PKI en Canadá. Robert English

Transcripción

1 PKI en Canadá Robert English Uno de los principales retos en la construcción de un ambiente de confianza para las transacciones electrónicas, en particular cuando se trata de promover el comercio electrónico, es alcanzar el adecuado balance entre las necesidades del mercado y las posibilidades de los implementadores a cargo del proyecto. En el caso de Canadá, la creación de un entorno seguro y confiable para transacciones electrónicas contó con la participación del gobierno federal, las provincias y el sector privado. La creación de un marco de seguridad fue posible en parte por el liderazgo ejercido por las autoridades federales y el sector privado a lo largo de todo el proceso. El sector privado participó en todo momento con recomendaciones en los aspectos de infraestructura, privacidad, competitividad y economía. Desde el punto de vista federal, la estrategia implicó la construcción de un entorno legal, que fue liderado por el Departamento de Justicia. La privacidad de la información fue el tema que más opiniones y controversias desataron. La discusión del entorno legal tomó en consideración el marco político en el cual el tema se discutía. Mientras la discusión sobre la privacidad ocurría aparecieron nuevas iniciativas como la creación de portales para ofrecer servicios de gobierno en línea. La discusión permitió revisar la política de seguridad que el gobierno tenía vigente para la información que almacenaba. La preparación del entorno legal implicó desarrollar un esquema de clasificación y desclasificación de los documentos almacenados y precisar los niveles de seguridad requeridos para cada caso. Los lineamientos para el acceso a la información también fueron elaborados en este momento. Y es que no bastaba con tener la información clasificada de cierta manera, sino que era necesario conocer el procedimiento a seguir cuando la información fuese requerida por alguien. Un tema central fue la administración del riesgo de fallas en la seguridad con la que la información era almacenada. Para examinar el tema es necesario promover una discusión sobre los mecanismos más adecuados para administrar el riesgo y los niveles a los que se está dispuesto a llegar. En este sentido, la decisión final sobre los niveles tolerables debe ser tomada por los más altos niveles directivos de la organización pues una falla podría afectar gravemente a toda la organización. Con la caída del comunismo y la aparición del espionaje industrial como problema empresarial a partir de 1992, fue necesario crear esquemas de seguridad en el sector privado. Por ello es que Industrial Canadá entidad privada que agrupa a las empresas canadienses- promovió una política nacional en criptografía con el objetivo de proteger la información nacional. La generación de un entorno seguro es una iniciativa que debe ser liderada de preferencia por el sector privado pues al final son ellos quienes utilizaran el sistema por lo que éste debe responder a sus necesidades. 239

2 Por esta razón la gestación de esquema debe ser liderada por los gerentes y no por expertos en temas de seguridad. Una perspectiva similar debe ser asumida por los representantes del Gobierno. El liderazgo del proceso se ejerció a partir de varios comités conformados por personas del sector privado y del sector público. Las recomendaciones que surgieron de las discusiones al interior de los comités fueron recogidas por las autoridades federales, quienes también aportaron recursos al proceso para financiar el desarrollo de la criptografía y de la forma de evaluar el proceso. El proceso de evaluación también fue necesario revisarlo pues la evaluación de productos solía tomar alrededor de tres años, lo cual era un proceso muy largo tomando en cuenta que el avance de la tecnología es mucho mayor en ese periodo. Por esta razón, las metodologías fueron cambiadas de forma que el proceso sólo tomara un año. Un tema que generó muchas discusiones y debates fue la seguridad y la privacidad de las comunicaciones. Los temas que surgieron en el debate llevaron a tomar una serie de decisiones que fueron más allá de la fijación de mecanismos para entornos electrónicos seguros. Por ejemplo, fue restringida la venta de scanners digitales La experiencia canadiense muestra que lograr un balance adecuado entre la privacidad de los individuos, la seguridad de la información y los derechos humanos no es una tarea sencilla. En todo caso, es necesario que los documentos y los estatutos que finalmente se aprueban estén al alcance de todos los involucrados para enriquecer el contenido. El diseño de un marco legal adecuado para manejar la discusión sobre los temas de privacidad es crucial ya que el PKI está basado en estatutos abiertos. Es justamente por lo anterior que se decidió dar participación al sector privado desde el principio, pues si bien es cierto la iniciativa fue federal, el resultado tenía que ser útil para el sector público y privado. La experiencia canadiense enseña que es necesario contar con una estrategia para la creación de un marco de seguridad adecuado pues su diseño implica componentes de orden administrativo como técnico. Con este fin fue creada una serie de grupos de trabajo que contaban con la participación de altas autoridades del gobierno federal en diferentes niveles. La Autoridad de Administración de la Política o Policy Management Authority (PMA) fue creada al año de iniciado el proceso. Las diferentes áreas que debían ser atendidas estuvieron a cargo de comités y grupos de trabajo. Gran parte del trabajo se realizó a través de la contratación de terceros por falta de tiempo o de los conocimientos para realizar la tarea. El modelo seguido por el gobierno federal fue uno donde se establecieron cuatro niveles de seguridad. Este modelo sirvió de base para que cada institución realice su propio análisis para determinar la conveniencia de adoptar todos los niveles de seguridad o sólo algunos. La adopción de determinados niveles implicó también una inversión en infraestructura. La validación de los equipos y productos que serían utilizados para la instalación del PKI es un tema que debe tomarse en consideración. Una forma de ahorrar recursos y tiempo es depender de otras instituciones para la validación. Es mucho más eficiente adquirir equipos y productos ya evaluados y aprobados por otros. 240

3 En caso se tome la decisión de promover la aparición de una actividad de validación, los objetivos deberían ser impulsar el desarrollo y las capacidades locales, aprovechar la tecnología y el conocimiento existentes en el sector privado y público, los productos validados lo deben estar en la medida que puedan ínteroperar con los existentes y conformen un sistema. El uso de muchos productos no significa que todo el conjunto conforme un sistema de seguridad. Finalmente, debe ser evidente que existe de parte del gobierno un compromiso con el programa. En el caso de Canadá, a tres años de iniciado el proceso, finalmente cada departamento que participó de programa pudo crear su propia Autoridad Certificadora. Un elemento importante a tomar en cuenta es el área legal, la cual se convirtió en una suerte de pesadilla. En el caso canadiense, la recomendación de los abogados fue continuar con el programa pese a que no existe una Ley de Firmas Digitales. La creación de un entorno seguro motivó la aparición de otras iniciativas como gobierno en línea o conectando a los canadienses (Connecting Canadians), entre otras. La aparición de la PMA en el nivel federal permitió que empezaran a surgir iniciativas en el nivel local y en el sector privado. 241

4

5 Cinnabar Net works Inc. Session 10: e-security PKI in Canada Cinnabar Net works Inc. Sesión 10: PKI de Seguridad Electrónica en Canadá Robert English Managing Principal, IT Security & Privacy Robert English Director Administrativo, Seguridad & Privacidad IT Presentation Coverage Temas a cubrir en la presentación Historical & Current Perspective Federal Government Provincial Governments Private Sector Prespectiva historica y actual Gobierno Federal Gobiernos Provinciales Sector Privado The Early Context The Blueprint For Administrative Renewal Through The Effective Use of IT Leadership Council on Administrative Renewal Lead Agency Leadership and Commitment Information Highway Advisory Council Contexto temprano Mapa para la Renovación Administrativa mediante el Uso Efectivo de la IT Liderazgo Consejo para la Renovación Administrativa Liderazgo y Compromiso de la Agencia Consejo de Asesoría sobre la Autiopista de la Información 243

6 The The Government of Canada ITS Strategy Components Steerage/Working Groups CSE ITS Industrial INFOSEC Programs Public Key Infrastructure (PKI) Funding Hierarchical Structure PKI Steering Committee Policy Management Authority Estrategia ITS del Gobierno de Canadá Componentes Grupos Directivos/de trabajo Programas INFOSEC industriales de ITS CSE Infraestructura de Clave Pública (PKI) Financiamiento Estructura Jerárquica Comité Directivo PKI Autoridad de Administración de Políticas The Legal/Legislative Central Department of Justice Level Department level Privacy Policy Framework Aligned Initiatives:National Encryption Policy, Government On Line, Secure Channel Federated PMA Legal/Legislativa Nivel del Ministrerio Central de Justicia Nivel ministerial Privacidad Marco de Política Iniciativas alineadas: Política Nacional de Encripción, Gobierno en línea, Canal Seguro PMA Federada Early Context 1986/1993 New Government Security Policy Comprehensive:policy & operational standards National Security and Designated or Non-national security Classification Schema built on ATIP provisions More latitude for departments: built on notion of security risk management Peace dividend (1992): dissolution of communist bloc and rise of industrial espionage Contexto temprano 1986/1993 Nueva Política de Seguridad del Gobierno Comprehensiva:política y normas operativas Seguridad Nacional y Seguridad Designada o No Nacional Esquema de Clasificación construido sobre las disposiciones ATIP Más libertad para los ministerios: se construye sobre la noción del manejo del riesgo para la seguridad Dividendo de la Paz (1992): disolución del bloque comunista y aumento del espionaje industrial 244

7 Blueprint for Administrative Renewal Through The Use of IT Secure IT was a stumbling bloc CSE and TBS directed to resolve GOC Chief Information Officer the champion Program driven (business managers): not IT and not IT security Mapa para la Renovación Administrativa mediante el Uso de IT La IT segura fue un obstáculo CSE y TBS daban las directivas para resolver El Funcionario Jefe de Información del GOC era el defensor Guíado por los programas (administradores de empresas): no IT y no seguridad IT Leadership Council on Administrative Renewal : Business Focus (ADM level) Oversight: TB Information Management Subcommittee (Deputy Minister level Committee) TB (Policy) and CSE (IT -- Technical) tasked to lead the initiative Liderazgo Consejo para la Renovación Administrativa : Enfoque en los negocios (nivel ADM) Supervisión: Subcomité de Administración de la Información de la TB (Comité de nivel viceministerial) TB (Política) y CSE (IT -- Técnica) tuvieron la tarea de liderar la iniciativa Information Highway Advisory Council Transition to a knowledge-based society Maintaining Canadian content Access and social impacts Competitiveness and job creation Research & Development Consejo de Asesoría sobre la Autopista de la Información Transición a una sociedad basada en el conocimiento Manteniendo contentos a los Canadienses Impactos sociales y de acceso Creación de puestos de trabajo competitivos Investigación y Desarrollo 245

8 IHAC Recommendations Security & Privacy Government & industry accelerate availability of affordable encryption Limit distribution of digital scanners Make it illegal to intercept radio base telecommunications Provincial and territorial governments should work together on protection collection, use and disclosure of personal information Find appropriate balance between privacy, civil & human rights, law enforcement and national security on the Information Highway Encryption algorithms and standards should be open to public scrutiny Recomendaciones IHAC Seguridad y Privacidad El gobierno y la industria aceleran la disponibilidad de encripción permisible Limitar la distribución de escáners digitales Hacer ilegal el interceptar telecomunicaciones radiales Los gobiernos provinciales y territoriales deben trabajar juntos para la protección, recolección, uso y divulgación de información personal Encontrar un equilibrio adecuado entre privacidad, derechos civiles y humanos, aplicación de la ley y seguridad nacional en la Autopista de la Información Los algoritmos y estándares de encripción deben estar abiertos para el escrutinio público IHAC Recommendations Security & Privacy Upgrade legal framework to support digital signatures: includes Canada Evidence Act, Canada Interpretation Act and put in place electronic signatures legislation Canada should adopt open standards and work with industry and international partners for widest possible acceptance Public and privates sector must jointly advance a security infrastructure Recomendaciones IHAC Seguridad y Privacidad Modernizar el marco legal para soportar las firmas digitales : incluye la Ley de Evidencia de Canadá, la Ley de Interpretación de Canadá e implementar la legislación de firmas electrónicas Canadá debe adoptar normas abiertas y trabajar con la industria y socios internacionales para una aceptación lo más amplia posible Los sectores públicos y privados deben promover conjuntamente una infraestructura de seguridad IHAC Recommendations Security and Privacy A uniform PKI must be developed with federal leadership Justice and other departments must review their departmental statutes Federal government must work towards establishing an independent Canadian certification authority Federal government and private sector must work towards broad based international cross-certification with partners Privacy for the private sector must be legislated (CSA Code the basis) Recomendaciones IHAC Seguridad y Privacidad Debe desarrollarse una PKI uniforme con liderazgo federal Justicia y otros ministerios deben revisar sus reglamentaciones ministeriales El gobierno federal debe trabajar con miras a establecer una autoridad de certificación Canadiense independiente El gobierno federal y el sector privado deben trabajar con miras a lograr una certificación cruzada internacional de base amplia con sus socios Se debe legislar la Privacidad para el sector privado (El Código CSA es la base) 246

9 Government of Canada IT Security Strategy Components (administrative) Legal Accountability Framework Components (technical) PKI Electronic Authorization and Authentication (EAA) Firewalls and Gateways Advanced Card Technologies Confidentiality and Privacy Estrategia de Seguridad IT del Gobierno Federal Componentes (administrativos) Legales Marco de Responsabilidad Componentes (técnicos) PKI Autorización y Autenticación Electrónica (EAA) Firewalls y Gateways Tecnologías Avanzadas de Tarjetas Confidencialidad y Privacidad Steerage OF IT Security Strategy Cabinet Committee on Security and Intelligence (Prime Minister and Selected Ministers/PCO) Treasury Board Information Management Sub- Committee (DMs Business/Program Focus/TB) Council on Administrative Renewal (ADMs Business Focus Re-inventing Government) ITS Strategy Steering Committee Director General: Program, IT and IT Security staffed) Dirección de una Estrategia de Seguridad IT Comité del Gabinete sobre Seguridad e Inteligencia (Primer Ministro y Ministros Seleccionados/PCO) Subcomité de Administración de la Información de la Junta del Tesoro (DM Negocios/Enfoque en programas/tb) Consejo de Renovación Administrativa (ADM Enfoque en negocios Re-inventando el gobierno) Comité de Dirección de la Estartegia ITS Director General: con personal de Programas, IT y Seguridad IT ) PKI Related Working Groups PKI Concept of Operations ITS Strategy Steering Committee Reports PKI, EAA, ACT, Confidentiality & Privacy, Firewalls and Gateways and Accountability and Legal PKI Policy Framework Working Group PKI Implementation Issues, PKI Certificate Policy and Certificate Practice Statement Framework Gobierno PKI Autorida de Administración de Políticas Presidida por el subadministrador del Congreso de Organizaciones Industriales de la Junta del Tesoro y reporta al Presidente de la Junta del Tesoro (TB) Comité Directivo PKI (Presidido por CSE, representantes de los ministerios que lo financian) Oficina CIO de la TB: Comunicaciones, legal, proyectos de exploración, marcos de políticas, temas y normas de directorio, certificación cruzada, etc. Normas ITS de la TB 247

10 PKI Related Working Groups PKI Concept of Operations ITS Strategy Steering Committee Reports PKI, EAA, ACT, Confidentiality & Privacy, Firewalls and Gateways and Accountability and Legal PKI Policy Framework Working Group PKI Implementation Issues, PKI Certificate Policy and Certificate Practice Statement Framework Grupos de Trabajo relacionado a la PKI Concepto de operaciones PKI Informes del Comité de Dirección Estratégica ITS PKI, EAA, ACT, Confidencialidad y Privacidad, Firewalls y Gateways y Responsabilidades y Legal Grupo de Trabajo de Marco de Política PKI Problemas de implementación PKI, Políticas de certificación PKI y Marco de Relación de Prácticas de Certificación PKI Related Working Groups PKI Policy Assurance Model Rudimentary Basic Medium High PKI Policies for Encryption/confidentiality and Digital Signatures for each policy level Subscriber Agreements policy Cross-certification methodology policy Grupos de Trabajo relacionado a la PKI Modelo de Seguridad de Política PKI Rudimentario Básico Medio Alto Políticas PKI para encripción/confidencialidad y Firmas Digitales para cada nivel de política Política de Acuerdos con los Abonados Política de metodología de certificación cruzada CSE IT Security Industrial Programs Classified Cryptographic Evaluation Program Canadian Industrial TEMPEST Program Trusted Product Endorsement Program Cryptographic Endorsement and Assessment Program FIPS Validation Program (CSE/NIST) Programas Industriales de Seguridad IT CSE Programa de Evaluación Criptográfica Clasificada Programa Industrial Canadiense TEMPEST Programa de Apoyo a Productos Confiables Programa de Evaluación y Aprobación Criptográfica Programa de Validación FIPS (CSE/NIST) 248

11 CSE ITS Industrial Programs Objectives Foster Canadian indigenous capability Technology transfer from US, UK etc to Canada Technology and know how transfer to industry Import of ITS products to Canada for Government use Facilitation of cross-border joint activities Evaluation and approval of Canadian developed products for GOC use Programas Industriales ITS CSE Objetivos Promover la capacidad nativa canadiense Transferencia de tecnología de EU, GB, etc. a Canadá Transferencia de Tecnología y know how a la industria Importación de productos ITS a Canadá para uso del gobierno Facilitación de las actividades conjuntas entre fronteras Evaluación y aprobación de productos desarrollados en Canadá para uso del gobierno CSE ITS Industrial Programs Product/System Entrust Initial seed funding Product validation and evaluation Product rating maintenance PKI TRA/Security Target and System Evaluation System Certification and Accreditation.on-going validation and evaluation activity Programas Industriales ITS CSE Producto/Sistema Entrust Financiamieto inicial Validación y evaluación de producto Mantenimiento de la clasificación del producto Objetivo de Seguridad/PKI TRA y Sistema de Evaluación Certificación y Acreditación de Sistemas.actividad de validación y evaluación continuada PKI Initiative Funding Funding partners ($6M) National Defence Foreign Affairs and International Trade Communications Security Establishment Revenue Canada Canadian Immigration Commission Royal Canadian Mounted Police TB Infrastructure Fund ($5M) To be cost recovered form future members Financiamiento de la Iniciativa PKI Socios de financiamiento ($6M) Defensa Nacional Asuntos Exteriores y Comercio Exterior Oficina de Seguridad en las Comunicaciones Recaudaciones Canadá Comisión de Imigración de Canadá Real Policia Montada Canadiense Fondo de la TB para Infraestructura ($5M) El costo será recuperado con los futuros miembros 249

12 PKI Hierarchical Structure Root Certification Authority (CA)/Canadian Central Facility Management Nodes/Subordinate CAs Registration Authorities Local Registration Authorities Users/clients/.parties Estructura jerárquica PKI Autoridad de Certificación (CA)Raíz/Instalación Central Canadiense Nodos Administrativos/CA Subordinadas Autoridades de Registro Autoridades de Registro Locales Usuarios/clientes/.partes Legal Legislative Legal issues paper (32 Justice Lawyers) the body of work is still being used Canada Evidence Act & Interpretation Act Protection of Privacy & Electronics Document Act Departmental review of Statutes Legal input to policy framework Legal Legislativa Documentos de temas legales (32 Abogados de Justicia) todavía se usa el grueso de las leyes existentes Ley de Evidencia & Ley de Interpretación de Canadá Ley de Protección de la Privacidad y Documentos Electrónicos Revisión ministerial de los estatutos Aspectos legales introducidos al marco de política Privacy To be covered in the privacy presentation Policy Framework To be covered in the ES Framework Privacidad Tema a ser tratado en la presentación de privacidad Marco de Política Tema cubierto en la presentación de Marco ES 250

13 Aligned/Related Initiatives Connecting Canadians (Industry Canada) --SchoolNet Government of Canada IM/IT Infrastructure Initiative (Treasury Board) Government On Line (Treasury Board) Secure Channel (Treasury Board and Public Works & Government Services) National Cryptographic/Encryption Policy (Industry Canada and Communications Security Establishment) Relaxations to Export Control Act Wassenar Accord (Foreign Affairs & International Trade) Iniciativas Alineadas/Relacionadas Conectar a los canadienses (Industry Canada) --SchoolNet Iniciativa de Infraestructura IM/IT del Gobierno de Canadá (Junta del Tesoro) Gobierno en línea (Junta del Tesoro) Canal Seguro (Junta del Tesoro y Obras Públicas y Servicios Gubernamentales) Poolítica Nacional Criptográfica/de Encripción (Industry Canada y la Oficina de Seguridad en las Telecomunicaciones) Relajación de la Ley de Control de las Exportaciones Acuerdo Wassenar (Relaciones Exteriores & Comercio Exterior) Federated PMA Federal/Provincial Public Sector CIOs Forum discussion item Resolution of a Federal/Provincial body, supplemented by industry suppliers, that would oversee Canadian cross-certifications. As interconnect becomes more prevalent the maintenance of trust becomes an issue that no one jurisdiction can claim control over Cross-certifications would eventually also include other national governments and their industries PMA Federada Tema de discusión del Foro del Congreso de Organizaciones Industriales del Sector Público Provincial/Federal Resolución de un organismo Federal/Provincial, al que se suman proveedores de la industria que supervisarán las certificaciones cruzadas canadienses. Conforme la interconexión se hace más prevalente para mantener la confianza, se hace un asunto sobre el cual ninguna jurisdicción puede reclamar control. Las certificaciones cruzadas eventualmente también incluirán otros gobiernos nacionales y sus industrias Provincial Perspective Alberta Government: Innovation & Science Government Wide Statements of Sensitivity Classification Schema Business Security Needs Assessment Security Target Gap Analysis Gobierno de Alberta: Innovación y Ciencia Documento de Sensibilidad para todo el gobierno Esquema de Clasificación Evaluación de Necesidades de Seguridad en los Negocios Meta de seguridad Análisis de discontinuidad 251

14 Provincial Perspective Security Architecture PKI Architecture PKI Implementation Options Business Case Government Decision -- Way Ahead Arquitectura de Seguridad Arquitectura PKI Opciones de Implementación PKI Caso de Negocios Decisión del Gobierno -- Camino por recorrer Provincial Perspective Alberta Government Statements of Sensitivity (15 Ministries) Range of sensitivities of information Impact of a loss of confidentiality, integrity or availability Grouping of Ministry statements of sensitivity Exceptions: Resource and Health Gobierno de Alberta Documento de Situación de Sensibilidad (15 Ministros) Rango de sensibilidades de la información Impacto de una pérdida de confidencialidad, integridad o disponibilidad Situación de Sensibilidad del Grupo de Ministros Excepciones: Recursos y Salud Provincial Perspective Government of Alberta Classification Schema Public (Web site but needs integrity) Internal Sensitive ( up to $5000, embarrassment) Private ( personally identifiable information violation of privacy act) Confidential (Multi-millions of dollars) Gobierno de Alberta Esquema de Clasificación Público (Web site pero necesita integridad) Sensible internamente ( hasta $5000, vergüenza) Privado ( información identificable personalmente violación de la ley de privacidad) Confidencial (Muchos millones de dólares) 252

15 Provincial Perspective Government of Alberta Security Target Legal and privacy legislative framework that is consistent ES Framework comprising: IM/IT Governance Enterprise wide IT Security policy and standards Security risk management process System security certification and accreditation Education & Awareness: profiles (3 generic levels) Gobierno de Alberta Meta de Seguridad Marco legal y legislativo de privacidad que sea consistente Marco ES que comprenda: Gobernancia IM/IT Política y normas de seguridad IT para toda la empresa Proceso de manejo de los riesgos para la seguridad Certificación y acreditación de seguridad del sistema Educación y Conocimiento: perfiles (3 niveles genéricos) Provincial Perspective Government of Alberta Security Target Policy Assurance Model covering all levels of the classification schema Solutions: PKI, Secure Remote Access, Intranet perimeter security (firewalls), secure virtual private network (NPN), application access control and privilege management, PKI enabled applications, evaluated products (trusted/rated, endorsed, validated/fips), system security certification etc. Gobierno de Alberta Meta de Seguridad Modelo de Seguridad de Política que cubra todos los niveles del esquema de clasificación Soluciones: PKI, Acceso Remoto Seguro, seguridad para el perimetro de Intranet (firewalls), red privadas virtuales seguras (NPN), control de acceso a aplicaciones y administración de privilegios, aplicaciones habilitadas para PKI, productos evaluados (confiables/clasificados, aprobados, validados/fips), certificación de seguridad del sistema, etc. Provincial Perspective Government of Ontario Privacy Legislation --- ongoing dialogue Digital signature legislation (in draft) Enterprise IM/IT Architecture ES Framework Security Directives IM/IT Governance Structure Security Risk Management Framework PKI Policy Assurance Model Gobierno de Ontario Legislación de Privacidad --- dialogo continuo Legislación de firma digital (en proyecto) Arquitectura IM/IT de Empresa Marco ES Directivas de Seguridad Estructura de Gobernancia IM/IT Marco de manejo de los riesgos para la seguridad Modelo de Seguridad de Política PKI 253

16 Provincial Perspective Government of Ontario (Medium Assurance) PKI Conceptual Model (two types of certificates) Certification Authority (Encryption & digital signatures) Attribute Authority (privilege management) PKI Governance/PMA PKI Certificate Policies PKI Certificate Practices PKI Concept of Operations Privacy Impact Assessment Gobierno de Ontario (Nivel Medio de Seguridad) Modelo conceptual PKI (dos tipos de certificados) Autoridad de Certificación (Encripción y firmas digitales) Autroridad de Atributos (administración de privilegios) Gobernancia PKI/PMA Políticas de Certificación PKI Prácticas de Certificación PKI Concepto de Operaciones PKI Evaluación del Impacto a la Privacidad Provincial Perspective Other Provinces Nova Scotia: Privacy legislation, governance structure, charters, working groups (legal, technology, policy, privacy), communications strategy and plan, pilots) Quebec: Privacy legislation, PKI Certificate Policies and practices etc. Otras Provincias Nueva Escocia: Legislación de privacidad, estructura de gobernancia, estatutos, grupos de trabajo (legal, tecnología, políticas, privacidad), estrategia y plan de comunicaciones, pilotos) Quebec: Legislación de privacidad, políticas y prácticas de certificación PKI Private Sector Perspective Perspectiva del Sector Privado NB TEL/Global (Aliant Telecom Inc) Basic to Medium Assurance Full ES Framework (Enterprise IT security policy and standards, governance, security risk management, VPN security policy and standards, PKI Certification Policies and Certificate Practice Statements) Legal Arrangements/Terms and Conditions Commitments/obligations Mandatory education and awareness Audit NB TEL/Global (Aliant Telecom Inc) Nivel de Seguridad Básico a Medio Marco ES completo (Política y normas de seguridad IT para la empresa, gobernancia, manejo de los riesgos para la seguridad, política y normas de seguridad VPN, Políticas de Certificación PKI y Relaciones de Prácticas de Certificación) Acuerdos legales/términos y Condiciones Compromisos/obligaciones Educación y conocimiento obligatorios Auditoría 254

17 Private Sector Perspective Perspectiva del Sector Privado BCE Emergis (High Assurance) Privacy and code of ethics Enterprise wide security policy and standards Security risk management PKI Certificate Policies and Certificate Practice Statements Audit: CP & CPS against Best Practice, Operational audits of primary and Disaster Recovery site BCE Emergis (Nivel de Seguridad Alto ) Privacidad y código de ética Políticas y normas de seguridad para toda la empresa Manejo de los riesgos para la seguridad Políticas de Certificación PKI y Relaciones de Prácticas de Certificación Auditoría: CP & CPS comparadas a las mejores prácticas, auditorías operacionales en sitios primarios y de recuperación de desastres Private Sector Perspective Perspectiva del Sector Privado Scotia Bank (High Assurance) Privacy and code of ethics Enterprise wide security policy and standards Security risk management PKI Certificate Policies and Certificate Practice Statements Audit: CP & CPS against Best Practice, Outsourced some of their CA service offering Scotia Bank (Nivel de Seguridad Alto) Privacidad y código de ética Políticas y normas de seguridad para toda la empresa Manejo de los riesgos para la privacidad Políticas de certificación PKI y Relación de Prácticas de Certificación Auditoría: CP & CPS comparadas a las Mejores Prácticas Tercerizaron parte del servicio de CA que ofrecían Private Sector Perspective Perspectiva del Sector Privado Teranet (Basic to Medium Assurance) Privacy and code of ethics Enterprise wide security policy and standards Security risk management PKI Certificate Policies and Certificate Practice Statements Cross-certifying with Government of Ontario PKI CA Audit: ICSA Trust Seal.Upper Canada Law Society Teranet (Aseguramiento Básico a Medio) Privacidad y código de ética Política y normas de seguridad para toda la empresa Manejo de los riesgos para la seguridad Políticas de Certificación PKI y Relación de Prácticas de Certificación Certificación cruzada con la CA PKI del Gobierno de Ontario Auditoría: Sello de Confianza ICSA.Sociedad Legal del Alto Canadá 255