DIA 1, Mesa 4: DISPOSITIVOS SEGUROS DE CREACIÓN DE FIRMA

Tamaño: px

Comenzar la demostración a partir de la página:

Download "DIA 1, Mesa 4: DISPOSITIVOS SEGUROS DE CREACIÓN DE FIRMA"

Julio Río Miguélez
hace 8 años
Vistas:

1 DIA 1, Mesa 4: DISPOSITIVOS SEGUROS DE CREACIÓN DE FIRMA María José Caro Responsable de Métodos de CESTI-INTA º ENCUENTRO NACIONAL DE LA INDUSTRIA DE SEGURIDAD

2 Índice 1. DISPOSITIVOS SEGUROS DE CREACIÓN DE FIRMA / DIRECTIVA EUROPEA / LEY DE FIRMA ELECTRÓNICA 2. CWA > SSCD-PP 3. EVALUACIÓN / CRITERIOS COMUNES 4. PRUEBAS DE PENETRACIÓN 2

3 Directiva Europea de Firma Directiva 1999/93/CE artículo 3.4 La conformidad de los dispositivos seguros de creación de firma con los requisitos fijados en el anexo III será determinada por los organismos públicos o privados pertinentes designados por los Estados miembros La conformidad con los requisitos del anexo III establecida por dichos organismos será reconocida por todos los estados miembros 3

anexo III será determinada por los organismos públicos o privados pertinentes designados por los

4 Ley de Firma Electrónica Ley 59/2003, art. 24, Requisitos de los dispositivos seguros de creación de firma Un dispositivo seguro de creación de firma es un dispositivo de creación de firma que ofrece, al menos, las siguientes garantías: a. Que los datos utilizados para la generación de firma pueden producirse sólo una vez y asegura razonablemente su secreto. b. Que existe una seguridad razonable de que los datos utilizados para la generación de firma no pueden ser derivados de los de verificación de firma o de la propia firma y de que la firma está protegida contra la falsificación con la tecnología existente en cada momento. c. Que los datos de creación de firma pueden ser protegidos de forma fiable por el firmante contra su utilización por terceros. d. Que el dispositivo utilizado no altera los datos o el documento que deba firmarse ni impide que éste se muestre al firmante antes del proceso de firma. 4

Que los datos utilizados para la generación de firma pueden producirse sólo una vez y asegura razonablemente su secreto. b.

5 Iniciativa EESSI European Electronic Signature Standardization Initiative EESSI 5

6 Directiva Europea de Firma Decisión de la Comisión 14-julio Anexo B Lista de normas que gozan de reconocimiento general para productos de firma electrónica considerados conformes por los Estados miembros con los requisitos del anexo III de la Directiva 1999/93/CE. - CWA (marzo 2002): secure signature-creation devices. 6

electrónica considerados conformes por los Estados miembros con los requisitos del

7 CWA CWA 14169: Tipos de SSCD 7

8 Perfil de Protección Perfil de Protección Entorno / Definición del Problema de Seguridad Objetivos Requisitos 8

9 Perfil de Protección II Perfil de Protección Políticas de Seguridad Amenazas Suposiciones Objetivos de Seguridad TOE SFRs TOE SARs Requisitos del Entorno 9

10 SSCD: Una visión general 10

11 SFRs significativos 11

12 SARs Requisitos de Garantía EAL4 aumentado con: - AVA_MSU.3 Vulnerability Assessment Misuse Analysis & testing for insecure states - AVA_VLA.4 Vulnerability Assessment Vulnerability Analysis Highly Resistant 12

13 Objeto a Evaluar - Criterios Comunes 13

14 Actividades de Aseguramiento Aseguramiento de que la DS es correcta, completa, consistente Aseguramiento de que la DS se ha realizado de forma correcta y completa Aseguramiento de que los procesos de desarrollo están organizados OK Aseguramiento de que el usuario despliega el producto correctamente Aseguramiento de que el producto hace exactamente lo que tiene que hacer 14

los procesos de desarrollo están organizados OK Aseguramiento de que el usuario despliega el

15 Pruebas de Penetración Qué puede ir mal? Las Funciones de Seguridad pueden ser: inadecuadas para contrarrestar las amenazas realizadas incorrectamente evitadas alteradas atacadas directamente usadas incorrectamente 15

16 Esquema Roles del Esquema Organismo de Certificación Certificado Informe de Validación Lista de Laboratorios Lista de Productos Métodos certifica() valida() acredita() supervisa() publica() 1 1 < solicita 1 1..* Solicitante Declaración de Seguridad Producto Documentación de desarrollo produceds() desarrolla() 1..* contrata < suministra 1..* 1..* Fabricante Producto Componente desarrolla() acredita > 1..* 1..* Laboratorio Informe de Evaluación Observación Informe de Progreso evalua() informa() < acredita 1..* 1 Entidad de Acreditación Acreditación Lista de Laboratorios acredita() publica() <<usa>> reconoce > 1 16

.* Solicitante Declaración de Seguridad Producto Documentación de desarrollo produceds() desarrolla() 1..* contrata < suministra 1..* 1.

Documentos relacionados

Cit Criterios i comunes para Monitorear y Evolucionar la Seguridad Informática en Colombia

COMMON CRITERIA Cit Criterios i comunes para Monitorear y Evolucionar la Seguridad Informática en Colombia José Alejandro Chamorro López Password S.A Seguridad Informática jose.chamorro@password.com.co