Инфраструктуры открытых ключей - Ольга Полянская

Проблемы оценивания стоимости PKI

Во время развертывания и эксплуатации PKI необходимы первоначальные капиталовложения и средства на поддержание функционирования системы. Для инсорсингового варианта PKI и развертывания системы для массового рынка характерны достаточно высокие первоначальные издержки, но затем с ростом масштаба системы и переносом части затрат на пользователей происходит экономия средств. Менее масштабные проекты и аутсорсинговая модель требуют более значительных расходов на поддержание функционирования PKI.

|Компонент | Стоимость | Комментарий |

|Аппаратное обеспечение | Высокая | Компьютерное оборудование, включая системы резервирования и безопасности. Аппаратное обеспечение состоит, по крайней мере, из 2-3 серверов, сетевого оборудования и инфраструктуры безопасности, включая межсетевые экраны |

|Программное обеспечение | Высокая | Программное обеспечение PKI, в том числе стоимость начальной лицензии и расходы на техническую поддержку. Программное обеспечение состоит из программного обеспечения УЦ, консоли администратора РЦ, ОС и web-сервера |

|Услуги консультантов | Высокая | Предварительная экспертиза, консультации на начальном этапе перед физической установкой аппаратного и программного обеспечения. Анализ структуры бизнеса заказчика для построения иерархий удостоверяющих центров, интеграция с базами данных или клиентскими приложениями на персональных компьютерах пользователей |

Таблица 21.1.Структура стоимости установки типичной системы PKI (инсорсинг)

Развертывание систем PKI не требует таких больших капиталовложений и не занимает столько времени, как популярные недавно ERP-системы. Но все же немалые средства и время могут быть потрачены на неэффективную систему PKI. Таблицы 21.1, 21.2, 21.3 и 21.4 характеризуют, как примерно будет происходить амортизация капиталовложений в систему PKI в зависимости от варианта развертывания (инсорсинг или аутсорсинг) [105].

Расходы на установку и подготовку системы к работе складываются из расходов на аппаратное и программное обеспечение и квалифицированный персонал. Первоначальные капиталовложения в инсорсинговые системы PKI обычно значительно выше, чем в аутсорсинговые.

Поскольку система PKI является существенной частью инфраструктуры безопасности организации, она должна функционировать круглосуточно семь дней в неделю (24х7). Таблицы 21.3 и 21.4 иллюстрируют статьи расходов по поддержанию работы систем PKI для вариантов инсорсинга и аутсорсинга соответственно.

|Компонент | Стоимость | Комментарий |

|Аппаратное обеспечение | Низкая | Компьютерное оборудование, в том числе системы резервирования и безопасности. Базовое аппаратное обеспечение (web-серверов) для переадресации на аутсорсинговый УЦ, может быть включена консоль администратора (персональный компьютер). Резервное аппаратное обеспечение web-сервера, контролирующего функции управления жизненным циклом сертификатов |

|Программное обеспечение | Высокая | Программное обеспечение PKI, в том числе стоимость начальной лицензии и расходы на техническую поддержку. Программное обеспечение для локальной адаптации в соответствии с требованиями заказчика, могут быть включены программные компоненты для целей аутентификации |

|Услуги консультантов | Средняя | Предварительная экспертиза перед установкой и подготовкой к работе компонентов PKI. Анализ требований бизнеса заказчика для управления процессами аутентификации и подготовкой к работе УЦ. Настройка web-страниц и/или политик безопасности на требования заказчика |

Таблица 21.2.Структура стоимости установки типичной системы PKI (аутсорсинг)

|Компонент | Стоимость | Комментарий |

|Аппаратное обеспечение | Средняя | Компьютерное оборудование, в том числе системы резервирования и безопасности. Со временем аппаратное обеспечение необходимо заменять или модернизировать |

|Программное обеспечение | Низкая | Программное обеспечение PKI, включая стоимость начальной лицензии и расходы на техническую поддержку. Со временем происходит амортизация затрат на программное обеспечение, остаются только затраты на техническую поддержку |

|Услуги консультантов | Низкая | Экспертиза требуется только тогда, когда возникает необходимость интеграции или существенно меняются условия ведения бизнеса |

Таблица 21.3.Структура стоимости технической поддержки типичной системы PKI (инсорсинг)

|Компонент | Стоимость | Комментарий |

|Аппаратное обеспечение | Низкая | Компьютерное оборудование, включая системы резервирования и безопасности. Со временем необходимо заменять или модернизировать аппаратное обеспечение |

|Программное обеспечение | Средняя | Программное обеспечение PKI, в том числе стоимость начальной лицензии и расходы на техническую поддержку. Затраты на управление системой PKI |

|Услуги консультантов | Низкая | Экспертиза требуется только тогда, когда возникает необходимость интеграции или существенно меняются условия ведения бизнеса |

Таблица 21.4.Структура стоимости технической поддержки типичной системы PKI (аутсоросинг)

К сожалению, не существует единой, подходящей всем организациям формулы определения стоимости развертывания PKI. Многие организации могут использовать существующую ИТ-инфраструктуру и перераспределять свои инвестиции в информационные технологии с целью возмещения стоимости развертывания PKI - это относится и к персоналу, и к оборудованию. Например, если необходимо, чтобы УЦ был защищен средствами контроля несанкционированного доступа, то многие организации, особенно большие, могут воспользоваться уже имеющимися средствами управления доступом. Широко распространенный сервис репозитория также составляет важную часть крупномасштабной корпоративной PKI. Многие организации с этой целью могут не создавать отдельный репозиторий для поддержки PKI, а эксплуатировать уже имеющийся корпоративный репозиторий, тем самым экономя на приобретении нового сервера и оптимизируя операционные издержки. Кроме того, для развертывания и технической поддержки компонентов PKI организация может привлечь специалистов своего ИТ-подразделения. Ясно, что масштабы использования своей собственной ИТ-инфраструктуры будут варьироваться в зависимости от конкретной организации.

В любом случае для оценивания общей стоимости владения (Total Cost of Ownership - TCO) PKI организации необходимо определить:

* количество и состав аппаратного оборудования, соответствующего потребностям сообщества, для которого предназначается PKI;

* начальные расходы на программное обеспечение и стоимость сопровождения и технической поддержки системы PKI;

* масштабы использования существующей ИТ-инфраструктуры организации;

* требования к ресурсам, необходимым для проектирования, развертывания, функционирования и сопровождения системы PKI;

* стоимость дополнительных площадей (если недостаточно имеющихся у организации) для размещения компонентов инфраструктуры;

* требования к доступности компонентов PKI и потребности в полном резервировании каких-либо компонентов;

* стоимость обучения администраторов, обслуживающего персонала и конечных пользователей;

* уровень консультационной помощи, предоставляемой конечным субъектам PKI;

* юридическую ответственность УЦ перед конечными субъектами и доверяющими сторонами

* необходимость взаимодействия и функциональной совместимости PKI с другими PKI-доменами и внешними пользователями [44].

Последнее обстоятельство является критически важным, потому что основной риск, возникающий при использовании PKI, заключается в невозможности предоставить PKI-сервисы вследствие недостаточной функциональной совместимости программных и аппаратных продуктов различных производителей. Это относится и к взаимодействию субъектов внутри PKI-доменов, и к междоменным отношениям. Поэтому следование стандартам технологии цифровых сертификатов является необходимым условием успешного проектирования и развертывания эффективных инфраструктур открытых ключей.

Проведя тщательную оценку своих потребностей, некоторые организации вообще могут прийти к выводу, что инфраструктура открытых ключей им не нужна. PKI целесообразно развертывать в крупных территориально распределенных организациях, где необходимо наладить контролируемую защиту документов и серверов при использовании разнообразных приложений. Для решения менее масштабных задач пригоден другой инструментарий безопасности. Преимущество решения безопасности на базе PKI заключается в создании единой инфраструктуры, которая может поддерживать многочисленные сервисы безопасности в сложной, гетерогенной, крупномасштабной среде со многими приложениями.