Выбор персонала для обслуживания PKI
Выбор персонала для обслуживания PKI
Персонал, обслуживающий PKI, составляет часть инфраструктуры. Несмотря на то, что криптография с открытыми ключами появилась два десятилетия назад, она стала широко применяться только недавно. Так как, с точки зрения реализации и внедрения, эта технология достаточно нова, пока явно не хватает знающих специалистов в этой области, более того - их трудно привлечь к работе и удержать.
Для развертывания PKI необходимы не только администраторы со знанием технологии цифровых сертификатов, но и специалисты, способные участвовать в разработке правовых документов и соглашений, таких как политики применения сертификатов и соглашения о кросс-сертификации (по сути, о функциональной совместимости между доменами PKI). Более того, важно, чтобы сама стратегия развертывания PKI была хорошо продумана и оформлена в виде документа, что также невозможно осуществить без опытного и знающего персонала. Конечно, в случае использования аутсорсинговой модели эти функции могут быть переданы поставщику услуг, но при самостоятельном развертывании PKI организации необходим квалифицированный и обученный персонал. Организации следует определить количество и уровень квалификации необходимого персонала, которые зависят от масштаба PKI, а также от того, в какой мере инфраструктура поддерживается собственными силами организации [44].
Для успешной реализации проекта необходимы разработчики программного обеспечения, которые способны выполнить интеграцию системы с действующими системами и PKI-совместимыми приложениями и настройку системы на конкретные требования заказчика. Подразделение информационных технологий обеспечивает работу по следующим направлениям:
* инсталляция программного продукта;
* конфигурирование системы;
* системное администрирование;
* теория и практика PKI;
* криптография с открытыми ключами;
* информационная безопасность.
Персонал подразделения поддержки операционной работы системы должен иметь базовые знания технологии PKI, заниматься постановкой задач и эксплуатацией системы. Сотрудники подразделения авторизации должны иметь представление о концепции PKI и системном администрировании. Подразделение аудита отвечает за правовое обеспечение системы PKI (политика, ответственность), его персонал должен обладать знаниями в области права и информационной безопасности.
Одна из наиболее трудных проблем развертывания и успешного использования PKI заключается в привлечении к этой работе на постоянной основе квалифицированного штата профессионалов в этой области. При найме специалиста на работу (постоянную или временную - для консультаций) важно учитывать:
* наличие сертификата авторитетной организации, подтверждающего квалификацию в сфере ИТ-безопасности;
* подготовку в области информационной безопасности;
* опыт разработки программного обеспечения (если необходима интеграция);
* возможность быть доступным или по крайней мере оперативно взаимодействовать с ИТ-штатом, чтобы гарантировалась ежедневная круглосуточная работа PKI-системы.
При развертывании PKI должны быть определены и оформлены в виде инструкций должностные обязанности персонала, занимающегося управлением и администрированием системы PKI, а при необходимости организовано дополнительное обучение служащих, обеспечивающих безопасность системы. В зависимости от масштаба PKI и конкретных условий допускается совмещение должностей. В список должностей, необходимых для поддержки системы PKI, входят:
* системный администратор;
* системный оператор;
* администратор УЦ;
* администратор РЦ;
* администратор каталога;
* специалист службы помощи;
* менеджер по политике безопасности;
* аудитор безопасности или главный администратор.
Системный администратор отвечает за функционирование системы безопасности в целом и обычно привлекается к работе по развертыванию PKI на самых ранних стадиях. Особенно важно участие системного администратора в составлении плана проекта, так как он способен оценить, сколько времени потребуют различные виды активности системы. Если организация планирует работу своего собственного УЦ, то системный администратор отвечает за подбор, инсталляцию и конфигурирование необходимого программного обеспечения, а также за его поддержку и внесение изменений. Кроме того, обязанности системного администратора состоят в присвоении полномочий и профилей пользователям системы и поддержке паролей.
Системный оператор должен следить за операционной работой системы PKI, реагировать на ошибки и соблюдать установленные регламентом процедуры. К дополнительным функциям операторов можно отнести восстановление прежнего состояния системы и поддержку относящихся к PKI электронных документов. В зависимости от масштаба PKI к ежедневной работе привлекаются от одного до нескольких операторов.
Администратор УЦ отвечает за поддержку всех функций удостоверяющего центра: генерацию ключей, выпуск и подписание сертификатов, а также обработку запросов на кросс-сертификацию и авторизацию услуг по восстановлению ключей. Если в состав PKI входит регистрационный центр, то на администратора РЦ возлагаются обязанности обработки заявок на сертификаты и принятия решения о выдаче сертификата заявителю.
Администратор каталога отвечает за создание структуры, организацию и поддержку каталога (LDAP), содержащего информацию о сертификатах, а также управление правами доступа к каталогу внутренних и внешних для PKI пользователей. Администратор каталога обеспечивает реализацию соглашения об используемых в каталоге именах в соответствии с требованиями промышленных или корпоративных стандартов, а также хранение данных аутентификации и сертификации в репозитории.
Специалисты службы помощи должны реагировать на обращения клиентов системы, руководствуясь соответствующими документами, описывающими процедуры обслуживания пользователей.
Для поддержки защищенного и эффективного функционирования PKI должна регулярно пересматриваться политика безопасности, за ее обновление отвечает менеджер по политике безопасности.
Функции аудита системы в целом и подготовки отчетов для руководства возлагаются на аудитора безопасности или главного администратора. Аудитор безопасности должен иметь специальную подготовку в области информационной безопасности и криптографии и отвечать за реализацию корпоративной политики безопасности, в том числе политики применения сертификатов, регламента и политики управления ключами, и документальное оформление всех политик и процедур. На аудитора безопасности возлагается ответственность за разработку и совершенствование процедур управления и администрирования системой безопасности, процедур восстановления прежнего состояния системы и восстановления после аварии, а также процедур, которым должны следовать третьи стороны при их обслуживании PKI-системой. Аудитор обязан выполнять регулярные и незапланированные проверки контрольных журналов и отслеживать соответствие всех компонентов и процедур системы безопасности PKI промышленным и корпоративным стандартам.
В процессе развертывания PKI также могут потребоваться услуги опытных консультантов и юрисконсультов для разработки и/или анализа ППС и регламента УЦ. Расходы на оплату труда персонала могут существенно повлиять на совокупную стоимость владения PKI и должны рассматриваться наряду с другими затратными факторами.