Приводится перечень этапов развертывания PKI, подробно рассматривается процесс подготовки решения о развертывании инфраструктуры, дается краткая характеристика инсорсинга и аутсорсинга, обсуждаются стандартность и комплексность решения, стоимость и время развертывания PKI, дается представление о средах развертывания, режимах оперирования и приоритетных сервисах безопасности PKI.
Процесс развертывания PKI состоит из нескольких этапов, каждый из которых должен сопровождаться соответствующим документированием и проверками:
1 Предварительный этап
2 Проектирование.
3 Создание прототипа.
4 Пилотный проект.
5 Внедрение.
Каждый из этапов создания PKI дает результат в виде явно оформленного "продукта", позволяющего убедиться в законченности и общем продвижении процесса [20].
Предварительный этап включает подготовительную работу для принятия решения о необходимости развертывания инфраструктуры, оценку материальных ресурсов и финансовых возможностей организации, определение цели развертывания и сферы применения PKI, выбор приоритетных сервисов безопасности, анализ данных и приложений PKI.
В процессе подготовки принятия решения специалисты организации, планирующей развернуть PKI, должны изучить возможности и риски инфраструктур открытых ключей, ознакомиться с предложениями и PKI-решениями различных поставщиков программных продуктов и услуг в этой области и получить их консультации относительно целесообразности, возможной стратегии и ожидаемой эффективности использования технологии цифровых сертификатов. На этом шаге полезно изучение опыта развертывания или функционирования существующих инфраструктур открытых ключей.
Многие компании берутся за развертывание крупномасштабных систем типа PKI, не имея необходимых ресурсов. Поскольку развертывание PKI требует значительных капиталовложений, для принятия решения необходима оценка материальных ресурсов и финансовых возможностей организации на настоящий момент и в ближайшие годы, экономического эффекта от использования новой технологии, начальных затрат и стоимости функционирования PKI. В этом процессе должны участвовать представители администрации или бизнес-менеджеры, технические специалисты и работники планово-финансовых подразделений.
Проведя тщательную оценку своих потребностей, некоторые организации вообще могут прийти к выводу, что инфраструктура открытых ключей им не нужна. Развертывание PKI целесообразно для крупных территориально распределенных организаций, где необходимо наладить контролируемую защиту документов и серверов при использовании разнообразных приложений [25].
Для решения менее масштабных задач пригоден другой инструментарий безопасности. Так, например, для поддержки виртуальных частных сетей имеются специальные программные средства, как правило, уже оснащенные надежными функциями аутентификации. Сервисы безопасности виртуальных частных сетей используются главным образом организациями, которым необходимо защитить внутреннюю сеть от внешнего доступа через Интернет. Программы персонального шифрования обеспечивают защиту документов и данных в локальных системах и удобны для небольших групп пользователей. Сервер сертификатов может решить проблемы несанкционированного доступа к web-контенту, особенно в интрасетях и на порталах. Для защиты связи с деловыми партнерами многие поставщики PKI-услуг предлагают широкий спектр сервисов безопасности, избавляя тем самым клиентов от необходимости самостоятельно поддерживать PKI, но при этом существенно ограничивая их возможности контролировать PKI-транзакции.
Любая организация, определяя цели развертывания PKI, должна руководствоваться своей политикой безопасности, учитывать специфику ведения бизнеса или характер деятельности, юридические и административные ограничения. Не менее важен при принятии решения о развертывании PKI и учет потребностей безопасности, например, необходимость повысить уровень защищенности корпоративной системы, связанной с Интернетом, или следовать требованиям безопасности, установленными государственными органами. Кроме того, условия конкуренции вынуждают многие компании использовать новые технологии, чтобы соответствовать ожиданиям клиентов в отношении безопасности используемой ими системы.
Организация выбирает инсорсинг, когда принимает решение о развертывании внутренней PKI на базе собственных ресурсов (включая персонал, аппаратное обеспечение и т.д.) и (или) с привлечением внешних ресурсов для выполнения некоторых или всех операций PKI. Ключевым моментом является то, что инсорсинговая PKI находится под контролем организации.
Выбирая аутсорсинг, организация разрешает внешней стороне поддерживать и выполнять некоторые (а возможно, и все) операции своей корпоративной PKI. В этом случае эти операции не контролируются самой организацией [105].
Основой принятия решения о варианте развертывания PKI должен быть анализ его стоимости и полезности с учетом большого числа релевантных факторов:
* возможностей организации разработать собственный PKI-продукт;
* стоимости самостоятельного развертывания инфраструктуры по сравнению с затратами на аутсорсинг (включая все соответствующее программное и аппаратное обеспечение, техническую поддержку, помещения, персонал, обучение и т.п.);
* потребности организации контролировать все операции PKI;
* источника доверия потребителей PKI-сервисов;
* скорости обработки запросов на получение сервисов и информации (например, запросы о выдаче сертификатов конечным субъектам, восстановлении ключей, получении информации о статусе сертификатов);
* уровня и доступности технической поддержки;
* возможностей и готовности поставщика технологии учитывать будущие потребности организации.
Организации часто принимают решение об аутсорсинге в зависимости от того, к какому виду деятельности - стратегическому или стандартному - они относят развертывание PKI. Благодаря стратегическим видам деятельности компания способна выделиться на рынке своим продуктом или предложить на рынок продукт по более низкой цене, в этом случае нефинансовые соображения могут быть важнее экономической выгоды от использования аутсорсинга.
С другой стороны, существуют стандартные виды деятельности, однако они не обеспечивают ни дополнительной дифференциации на рынке, ни конкурентного преимущества. Этот вид деятельности может быть приобретен у более эффективных, с точки зрения издержек, поставщиков, позволяя организации сконцентрировать свой капитал и человеческие ресурсы на стратегических направлениях [17].
Выбор варианта самостоятельного создания PKI-продукта означает, что организация желает инвестировать в разработку оригинальной системы. Вариант приобретения подразумевает, что организация будет покупать PKI-продукты или сервисы, расширяя свою деятельность за счет дополнительной загрузки имеющихся мощностей или активов, или прибегнет к аутсорсингу. Факты свидетельствуют о том, что лишь немногие организации выбирают вариант разработки, поскольку в этом случае они сталкиваются с целым рядом серьезных препятствий.
1 Технология PKI достаточно сложна для реализации. Большинство поставщиков программного обеспечения для PKI вложили большие средства в разработку программных продуктов, и возврат инвестиций может быть реализован только путем тиражирования готовых продуктов и продаж многим заказчикам. Организации чрезвычайно трудно возместить расходы на разработку собственной оригинальной системы PKI.
2 Учитывая сложность программного обеспечения для PKI, маловероятно, что большинство организаций будут иметь достаточно ресурсов, чтобы даже начать процесс разработки.
3 Многие разработки в сфере PKI запатентованы, в частности такие как технологии аннулирования сертификатов, проставления меток времени, управления привилегиями и т.д., и это также влияет на создание нового программного продукта.
Учитывая эти трудности, большинство организаций даже не рассматривают возможность разработки совершенно нового, собственного PKI-продукта.
Ключевой концепцией для понимания того, следует ли организации выбирать инсорсинг или аутсорсинг, является идея открытых и частных иерархий [105]. Открытыми называют иерархии, подчиненные корневому УЦ, открытый ключ которого встроен в общедоступное приложение, например web-браузер. В этом случае web-браузер может автоматически проверять валидность сертификатов, изданных в открытой иерархии, а также их издателей, что является бесспорным преимуществом этого способа организации PKI.
Открытые иерархии обычно используются в тех случаях, когда требуется обмен информацией с неаффилированными сторонами или их аутентификация. Уровень доверия к неаффилированным сторонам должен быть достаточно высок, и, следовательно, третьей доверенной стороной должен выступать аутсорсинговый УЦ.
Частные иерархии подчиняются корневому УЦ, открытый ключ которого не встроен в программное обеспечение стандартных браузеров , в этих случаях верификация иерархии не важна. Конечный пользователь может вручную добавить открытый ключ корневого УЦ частной иерархии в список открытых ключей доверенных удостоверяющих центров, встроенных в приложение пользователя. В этом случае вся ответственность за использование этого ключа и администрирование ложится на самого пользователя. Частные иерархии больше подходят для закрытых аффилированных сообществ, например, пользователей корпоративного портала компании. На (рис. 18.1 и 18.2 приведены примеры открытой и частной иерархий.
Рис. 18.1. Пример открытой иерархии
Рис. 18.2. Пример частной иерархии
Важно отметить, что управление доступом к защищенным ресурсам обычно не базируется исключительно на верификации пути сертификации, ведущего к сертификату доверенного корневого УЦ. Приложения, предназначенные для аутентификации (например, экстрасети), обычно имеют модули авторизации, которые позволяют программному обеспечению распознавать содержание сертификатов, предъявляемых субъектами, и управлять доступом на основании списка контроля доступа.
Иногда решение о самостоятельном развертывании PKI или аутсорсинге базируется на чисто экономических соображениях. Небольшие организации из-за недостатка ресурсов чаще всего выбирают аутсорсинг. Но, безусловно, принятие этого решения не ограничивается просто оценкой издержек в том или ином варианте развертывания, здесь должны быть учтены многие параметры. Один из важнейших факторов - возможности организации контролировать операции УЦ и способы аутентификации. Некоторые организации настаивают на полном контроле всех аспектов функционирования PKI, особенно касающихся безопасности и источника доверия, и обычно не желают зависеть от поставщика услуг третьей стороны. Другие организации не считают возможности контроля критически важными для своей деятельности.
Вариант инсорсинга в целом предоставляет максимум гибкости, поскольку организация самостоятельно осуществляет контроль и управление операциями УЦ и определяет механизмы и процедуры аутентификации. Эта гибкость критически важна при составлении таких документов, как ППС и регламент УЦ. Инсорсинговая PKI, по определению, должна создаваться в случае частной иерархии.
Модель аутсорсинга обеспечивает меньшую гибкость, потому что иерархия сертификатов создается в момент инсталляции программного обеспечения УЦ, а внесение изменений требует дополнительных затрат времени и денег. Если организация не предъявляет особые требования к механизмам аутентификации, то может принять ППС и регламент внешнего корневого УЦ, таким образом, перекладывая ответственность, в том числе и за безопасность секретного ключа корневого УЦ, на внешнюю сторону.
Оценивание затрат на развертывание PKI зависит от нескольких главных факторов:
* количества пользователей;
* количества приложений;
* варианта развертывания PKI ( инсорсинг или аутсорсинг ).
Расходы на амортизацию PKI не должны превышать более чем на 10% (в идеале) или более чем на 25% (максимум) стоимость приложений, которые организация планирует защитить при помощи инфраструктуры открытых ключей. Вообще говоря, расходы на безопасность не должны превышать общую стоимость защищаемых приложений. Если расходы на сертификаты или соответствующие сервисы инфраструктуры превышают 10% стоимости приложений, то не происходит возврата инвестиций.
Учитывая потенциальную сложность развертывания PKI, всегда разумно планировать максимально возможное время развертывания; однако возникает проблема, когда технология меняется настолько быстро, что "окончательная" реализация может никогда не произойти. Для быстрого развертывания (три месяца и менее) обычно рекомендуется аутсорсинг или управляемая PKI. Для более длительного развертывания (свыше 3 месяцев) можно использовать собственные решения, но за отведенное время не всегда могут быть реализованы особые требования организации и полностью решены проблемы интеграции.
Независимо от выбранного способа развертывания, организации следует планировать период развертывания не менее одного месяца. Решение проблем заключения договоров требует дополнительно от 2 до 4 недель. Кроме того, в зависимости от сложности проекта, к моменту подписания договора о продаже должны быть готовы приступить к работе консультанты проекта, предоставленные самим поставщиком или его партнерами. К главным моментам, которые влияют на время развертывания PKI и стоимость ее реализации, относятся:
* составление перечня работ консультантов со сроками выполнения и объемом финансирования;
* создание иерархий удостоверяющих центров (при необходимости к этой работе привлекаются консультанты);
* обучение персонала (администраторов), способного взаимодействовать с консультантами на этапе развертывания, а в дальнейшем модифицировать или совершенствовать систему PKI;
* планирование простоев в центрах обработки данных организации на время установки или адаптации аппаратного и/или программного обеспечения системы PKI (иногда организации планируют "окна" в работе своих центров обработки данных, во время которых необходимо выполнить установку программных и аппаратных средств PKI).
Более масштабные и ориентированные на специфические требования заказчика варианты развертывания могут занимать по времени 6 месяцев и более. Правильное планирование времени, необходимого для развертывания PKI, и распараллеливание работ существенно влияет на успех проекта.
Модель аутсорсинга позволяет сэкономить время развертывания, перекладывая на поставщика услуг функции по установке и поддержке программного и аппаратного обеспечения компонентов PKI. Кроме того, выбор варианта аутсорсинга позволяет снизить требования к персоналу и инфраструктуре безопасности. Поскольку внешний УЦ берет ответственность на себя, происходит амортизация затрат в течение более длительного периода, чем в случае, когда организации приходится самостоятельно приобретать и поддерживать программные и аппаратные средства PKI.
При развертывании крупномасштабных PKI предпочтительна модель инсорсинга, поскольку организация, берущаяся за большой проект, скорее всего, уже имеет инфраструктуру безопасности, центры обработки данных и квалифицированный персонал. В этом случае значительные первоначальные капиталовложения компенсируются последующей экономией средств, необходимых для поддержания работы большой системы. Кроме того, крупномасштабные проекты чаще всего ориентируются на собственные требования организации к аутентификации и обслуживание большего количества корпоративных иерархий, что в случае аутсорсинга требует значительных капиталовложений. Главный недостаток варианта инсорсинга - длительный период развертывания (масштабные реализации требуют не менее 6 месяцев работы).
Итак, главный критерий принятия организацией решения относительно построения инфраструктуры безопасности, базирующейся на PKI, - самостоятельно выполнять функции УЦ или доверить это третьей стороне. Решение о выборе варианта развертывания должно быть утверждено до начала проектирования и развертывания PKI. Это решение может повлиять на область применения, стоимость проекта и даже выбор потенциальных поставщиков. Итоги анализа доводов "за" и "против" каждого варианта развертывания приведены в табл. 18.1 [105].
|Характеристики | Инсорсинг | Аутсорсинг |
|Политика аутентификации | Возможность формировать собственную политику, простота изменения политики | Необходимость придерживаться политик, утвержденных для внешнего УЦ |
|Настройка на требования заказчика | Максимальная гибкость | Минимальная гибкость |
|Время развертывания | Длительный период развертывания | Короткий период развертывания |
|Степень участия | Большие первоначальные усилия, но в дальнейшем требуется небольшая работа по поддержке систем | Минимальные усилия со стороны заказчика, но может потребоваться интеграция с действующими системами заказчика |
|Стоимость | Большие первоначальные затраты, но небольшие в дальнейшем | Низкие первоначальные затраты, но большие в дальнейшем |
|Количество персонала | Требуется значительное количество персонала для работы, защиты и поддержки систем УЦ и РЦ | Персонал требуется только для работы и поддержки системы РЦ |
Таблица 18.1.Сравнительный анализ вариантов инсорсинга и аутсорсинга
Правильное определение сферы применения является предпосылкой успешного проектирования PKI. Как правило, чем шире назначение PKI, тем уже спектр свойств и возможностей, которые доступны ее пользователям. PKI может быть предназначена для пользователей:
1 массового рынка;
2 интрасети;
3 экстрасети.
Массовый рынок предполагает использование PKI множеством разобщенных, удаленных пользователей, работающих на компьютерах разных моделей, например, клиентов Интернет-банкинга. В этом случае возможен (если вообще возможен) лишь минимальный контроль за компьютерами пользователей. Пользователи становятся клиентами корневого УЦ открытой иерархии, имеющего свой web-сайт, и взаимодействуют с ним через интерфейс браузера.
Корпоративные пользователи часто принадлежат к одной организации. Это дает возможность поддерживать более унифицированную среду для клиентских мест и позволяет иметь некоторый контроль над действиями пользователей. В этом случае развертывание PKI в зависимости от ее масштаба может осуществляться на базе и частных, и открытых иерархий. Кроме того, пользователи получают возможность управлять сертификатами при помощи соответствующих клиентских приложений; такими функциями, например, обладает клиентское программное обеспечение двух ведущих поставщиков услуг PKI - компаний Entrust [214] и VeriSign [220].
Обычно компании создают интрасети для своих сотрудников, однако полномочия на доступ к ним иногда предоставляют деловым партнерам и другим группам пользователей. Доступ деловых партнеров к информации, хранящейся во внутренней корпоративной сети, обеспечивает экстрасеть. Поскольку клиентские места пользователей экстрасети невозможно контролировать в той же мере, что и компьютеры служащих компании, подход к этому сообществу должен быть аналогичен тому, который предлагается для массового рынка. Но очевидно, что количество пользователей экстрасети намного меньше, поэтому PKI может быть реализована как в виде открытой, так и в виде частной иерархии, дополненной системой однократной регистрации или другими системами контроля.
Возможны самые разные варианты использования PKI. В масштабе страны может быть развернута федеральная PKI, обеспечивающая контакты между правительственными учреждениями и всеми гражданами посредством сертификатов и цифровых подписей. Отдельная компания может использовать персональные сертификаты на смарт-картах для управления доступом штатных сотрудников в помещения и к компьютерным системам и приложениям. При помощи персональных сертификатов Интернет-магазин может аутентифицировать клиентов, заказывающих товар. В финансовой сфере PKI может использоваться в системе банковских расчетов для перевода денег корпоративным клиентам и операций по аккредитивам.
В таблице 18.2: 1 приводится перечень возможных сфер применения и приложений PKI, сформированный международным объединением пользователей и поставщиков услуг и программных продуктов в области инфраструктур открытых ключей (PKI Форум) [86].
В зависимости от назначения и масштаба PKI ее конечными субъектами или пользователями могут выступать граждане страны, клиенты, ИТ-штат или весь персонал организации, деловые партнеры или другие компании.
При задании сферы применения PKI необходимо определить уровень взаимодействия участников системы (международный, межкорпоративный, корпоративный, между несколькими подразделениями компании и т.п.).
| Сфера применения | Категория приложения | Примеры объектов и транзакций PKI-приложений |
|Банковская и финансовая сферы | Аутентификация платежей | Покупка акций
Денежные переводы по кредитам на обучение
|
|Контроль доступа | Банковские операции в онлайновом режиме |
|Защищенная электронная почта | Подача документов в комиссию по ценным бумагам и биржам |
|Защищенное хранение и поиск документов | Электронные ипотечные кредиты
Заявки на приобретение ценных бумаг
|
|Цифровой нотариат | Документы о правовом титуле
Кредиты
|
|Защищенные транзакции | Гарантийные письма |
|Страхование | Электронная цифровая подпись | Онлайновые:
* квоты;
* заявки;
* разрешения
|
|Аутентификация платежей | Онлайновые платежи:
* страховые премии;
* компенсации по страховым полисам
|
|Контроль доступа | Электронный документооборот
Информация о страхователях
|
|Здравоохранение | Аутентификация платежей | Выплата компенсаций |
|Защищенный обмен сообщениями / электронная почта | Подача заявлений на компенсацию |
|Защищенное хранение и поиск документов | Информация о пациентах |
|Квалификационная идентификация | Удостоверения врачей |
|Персональная идентификация | Паспорта |
|Правительство | Контроль доступа | Проход в правительственные здания |
|Аутентификация платежей | Выплаты органов социального обеспечения |
|Защищенный обмен сообщениями | Финансовые полномочия администрации |
|Защищенное хранение и поиск документов | Юридические документы по судебным делам |
|Бизнес- бизнес | Контроль доступа | Просмотр выбранных документов деловыми партнерами |
|Аутентификация платежей | Защищенные электронные платежи |
|Электронная цифровая подпись | Электронные контракты |
|Защищенный обмен сообщениями | Соглашения о коммерческой тайне
Запросы с предложениями о поставках
Контракты
|
Таблица 18.2.Сферы применения и категории приложений PKI
На предварительном этапе чрезвычайно важно выявить проблемы взаимодействия и функциональной совместимости инфраструктуры с другими PKI и таким образом очертить круг сторон, вовлекаемых в процесс развертывания PKI. В домен доверия PKI не входят индивидуумы или организации, не включенные в сферу применения инфраструктуры. По мере функционирования PKI сфера применения может быть пересмотрена и дополнена новыми типами пользователей.
Решение о варианте развертывания PKI должно приниматься организацией с учетом характера среды развертывания, режима оперирования PKI, приоритетных сервисов безопасности, а также его комплексности и стандартности (см. рис. 18.3: 1).
В данном контексте под закрытой средой понимается среда, в которой рассматриваются только коммуникации внутри определенного домена [44]. Домен может быть отдельной организацией или множеством организаций, руководствующихся в работе одними и теми же техническими и операционными процедурами и требованиями. Функциональная совместимость в закрытой среде не является большой проблемой, организации следует лишь избегать тех решений, которые не учитывают возможность изменения закрытого сообщества с течением времени.
Рис. 18.3. Принятие решения о варианте развертывания PKI
Открытая среда - это среда, где требуется поддерживать коммуникации между доменами. В открытой среде серьезную проблему представляют несоответствие многочисленных технических и операционных процедур и функциональная совместимость продуктов разных поставщиков. Выбранная технология должна базироваться на стандартах, а поставщик технологии должен гарантировать функциональную совместимость используемых программных продуктов.
При оперировании в онлайновом режиме конечные субъекты имеют возможность напрямую связываться с сетью PKI и потреблять все сервисы, предоставляемые инфраструктурой. Автономное оперирование позволяет конечным субъектам использовать по крайней мере часть сервисов PKI, несмотря на то, что они не имеют прямого доступа к сети.
Выполнение некоторых операций, относящихся к PKI (например, распространение информации об аннулировании сертификатов при помощи онлайнового протокола статуса сертификата), возможно только при работе конечных субъектов в онлайновом режиме. Для обеспечения автономного оперирования свежая информация об аннулировании может сохраняться в кэш-памяти на компьютере клиента в течение некоторого времени или передаваться клиенту по электронной почте. Таким же образом клиентам могут доставляться сертификаты, необходимые для построения путей сертификации. Выбор варианта оперирования конечных субъектов - это политическое решение организации; только после определения политики может быть выбрана подходящая технология.
Как указывалось ранее (см. лекцию 4: 1), PKI обеспечивает поддержку основных сервисов безопасности. На предварительном этапе должны быть выбраны приоритетные направления обеспечения информационной безопасности с учетом ожиданий заинтересованных сторон относительно уровня безопасности проектируемой инфраструктуры [84]. Если организации важно реализовать аутентификацию пользователей, то должен быть выбран способ и порядок аутентификации и средства хранения сертификатов и ключей. Если акцент делается на конфиденциальность данных, то при проектировании PKI следует особенно тщательно подойти к выбору криптографического алгоритма шифрования данных. Если важна целостность данных, то могут использоваться цифровые подписи. Если необходимо предотвратить отказ от обязательств, то должны использоваться сертификаты открытых ключей подписи. В силу разнообразия требований клиентов к защищенности используемых ими приложений, решение проблем безопасности может быть найдено в результате комбинированного применения нескольких методов и криптографических алгоритмов.
Важными шагами предварительного этапа являются выбор тактики введения в действие средств безопасности системы (поэтапного наращивания возможностей или одновременной комплексной реализации) и планирование ресурсов, согласованное со всем процессом развертывания PKI.
Многие сервисы безопасности можно реализовать без развертывания PKI [44]. Существуют типовые частные решения, некоторые функции безопасности встраиваются в приложения. Это может быть вариантом лишь для некоторых сред, но большинство средне- и крупномасштабных доменов не могут ориентироваться на развертывание нескольких частных решений, особенно когда одна инфраструктура безопасности способна удовлетворить потребности многих приложений, то есть обеспечивает намного более эффективное решение. Однако в небольших закрытых корпоративных доменах частные решения, возможно, пока останутся экономически более эффективным способом поддержания безопасности.
Считается, что решение является стандартным, когда оно базируется на принятых в отрасли стандартах, а уникальные детали его реализации не препятствуют совместимости с продуктами поставщика технологии, который при разработке опирается на те же самые стандарты. Решение называют оригинальным или узкоспециальным, если оно реализовано уникальным образом и не обеспечивает функциональной совместимости с продуктами других поставщиков технологии.
Нельзя исключить, что для ограниченного числа сред лучшим вариантом в смысле соотношения "цена-качество" будет реализация узкоспециального решения. Но даже если функциональная совместимость не представляет для организации большого интереса, должны рассматриваться только решения, основанные на стандартах.
Проектирование PKI должно осуществляться на принципах управления рисками и предваряться анализом рисков, а также данных и приложений PKI, которые нуждаются в защите. Особенно важна защищенность данных, используемых во время функционирования системы PKI, данных на магнитных и бумажных носителях, архивных данных, протоколов обновления, записей аудита и документации. В числе приложений должны быть учтены приложения локальной/сетевой связи, контроля доступа, а также Интернет-приложения. Анализ должен выявить последствия компрометации безопасности, степень риска будет определять требования к уровню гарантий PKI. При выявлении большого числа рисков, связанных с различными приложениями, возникает необходимость в разработке нескольких политик применения сертификатов.
На предварительном этапе необходимо изучить преимущества и риски инфраструктур открытых ключей, сформулировать потребности безопасности и ведения бизнеса или иной деятельности, оценить затраты и проанализировать возможные решения по развертыванию PKI. В результате предварительного этапа, если принимается решение о необходимости PKI, должен быть составлен разумный и приемлемый по срокам план развертывания, учитывающий потребности организации, а также ее материальные и финансовые возможности.