Ольга Полянская - Инфраструктуры открытых ключей
Администратор каталога отвечает за создание структуры, организацию и поддержку каталога (LDAP), содержащего информацию о сертификатах, а также управление правами доступа к каталогу внутренних и внешних для PKI пользователей. Администратор каталога обеспечивает реализацию соглашения об используемых в каталоге именах в соответствии с требованиями промышленных или корпоративных стандартов, а также хранение данных аутентификации и сертификации в репозитории.
Специалисты службы помощи должны реагировать на обращения клиентов системы, руководствуясь соответствующими документами, описывающими процедуры обслуживания пользователей.
Для поддержки защищенного и эффективного функционирования PKI должна регулярно пересматриваться политика безопасности, за ее обновление отвечает менеджер по политике безопасности.
Функции аудита системы в целом и подготовки отчетов для руководства возлагаются на аудитора безопасности или главного администратора. Аудитор безопасности должен иметь специальную подготовку в области информационной безопасности и криптографии и отвечать за реализацию корпоративной политики безопасности, в том числе политики применения сертификатов, регламента и политики управления ключами, и документальное оформление всех политик и процедур. На аудитора безопасности возлагается ответственность за разработку и совершенствование процедур управления и администрирования системой безопасности, процедур восстановления прежнего состояния системы и восстановления после аварии, а также процедур, которым должны следовать третьи стороны при их обслуживании PKI-системой. Аудитор обязан выполнять регулярные и незапланированные проверки контрольных журналов и отслеживать соответствие всех компонентов и процедур системы безопасности PKI промышленным и корпоративным стандартам.
В процессе развертывания PKI также могут потребоваться услуги опытных консультантов и юрисконсультов для разработки и/или анализа ППС и регламента УЦ. Расходы на оплату труда персонала могут существенно повлиять на совокупную стоимость владения PKI и должны рассматриваться наряду с другими затратными факторами.
Завершение этапа проектирования
После документального оформления политики применения сертификатов, выбора программного продукта или поставщика услуг, аппаратных средств поддержки PKI и физической среды, формулировки требований по управлению и администрированию системой, должен быть разработан регламент УЦ. На этом же шаге определяются процедуры оперирования и управления, которые необходимы для проверки эффективности системы безопасности на базе PKI, и разрабатывается методика сопровождения и поддержки готовой системы [20].
Создание прототипа, пилотный проект и внедрение
Создание прототипа
Прежде чем начнутся работы по развертыванию системы PKI, требуется, чтобы организация и поставщик технологии договорились о деталях реализации проекта. На этом этапе происходит приобретение и доставка программного и аппаратного обеспечения, конфигурирование сервера УЦ, проводится предварительное совещание между представителями заказчика и группой развертывания и заключается соглашение о выполняемой работе.
Для подтверждения избранной концепции PKI и подготовки пилотного проекта целесообразно создание прототипа системы на базе выбранного программного продукта. Модификация готовых программных приложений, а также проектирование и разработка новых приложений, необходимых для поддержки PKI, должны выполняться с учетом требований пользователей системы. На этом этапе проводится независимый аудит и анализ источников рисков и уязвимости системы для принятия соответствующих решений.
Пилотный проект
На этом этапе создается иерархия удостоверяющих центров PKI, система их именования и выполняется генерация корневого УЦ. Затем происходит инсталляция базового программного обеспечения и его подготовка к развертыванию PKI. Для этого регистрируется и инсталлируется сертификат администратора РЦ, загружается программное обеспечение УЦ и настраивается на работу в онлайновом режиме.
В процессе реализации пилотного проекта происходит установка и настройка программного обеспечения для регистрации, тестирование процесса регистрации; кроме того, может быть выполнено подключение или настройка web-сервера, конфигурирование web-страниц регистрации, загрузка и инсталляция файла политики. В зависимости от требований заказчика могут быть установлены дополнительные опциональные модули, например для сервисов депонирования ключей или роуминга сертификатов.
После завершения инсталляции программного обеспечения системы PKI и успешного прохождения тестов всех устройств, тестов интеграции системы и проверки возможностей работы с ней пользователей, осуществляется тестирование пилотной системы. Очень важно сразу же определить ее масштабы и круг обслуживаемых пользователей. Рекомендуется, чтобы работа системы начиналась с обслуживания ограниченного числа пользователей и внутренних приложений, но ошибочно ограничивать пилотную систему пределами ИТ-подразделения - желательно сразу подключать к ней тех пользователей, которым предстоит активно работать с инфраструктурой после ее полного развертывания [36].
Запуск пилотной системы обычно выполняется в условиях реальной деятельности, но в определенных временных рамках и ограниченной среде (например, на базе нескольких подразделений, отделов или групп пользователей). При этом в выпуске и подписании сертификатов в онлайновом режиме участвует не производственный, а тестовый корневой УЦ. Работа пилотной системы должна быть организована параллельно работе старой системы, возможности и уровень безопасности последней должны поддерживаться на прежнем уровне.
На базе пилотной системы выполняется:
* тестирование всех функциональных требований, производительности и операционных регламентов, а также всех наиболее важных приложений защиты [20];
* процедура пробного завершения работы системы, восстановление ее работы и проверка функционирования системы после этих операций;
* проверка физического и кадрового контроля безопасности в PKI.
Внедрение
После успешной апробации пилотной системы начинается ее внедрение. На этом этапе происходит замена сертификатов тестового корневого УЦ на сертификаты рабочего УЦ и выполняется проверка работоспособности системы PKI с последующими приемными испытаниями. Система оценивается пользователями и соответствующими специалистами на предмет защищенности. Отчет о соответствии всем требованиям безопасности с описаниями тестов атак на систему является одним из главных результатов этого этапа.
Далее проводится юридическая экспертиза и утверждение регламента PKI, положений ППС и установленных форм контрактов. Последним этапом по порядку, но не по значимости, является этап передачи знаний от группы консультантов персоналу, который будет обслуживать систему PKI, без этого практически невозможна поддержка правильного функционирования инфраструктуры. Кроме того, организуется обучение пользователей PKI и создается служба помощи.
Большинство ИТ-проектов терпят неудачу на этапе внедрения в результате превышения стоимости и неправильного планирования времени развертывания. Чаще всего развертывание PKI является частью более крупного проекта и связано с реализацией других решений, например виртуальных частных сетей. Наибольшее влияние на стоимость и успех развертывания оказывают имеющиеся в распоряжении ресурсы и эффективное управление проектом.
Перечислим некоторые характерные ошибки при развертывании PKI:
* отсутствие планирования управления конфигурацией сети в случае изменений (в частности, размещения и связывания друг с другом отдельных компонентов PKI, а также их защиты и организации доступа к ним через маршрутизаторы и межсетевые экраны);
* отсутствие планирования "окон простоя";
* позднее обучение и привлечение к реализации проекта ИТ-персонала, который в дальнейшем будет обслуживать системы PKI;
* составление руководств пользователей без инструкций, объясняющих пользователям, как управлять изменениями в работе своих приложений после развертывания PKI;
* несвоевременное назначение администраторов УЦ и РЦ (их следует назначать до начала развертывания PKI).
Все системы изменяются с течением времени. Установка новых версий, внедрение новых пользовательских приложений, увеличение производительности, мощности и учет новых требований, обновление аппаратной платформы, - все это требует соответствующего управления [20]. Для поддержки, сопровождения и модификации системы PKI формируется подразделение технической поддержки. Результатом этапа является функционирующая PKI, которая соответствует всем требованиям и ограничениям, сформированным в процессе анализа и проектирования системы.