REVISIÓN DE LA OPERACIÓN DE LA INFRAESTRUCTURA TECNOLÓGICA

Transcripción

1 REVISIÓN DE LA OPERACIÓN DE LA INFRAESTRUCTURA TECNOLÓGICA Fecha de Fecha de Fecha de Versión publicación en elaboración aprobación Internet de julio del de agosto del de agosto del

2 REVISIÓN DE LA OPERACIÓN DE LA INFRAESTRUCTURA TECNOLÓGICA El personal autorizado por la Subcomisión podrá llevar a cabo una primera revisión para evaluar la integración de una AC a la ITFEA, así como las que se requieran en el futuro. Dichas revisiones se efectuarán de acuerdo a los temas indicados en el presente documento, y tomando como base la información presentada en la revisión documental de la AC Solicitante, de acuerdo con el anexo (F3) Revisión Documental de la Infraestructura Tecnológica, que se encuentra disponible en la dirección electrónica Las revisiones podrán extenderse según el criterio del personal asignado por la Subcomisión. I. Personal de informática 1. Los cargos, funciones y tareas especificadas; 2. Las personas requeridas por tarea, y 3. Los controles y registros que operan. II. Análisis de riesgos y evaluación de vulnerabilidades 1. Los riesgos de los activos críticos determinados en el análisis; 2. El tratamiento dado a los riesgos de los activos críticos; 3. La valoración de los riesgos, y 4. La evaluación constante para adecuar la valoración de riesgos a condiciones cambiantes del entorno. III. La AC 1. El procedimiento de generación de las claves privada, pública y Requerimiento de Certificación; 2. El proceso de verificación de la unicidad de las claves públicas. 3. La protección de la información confidencial; 4. La consulta remota al RCD (en cuanto a actualización, disponibilidad e integridad) a las Listas de Certificados Revocados (CRL) y OCSP; 5. El área, los mecanismos y los dispositivos para que: el propio usuario genere su Requerimiento de Certificación; cree en forma privada, segura y bajo su total control sus claves privada y pública, y realice la verificación de las claves; 6. La fiabilidad de los mecanismos y de los dispositivos, y 7. La certificación de identidad del Titular. 2

3 1. Las solicitudes de emisión de Certificados Digitales; 2. Los registros de control de acceso a: la AC, los repositorios públicos de Certificados Digitales y las CRL; 3. Los registros de los Certificados Digitales (constancia de la fecha y hora de su emisión, período de vigencia y, en su caso, fecha y hora de revocación) del RCD; 4. Las solicitudes de revocación de Certificados Digitales bajo causas justificadas y los registros que hayan Informado a los titulares de las revocaciones de sus Certificados Digitales en las fechas en que éstas se hayan llevado a cabo; 5. La publicación en su página de Internet sobre las disposiciones que emita la Subcomisión; 6. Los respaldos de la AC; 7. Las auditorias a la AC: quienes las realizan y las calificaciones de los auditores; la frecuencia; los temas que se revisan; las acciones que se han llevado a cabo en caso de observaciones y los resultados; 8. Las copias de la documentación proporcionada por el Titular para su identificación; 9. Los Comprobantes de Emisión de Certificado Digital de Firma Electrónica Avanzada; 10.Los Comprobantes de Revocación de Certificado Digital de Firma Electrónica Avanzada, y 11. Las bases de datos utilizadas. IV. Certificados Digitales 1. La estructura del Certificado Digital sea de conformidad con los Lineamientos y los Estándares que correspondan; 2. Los campos básicos sean y contengan la información que se establece en los Lineamientos; 3. El uso de los campos extendidos esté de conformidad con los Estándares que aplican; 4. La referencia dentro del Certificado Digital de que el Certificado corresponde a la política de certificación de la AC (en el campo extendido CertificatePolicies); 5. La consulta de verificación del estado del Certificado Digital en el RCD a través de OCSP; 6. Los algoritmos de firma y los de las funciones Hash sean los que se señalan en el anexo Estándares y Estructura del Certificado Digital; 7. El tamaño de las claves privada y pública, tanto de la AC como del Titular, sea el que establece los Lineamientos; 8. El URL público establecido en el Certificad Digital para acceder a las CRL, y 9. La seguridad del repositorio público de Certificados Digitales. 3

4 1. Los tipos de Certificados Digitales emitidos y su nivel de seguridad; 2. Las constancias de cómo se generaron los Certificados Digitales. 3. Confirmar quién firmó los Certificados Digitales; 4. Confirmar cómo se firmaron los Certificados Digitales, y 5. A quiénes (comunidad) se les han emitido los Certificados Digitales. V. Lista de Certificados Revocados (CRL) 1. Los campos básicos; 2. El uso de los campos extendidos (en su caso), y 3. El repositorio público de CRL. 1. Confirmar quién firmó las CRL; 2. Confirmar cómo se firmaron las CRL. 3. La frecuencia del firmado de las CRL; 4. Las constancias de la fecha y hora de emisión de los Certificados, el periodo de vigencia y, en su caso, la fecha y hora de revocación; 5. Confirmar que las CRL se mantienen actualizadas; 6. Que la fecha del campo Próxima Actualización de las CRL sea igual o posterior a todas las CRL previas; 7. Que exista la copia de la CRL actualizada para casos de contingencias (al menos cada 24 hrs.) y VI. Plan de administración de claves criptográficas 1. Los procedimientos y mecanismos implantados logran el riesgo residual determinado en análisis de riesgos; 2. Los objetivos de la Política de Certificación y de la Declaración de Prácticas de Certificación se logran con la implantación del plan; 3. El almacenamiento del respaldo de la clave privada, y 4. El método de acceso a la clave privada. VII. Plan de continuidad del negocio y recuperación ante desastres 1. Que el personal conozca el plan en su totalidad; 2. Que el centro de computación alterno cumpla con los requerimientos mínimos para operar la AC; 3. Que el personal haya realizado pruebas de las actividades que le corresponden y que conozca sus responsabilidades. 4

5 1. Los resultados de las pruebas realizadas al plan; 2. Las acciones correctivas realizadas; 3. La periodicidad de las pruebas, y 4. Lo que sea necesario de la primera revisión. VIII. Seguridad lógica 1. La configuración de seguridad de los equipos de cómputo, en particular los servidores de: AC, módulos criptográficos, sitio electrónico de acceso al público, repositorios públicos de Certificados Digitales, CRL y OCSP; 2. La configuración de los equipos de red (ruteadores, firewalls, IDS/IPS, monitoreo, malware, etcétera) y de equipos de seguridad (CCTV, control de acceso, etcétera); 3. Los controles de seguridad de la red, y 4. Los controles de desarrollo de sistemas. 1. Los reportes de los mecanismos de seguridad lógica del plan de seguridad de sistemas; 2. Las notificaciones de incidentes; 3. Las notificaciones de vulnerabilidades; 4. Los incidentes registrados; 5. Los reportes de acciones realizadas y de soluciones alcanzadas; 6. Los periodos de retención de los registros y de los reportes para registros de auditoria; 7. La forma de protección y los respaldos para registros de auditoria; 8. Las bitácoras de equipos de cómputo; 9. Las bitácoras de bases de datos; 10.El estatus y las bitácoras de los equipos de red y de seguridad de la red, y 11.Lo que sea necesario de la primera revisión. IX. Seguridad física 1. La exposición de las instalaciones de la AC a inundaciones, sismos y otros desastres naturales; 2. La exposición de las instalaciones de la AC a vandalismo y manifestaciones; 3. La definición de perímetros físicos alrededor de las áreas del PSC donde estén los servicios de generación de Certificados Digitales, provisión de dispositivos seguros, y revocación de Certificados Digitales; 4. Que los accesos físicos a las áreas de generación de Certificados, gestión de revocación de Certificados y de residencia de servidores, 5

6 estén protegidas con puertas y muros sólidos y firmes, chapas seguras, controles de acceso, sistemas de extinción de incendios y alarmas de seguridad, y limitadas sólo al personal autorizado mediante controles de autenticación de por lo menos dos factores para asegurar que no habrán accesos no autorizados; 5. Que los servicios compartidos por otra entidad distinta a la AC o por personal de ésta no dedicado al servicio de certificación, estén fuera del perímetro de seguridad; 6. Que el acceso de visitas a las áreas con información confidencial esté autorizado por el oficial de seguridad. El visitante debe portar una credencial en todo momento para identificarse. Se debe registrar toda actividad que realice el visitante con la fecha y hora de ingreso y salida; 7. Que las áreas y los servicios en los cuales se maneja información confidencial estén supervisados continuamente, a efecto de reducir al mínimo los riesgos. 8. Que las áreas seguras sean oficinas cerradas dentro del perímetro de seguridad, y contengan mobiliario con gabinetes y chapas seguras; 9. Que los servicios claves se sitúen alejados de las áreas de acceso y atención al público; 10.Que los dispositivos como fax y fotocopiadoras se ubiquen dentro de las áreas seguras que así lo requieran, siempre bajo control para no comprometer la seguridad ni la confidencialidad de la información; 11.Que el material de desecho sea destruido sin posibilidad de recuperación antes de desecharlo; 12.Que las puertas y ventanas estén siempre cerradas y aseguradas con protecciones internas o externas en las mismas; 13.Que se cuente con sistemas de detección de intrusión física en puertas y ventanas del perímetro de seguridad. Las salas desocupadas que estén dentro del perímetro de seguridad, deben tener activado el sistema de detección de intrusos todo el tiempo; 14.Que la gestión de los servicios de procesamiento de información estén físicamente separados del resto de los servicios; 15.Que dentro del perímetro de seguridad no haya equipo de grabación, audio o video, con excepción del propio equipo de seguridad y de comunicaciones; 16.Que la recepción de insumos y la salida de basura estén controladas y separadas del área de procesamiento de la información, para evitar accesos no autorizados; 17. Que el equipo instalado esté protegido para reducir las amenazas; 18.Que se cuente con sistemas no interrumpible de energía eléctrica (UPS) y planta de energía eléctrica de emergencia, para asegurar la continuidad del servicio de certificación; 19.Que el cableado eléctrico y de datos de los servicios de información confidencial sea compatible con los estándares vigentes en la materia y protegidos contra daños e intervenciones; 20.Que las líneas eléctricas no interfieran el funcionamiento del cableado de datos; 21.Que se cuente con el personal o los contratos de mantenimiento requerido para garantizar la continua disponibilidad e integridad de los 6

7 equipos, de acuerdo a las especificaciones y periodos recomendados por los fabricantes; 22.Que se cuente con registros del mal funcionamiento, fallas, mantenimientos preventivos y correctivos, de los equipos sensibles para la operación del servicio; 23.Que se haya adoptado la política de escritorio limpio y pantalla limpia enfocados a evitar riesgos de acceso no autorizado, pérdidas o daños a la información durante o fuera del horario de trabajo, y 24. Que los respaldos de información estén fuera de sitio. Los reportes de los controles de la seguridad física desarrollados en el plan de seguridad de sistemas. X. Sitio electrónico de acceso al público 1. La disponibilidad, accesibilidad, conexión, esquemas y diagramas de funcionamiento; 2. El registro de Certificados emitidos, indicando solamente el número de serie y el estado (vigente o revocado); 3. La CRL actualizada cada 24 horas; 4. La presencia en el sitio de la Política de Certificación y de la Declaración de Prácticas de Certificación, y 5. Las medidas de seguridad física y lógicas. XI. Equipo de hardware y software 1. Un software para la AC; 2. Un sistema de alta disponibilidad con mecanismos confiables, redundantes o alternativos de conexión y de acceso público a través de Internet, para consultar el RCD y las CRL, y 3. Un protocolo para la consulta del estado de Certificados en línea (OCSP); Que la AC cuente con los siguientes equipos, bien instalados y configurados: 1. Por lo menos un servidor de misión crítica para la AC, contemplando otro servidor de las mismas características para redundancia; 2. Un servidor de misión crítica, contemplando redundancia, para un repositorio de Certificados Digitales y un repositorio de CRL basadas en LDAP o equivalente y para OCSP; 3. Una computadora para almacenar el sistema de administración de la Infraestructura que se opera (en caso de requerirse). 4. Un dispositivo de alta seguridad que sea compatible con el estándar FIPS-140 nivel 3 ( contemplando redundancia, para almacenar las claves privadas de la AC de la Dependencia, Entidad, Organización o Institución; 5. Un ruteador, contemplando redundancia; 6. Un firewall, contemplando redundancia; 7

8 7. Un sistema de monitoreo de red; 8. Un sistema confiable de detección y eliminación de malware (anti-virus, anti-spyware, etcétera); 9. Sistemas confiables de detección de vulnerabilidades y de prevención contra intrusión; 10.Las computadoras personales e impresoras necesarias para la prestación del servicio. 8