информацию из системы СКУД, но и автоматически заводить в ней пользователей и управлять их правами допуска в различные зоны здания (например, центральный вход, кабинеты, отделы, производственные помещения и т. п.). В настоящее время данное решение апробировано в пилотном проекте, выполненном для одной из крупнейших вертикально-интегрированных российских компаний. В дальнейшем, планируется обеспечить совместимость ПК «Avanpost 3.0» с другими популярными на российском рынке системами СКУД.

В рамках третьего проекта были усовершенствованы существующие и созданы новые модули-коннекторы, обеспечивающие прозрачное автоматическое взаимодействие ПК «Avanpost 3.0» с другими элементами ИС предприятия. Сегодня разработано более 100 коннекторов к самым распространенным в России ИТ-решениям различного назначения. Это – кадровые системы (SAP HR, 1C:Кадры, БОСС-Кадровик, Диасофт, AD и др.), инфраструктура управления аккаунтами (MS Active Directory, Citrix), СУБД (Oracle, MS SQL), корпоративная почта и системы класса groupware (Lotus Notes/Domino, MS Exchange), системы управления предприятием (платформа SAP, линейка продуктов и др.), банковские системы, корпоративные порталы, системы CRM и др. Более тридцати новых коннекторов находится в разработке, кроме того, предприятия могут заказать нестандартные коннекторы к редким, узкоспециализированным, отраслевым и «самописным» системам. Особо подчеркнем, что любые коннекторы (включая заказные) создает основной коллектив разработчиков ПК «Avanpost», при этом компания гарантирует их совместимость с новыми версиями систем. Разработка выполняется в сжатые сроки, а ее стоимость соответствует возможностям среднего бизнеса. Сегодня ПК «Avanpost 3.0» предлагает наиболее широкие возможности интеграции среди IDM-систем, представленных на российском рынке.

Основные изменения в релизе 3.0 связаны с появлением двух новых модулей:

  • Avanpost IDM (Identity Management) — управление учетными записями пользователей в корпоративных информационных системах;

  • Avanpost SLS (Self Service) — модуль самообслуживания пользователей.

Avanpost IDM предназначен для централизованного управления учетными записями и правами доступа пользователей к различным информационным системам, подключаемых к программному комплексу посредством т.н. коннекторов. Будучи итогом эволюционного развития модуля Avanpost ADM, модуль IDM построен по принципу обеспечения централизованного управления информационными ресурсами с возможностью передачи административных полномочий по управлению теми или иными элементами. Впоследствии именно модуль IDM стал флагманским компонентом всего программного комплекса Avanpost.

Модуль Avanpost SLS стал логичным продолжением концепции автоматизации бизнес-процессов служб ИТ и ИБ. Он представлял собой web-консоль самообслуживания пользователей, в которой они могли самостоятельно выполнять ряд повседневных задач, снижая тем самым загрузку обслуживающих подразделений.

Четвертый проект направлен на поддержку мобильных устройств, массовое применение которых для работы с корпоративной информацией и стремительный рост популярности концепции BYOD (Bring Your Own Device) – это важнейшая тенденция 2012-2013 гг. Откликаясь на этот тренд, компания разработала для ПК «Avanpost 3.0» новый модуль Avanpost Mobile, обеспечивающий функции однократной аутентификации (SSO) для планшетов и смартфонов на Android и безопасную работу с корпоративной информацией как через браузер, так и через любые приложения. Применение модуля Avanpost Mobile резко повышает безопасность мобильных и удаленных рабочих мест для самой распространенной мобильной платформы. В дальнейшем, компания Аванпост планирует создать аналогичный модуль и для платформы iOS.

ПК Avanpost 3.0 интегрирован с кадровой системой 1С

Компания Avanpost летом 2012 года объявила о завершении разработки и начале предоставления заказчикам модуля интеграции программного комплекса (ПК) Avanpost с модулем кадрового делопроизводства системы «1С Предприятие: зарплата и управление персоналом». Это важный шаг в реализации стратегии компании Avanpost, предусматривающей полнофункциональную интеграцию ПК Avanpost с наиболее популярными на российском рынке бизнес-приложениями, системами управления предприятием, СУБД, корпоративными порталами, системами электронного документооборота и специализированными решениями для кадрового делопроизводства и управления персоналом.

Основная специализация многопрофильного программного комплекса Avanpost в информационной системе заказчика – это централизованное управление в масштабах всей организации правами доступа пользователей к информации, а также аппаратными средствами персональной аутентификации (например, токенами). Прием на работу и увольнение, должностные перемещения и отпуска (кадровые события) – все это требует соответствующей перенастройки прав доступа, выдачи, аннулирования и повторной активации токенов. Интеграция с кадровой системой позволяет системе IDM автоматически реагировать на кадровые события, а интеграция с СУБД и прикладным ПО – автоматически транслировать эти события в правильные настройки их подсистем ИБ. Чем шире круг систем, с которыми интегрирован ПК Avanpost, тем в большей степени это решение систематизирует и автоматизирует работу IT-подразделений и служб информационной безопасности предприятия-заказчика. Новый коннектор обеспечивает полную интеграцию ПК Avanpost с кадровой системой модуля «1С Предприятие: зарплата и управление персоналом».

Сразу после установки и настройки коннектора информация о кадровых событиях начинает поступать в ПК Avanpost в режиме реального времени. На основе этих данных осуществляется автоматизированный выпуск сертификатов ключей подписи, обеспечивается полный жизненный цикл токенов, выпускаемых для сотрудников предприятия. ПК Avanpost своевременно обновляет сертификаты ключей подписи при истечении окончания их срока действия или изменения основных реквизитов владельцев, ведет поэкземплярный учет выдаваемых сотрудникам средств криптографической защиты информации – в полном соответствии с требованиями нормативных и законодательных актов. Реализована удобная функция, позволяющая оперативно приостанавливать срок действия сертификатов на время отпусков или болезни сотрудников, отзывать сертификаты при увольнении и расторжении трудового договора.

Более того, кадровые события и утвержденные матрицы доступа и бизнес-ролей служат основой для автоматического управления учетными записями сотрудников в корпоративных информационных ресурсах и приложениях, включая создание, блокирование таких записей, а также предоставление и отзыв прав доступа.

Новая разработка Avanpost освобождает системных администраторов и офицеров безопасности от огромного объема рутинных операций, предотвращает задержки и технические ошибки, связанные с переносом информации, позволяя этим специалистам сконцентрироваться на сложных задачах ИБ и администрирования корпоративных ИС. Эффективность работы еще более возрастает, благодаря продуманному распределению функций между АРМами. В качестве примера можно привести единую консоль, позволяющую контролировать инициализацию, учет, выдачу и отзыв носителей у увольняемых сотрудников. Отметим, что при этом поддерживается и работа с ПИН-конвертами с ПИН-кодами.

ПК Avanpost 3.0 интегрирован с IBM Lotus Notes/Domino

В октябре 2012 года компания Avanpost объявилао завершении разработки модуля интеграции программного комплекса (ПК) Avanpost c платформой IBM Lotus Notes/Domino, являющейся одним из наиболее зрелых масштабируемых и совершенных решений для создания систем коллективной работы с информацией (groupware) на территориально-распределенных предприятиях любого масштаба. Создание нового коннектора – это очередной важный шаг по направлению к полнофункциональной интеграции ПК Avanpost с системами электронного документооборота, управления предприятием, корпоративными порталами, персоналом, бизнес-приложениями и СУБД.

Новый коннектор ПК Avanpost автоматизирует практически все аспекты работы администратора системы Lotus Domino по управлению пользователями. Реагируя на события, регистрируемые в системе кадрового учета, коннектор создает, блокирует и разблокирует пользователей, включает их в группы и удаляет из них, проводит ресертификацию в случае изменения ФИО, а также создает персональные почтовые ящики. Отметим, что при использовании штатных инструментов администрирования Lotus Domino, создание пользователя и почтового ящика для него по трудоемкости превосходит формирование учетной записи в домене. Коннектор же позволяет это действие автоматизировать, тем самым значительно сокращая затрачиваемое на него время. Общая же нагрузка на администратора крупной территориально-распределенной сети, если учесть все поддерживаемые коннектором операции, снижается на 70-80%.

Не менее важно, что автоматическое управление с помощью коннектора учетными записями пользователей и их доступом к информации в БД Notes повышает безопасность информационных систем компании. В связи с этим особо подчеркнем, что коннектор повышает контроль за администраторами Domino. В частности, фиксация в кадровой системе приема на работу и увольнения, временной приостановки и возобновления полномочий администратора незамедлительно отражается на его административных правах в системе.

Новый коннектор ПК Avanpost реализован в виде двух программных компонент: одна взаимодействует с модулем Avanpost IDM и выдает управляющие воздействия, другая (Avanpost Lotus Agent) устанавливается на сервер Domino и транслирует эти воздействия в вызовы его API. Эта компонента написана на языке Java, она является стандартным Lotus-приложением и может работать в любой операционной системе, для которой есть версия сервера Lotus Domino (версия 6.5 и выше). Для передачи управляющих воздействий используются стандартный протокол HTTP и REST-интерфейс, сформированный компонентой Avanpost Lotus Agent. Каждый вызов может содержать все данные, а может быть неполным. В последнем случае каждая компонента поможет дополнять его информацией из внешних источников. Этот процесс полностью контролируется настройками. Коннектор полностью протоколирует все выполненные запросы, журнал хранится в БД Lotus Notes, права доступа к которой также находятся под управлением коннектора.

Новый коннектор существенно дополняет ранее существовавшие в ПК Avanpost средства интеграции модуля SSO с платформой IBM Lotus Notes/Domino. Напомним, что эти средства добавили к встроенной в Domino авторизации через контроллер домена поддержку централизованной авторизации с использованием сертификатов, аппаратных ключей (токенов, смарт-карт и др.) и биометрических технологий (при наличии соответствующего оборудования).

«В свое время система IBM Lotus Notes изменила характер коллективной работы с неструктурированной и слабо структурированной информацией в корпоративной среде, сформировала новую категорию groupware и утвердила ее как один из ключевых элементов ИС предприятий. Несмотря на технологические революции и появление множества разработок, провозглашавших себя „убийцами Notes` (Notes Killer App), эта платформа и сегодня сохраняет за собой статус лидера, – говорит Александр Санин, коммерческий директор компании Avanpost. – Системы groupware на базе IBM Lotus/Domino широко применяются в российском бизнесе и в системе государственного управления, а сама эта платформа является технологической основой многих универсальных и специализированных систем электронного документооборота и делопроизводства, созданных российскими разработчиками. Уверен, что наша новая разработка позволит многим отечественным компаниям перейти от оценки преимуществ IDM к реальным проектам и выбрать в качестве платформы ПК Avanpost».

ПК Avanpost 3.0 интегрирован с SAP HR

Решение SAP HR весьма популярно в крупных российских организациях, т. к. охватывает и увязывает в единую систему работу с персоналом на всех уровнях – от оперативного до стратегического. В зависимости от конфигурации, система SAP HR позволяет: управлять организационной структурой и штатным расписанием, вести кадровый учет и поддерживать соответствующий электронный документооборот, планировать карьеру и отслеживать должностные перемещения сотрудников, работать с кадровым резервом, управлять компетенциями и решать многие другие задачи.

На современном предприятии  большинство событий, контролируемых системой SAP HR, предполагают изменение спектра доступных пользователю прикладных программ и корпоративных информационных ресурсов, а также прав доступа к информации. Это касается не только приема на работу и увольнения сотрудника, но и корпоративного обучения, аттестаций, временных и постоянных должностных перемещений, командировок и отпусков. Именно полнота охвата процессов управления персоналом в системе SAP HR, являющаяся привлекательной стороной для пользователя этого решения, приводит к лавинообразному росту числа событий, требующих безошибочной и своевременной корректировки прав доступа в тех или иных компонентах информационной системы предприятия. Это создает огромную нагрузку на подразделение ИБ, справляться с которой без IDM практически невозможно.

Новый коннектор ПК Avanpost позволяет модулю IDM автоматически получать из системы SAP HR всю необходимую информацию, включая: справочники сотрудников, должностей, подразделений, информацию о приеме на работу, отпуске, увольнении, назначении и изменении данных сотрудника. Коннектор запускается по расписанию или по событию и синхронизирует хранилище кадровых данных Avanpost с SAP HR: при первом подключении из SAP HR в ПК Avanpost копируются все справочники, а в дальнейшем коннектор отслеживает изменения, произошедшие в SAP HR с момента последней синхронизации, и отражает эти изменения в ПК Avanpost.

Коннектор разработан в соответствии с принципами SOA (Service-oriented Architecture) и использует стандартные и дополнительные веб-сервисы платформы SAP. Такая архитектура хорошо вписывается в современную корпоративную ИТ-инфраструктуру, а также практически снимает ограничения на распределение отдельных компонент системы «SAP HR – коннектор – ПК Avanpost» по элементам серверной инфраструктуры и не создает препятствий при миграции на облачную архитектуру.

«Создание коннектора к SAP HR – этапное  событие для нашей компании, –  говорит Конусов Андрей, генеральный директор компании Аванпост. – Мы не просто научили нашу IDM-систему взаимодействовать с HR-решением, на которой основывает свое кадровое делопроизводство и организационный менеджмент большинство крупных предприятий. Фактически мы достигли состояния, когда программный комплекс Avanpost интегрирован со всеми кадровыми системами, широко распространенными в российских компаниях. Это является весомым конкурентным преимуществом и вновь подтверждает технологическое лидерство компании Аванпост на российском рынке IDM».

ПК Avanpost 3.0 интегрирован с MySQL

Создание коннектора упрощает интеграцию ПК «Avanpost» с интернет- и интранет-порталами, интернет-магазинами, бизнес-приложениями, а также разнообразными облачными сервисами для бизнеса и частных лиц.

Модуль интеграции позволяет автоматизировать управление доступом сотрудников предприятия к любым объектам баз данных и свойствами пользователей, включая параметры SSL-соединения и ограничения по использованию ресурсов СУБД. Кроме этого, коннектор позволяет создавать, блокировать и разблокировать пользователей. Все эти действия выполняются без участия администратора как реакция на кадровые события: прием на работу и увольнение, изменения должности, командировки и др.

Реализация коннектора MySQL поддерживает выполнение полного набора функций IDM, таких как аудит, корректировка прав доступа, контроль вмешательства администраторов на уровне системы и т.д. Это позволяет автоматически выявлять все отклонения от утвержденной модели доступа, которые администратор БД внес по ошибке или по злому умыслу. Отклонения могут быть оперативно отменены (автоматически или вручную), а их сводка – передана для дальнейшего анализа в службу безопасности.

Отметим чрезвычайную простоту внедрения и настройки коннектора. Так, на стороне MySQL установка каких-либо дополнительных компонент не требуется. С СУБД коннектор работает через стандартный провайдер MySQL для платформы .NET, установленный на сервере ПК «Avanpost». Кроме того, в каждой БД, которую должна контролировать IDM-система, создается технический пользователь с необходимыми правами.

Создание модуля интеграции для MySQL – важный шаг по направлению к полнофункциональной интеграции ПК «Avanpost» с СУБД, получившими наиболее широкое распространение на российских предприятиях. Напомним, что ранее такие модули были разработаны для MS SQL и Oracle.

Функции однократной аутентификации (SSO, или Single Sign-On) включены в модуль Avanpost Mobile

Функции SSO включены в модуль Avanpost Mobile программного комплекса (ПК) «Аванпост 3.0». Создание механизма SSO для самой распространенной мобильной платформы, интегрированного с IDM и PKI, резко повышает безопасность мобильных и удаленных рабочих мест, популярность которых стремительно растет на предприятиях любых масштабов и любых направлений деятельности. Соответственно, новая разработка Аванпост представляет первостепенный интерес практически для любых организаций, включая те, которые применяют концепцию BYOD (Bring Your Own Device) – использование сотрудниками личных мобильных устройств для работы с корпоративной информацией.

Используя новую  версию системы Avanpost Mobile, пользователь автоматически (без ввода логина и пароля) начинает работу на любом своем мобильном устройстве с защищенными внутрикорпоративными Web-ресурсами (интранет-портал, корпоративная веб-почта Microsoft Outlook Web App и др.), системами VoIP-телефонии, видео- и видеоконференцсвязи (например, Skype, SIP), а также с любыми Android-приложениями, являющимися клиентами корпоративной информационной системы (CRM, ERP, HR, бухгалтерия и др.) и облачных Web-сервисов. Тем самым на мобильном устройстве обеспечивается главное преимущество SSO: пользователям не нужно запоминать множество идентификационных пар, при этом организация может применять политики безопасности, требующие применения длинных стойких труднозапоминаемых, часто меняющихся паролей, которые еще и различаются во всех приложениях.

Основные настройки  системы Avanpost Mobile делаются на сервере ПК «Avanpost», контролирующем, какие приложения доступны сотруднику на определенных мобильных устройствах (при этом генерацию и обновление паролей обеспечивает основное IDM-ядро ПК «Avanpost»). Здесь же формируется уникальный PIN-код мобильного устройства, причем при наличии соответствующих модулей система ПК «Avanpost» может напечатать PIN-конверт, что исключает доступ системного администратора к этой информации. Отметим, что при работе с мобильными устройствами используется та же инфраструктура, которая контролирует работу пользователей на ноутбуках и настольных ПК. Так, на мобильном устройстве нужно вводить тот же PIN-код, что и на аппаратном USB-токене пользователя. При этом подключать токен к смартфону или планшету не надо – информация о сертификатах и паролях берется непосредственно из хранилища ПК «Avanpost». Эта схема максимально удобна для пользователя и, в то же время, не снижает уровень защищенности системы.

На мобильное  же устройство нужно лишь установить Android-приложение, причем для его работы не требуются привилегии root. Последнее обстоятельство исключительно важно, т. к. «рутирование» создает бреши во встроенной системе информационной безопасности платформы Android, а также может создавать проблемы при гарантийном ремонте устройства.

Отметим, что в новой версии модуля Avapost Mobile реализована также функция MDM (Mobile Device Management), которая позволяет дистанционно управлять операционной системой мобильного устройства, противодействовать вредоносным программам, препятствовать установке на мобильные устройства программного обеспечения, запрещенного в соответствии с корпоративной политикой ИБ, управлять доступом пользователя к локальным приложениям. В очередных версиях Avanpost Mobile функциональность MDM будет расширена: появится дистанционная установка программного обеспечения, блокирование устройства и полное удаление конфиденциальной информации при его утере, выборочная блокировка аппаратных компонент (SD-карта, камера, WiFi, Bluetooth и т. п.), централизованный GPS-мониторинг местоположения мобильных устройств компании. Кроме того, будет автоматически вестись журнал действий пользователей, нарушающих корпоративную политику ИБ, и появится возможность его автоматической передачи на сервер системы.

Avanpost Mobile работает под любой версией Android, начиная с версии 2.3.

Avanpost 3.0 - включена поддержка средств биометрической аутентификации

21 ноября 2013 года компания Аванпост сообщила о встраивании поддержки средств биометрической аутентификации в программный комплекс (ПК) «Avanpost 3.0».

Добавленный функционал открывает новые возможности к ускоренному внедрению комплексных высоконадежных систем управления доступом, а также систем двух- и трех-факторной аутентификации в госсекторе и у коммерческих заказчиков.

Пользователям ПК «Avanpost 3.0» становится доступна аутентификация по отпечатку пальца. Возможно ограничиться только биометрией или дополнить ее вводом PIN-кода и/или предъявлением смарт-карты (со встроенными средствами криптографии). В последнем случае успешная биометрическая проверка открывает доступ к смарт-карте и, в частности, к хранящемуся на ней закрытому ключу.

Система администрирования позволяет контролировать - какие корпоративные приложения и какие группы лиц подлежат тем или ином сочетаниям проверок. Все это без дополнительных затрат на системную интеграцию и разработку специализированного ПО.

2009

Avanpost 2.0

В конце 2009 – начале 2010 года новые разработки протестированы и в феврале 2010 года выпущен релиз Avanpost 2.0.

В его состав вошли новые модули:

  • Avanpost IPSec (Internet Security Protocol) — построение защищенных VPN-соединений, в том числе с использованием крипто-алгоритмов ГОСТ;
  • Avanpost ADM (Active Directory Management) — управление учетными записями в каталоге Microsoft Active Directory.

Первый модуль предназначался для обеспечения конфиденциальности и достоверности передаваемых по сети потоков данных и для авторизации пользователей при доступе к сетевым узлам. Этот модуль - реакция на запрос ключевого заказчика: поскольку компания широко распределена территориально, требовалось шифрование трафика между филиалами. Важно, что система работала на уровне сетевого протокола IP. Соответственно, программы, непосредственно использующие протоколы управления передачей (TCP) и различные транспортные протоколы (FTP, HTTP и т.д.) не «замечали» использования туннелирования. Это позволяло эксплуатировать совместно с системой подавляющее большинство прикладных программ, не внося в них каких-либо изменений, и не корректируя их настройки.

Модуль Avanpost ADM - прообраз действующего модуля Avanpost IDM (Identity Management), он автоматизировал процесс управления учетными записями пользователей в каталоге Microsoft Active Directory (AD). Модуль содержал достаточно гибкий механизм контроля событий о приеме и увольнении сотрудников в кадровой базе компании. На основе этой информации модуль автоматически создавал, либо блокировал учетные записи в AD.

В дополнение к новым модулям, функционал существующих существенно доработан. Avanpost PKI v.2.0 научился работать с большинством существующих на российском рынке типов ключевых носителей информации (eToken, Rutoken, смарт карты и т.д.). Продукт интегрирован с системой дистанционного банковского обслуживания (ДБО), чтобы управлять жизненным циклом токенов, выдаваемых клиентам банков (физическим и юридическим лицам).

В начале 2011 года компания приняла решение - начать процедуру сертификации ПК Avanpost в ФСТЭК России.

2007

Avanpost 1.0

В 2007 году выпущен первый релиз программного комплекса (ПК) Avanpost. Цель - автоматизировать многие процессы информационной безопасности на предприятии. После введения в промышленную эксплуатацию, команду программистов-разработчиков решили вывести в отдельное юридическое лицо и перевести в режим поддержки.

В первый релиз ПК Avanpost вошли модули:

  • Avanpost PKI (Public Key Infrastructure) — управление элементами инфраструктуры открытых ключей;
  • Avanpost SSO (Single Sign-On) — однократная аутентификация сразу в нескольких системах прикладного и инфраструктурного уровня;
  • Avanpost SeS (Security Supervisor) — контроль и мониторинг действий пользователей.

Модуль Avanpost PKI v.1.0 собрал в себе функционал автоматизации и централизованного управления из единого интерфейса всеми элементами инфраструктуры открытых ключей. Сюда вошли:

  • управление электронными сертификатами и ключевыми носителями,
  • ведение поэкземплярного учета средств криптографической защиты информации (СКЗИ),
  • автоматизация процесса выпуска сертификатов,
  • реализация полного цикла среды разработки,
  • ведение журналов событий.

В составе модуля Avanpost SSO v.1.0 функции для централизованного обновления парольной информации в ключевых носителях (токенах) пользователя и её автоматической подстановки в приложения, обслуживаемые системой SSO. Модуль перехватывал всплывающие окна приложений, в которые необходимо ввести парольную информацию, и подставлял в них данные, хранящиеся в защищенной области памяти ключевого носителя. При этом запись и удаление парольной информации на ключевой носитель происходили централизованно — с использованием сервера распространения паролей.

Модуль Avanpost SeS v.1.0 предназначался для управления доступом сотрудников к автоматизированным рабочим местам (АРМ) и к устройствам ввода/вывода информации, входящим в состав корпоративной информационной системы. Фактически, модуль представлял собой некий прообраз современных систем класса DLP и SIEM. С его помощью администраторы безопасности могли контролировать работу пользователей с портами ввода/вывода, управлять «белыми» и «черными» списками приложений, а также отслеживать и сигнализировать администратору о нежелательных действиях пользователя, нарушающих те или иные политики ИБ.

После внедрения версии 1.0, компания-разработчик продолжила развитие функционала продукта. В начале 2008 года продукт впервые внедрялся на коммерческой основе в сторонней организации.

В течение двух лет - 2008 и 2009 годов, разработчики развивали функционал ПК Avanpost. Выпущены несколько минорных версий продукта, улучшающих существующий функционал, исправляющих выявленные недоработки.

Примечания

  1. Avanpost: российские ИБ-интеграторы недооценивают IDM
  2. Технология единого входа (англ. Single Sign-On)
  3. Системы управления доступом к информации (англ. Information and Data Management)
  4. Инфраструктура открытых ключей (англ. PKI - Public Key Infrastructure)


ПРОЕКТЫ (10) ИНТЕГРАТОРЫ (6) ОТРАСЛИ (4)


Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2014 год
2015 год
2016 год
Текущий год

  Аладдин Р.Д. (Aladdin R.D.) (4, 7)
  Код Безопасности (1, 4)
  Gemalto (2, 2)
  Wallix (1, 2)
  Visa International (1, 2)
  Другие (14, 15)

Распределение базовых систем по количеству проектов, включая партнерские решения

За всю историю
2014 год
2015 год
2016 год
Текущий год