Проблемы масштабирования связаны не только с выпуском сертификатов УЦ, но и с функционированием РЦ. С возрастанием количества сертификатов, которыми необходимо управлять, повышается нагрузка на РЦ. Кроме того, масштабируемость зависит от системы каталога и возможностей базы данных - именно они используются для хранения, поиска и проверки статуса сертификатов. Поэтому, когда речь идет о большом количестве сертификатов (например, заверенных ключом корневого сертификата УЦ в масштабе страны), предлагаемая система организации и управления данными действительно критически важна.
Безопасность
Традиционно считается, что система защищена настолько, насколько защищено ее самое слабое звено, поэтому в контексте безопасности необходимо взглянуть на PKI-решение как на комплекс компонентов, имеющих разную степень защищенности. Организации критически важно, опираясь на международные и национальные стандарты ИТ-безопасности, оценить защищенность разных компонентов PKI, предлагаемых поставщиком, а также безопасность функционирования всей системы.
Гарантии безопасности должны свидетельствовать о том, насколько организация может полагаться на точную и безопасную работу компонентов PKI. Для формального оценивания уровня доверия к определенному продукту могут использоваться критерии специальной программы сертификации или аккредитации. Существуют, например, критерии оценки криптографических модулей и независимые организации, выполняющие оценку в соответствии со стандартами. Имеются другие критерии и процедуры оценки, базирующиеся на "Общих критериях оценки безопасности информационных технологий" [59]. Существуют также лаборатории тестирования, которые сертифицируют продукты в соответствии с принятыми в отрасли критериями. Очевидно, что больший интерес для организации будут представлять известные PKI-продукты, которые удовлетворяют необходимым критериям.
Надежность операционной работы УЦ
В случае аутсорсинга организации важно привлечь поставщика услуг, поддерживающего на должном уровне операционную работу УЦ. Надежные удостоверяющие центры должны:
* регулярно проходить проверки внешних аудиторов;
* строго документировать процедуры;
* сохранять распределение обязанностей при выполнении всех внутренних операций УЦ;
* поддерживать непрерывность операционной работы.
Кроме того, удостоверяющие центры, генерирующие для организаций корневые ключи, должны сохранять документальные свидетельства того, как эти ключи генерируются, хранятся и подписываются. Некоторые наиболее авторитетные в своей отрасли удостоверяющие центры даже фиксируют на видеопленке и заверяют нотариально все процедуры генерации ключей.
Выбирая инсорсинг, организация должна гарантировать, что ее собственный УЦ способен выполнять операционную работу столь же эффективно, как и внешний УЦ. Важными документами для сертификации операционной работы УЦ являются стандарты проведения аудита. Проверка деятельности УЦ в соответствии с требованиями стандартов дает возможность доверенной третьей стороне (внешнему агентству аудита) установить правильность выполнения операций и надежность УЦ.
Техническая поддержка
Техническая поддержка является решающим моментом при выборе поставщика. Организации важно обратить внимание на следующие аспекты:
* режим предоставления технической поддержки;
* компетентность технических специалистов;
* ограничения на количество обслуживаемых клиентов, использующих линию технической поддержки;
* соглашение об уровне обслуживания в случае расширения организации.
На практике к обслуживанию инфраструктур открытых ключей средних и крупных компаний предъявляются следующие требования:
1 Предоставление технической поддержки ежедневно в круглосуточном режиме.
Так как PKI участвует в выпуске сертификатов и проверке их статуса, ее надежное функционирование должно поддерживаться непрерывно.
2 Компетентность технических специалистов.
Поскольку многие центры технической поддержки клиентов перегружены или предоставляют услуги аутсорсинга, организации следует оценить возможности работающих там специалистов быстро и грамотно оказывать техническую помощь. Если специалисты групп оперативного реагирования не имеют должного опыта и знаний, решение проблем клиента потребует много времени. Надежные центры технической поддержки должны иметь системы управления знаниями, содержащие сценарии немедленного реагирования на разные ситуации, и гарантировать квалифицированную помощь специалистов.
3 Предоставление технической поддержки максимально возможному количеству клиентов, обращающихся за помощью по телефону.
Многие поставщики придерживаются политики "названных клиентов", то есть обслуживают только ограниченное количество определенных людей, которым разрешен доступ к линии технической поддержки. Этот вариант совершенно не подходит компаниям, имеющим территориально распределенную PKI и региональных администраторов.
4 Выполнение условий соглашения об уровне обслуживания в случае расширения организации.
Если соглашение содержит строгие требования, то масштабирование должно быть выполнено немедленно, самое большее - через час после первого обращения; менее строгие требования должны быть выполнены в течение 4-24 часов после первого обращения.
Помощь консультантов
Многие поставщики не имеют возможности самостоятельно участвовать в реализации PKI и интеграции приложений. Поэтому только те из них, которые поддерживают связи с партнерами по консалтингу, способны помочь организации развернуть и наладить функционирование PKI. Именно квалифицированные консультанты в состоянии предложить продуманную архитектуру PKI и вариант реализации с минимальными затратами.
Для оценки возможностей поставщика услуг консультирования оказывать помощь в развертывании PKI и интеграции организации необходимо:
* установить связи с несколькими ведущими консалтинговыми компаниями, ознакомиться с программами подготовки штата консультантов и убедиться в наличии сертификатов, подтверждающих их квалификацию;
* выбрать инструментальные средства интеграции с программным продуктом поставщика или внутренней системой;
* ознакомиться с опытом сотрудничества других организаций с консалтинговыми компаниями, оценить возможности, стоимость и качество услуг консультантов; учесть, что часто на практике расходы на услуги консультантов из-за сложности работ превышают заранее запланированные расходы; убедиться, что выбранная консалтинговая компания успешно работает и обладает проверенной на опыте методологией;
* собрать сведения об опыте и квалификации консультантов, которым предлагается участвовать в проекте развертывания PKI; для масштабного проекта выбирать консультантов, имеющих высокую квалификацию и достаточный опыт, несмотря на более высокие затраты на оплату их труда.
Анализ возможностей поставщика
В основном, лучший способ для организации сравнить возможности разных поставщиков - это предложить им участвовать в тендере и обратиться с просьбой подготовить свои предложения. Ниже содержатся рекомендации по составлению так называемого запроса на предложения (Request For Proposals - RFP) по реализации PKI [103], который обычно включает следующие разделы: