1 Краткая характеристика.
2 Введение
3 Область применения проекта
4 Управление проектом.
5 Архитектура безопасности.
6 Политика безопасности.
7 Стандарты и руководства по проектированию безопасности
8 Операционная работа УЦ.
9 Аудит
10 Обучение персонала.
11 Требования к консультантам.
12 Информация о реализованных поставщиком проектах.
Краткая характеристика
Краткая характеристика задает общее направление и цель подготовки предложений, отражает даты крайних сроков представления документов и общую контактную информацию. Этот раздел позволяет поставщику быстро оценить, какие ресурсы необходимы для работы над проектом. При планировании стоимости и сроков доставки следует учитывать, что сокращение затрат времени не всегда сокращает расходы. Фактические расходы на некоторые виды деятельности (например, приобретение программного обеспечения и техническая поддержка) на практике обычно превышают запланированные.
Введение
Во введении приводятся самые общие сведения о масштабе и структуре организации. Эта информация особенно важна, если организация территориально распределена и имеет филиалы. Если филиалы расположены в разных странах, то приходится учитывать возможные отличия в законодательстве. Критически важной является информация о сфере деятельности организации: некоторые отрасли имеют специфические особенности (в том числе и правовые), которые должны приниматься во внимание при проектировании PKI. Более детальное описание организации и ее задач способствует лучшему пониманию поставщиком назначения и функций корпоративной PKI и более точной оценке проекта.
Область применения проекта
Этот раздел описывает общие параметры проекта, включая время, необходимое для проектирования, количество потенциальных пользователей и основные приложения, поддерживаемые PKI. На основании этой информации поставщик может подготовить более точные предложения [107].
Желательно, чтобы в запросе на предложения были перечислены точные суммы и сроки выполнения проекта. При планировании следует допускать некоторое превышение бюджета и сроков; обычно хорошим показателем считается превышение на 20-30% стоимости и времени.
Одни поставщики используют модель оплаты в зависимости от количества рабочих мест, а другие - сертификатов. Модель оплаты в зависимости от количества сертификатов подразумевает, что каждый сертификат, который может потребоваться конечному субъекту (VPN, шифрование сообщений электронной почты, экстрасети), будет увеличивать стоимость. Эта модель обычно выбирается удостоверяющими центрами, которые предоставляют услуги аутсорсинга. Инсорсинговые модели чаще всего устанавливают фиксированную плату и расходы для каждого рабочего места, потому что в большинстве таких моделей требуется поддержка клиентского компонента на каждом настольном компьютере.
Для сравнения организации следует в запросе на предложения предоставлять информацию и формулировать требования к поставщикам, исходя из двух возможных сценариев.
Управление проектом
Этот раздел запроса на предложения объясняет требования к управлению проектом. В масштабных или сложных проектах может потребоваться менеджер проекта со стороны поставщика. В договоре между поставщиком и заказчиком необходимо зафиксировать, как будут учитываться возможные изменения в процедурах управления после подписания договора. Поскольку большинство предложений базируется на определенных допущениях, важно, чтобы и поставщик и организация имели гарантии, что если произойдут изменения, то это отразится на стоимости и времени выполнения проекта. Необходимо, чтобы в предложениях поставщика описывалась методология проекта и указывались планируемые сроки этапов внедрения решения, эта информация позволяет оценить опыт поставщика.
Архитектура безопасности
Этот раздел запроса на предложения содержит описание требований безопасности для разных компонентов архитектуры PKI, включая требования отраслевых или государственных стандартов сертификации. К ним относятся:
* способы контроля хранения ключей подписи корневого УЦ на аппаратных устройствах в соответствии с высшим уровнем безопасности, предусмотренным стандартами для аппаратного устройства коммерческого назначения;
* способы защиты коммуникаций между разными компонентами решения, поскольку многие PKI-решения строятся по модульному принципу;
* способы обеспечения конфиденциальности и целостности данных, хранимых в системе (например депонируемых ключей, временных таблиц, используемых при обработке транзакций).
Политика безопасности
Этот раздел подчеркивает необходимость согласованности политики PKI с имеющимися корпоративными политиками безопасности и перечисляет ту информацию по безопасности PKI, которая важна для принятия решения о выборе поставщика:
* способы делегирования полномочий администраторов УЦ или РЦ;
* методы управления паролями (длина пароля; поддержка истории паролей; подсчет неудачных попыток ввода пароля), поскольку некоторые поставщики, прежде чем пользователь получит сертификат, используют пароли для защиты секретного ключа сертификата или в качестве временного метода контроля доступа;
* методы аутентификации и контроля доступа для защиты ресурсов администраторов PKI;
* способы уведомления пользователей о мониторинге их активности при попытке получить доступ к частной системе (если на сайте отсутствует соответствующее предупреждение, то пользователь впоследствии может заявить, будто не был уведомлен о том, что он взаимодействует с частной системой).
Стандарты и руководства по проектированию безопасности
В комплексных приложениях бывает необходимо сопоставлять условия фактического проекта и спецификации безопасности аппаратного или программного обеспечения поставщика. Этот раздел может быть опущен, если достаточно раздела " Архитектура безопасности ". С другой стороны, для оценки уровня квалификации поставщика могут изучаться процессы разработки программного обеспечения, схемы классификации информации и выполняться аудит кодов. Организация обычно предъявляет требования функциональной совместимости с рядом стандартов. Чем больше технология поставщика соответствует стандартам, тем легче выполняется интеграция и настройка на требования заказчика. В предложениях поставщик должен указать, поддерживает ли его решение такие открытые стандарты, как PKIX, X.509.v2, X.509.v3, OCSP, X.500, PKCS и криптографические алгоритмы RSA, ECC, DES, 3DES, RC4, AES, MD5, SHA-1 и др.
Недостаточно просто адаптировать технологию, которая "базируется" на стандартах, особенно когда используется множество стандартов и протоколов. Например, сертификаты и информация об их аннулировании могут распространяться разными способами, кросс-сертификация может быть реализована в онлайновых и автономных операциях и т.д. Организации важно иметь гарантии, что технология удовлетворяет ее требованиям, и при выборе ориентироваться на тот продукт, поставщик которого способен и сейчас, и в будущем настраивать или дорабатывать его с учетом потребностей заказчика. Таким образом, от поставщиков требуется предложить несколько решений, которые базируются на практике и стандартах, широко применяемых в отрасли.