¿Cómo debo documentar mi infraestructura de clave pública?

5

Me estoy preparando para documentar una PKI de 3 niveles (con múltiples CA de políticas de segundo nivel) y quiero crear un documento que sea útil, técnico y no demasiado abrumador para el experto que no es PKI.

Supongo que la audiencia podría dividirse en los siguientes roles

  • Personas que solicitan certificados
  • Administradores que aprueban certificados
  • Administradores técnicos de PKI que me reemplazarán en el futuro

Podría haber más roles, pero no quiero crear ningún trabajo innecesario para mí. Nadie está pidiendo esta información per se, pero sé que este conjunto de conocimientos que he reunido debe almacenarse en algún lugar.

Pregunta

  • ¿Para qué audiencias debe generar documentación un administrador de PKI?
  • ¿Qué hechos técnicos deberían estar en la documentación respectiva?
  • ¿Qué debería estar fuera del alcance (demasiado detallado o demasiado simple) en cada documento?

Este tipo de pregunta proviene de 1998 pensando como un MCSE donde Microsoft tenía documentación de plantillas y listas de verificación para varios aspectos de Windows. Si otros proveedores (Entrust, etc.) tienen una muestra de documentación relevante que sería útil para estructurar mi pensamiento.

    
pregunta random65537 18.02.2015 - 17:35
fuente

2 respuestas

4

Al menos necesitas:

  • documentos para describir los procesos involucrados en los ciclos de vida de los certificados:

    * solicitud de un nuevo certificado

    * revocación del certificado

    * renovación de certificado

para administradores y usuarios (probablemente dos documentos diferentes para cada proceso)

  • un documento de arquitectura general, que describe los niveles de CA y su propósito

En mi opinión, eso es lo mínimo. Dependiendo de quién administre los certificados y de cuál sea su nivel de experiencia, varios documentos tutoriales con capturas de pantalla podrían ser útiles.

    
respondido por el ero 18.02.2015 - 17:57
fuente
2

El administrador de PKI no es realmente un rol bien definido, por lo que el alcance de su documentación es vago aquí.

Como Director de Seguridad de la Información, me aseguraría de que existan los siguientes documentos:

  • Doc. de administración del sistema, para una audiencia técnica: sysadmin que necesita configurar servidores y clientes (configuración, arquitectura, ...). Algún punto interesante también solucionaría lo que puede y no puede ser cambiado por el administrador del sistema sin tener que plantear problemas de seguridad / legales.
  • Documentación del usuario: simple documento "siga la guía" sobre qué hacer si desea hacer esto (guía de inicio, uso diario, tareas específicas como renovación o revocación)
  • Documentación legal / de conformidad: una descripción clara de las medidas diseñadas para garantizar el respeto de las obligaciones o las medidas adoptadas para reducir el riesgo del análisis de riesgos. Idea corta: documento para auditores.

En su caso específico, también podría haber un documento específico adaptado para el líder de la Autoridad de Certificación (cómo verificar la CSR y autenticar a la persona que solicita el certificado, cómo firmar una CSR, etc.) así como un documento de Política de la Autoridad de Certificación que indique lo que garantiza como CA

    
respondido por el M'vy 26.02.2015 - 13:34
fuente