Читаем Инфраструктуры открытых ключей полностью

Запуск пилотной системы обычно выполняется в условиях реальной деятельности, но в определенных временных рамках и ограниченной среде (например, на базе нескольких подразделений, отделов или групп пользователей). При этом в выпуске и подписании сертификатов в онлайновом режиме участвует не производственный, а тестовый корневой УЦ. Работа пилотной системы должна быть организована параллельно работе старой системы, возможности и уровень безопасности последней должны поддерживаться на прежнем уровне.

На базе пилотной системы выполняется:

* тестирование всех функциональных требований, производительности и операционных регламентов, а также всех наиболее важных приложений защиты [20];

* процедура пробного завершения работы системы, восстановление ее работы и проверка функционирования системы после этих операций;

* проверка физического и кадрового контроля безопасности в PKI.

После успешной апробации пилотной системы начинается ее внедрение. На этом этапе происходит замена сертификатов тестового корневого УЦ на сертификаты рабочего УЦ и выполняется проверка работоспособности системы PKI с последующими приемными испытаниями. Система оценивается пользователями и соответствующими специалистами на предмет защищенности. Отчет о соответствии всем требованиям безопасности с описаниями тестов атак на систему является одним из главных результатов этого этапа.

Далее проводится юридическая экспертиза и утверждение регламента PKI, положений ППС и установленных форм контрактов. Последним этапом по порядку, но не по значимости, является этап передачи знаний от группы консультантов персоналу, который будет обслуживать систему PKI, без этого практически невозможна поддержка правильного функционирования инфраструктуры. Кроме того, организуется обучение пользователей PKI и создается служба помощи.

Большинство ИТ-проектов терпят неудачу на этапе внедрения в результате превышения стоимости и неправильного планирования времени развертывания. Чаще всего развертывание PKI является частью более крупного проекта и связано с реализацией других решений, например виртуальных частных сетей. Наибольшее влияние на стоимость и успех развертывания оказывают имеющиеся в распоряжении ресурсы и эффективное управление проектом.

Перечислим некоторые характерные ошибки при развертывании PKI:

* отсутствие планирования управления конфигурацией сети в случае изменений (в частности, размещения и связывания друг с другом отдельных компонентов PKI, а также их защиты и организации доступа к ним через маршрутизаторы и межсетевые экраны);

* отсутствие планирования "окон простоя";

* позднее обучение и привлечение к реализации проекта ИТ-персонала, который в дальнейшем будет обслуживать системы PKI;

* составление руководств пользователей без инструкций, объясняющих пользователям, как управлять изменениями в работе своих приложений после развертывания PKI;

* несвоевременное назначение администраторов УЦ и РЦ (их следует назначать до начала развертывания PKI).

Все системы изменяются с течением времени. Установка новых версий, внедрение новых пользовательских приложений, увеличение производительности, мощности и учет новых требований, обновление аппаратной платформы, - все это требует соответствующего управления [20]. Для поддержки, сопровождения и модификации системы PKI формируется подразделение технической поддержки. Результатом этапа является функционирующая PKI, которая соответствует всем требованиям и ограничениям, сформированным в процессе анализа и проектирования системы.

Хотя варианты реализации PKI могут отличаться компонентами и деталями, существуют некоторые главные критерии принятия решений:

* назначение PKI;

* время, необходимое для подготовки к функционированию PKI;

* возможность контроля среды пользователей;

* экспертиза во время и после развертывания;

* финансовые возможности.

Тремя ключевыми областями реализации PKI являются [105]:

1 подготовка системы PKI к работе;