РешенияПродуктыКонсалтингПоддержкаКонтакты
Перейти на предыдущую страницу  Перейти на главную страницу  Версия для печати  

Вопросы по Инфраструктуре Открытых Ключей (PKI) для руководителей подразделений

(вопросы, ответы на которые требуют всего 10 минут!)

  • Имеется ли у Вас озабоченность состоянием информационной безопасности во вверенном Вам предприятии/подразделении?
  • Существует ли Концепция и Политика безопасности?
  • Разработан ли План Защиты?

    Если на эти вопросы есть положительные ответы, имеет смысл говорить об ИОК.

    Полезная Информация

    Возможно, наиболее значительные инвестици в информационную безопасность, которые вам придется сделать в течение следующих двух-трех лет, будут связаны с деятельностью вашей организации в сферах электронной коммерции и связи, основанной на использовании Интернет.

  • Как мы можем быть уверены, в том, что человек из другого города или страны, пытающийся получить доступ к нашей информационной системе, является действительно нашим сотрудником, а не хакером?
  • Как мы можем быть уверены в том, что мы по электронной почте получили письмо действительно от нашего клиента или поставщика, а не от неизвестной личности, выдающей себя за них?
  • Как мы можем быть уверены, что содержимое письма не было изменено в процессе передачи?
  • Как мы можем убедить наших “электронных” клиентов в том, что они действительно получают информацию с нашего сервера, а не с подставного.
  • Как мы можем защитить нашу электронную почту от посторонних?

    Подобные вопросы постоянно возникают в бизнесе. Без получения ответов на них, доверие между деловыми партнерами не может быть полным что затруднит развитие электронного бизнеса в целом. В реальной жизни мы просим показать паспорт, проверяем доверенность, сверяем подписи и т.д. Кроме того, мы можем обратиться к третьим сторонам с просьбой засвидетельствовать личности людей и достоверность документов. Для построения доверия в электронном мире мы будем пользоваться теми же самыми методами. Только здесь система, которая будет выдавать и проверять электронные паспорта и выписывать электронные доверенности, будет называться Инфраструктурой Открытых Ключей (PKI), и в ней будут использоваться термины “цифровая подпись”, “цифровой сертификат”, “Удостоверяющий Центр”, “Регистрационные Полномочия” и “Сертификатные Полномочия”.

    Более двадцати стран ввели технологию Инфраструктуры Открытых Ключей в свое законодательство, давая возможность компаниям использовать цифровую подпись при проведении деловых операций. Конгресс США придал “электронным подписям” (“цифровым подписям”) тот же законный статус, каким обладают рукописные; Россия также ввела Закон об ЭЦП в свое федеральное законодательство, что позволит ускорить рост электронной торговли и бизнеса. Десятки тысяч организаций опробуют эту технологию в настоящее время, и тысячи уже используют ее в заметных масштабах.

    В дискуссиях на уровне руководства организаций, решающих вопрос о реализации системы цифровых сертификатов, должны обсуждаться пять основных вопросов. По каждому из этих вопросов мы предлагаем соответствующие ответы.

    Вопрос первый: Кто, как и зачем в данный момент использует эту технологию и каков их опыт работы с ней?
    Условно мы можем разделить способы применения технологии PKI на четыре типа:

  • Корпоративное применение заключается в выпуске сертификатов для сотрудников и деловых партнеров (поставщики, консультанты и краткосрочные партнеры) для идентификации участников в информационных системах и защиты электронной почты и каналов связи. Почти все системы электронной почты поддерживают протокол S/MIME, который представляет из себя безопасную форму обычного почтового Интернет- протокола. Пользователи этих систем могут гораздо быстрее реализовать технологию PKI по сравнению с другими организациями.
  • Для части потребительского рынка (на самом деле – расширение корпоративной модели), применение PKI заключается в выдаче цифровых сертификатов которые удостоверяют право пользователя совершать финансовые операции – самый близкий пример - клиенты банков. Большинство крупных банков находятся в процессе рассмотрения всех “за” и “против”, а многие уже используют PKI для предоставления банковских услуг. ScotiaBank в Канаде, обслуживающий десятки тысяч клиентов, является наглядным примером успешного использования этой технологии.
  • Второй тип применения для потребительского рынка - предоставление гарантии установления подлинности личностей пользователей, совершающих покупки в Интернет-магазинах. Рализация нескольких проектов продемонстрировала реальность такой модели. Однако, большинство крупных Интернет-продавцов требуют предоплату за товар и единственная аутентификация здесь – это успешное списание средств с карточного счета покупателя. В будущем следует ожидать появление кредитных моделей интернет-торговли и тогда технология PKI в этом секторе будет незаменима.
  • Цифровой сертификат установленный на web-сервере может гарантировать покупателю, что он действительно имеет дело с Amazon.com или с IRS, а не с подложным сервером-собирателем паролей и номеров счетов. Компании, реализующие свою продукцию через Интернет, практически повсеместно используют такие сертификаты для самоидентификации.

    Вопрос второй: Что мы получим если реализуем технологию PKI в нашей организации и как это поможет нам чувствовать себя в большей безопасности?

    Корпоративный PKI позволит вам в каждый момент времени знать - кто использует ваши информационные ресурсы даже в том случае, если ваша сеть построена на открытых каналах, таких как Интернет, и даст вам возможность централизованно предоставлять и отзывать права доступа пользователям при появлении соответствующей необходимости.

    Другое большое преимущество широкомасштабного использования цифровых сертификатов – реализация функции неотказуемости - т.е. отправитель не сможет отказаться от факта отправления им электронного письма, предназначенного вам. Система также позволяет вашим сотрудникам и деловым партнерам общаться с помощью зашифрованных писем, которые не могут быть прочтены третьими сторонами.

    Не следует забывать и об имидже - организация показывает своим клиентам и партнерам о серьезности подхода к вопросам безопасности доверенной ей информации, а это делает ее более привлекательной по сравнению с конкурентами, которые не делают вложений в эту сферу.

    Другое преимущество PKI – это возможность использовать сертификаты для однократной аутентификации и авторизации доступа как к новым, так и старым бизнес-приложениям (так называемый Single Sign-On), уменьшая количество паролей, которые пользователям необходимо запоминать.

    Наконец, участники информационного обмена более ответственно относятся к своим действиям в информационных системах зная, что эти действия однозначно ассоциируются с ними.

    Вопрос третий: Какие технологии мы можем рассматривать в качестве альтернативных PKI?
    Для обеспечения безопасности электронной почты есть альтернативная технология, называемая PGP, которая использует систему открытых ключей, но без применения цифровых сертификатов. В настоящее время технология PGP развивается в сторону совместимости с системой цифровых сертификатов. Однако опыт показывает, что на рынке отдается большее предпочтение технологии PKI. Это происходит благодаря тому, что для большого количества пользователей технология ключей PGP выглядит гораздо сложнее, чем система сертификатов. PKI действительно является лучшей системой защиты электронной почты и других электронных деловых операций.

    С другой стороны, существует много других технологий для контроля доступа. Одна из них- применение одноразовых паролей, генерируемых специальными устройствами, другие используют для идентификации отпечатки пальцев или образ сетчатки глаза. В ряде случаев имеет смысл сочетать различные технологии для усиления безопасности, обеспечиваемой PKI.

    Вопрос четвертый: С какими трудностями мы можем столкнуться при реализации технологии PKI?

    Проблемы, возникающие при реализации технологии PKI, можно разделить на три основных класса.

    Первый-это простое отсутствие знаний по этому вопросу. Если никто в вашей организации ранее не занимался реализацией этой технологии, то у сотрудников, которым вы поручите это задание, его выполнение вызовет много проблем. Встречаясь с консультантами и продавцами они могут даже не знать какие вопросы необходимо задавать, что ставит их в невыгодное положение.

    Второй класс проблем включает трудности, связанные с технологией:

  • Службы директорий, идентифицирующие ваших сотрудников и деловых партнеров, почти наверняка не стандартиризированы. Для успешной реализации PKI это придется сделать.
  • Возможно будут необходимы усилия программистов для обеспечения совместимости применяемых бизнес-приложений с PKI. В противном случае, вам не удастся в полной мере реализовать преимущества технологии, например, SSO.
  • Если вы планируете включить в информационную систему ваших партнеров, им также придется предпринять соответствующие усилия по обеспечению совместимости. Однако наиболее серьезные трудности обычно вызывают непосредственные процедуры реализации технологии.
  • При реализации технологии в вашей организации может возникнуть ряд проблем правового характера, связанных с правом на собственность информации. Этот фактор весьма специфичен для определенного рода деятельности организации, но и его нельзя недооценивать.
  • Преобразование внутриорганизационной политики может вызывать гораздо больше проблем. В таких случаях важную роль играют опытные юристы. Однако, если они не имеют опыта, этот процесс займет много времени, а возникновение трудных вопросов практически неизбежно.
  • Территориально распределенные предприятия должны обратить особое внимание на выбор архитектуры корпоративной PKI, т. к. ошибка при проектировании может повлечь за собой аннулирование и переиздание тысяч сертификатов, что приведет к неразберихе и потере производительности.
  • Преимущества новой технологии могут быть не очевидны новым пользователям внутри и вне вашей организации, поэтому необходимо разъяснение ценности технологии и проведение обучения по ее использованию, что улучшит конечный результат.

    И, наконец, надо иметь предстваление о стоимости системы и средствах необходимых на ее поддержку.

    Вопросы 5 и 6: Как руководству компании принять решение – внедрять или не внедрять технологию, если преимущества при реализации не ясны а затраты трудно расчитать ? И если внедрять, то нужно ли это делать сейчас, или может быть подождать пока она не станет более распространенной?

    Если бы реализация технологии PKI была бы простой и бесплатной, желающих появилось бы очень много. Пример тому - повсеместное использование серверных сертификатов в системах электронной торговли. Однако реализация корпоративного PKI вызывает гораздо больше трудностей, и многие компании опасаются вкладывать деньги в новые технологии без ясного понимания с чего начинать и какие результаты они в конечном итоге получат. Успешные проекты внедрения PKI, как правило осуществлялись постепенно - в три этапа.

    На первом этапе происходит анализ потребности в целом. Если вы работаете в организации, где необходимость сохранять конфиденциальность информации и идентифицировать личность пользователей, имеющих к ней доступ, достаточно остры - вы в первом ряду кандидатов.

    Примером является компания ХХХ, которая пришла к выводу, что раскрытие информации о ее электронных транзакциях или несанкционированный доступ к базам данных может нанести серьезный урон ее конкурентноспособности, а следовательно, к крупным финансовым потерям. После тщательного анализа рисков она решила приступить к развертыванию PKI, как системы, оптимально решающей эти проблемы.

    Другой пример из совсем иной области – информационное агенство, использующее Интернет для пересылки новостей, применив PKI защитило ценную новостную информацию от перехвата конкурентами. Дальнейшее развитие система получила, когда агенство предоставило возможность потребителям этой информации получать к ней доступ в режиме он-лайн, выдав им цифровые сертификаты, по которым проводилась идентификация пользователя.

    Наконец, классическим примером могут служить электронные торговые площадки. Они позволяют существенно снизит издержки на обслуживание сделок, расширить клиентскую базу и доступность продукции покупателям. Для аутентификации здесь также используются цифровые сертификаты.

    Оценив для себя выгоды привносимые реализацией PKI, можно переходить ко второму этапу, в течение которого изучается опыт реализации технологии другими компаниями и оцениваются необходимые ресурсы. Существуют тысячи PKI проектов. Не исключено, что дружественные вам компании уже внедрили или внедряют PKI. Поговорите с ними, проконсультируйтесь у специалистов. Попросите своих сотрудников сделать для вас обзор текущей ситуации.

    Третий этап наступает, когда вы полностью оценили необходимые затраты, просчитали эффективность и уверены, что ваш технический персонал готов к началу развертывания.

    Развертывание системы, в свою очередь, также должно происходить поэтапно – создайте сначала макет, затем пилотную зону, где вы сможете отладить взаимодействие информационных подсистем, и только после этого вы сможете приступить к промышленному внедрению.

    В этом разделе мы даем некоторые рекомендации – что необходимо учесть при внедрении PKI в информационные системы.

    Удачи вам!

  • Перейти в начало страницы