Проблемы выбора поставщика технологии или сервисов PKI

Анализ возможностей поставщика

В основном, лучший способ для организации сравнить возможности разных поставщиков - это предложить им участвовать в тендере и обратиться с просьбой подготовить свои предложения. Ниже содержатся рекомендации по составлению так называемого запроса на предложения (Request For Proposals - RFP) по реализации PKI [103], который обычно включает следующие разделы:

1. Краткая характеристика.
2. Введение
3. Область применения проекта
4. Управление проектом.
5. Архитектура безопасности.
6. Политика безопасности.
7. Стандарты и руководства по проектированию безопасности
8. Операционная работа УЦ.
9. Аудит
10. Обучение персонала.
11. Требования к консультантам.
12. Информация о реализованных поставщиком проектах.

Краткая характеристика

Краткая характеристика задает общее направление и цель подготовки предложений, отражает даты крайних сроков представления документов и общую контактную информацию. Этот раздел позволяет поставщику быстро оценить, какие ресурсы необходимы для работы над проектом. При планировании стоимости и сроков доставки следует учитывать, что сокращение затрат времени не всегда сокращает расходы. Фактические расходы на некоторые виды деятельности (например, приобретение программного обеспечения и техническая поддержка) на практике обычно превышают запланированные.

Введение

Во введении приводятся самые общие сведения о масштабе и структуре организации. Эта информация особенно важна, если организация территориально распределена и имеет филиалы. Если филиалы расположены в разных странах, то приходится учитывать возможные отличия в законодательстве. Критически важной является информация о сфере деятельности организации: некоторые отрасли имеют специфические особенности (в том числе и правовые), которые должны приниматься во внимание при проектировании PKI. Более детальное описание организации и ее задач способствует лучшему пониманию поставщиком назначения и функций корпоративной PKI и более точной оценке проекта.

Область применения проекта

Этот раздел описывает общие параметры проекта, включая время, необходимое для проектирования, количество потенциальных пользователей и основные приложения, поддерживаемые PKI. На основании этой информации поставщик может подготовить более точные предложения [107].

Желательно, чтобы в запросе на предложения были перечислены точные суммы и сроки выполнения проекта. При планировании следует допускать некоторое превышение бюджета и сроков; обычно хорошим показателем считается превышение на 20-30% стоимости и времени.

Одни поставщики используют модель оплаты в зависимости от количества рабочих мест, а другие - сертификатов. Модель оплаты в зависимости от количества сертификатов подразумевает, что каждый сертификат, который может потребоваться конечному субъекту (VPN, шифрование сообщений электронной почты, экстрасети), будет увеличивать стоимость. Эта модель обычно выбирается удостоверяющими центрами, которые предоставляют услуги аутсорсинга. Инсорсинговые модели чаще всего устанавливают фиксированную плату и расходы для каждого рабочего места, потому что в большинстве таких моделей требуется поддержка клиентского компонента на каждом настольном компьютере.

Для сравнения организации следует в запросе на предложения предоставлять информацию и формулировать требования к поставщикам, исходя из двух возможных сценариев.

Управление проектом

Этот раздел запроса на предложения объясняет требования к управлению проектом. В масштабных или сложных проектах может потребоваться менеджер проекта со стороны поставщика. В договоре между поставщиком и заказчиком необходимо зафиксировать, как будут учитываться возможные изменения в процедурах управления после подписания договора. Поскольку большинство предложений базируется на определенных допущениях, важно, чтобы и поставщик и организация имели гарантии, что если произойдут изменения, то это отразится на стоимости и времени выполнения проекта. Необходимо, чтобы в предложениях поставщика описывалась методология проекта и указывались планируемые сроки этапов внедрения решения, эта информация позволяет оценить опыт поставщика.

Архитектура безопасности

Этот раздел запроса на предложения содержит описание требований безопасности для разных компонентов архитектуры PKI, включая требования отраслевых или государственных стандартов сертификации. К ним относятся:

• способы контроля хранения ключей подписи корневого УЦ на аппаратных устройствах в соответствии с высшим уровнем безопасности, предусмотренным стандартами для аппаратного устройства коммерческого назначения;
• способы защиты коммуникаций между разными компонентами решения, поскольку многие PKI-решения строятся по модульному принципу;
• способы обеспечения конфиденциальности и целостности данных, хранимых в системе (например депонируемых ключей, временных таблиц, используемых при обработке транзакций).