Przy budowie i wykorzystaniu infrastruktury klucza publicznego trzeba zadbać o stworzenie i audyt planów ciągłości jej funkcjonowania.

Wykorzystanie infrastruktury klucza publicznego dotyczy systemów, w których dużą wagę przykłada się nie tylko do klasycznych korzyści wynikających z zastosowania technik szyfrowania asymetrycznego, lecz również do takich czynników, jak dostępność systemu, jego niezawodność i stabilność funkcjonowania.

Zarówno w zastosowaniach wewnątrzkorporacyjnych, jak i publicznych centrach certyfikacji (ze względu na wymagania biznesowe i prawne) coraz częściej odchodzi się od tworzenia i utrzymywania klasycznych planów awaryjnych w stronę planowania ciągłości funkcjonowania.

Zagadnienia bezpieczeństwa fizycznego i teleinformatycznego, osobowego i organizacyjnego muszą być adresowane łącznie, w przeciwnym bowiem razie wybiórczo stosowane zabezpieczenia i sprzeczne procedury mogą być źródłem dodatkowych zagrożeń. Polityka bezpieczeństwa zazwyczaj dotyczy typowych, bieżących warunków pracy macierzystej organizacji (instytucji bądź przedsiębiorstwa) i odnosi się przede wszystkim do kontrolowania, monitorowania i zapobiegania incydentom zakłócającym jej normalne funkcjonowanie. W istocie chodzi o zjawiska o różnym natężeniu i istotności, rzadko jednak wybiegające poza poziom poważnej awarii.

Od zagrożenia do kataklizmu

Wystąpienie awarii oznacza z reguły przerwę w funkcjonowaniu zasobów dotkniętych awarią i mniejsze lub większe zakłócenia funkcjonowania wykorzystujących je komórek organizacyjnych, a w ostatecznym rozrachunku przerwanie lub spowolnienie procesów biznesowych, które od nich zależą. Tradycyjne podejście do sytuacji awaryjnych polega na posiadaniu i stosowaniu w takich przypadkach odpowiednio przygotowanych planów i procedur awaryjnych, których głównym celem jest jak najszybsze i najsprawniejsze przywrócenie funkcjonalności zasobów, które ucierpiały wskutek awarii.

Niezależnie od tego, jak się te plany (i procedury) nazywa, w istocie skupiają się one na odtworzeniu uszkodzonych zasobów poprzez ich wymianę lub naprawę w sytuacji, gdy awaria już nastąpiła i spowodowała niepożądane skutki: działalność musi być odtwarzana, bo uległa przerwaniu (symptomatyczne, że w anglojęzycznej nazwie słowo disaster, czyli katastrofa, sugeruje znaczną skalę awarii z domniemaniem, że nie można było się przed nią uchronić).

Tymczasem narażonej na różne zagrożenia i dotykanej awariami organizacji zależy nie tyle na sprawnej ich obsłudze, ile na tym, by te niepożądane zdarzenia nie przekładały się na straty biznesowe będące efektem spowolnienia lub zatrzymania kluczowych procesów. Jest to istotna zmiana punktu widzenia zauważalna szczególnie w obszarze systemów teleinformatycznych, w którym już wcześniej odnotowano znaczące przejście od wczesnego etapu tworzenia kopii zapasowych do współczesnych planów awaryjnych.

Aktywa informatyczne nie są już podmiotem, wokół którego koncentrują się działania awaryjne, ale jedynie środkiem, czyli przedmiotem realizacji nadrzędnych celów biznesowych, którym służy planowanie ciągłości działania rozumiane jako przeciwdziałanie przerwom w działalności biznesowej oraz ochrona krytycznych procesów biznesowych przed rozległymi awariami lub katastrofami.

W tym miejscu trzeba jednak zauważyć, że to zasadniczo słuszne i wystarczająco ogólne w odniesieniu do typowych systemów teleinformatycznych sformułowanie niedostatecznie uwypukla specyficzne aspekty ewentualnych nieciągłości działania wynikające np. ze skończonego cyklu "życia" obiektów wchodzących w skład systemów infrastruktury klucza publicznego. Dlatego też planowanie ciągłości działania urzędów certyfikacji znajduje specjalne miejsce w standardach, zaleceniach i wytycznych poświęconych właśnie systemom infrastruktury klucza publicznego, przy czym bez wątpienia istnienie i utrzymywanie planu ciągłości działania jest jednym z istotnych punktów realizacji rozsądnie skonstruowanej polityki bezpieczeństwa takiego systemu, a samo planowanie ciągłości działania to nie jednorazowa akcja, ale proces podlegający zarządzaniu na ściśle sprecyzowanych zasadach oraz okresowemu audytowi.

Tytułem uzupełnienia należy jeszcze dodać, że tak jak w przypadku planów awaryjnych czy ratunkowych, tak też w planach ciągłości działania występują pewne różnice w stosowaniu nazw i skrótów oraz w ich lokalnym interpretowaniu.

Zarządzanie, cele i procedury

Zarządzanie ciągłością biznesową organów certyfikacji zostało zestandaryzowane i doczekało się na świecie wielu dobrych opracowań (np. amerykańskich, adresowanych do instytucji finansowych, które jako pierwsze doceniły korzyści wynikające z zastosowania szyfrowania z kluczem publicznym do zwiększenia bezpieczeństwa swoich aktywów). Można długo dyskutować o tym, które z tych standardów i opracowań mają rolę przewodnią, a które są ich pochodnymi, w sumie jednak składają się na spójny i wyczerpujący schemat pozwalający na systematyczne podejście zarówno do tworzenia, jak i audytu planów ciągłości działania systemów infrastruktury klucza publicznego.

Według bardzo popularnego amerykańskiego standardu ANS X9.79-1:2001 (Public Key Infrastructure - Practice and Policy Framework) podstawowymi celami zarządzania ciągłością biznesową jest (1) odtworzenie systemu po katastrofie, (2) kontynuacja działania w przypadku kompromitacji prywatnego klucza organu certyfikacji oraz (3) osiągnięcie stanu, w którym cesja (odstąpienie praw i obowiązków świadczenia) usług organu certyfikacji w minimalnym stopniu zakłóci funkcjonowanie subskrybentów i stron ufających.

Szczególne znaczenie ma tutaj wystąpienie kompromitacji kluczy organu certyfikacji. Plany ciągłości biznesowej organu certyfikacji odnoszą się do kompromitacji lub podejrzenia kompromitacji prywatnego klucza organu certyfikacji jako do katastrofy. Procedury usuwania skutków takiej katastrofy zawierają unieważnienie i ponowne wydanie wszystkich certyfikatów podpisanych prywatnym kluczem organu certyfikacji.

Wskazówki, dotyczące ciągłości działania systemów infrastruktury klucza publicznego, są rozwiniętą wersją ogólnie znanej normy PN-ISO/IEC 17799 (bądź też BS 7799), warto je więc uzupełnić pochodzącymi z tego samego źródła ogólnymi zaleceniami odnoszącymi się do sposobu widzenia celu tych działań.