Читаем Инфраструктуры открытых ключей полностью

Проведя тщательную оценку своих потребностей, некоторые организации вообще могут прийти к выводу, что инфраструктура открытых ключей им не нужна. Развертывание PKI целесообразно для крупных территориально распределенных организаций, где необходимо наладить контролируемую защиту документов и серверов при использовании разнообразных приложений [25].

Для решения менее масштабных задач пригоден другой инструментарий безопасности. Так, например, для поддержки виртуальных частных сетей имеются специальные программные средства, как правило, уже оснащенные надежными функциями аутентификации. Сервисы безопасности виртуальных частных сетей используются главным образом организациями, которым необходимо защитить внутреннюю сеть от внешнего доступа через Интернет. Программы персонального шифрования обеспечивают защиту документов и данных в локальных системах и удобны для небольших групп пользователей. Сервер сертификатов может решить проблемы несанкционированного доступа к web-контенту, особенно в интрасетях и на порталах. Для защиты связи с деловыми партнерами многие поставщики PKI-услуг предлагают широкий спектр сервисов безопасности, избавляя тем самым клиентов от необходимости самостоятельно поддерживать PKI, но при этом существенно ограничивая их возможности контролировать PKI-транзакции.

Любая организация, определяя цели развертывания PKI, должна руководствоваться своей политикой безопасности, учитывать специфику ведения бизнеса или характер деятельности, юридические и административные ограничения. Не менее важен при принятии решения о развертывании PKI и учет потребностей безопасности, например, необходимость повысить уровень защищенности корпоративной системы, связанной с Интернетом, или следовать требованиям безопасности, установленными государственными органами. Кроме того, условия конкуренции вынуждают многие компании использовать новые технологии, чтобы соответствовать ожиданиям клиентов в отношении безопасности используемой ими системы.

Организация выбирает инсорсинг, когда принимает решение о развертывании внутренней PKI на базе собственных ресурсов (включая персонал, аппаратное обеспечение и т.д.) и (или) с привлечением внешних ресурсов для выполнения некоторых или всех операций PKI. Ключевым моментом является то, что инсорсинговая PKI находится под контролем организации.

Выбирая аутсорсинг, организация разрешает внешней стороне поддерживать и выполнять некоторые (а возможно, и все) операции своей корпоративной PKI. В этом случае эти операции не контролируются самой организацией [105].

Основой принятия решения о варианте развертывания PKI должен быть анализ его стоимости и полезности с учетом большого числа релевантных факторов:

* возможностей организации разработать собственный PKI-продукт;

* стоимости самостоятельного развертывания инфраструктуры по сравнению с затратами на аутсорсинг (включая все соответствующее программное и аппаратное обеспечение, техническую поддержку, помещения, персонал, обучение и т.п.);

* потребности организации контролировать все операции PKI;

* источника доверия потребителей PKI-сервисов;

* скорости обработки запросов на получение сервисов и информации (например, запросы о выдаче сертификатов конечным субъектам, восстановлении ключей, получении информации о статусе сертификатов);

* уровня и доступности технической поддержки;

* возможностей и готовности поставщика технологии учитывать будущие потребности организации.

Организации часто принимают решение об аутсорсинге в зависимости от того, к какому виду деятельности - стратегическому или стандартному - они относят развертывание PKI. Благодаря стратегическим видам деятельности компания способна выделиться на рынке своим продуктом или предложить на рынок продукт по более низкой цене, в этом случае нефинансовые соображения могут быть важнее экономической выгоды от использования аутсорсинга.

С другой стороны, существуют стандартные виды деятельности, однако они не обеспечивают ни дополнительной дифференциации на рынке, ни конкурентного преимущества. Этот вид деятельности может быть приобретен у более эффективных, с точки зрения издержек, поставщиков, позволяя организации сконцентрировать свой капитал и человеческие ресурсы на стратегических направлениях [17].