Удостоверяющий центр предприятия. Экономическая эффективность.

Семенов М.В.
выпускник группы MBA CSO 01
Школа IT-менеджмента
РАНХиГС при Президенте РФ

Основным механизмом, подтверждающим авторство того или иного электронного документа является электронная подпись. Под электронной подписью следует понимать информацию в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связанную с такой информацией и которая используется для определения лица, подписывающего информацию. Сертификат ключа проверки электронной подписи - электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.

Удостоверяющий центр - юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей.

Рынок систем электронного документооборота в России неуклонно расширяется, внедряются информационно-управляющие и иные автоматизированные системы с применением средств удостоверяющего центра и электронной подписи. Отказ от использования средств УЦ и ЭП в современных условиях значительно тормозит хозяйственную деятельность предприятий и, как следствие, снижает их конкурентные преимущества.

Сложилась ситуация, при которой на каждом предприятии применяются как минимум десятки экземпляров средств ЭП. Жизненный цикл каждого из них  на возмездной основе обеспечивается каким-то удостоверяющим центром.

В Российской Федерации действуют сотни удостоверяющих центров, значительно различающихся по функциям, по принадлежности, по техническим решениям, лежащим в основе их построения.

Своевременное принятие решения о создании корпоративного УЦ, выработка четких требований к его работе, формирование исчерпывающей нормативно-правовой базы, позволяющей пользоваться средствами ЭП и СКЗИ в корпоративных информационных системах, учитывающей требования надзорных органов, позволит значительно снизить потенциальные затраты и поможет формированию облика современного предприятия.

Целью данной работы является рассмотрение вопроса об экономической эффективности создания Удостоверяющего центра предприятия. При этом для достижения поставленной цели автором ставились следующие задачи:

• Определение критериев целесообразности создания собственного удостоверяющего центра;
• Определение набора мероприятий необходимых к выполнению при создании удостоверяющего центра.
• Выбор оптимальных технических и организационных решений при строительстве удостоверяющего центра.

При  планировании внедрения информационно-управляющих и иных автоматизированных систем, требующих применения средств ЭП, руководству предприятия (группы предприятий) требуется определить:

• сферу применения, т.е. как конкретно будут использоваться средства ЭП в данной системе (как правило несколько функций);
• вид электронной подписи (по использованию алгоритмов шифрования, по особенностям выпуска сертификатов, по связям с другими системами, по структуре сертификатов);
• организационный объем (количество ключевых пользователей, узлов, требующих шифрования и/или аутентификации, на разных этапах жизненного цикла внедряемой системы, территориальное разнесение и др);
• требования к системе по информационной безопасности;
• требования к системе по иным видам обеспечения, которые могут быть связаны с применением средств ЭП.

До принятия решения о создании собственного УЦ руководству компании необходимо определить, являются ли приемлемыми время и затраты, которое уйдут на строительство и ввод УЦ в эксплуатацию.

Процесс построения и эксплуатации собственного УЦ представляется в виде последовательности следующих этапов:

• Проведение обследования информационной инфраструктуры предприятия и определение базовой программно-аппаратной платформы для построения информационной системы удостоверяющего центра.
• При необходимости, подбор и/или подготовка персонала соответствующего требованиям, предъявляемым к удостоверяющим центрам.
• Подготовка комплекта документов, необходимых для лицензирования.
• Развертывание информационной системы удостоверяющего центра:
• монтаж и установка программно-аппаратных средств;
• пуско-наладочные работы;
• Опытная эксплуатация удостоверяющего центра и подготовка организационно-методических документов (Регламент, инструкции и др.).
• Проведение процедур признания УЦ (это может быть аккредитация, включение в Сеть УЦ верхнего уровня, кросс-сертификация).
• Промышленная эксплуатация и сопровождение удостоверяющего центра.

Суммарные затраты на построение УЦ (без учета пользовательской составляющей):

Критерием экономической эффективности построения собственного УЦ должно стать пороговое значение количества пользователей УЦ, при превышении которого покупка услуг у коммерческих УЦ становится невыгодной.

Для принятия решения о создании собственного УЦ  и учета влияния различных, свойственных каждому конкретному случаю, факторов, целесообразно построение зависимостей.

Пример:
Количество пользователей 1000:
Коммерческий УЦ:
Расходы на приобретение ЭП - 9 000 000 рублей ежегодно;
Расходы на приобретение пользовательского ПО - 3 550 000 рублей разово.
Собственный УЦ:
Расходы на строительство УЦ - 5 300 000 рублей разово;
Расходы на приобретение ключевых носителей и пользовательского ПО - 4 450 000 рублей разово;
Расходы на эксплуатацию УЦ - 2 760 000 рублей ежегодно.

Точка пересечения кривой расходов на собственный УЦ и кривой расходов на приобретение у сторонних организаций показывает наступление момента, когда построение собственного оправдывает себя.

Показанные выше примеры во многом идеализированные. После учета максимального количества факторов формируется истинная кривая расходов компании на строительство и содержание УЦ. По опыту, прогноз может быть действенным на срок не более 3 лет, и это при условии, что не произойдет существенных изменений в правилах использования ЭП.

В работе рассмотрены основные аспекты использования услуг сторонних удостоверяющих центров и создания собственного. Большое внимание уделено вопросу выбора технических и организационных решений при строительстве УЦ. В результате сформировано представление о том, какие вопросы должны поставить перед собой руководители, планирующие массовое использование средств ЭП и шифрования, ответы на которые позволят принять решение о необходимости создания УЦ, определения его структуры и задач, стратегии дальнейшего развития.

Практическое применение разработанной модели позволило автору, как непосредственному участнику процесса создания и эксплуатации Сети удостоверяющих центров Группы Газпром в качестве руководителя подразделения, эксплуатирующего большинство подчиненных УЦ Сети (около 30), сформировать стратегические направления по решению проблемы планирования их дальнейшего развития.