Читаем Инфраструктуры открытых ключей полностью

Функции аудита системы в целом и подготовки отчетов для руководства возлагаются на аудитора безопасности или главного администратора. Аудитор безопасности должен иметь специальную подготовку в области информационной безопасности и криптографии и отвечать за реализацию корпоративной политики безопасности, в том числе политики применения сертификатов, регламента и политики управления ключами, и документальное оформление всех политик и процедур. На аудитора безопасности возлагается ответственность за разработку и совершенствование процедур управления и администрирования системой безопасности, процедур восстановления прежнего состояния системы и восстановления после аварии, а также процедур, которым должны следовать третьи стороны при их обслуживании PKI-системой. Аудитор обязан выполнять регулярные и незапланированные проверки контрольных журналов и отслеживать соответствие всех компонентов и процедур системы безопасности PKI промышленным и корпоративным стандартам.

В процессе развертывания PKI также могут потребоваться услуги опытных консультантов и юрисконсультов для разработки и/или анализа ППС и регламента УЦ. Расходы на оплату труда персонала могут существенно повлиять на совокупную стоимость владения PKI и должны рассматриваться наряду с другими затратными факторами.

После документального оформления политики применения сертификатов, выбора программного продукта или поставщика услуг, аппаратных средств поддержки PKI и физической среды, формулировки требований по управлению и администрированию системой, должен быть разработан регламент УЦ. На этом же шаге определяются процедуры оперирования и управления, которые необходимы для проверки эффективности системы безопасности на базе PKI, и разрабатывается методика сопровождения и поддержки готовой системы [20].

Прежде чем начнутся работы по развертыванию системы PKI, требуется, чтобы организация и поставщик технологии договорились о деталях реализации проекта. На этом этапе происходит приобретение и доставка программного и аппаратного обеспечения, конфигурирование сервера УЦ, проводится предварительное совещание между представителями заказчика и группой развертывания и заключается соглашение о выполняемой работе.

Для подтверждения избранной концепции PKI и подготовки пилотного проекта целесообразно создание прототипа системы на базе выбранного программного продукта. Модификация готовых программных приложений, а также проектирование и разработка новых приложений, необходимых для поддержки PKI, должны выполняться с учетом требований пользователей системы. На этом этапе проводится независимый аудит и анализ источников рисков и уязвимости системы для принятия соответствующих решений.

На этом этапе создается иерархия удостоверяющих центров PKI, система их именования и выполняется генерация корневого УЦ. Затем происходит инсталляция базового программного обеспечения и его подготовка к развертыванию PKI. Для этого регистрируется и инсталлируется сертификат администратора РЦ, загружается программное обеспечение УЦ и настраивается на работу в онлайновом режиме.

В процессе реализации пилотного проекта происходит установка и настройка программного обеспечения для регистрации, тестирование процесса регистрации; кроме того, может быть выполнено подключение или настройка web-сервера, конфигурирование web-страниц регистрации, загрузка и инсталляция файла политики. В зависимости от требований заказчика могут быть установлены дополнительные опциональные модули, например для сервисов депонирования ключей или роуминга сертификатов.

После завершения инсталляции программного обеспечения системы PKI и успешного прохождения тестов всех устройств, тестов интеграции системы и проверки возможностей работы с ней пользователей, осуществляется тестирование пилотной системы. Очень важно сразу же определить ее масштабы и круг обслуживаемых пользователей. Рекомендуется, чтобы работа системы начиналась с обслуживания ограниченного числа пользователей и внутренних приложений, но ошибочно ограничивать пилотную систему пределами ИТ-подразделения - желательно сразу подключать к ней тех пользователей, которым предстоит активно работать с инфраструктурой после ее полного развертывания [36].