УЦ: экономическая эффективность
В рубрику "Управление" | К списку рубрик | К списку авторов | К списку публикаций
УЦ: экономическая эффективность
Анна Соколова, Ирина Филиппова,
эксперты компании "ЭЛВИС-ПЛЮС"
В настоящее время в сфере ИБ все более популярными, использующимися как в коммерческих, так и государственных структурах, становятся решения, связанные с применением ЭЦП. Так, по данным CNews (2006 г.), число пользователей ЭЦП и PKI-инфраструктуры на основе удостоверяющих центров (УЦ) в России выросло в 2 раза. Лидируют в применении ЭЦП банки, финансовые учреждения и другие крупные компании, где ЭЦП является важнейшим элементом защиты в любых системах электронного документооборота.
Если всего несколько лет назад создание УЦ, являющегося основным элементом системы PKI и предназначенного для идентификации владельца ЭЦП и удостоверения его открытого ключа, было скорее "эксклюзивным" решением, предлагаемым лишь наиболее "продвинутым" клиентам, то сейчас это решение переходит в разряд "стандартных".
Если всего несколько лет назад создание УЦ, являющегося основным элементом системы PKI и предназначенного для идентификации владельца ЭЦП и удостоверения его открытого ключа, было скорее "эксклюзивным" решением, предлагаемым лишь наиболее "продвинутым" клиентам, то сейчас это решение переходит в разряд "стандартных".
УЦ: свой или чужой?
По мнению большинства отечественных и зарубежных специалистов, одним из важнейших преимуществ использования технологии PKI является возможность построения инфраструктуры, сочетающей в себе обеспечение достоверности и целостности данных. Высокий спрос на технологии объясняется также низкой стоимостью каналов в открытых сетях общего доступа, удобством и простотой взаимодействия субъектов информационного обмена, возможностью построения крупномасштабных распределенных защищенных информационных сетей и т.п.
Как показывает статистика, далеко не всегда организация УЦ экономически оправдана. Тем более сейчас, когда создано достаточное количество УЦ, оказывающих свои услуги на коммерческой основе. Такие компании являются нейтральными доверительными организациями, ответственными за выпуск и управление сертификатами ЭЦП и гарантирующими пользователям их подлинность. Поэтому в случае если необходимо использовать относительно небольшое количество сертификатов, создание собственного УЦ может стать нецелесообразным, да и услуги УЦ могут быть приобретены на коммерческой основе.
В то же время иногда использование услуг сторонних компаний (коммерческих УЦ) для организации может стать неприемлемым или неэффективным по целому ряду причин, например:
Как принять правильное решение
Чтобы оценить экономическую эффективность проекта создания УЦ, как и для большинства других проектов, необходимо сравнить, с одной стороны, затраты, направленные на реализацию проекта, а с другой - выгоды, получаемые при создании УЦ. Сразу отметим, что проект по созданию УЦ, как и практически любой проект в сфере информационной безопасности, может и не приносить прибыли, а соответственно и пользу от его создания не всегда можно оценить в денежном эквиваленте. Однако УЦ может и выгодно отличаться от своих "собратьев по безопасности", поскольку его коммерческое использование возможно как таковое, и в таком случае оценить выигрыш от создания УЦ становится достаточно просто -по выручке от проданных сертификатов и оказанных дополнительных услуг.
В случае использования УЦ "в своих интересах" экономическим критерием может стать сравнительная стоимость покупки необходимого для компании объема услуг у коммерческих УЦ. Но тогда помимо существующей потребности компании в услугах УЦ целесообразно еще оценить и ближайшие планы по ее динамике. Например, просчитать количество сертификатов, которые могут понадобиться компании через 2-3 года.
Итак, для того чтобы оценить каким-либо образом экономические выгоды от создания УЦ, необходимо определить цели его создания и направленность деятельности: будет ли УЦ "обслуживать" только свою корпоративную структуру, либо предполагается "продажа" цифровых сертификатов и "сторонним" пользователям. В принципе возможны оба варианта - в таком случае будем иметь не только экономию от обслуживания своей структуры по сравнению с использованием услуг коммерческих УЦ, но еще и выручку от продажи сертификатов и дополнительных услуг сторонним пользователям.
Оценка затрат
В вопросе оценки затрат на реализацию проекта, как обычно, наиболее важной является аккуратность в определении их статей, в чем может помочь наличие четкого сценария реализации проекта (в том числе схемы, описывающей структуру деятельности УЦ) и календарного плана реализации проекта. Здесь хотелось бы отметить, что помимо таких "классических" затрат, как затраты на покупку, установку и сопровождение программного и аппаратного обеспечения, организацию необходимых дополнительных рабочих мест и обучение сотрудников, необходимо учитывать и менее "очевидные" статьи затрат.
Например, развертывание деятельности УЦ предполагает обязательное выполнение требований, предъявляемых российским законодательством. Так, Законом "Об электронной цифровой подписи" установлено, что деятельность УЦ подлежит лицензированию. Поэтому при анализе затрат на создание УЦ необходимо учесть и статьи на получение необходимых лицензий. Кроме того, создание УЦ требует подготовки целого пакета документов, необходимых для его грамотной эксплуатации (например, Концепция деятельности УЦ, Положение (регламент) об УЦ,
Положение о порядке разбора конфликтных ситуаций, связанных с использованием ЭЦП, и т.п.). А если создание УЦ предполагает оказание коммерческих услуг, то понадобится еще комплект договорных документов, связанных с предоставлением услуг УЦ. Очевидно, что создание этих документов потребует немалых дополнительных затрат, которые также необходимо учитывать. Однако избежать лишних расходов можно, если воспользоваться услугами коммерческих организаций.
С этой же точки зрения интересны еще и ежегодные дополнительные затраты на замену скомпрометированных ключей. Как показывает практика, прецеденты с компрометацией ключей возникают достаточно регулярно, поскольку использование ключей связано с "человеческим фактором" - носители сертификатов ключей (например, е-токены) могут сломаться, потеряться, периодически сотрудники забывают их на своих рабочих столах и т.п. В случае компрометации ключа обычно требуется его перевыпуск. По нашим наблюдениям, в среднем компрометируется 5-10% ключей (по крайней мере, такая величина обычно учитывается в расчетах).
Очевидно, что при создании собственного УЦ ситуация со скомпрометированными ключами не окажет значительного влияния на совокупную стоимость проекта - себестоимость замены ключа мала. В то же время при "перевыпуске" ключа в сторонней организации стоимость замены будет равна стоимости приобретения нового ключа, а это уже дополнительные 5-10% от суммы общих затрат, что весьма весомо. Таким образом, как показывает практика, создание УЦ несет достаточно существенные единовременные расходы при значительно меньших ежегодных, поэтому при оценке экономической эффективности проекта имеет смысл рассчитывать ТСО проекта хотя бы на 3-4 года - в течение этого времени разница между ТСО рассматриваемых альтернатив, обусловленная единовременными расходами при создании собственного УЦ, скорее всего, будет нивелирована за счет меньших ежегодных расходов при этом же варианте. Поэтому имеет смысл проводить пошаговую оценку ТСО проекта, где шаг проекта соответствует времени обновления сертификатов (в большинстве случаев сертификаты обновляются ежегодно).
Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2007
