Читаем Инфраструктуры открытых ключей полностью

В этом разделе перечисляются требования к отбору консультантов, которые будут выполнять реализацию PKI-решения и/или работу по интеграции с системами заказчика. Поставщик должен предоставить список консультантов, которые будут участвовать в реализации PKI-решения, с указанием должностей и опыта работы. Организации не следует полагаться на то, что любой консультант, присланный поставщиком, может выполнить эту работу. Отбор консультантов должен выполняться на основании тщательного анализа их резюме.

Организации необходимо не только изучить информацию, предоставленную заказчиком о реализованных им проектах PKI того же масштаба (скорее всего, это будут примеры успешных проектов), но и самостоятельно связаться с бывшими и настоящими клиентами данного поставщика и выяснить их мнение об опыте взаимодействия с поставщиком.

Ключевым аспектом развертывания PKI является выбор архитектуры и проектирование. PKI допускает гибкость проектирования независимо от выбранной технологии. Этап проектирования занимает длительное время, так как на этом этапе должна быть сформирована политика PKI и регламент, задана архитектура PKI, определены аппаратные и программные средства поддержки инфраструктуры, выбраны ее компоненты, сервисы, режимы работы, протоколы и базовые стандарты [20].

Проектирование PKI невозможно без рассмотрения правовых аспектов ее функционирования: ППС и регламента, ответственности, страхования и др. Многие приложения PKI так или иначе нуждаются в правовой поддержке, поскольку работают с документами, заверенными цифровой подписью, или, например, требуют восстановления секретных ключей через процесс депонирования. Организации необходимо оценить необходимость разработки собственных юридических документов; если в штате имеются юристы, то им может быть поручена разработка таких документов, в противном случае организация может позаимствовать политику известного УЦ, предоставляющего услуги аутсорсинга. Хотя этот способ и не обеспечивает большой гибкости в разработке юридических документов заказчика, но он прост и экономичен.

Проектирование PKI должно начинаться со сбора эталонных политик и использования их в качестве шаблонов для разработки политики данной PKI [84]. Цифровые сертификаты служат базисом доверия при коммуникации между сторонами. Политика должна разрабатываться с учетом всех возможных проблем безопасности в данной среде, неадекватность и нечеткость политики ведет к ошибкам при реализации системы безопасности и может угрожать целостности всей PKI. При формировании политики необходимо ориентироваться на стандарты в области PKI, позволяющие обеспечить функциональную совместимость разных инфраструктур открытых ключей.

Если организация решает самостоятельно сформировать правовую политику, то должна разработать следующие документы:

*политику применения сертификатов и регламент УЦ;

* политику аутентификации;

*политику конфиденциальности (в отношении сведений, предоставляемых пользователями в целях аутентификации).

Организация, эксплуатирующая PKI, должна заключить со своими внутренними и внешними пользователями соглашения, закрепляющие ответственность сторон. Правовое регулирование PKI предполагает заключение трех видов соглашений:

*cоглашение УЦ с РЦ ;

*cоглашение между конечными субъектами и РЦ ;

* cоглашение между подписчиками/конечными субъектами и УЦ (причем в качестве конечного субъекта может выступать человек или устройство).