Читаем Инфраструктуры открытых ключей полностью

Модель аутсорсинга обеспечивает меньшую гибкость, потому что иерархия сертификатов создается в момент инсталляции программного обеспечения УЦ, а внесение изменений требует дополнительных затрат времени и денег. Если организация не предъявляет особые требования к механизмам аутентификации, то может принять ППС и регламент внешнего корневого УЦ, таким образом, перекладывая ответственность, в том числе и за безопасность секретного ключа корневого УЦ, на внешнюю сторону.

Оценивание затрат на развертывание PKI зависит от нескольких главных факторов:

* количества пользователей;

* количества приложений;

* варианта развертывания PKI ( инсорсинг или аутсорсинг ).

Расходы на амортизацию PKI не должны превышать более чем на 10% (в идеале) или более чем на 25% (максимум) стоимость приложений, которые организация планирует защитить при помощи инфраструктуры открытых ключей. Вообще говоря, расходы на безопасность не должны превышать общую стоимость защищаемых приложений. Если расходы на сертификаты или соответствующие сервисы инфраструктуры превышают 10% стоимости приложений, то не происходит возврата инвестиций.

Учитывая потенциальную сложность развертывания PKI, всегда разумно планировать максимально возможное время развертывания; однако возникает проблема, когда технология меняется настолько быстро, что "окончательная" реализация может никогда не произойти. Для быстрого развертывания (три месяца и менее) обычно рекомендуется аутсорсинг или управляемая PKI. Для более длительного развертывания (свыше 3 месяцев) можно использовать собственные решения, но за отведенное время не всегда могут быть реализованы особые требования организации и полностью решены проблемы интеграции.

Независимо от выбранного способа развертывания, организации следует планировать период развертывания не менее одного месяца. Решение проблем заключения договоров требует дополнительно от 2 до 4 недель. Кроме того, в зависимости от сложности проекта, к моменту подписания договора о продаже должны быть готовы приступить к работе консультанты проекта, предоставленные самим поставщиком или его партнерами. К главным моментам, которые влияют на время развертывания PKI и стоимость ее реализации, относятся:

* составление перечня работ консультантов со сроками выполнения и объемом финансирования;

* создание иерархий удостоверяющих центров (при необходимости к этой работе привлекаются консультанты);

* обучение персонала (администраторов), способного взаимодействовать с консультантами на этапе развертывания, а в дальнейшем модифицировать или совершенствовать систему PKI;

* планирование простоев в центрах обработки данных организации на время установки или адаптации аппаратного и/или программного обеспечения системы PKI (иногда организации планируют "окна" в работе своих центров обработки данных, во время которых необходимо выполнить установку программных и аппаратных средств PKI).

Более масштабные и ориентированные на специфические требования заказчика варианты развертывания могут занимать по времени 6 месяцев и более. Правильное планирование времени, необходимого для развертывания PKI, и распараллеливание работ существенно влияет на успех проекта.

Модель аутсорсинга позволяет сэкономить время развертывания, перекладывая на поставщика услуг функции по установке и поддержке программного и аппаратного обеспечения компонентов PKI. Кроме того, выбор варианта аутсорсинга позволяет снизить требования к персоналу и инфраструктуре безопасности. Поскольку внешний УЦ берет ответственность на себя, происходит амортизация затрат в течение более длительного периода, чем в случае, когда организации приходится самостоятельно приобретать и поддерживать программные и аппаратные средства PKI.

При развертывании крупномасштабных PKI предпочтительна модель инсорсинга, поскольку организация, берущаяся за большой проект, скорее всего, уже имеет инфраструктуру безопасности, центры обработки данных и квалифицированный персонал. В этом случае значительные первоначальные капиталовложения компенсируются последующей экономией средств, необходимых для поддержания работы большой системы. Кроме того, крупномасштабные проекты чаще всего ориентируются на собственные требования организации к аутентификации и обслуживание большего количества корпоративных иерархий, что в случае аутсорсинга требует значительных капиталовложений. Главный недостаток варианта инсорсинга - длительный период развертывания (масштабные реализации требуют не менее 6 месяцев работы).