8.6 Itens verificados durante a auditoria
Auditoria pré-operacional de Autoridade C ertificadora
    Todos os itens de segurança e procedimentos constantes das Resoluções, PC, DPC e PS da Autoridade Certificadora são considerados obrigatórios e têm seu cumprimento verificado durante a auditoria.
    Para facilitar os trabalhos, esses itens foram agrupados em sete áreas:
1 - Segurança de Pessoal
2 - Segurança Física
3 - Segurança Lógica
4 - Segurança de Rede
5 - Segurança da Informação
6a - Gerenciamento de chaves criptográficas e do certificado da própria AC
6b - Gerenciamento do ciclo de vida dos certificados emitidos
Área 1 - Segurança de Pessoal
Essa área está dividida em três sub-áreas:
  • Cargos, atribuições, autorizações de acesso
  • Contratação, desligamento e acompanhamento de desempenho
  • Treinamento técnico-operacional
     Os principais procedimentos relativos à segurança de pessoas referem-se a aspectos como: verificação de antecedentes e de idoneidade, treinamento e reciclagem profissional, rotatividade de cargos, sanções por ações não autorizadas e controles para contratação.
     As AC e AR não podem contratar estagiários. São verificados, para cada empregado, os antecedentes criminais, creditícios, histórico de empregos anteriores, comprovantes de escolaridade e residência.
    Os empregados também devem assinar contratos ou termos de responsabilidade, contendo:
  • Condições do perfil que ocuparão
  • Compromisso de observar normas, políticas e regras aplicáveis da ICP- Brasil
  • Compromisso de não divulgar informações sigilosas, mesmo depois de desligados da função
  • Conhecimento PS, DPC, PC e outros documentos relativos à sua atividade
    São obrigatórios ainda os treinamentos em:
  • Mecanismos de Segurança da Informação
  • Sistema Certificação da AC
  • Recuperação de Desastre
  • Reconhecimento de assinaturas e validade dos documentos apresentados
  • Treinamento específico para a função
     Devem ser realizadas entrevistas tanto na contratação como no desligamento do funcionário, bem como avaliações periódicas de desempenho.
    No caso de desligamento, devem ainda ser realizados os seguintes processos
  • Revogação de credencial, identificação, crachá etc.
  • Revogação de uso de equipamentos
  • Revogação de uso de mecanismos e acesso físico
  • Revogação de acesso lógico
    São usadas as técnicas de análise documental e observação direta
Área 2 - Segurança Física
     Neste item são verificadas as condições de segurança física para a proteção da chave privada da AC, do sistema de certificação e de outras informações críticas. São 4 níveis de proteção para o acesso aos equipamentos da AC e mais 2 níveis de proteção para acesso à chave privada da AC.
    Os principais requisitos de controle de acesso aos níveis são:
TODOS OS NÍVEIS
     Pessoas estranhas à operação da AC deverão transitar devidamente identificadas e acompanhadas.
     Os níveis de acesso deverão ser monitorados por câmeras de vídeo ligadas a um sistema de gravação 24x7.
     O sistema de monitoramento das câmeras de vídeo, bem como o sistema de notificação de alarmes, deverão ser permanentemente monitorados por guarda armado e estar localizados em ambiente de nível 3.
1º NÍVEL
     Para entrar em uma área de nível 1, cada indivíduo deverá ser identificado e registrado por segurança armada.
2º NÍVEL
    A passagem do primeiro para o segundo nível deverá exigir identificação por meio eletrônico, e o uso de crachá.
3º NÍVEL
    Deverão ser controladas tanto as entradas quanto as saídas de cada pessoa autorizada; dois tipos de mecanismos de controle deverão ser requeridos para a entrada nesse nível: algum tipo de identificação individual, como cartão eletrônico, e identificação biométrica.
4º NÍVEL - SALA COFRE
     As paredes, piso e o teto deverão ser inteiriços, constituindo uma célula estanque contra ameaças de acesso indevido, água, vapor, gases e fogo.
16
     O nível 4 deverá possuir os mesmos controles do nível 3, como cartão eletrônico, e identificação biométrica; em cada acesso ao ambiente nível 4, deve ser exigida a identificação de, no mínimo, 2 pessoas autorizadas.
     A sala-cofre de nível 4 deverá possuir sistema para detecção precoce de fumaça e sistema de extinção de incêndio por gás (FM200); ar condicionado redundante; sistema de alimentação elétrica; geradores e gerador reserva; no breaks.
5º NÍVEL
     O nível 5, interior ao ambiente de nível 4, se constitui de um cofre ou um gabinete reforçado trancado.
6º NÍVEL - GUARDA DA CHAVE PRIVADA DA AC
     Consiste de pequenos depósitos localizados no interior do cofre ou gabinete de quinto nível. As chaves privadas deverão estar armazenados em nível 6, quando não estiverem em operação.
     Para a execução dos procedimentos relativos aos quesitos de segurança física, dividimos as ações de auditoria em quatro partes, sendo:
  • Construção e Localização - manutenção da sala-cofre; estrutura de energia e ar condicionado; sistema de detecção e alarme de incêndio e sistema de combate à incêndio por gás FM 200;
  • Controle de acesso físico - monitoramento e identificação nas passagens de nível;
  • Condições ambientais - monitoramento por câmara de vídeo, sala de segurança;
  • Inventários de Bens de Informação.
     É verificada a capacidade de realizar os controles exigidos, manualmente ou através de equipamentos ou sistemas, sem levar em consideração históricos, manutenções etc.
     São usadas as técnicas de análise documental, testes e observação direta. A comprovação documental pode incluir fotografias, plantas, especificações dos equipamentos/soluções utilizados, etc.
Área 3 - Segurança Lógica
    Os principais itens analisados são:
Controle de acesso lógico
  • Análise das estratégias adotadas pela AC para segregar funções e acessar os sistemas críticos (ex.: a chave privada da AC permanece cifrada quando não está sendo usada. Para utilizá-la, é preciso pelo menos 2 pessoas com senhas de ativação diferentes)
  • Guarda das senhas de root/administrador dos sistemas - como são guardadas, qual a periodicidade de troca das mesmas,
  • Utilização de logins individuais para acesso aos sistemas, sempre que possível
  • Análise das listas de acesso lógico aos diversos sistemas (operacional, certificação, SGBD, ativos de rede, etc.) para verificar se somente os funcionários encarregados das atividades possuem acesso
Geração, extração e guarda de logs
  • Verificação dos procedimentos e scripts para extração dos logs
  • Verificação se todos os eventos de guarda obrigatória serão registrados
  • Verificação do local de armazenamento e período de retenção dos logs
Geração, extração e guarda de backups
  • Verificação se os backups extraídos são suficientes para recomposição dos sistemas em caso de falhas
  • Verificação da forma de guarda e período de retenção dos backups
  • Análise de outros itens de segurança (p.ex.: em nenhum momento pode se feito backup do arquivo que contém a chave privada da AC, decifrada)
Controle de softwares
  • São analisados os procedimentos da AC para atualização dos softwares instalados, em especial quanto à homologação prévia das alterações e quanto à aplicação tempestiva de correções de segurança
  • Verificam-se ainda, os controles para evitar a instalação de softwares não autorizados nos equipamentos que fazem parte da rede da AC, atualização de antivírus etc.
     
     São usadas as técnicas de análise documental, testes e observação direta. Na auditoria pré-operacional é verificada a capacidade da AC realizar os controles exigidos, uma vez que ainda não existem registros históricos a serem analisados.
Área 4 - Segurança de Rede
    Os principais itens analisados são:
Segurança da rede da AC
  • Verificação da topologia da rede, sob o enfoque de segurança e disponibilidade
- a rede é segmentada, de forma a proteger o equipamento de certificação?
- existem equipamentos redundantes para evitar a perda de acesso?
- os links externos são contratados com operadoras diferentes?
- o tráfego dentro de intranets e extranets é protegido por VPN?
  • Análise dos mecanismos de segurança adotados: firewall e IDS para verificar: monitoramento, regras e políticas implementadas, atualização de listas de vulnerabilidades etc.
Repositório da AC
  • No repositório, além da LCR, que precisa ser continuamente verificada pelas aplicações que fazem uso dos certificados emitidos pela AC, ainda constam as PC e DPC, documentos que devem estar sempre disponíveis ao público. Analisam-se os mecanismos para verificação do índice de disponibilidade mensal do repositório, que deve ser de pelo menos 99%.
  • Verificam-se, ainda, os procedimentos para publicação da LCR, sobretudo quanto aos
    aspectos de segurança.
    São usadas as técnicas de análise documental, testes e observação direta.
Área 5 - Segurança da Informação
Está dividida em sete subáreas:
  • Classificação da informação
  • Geração, manuseio, guarda e destruição de documentos e arquivos
  • Auditorias de segurança das informações (análise de logs)
  • Análise de Risco
  • Plano de Continuidade de Negócios
  • Plano de Extinção da AC
  • Gerenciamento de Mudanças e Administração da AC
     Neste item é verificada a existência e adequação de Sistema de Classificação da Informação, Gerenciamento de Risco, Teste no Plano de Continuidade de Negócios e Plano de Extinção da AC.
     No decorrer da auditoria, observa-se se os procedimentos utilizados estão em conformidade com os documentos acima.
     Verifica-se se a AC está aparelhada para analisar os logs coletados, o que precisa ser realizado pelo menos semanalmente.
     Também se procura entender como será feito o controle e gerenciamento de todos os processos que devem ser obrigatoriamente realizados pela AC.
     São usadas as técnicas de análise documental e observação direta.
Área 6a - Gerenciamento de chaves criptográficas e do certificado da própria AC
     Neste item são verificados os procedimentos e a capacidade dos sistemas instalados na AC para gerenciar suas chaves criptográficas e seu próprio certificado, de acordo com os requisitos definidos pela ICP Brasil.
     É solicitada, durante a auditoria, a realização de simulação de:
  • geração de chaves criptográficas da AC
  • solicitação de seu certificado à AC Raiz
  • recepção do certificado e inserção no sistema
  • solicitação de revogação de seu certificado
     
     Além disso, analisa-se a guarda e utilização da chave privada da AC, como por exemplo:
  • A chave privada da AC deve ser guardada sempre cifrada, em hardware seguro;
  • Sua decifração deve  ocorrer  apenas com a utilização de controle  particionado, envolvendo pelo menos 2 pessoas;
  • Essas   pessoas   devem   assinar   termo   declarando   ter   conhecimentos   da   sua responsabilidade no processo;
  • Cada uma dessas pessoas deve necessitar de pelo menos um elemento físico (cartão ou token) mais senha de seu conhecimento exclusivo para ativação da chave privada;
  • Os cartões ou tokens ficam armazenados em cofre, cuja chave fica em poder de uma terceira pessoa, e têm seu uso registrado.
São usadas as técnicas de análise documental, observação direta e simulação.
Área 6b - Gerenciamento do ciclo de vida dos certificados emitidos
     Neste item são verificados os procedimentos e a capacidade dos sistemas instalados na AC para gerenciar o ciclo de vida dos certificados por ela emitidos, de acordo com os requisitos definidos pela ICP Brasil.
     É solicitada a realização de simulação de:
  • geração de certificados de diferentes tipos (um para cada PC)
  • geração de LCR
  • publicação de certificados e LCR no repositório, com os requisitos de segurança definidos.
     São usadas as técnicas de análise documental, observação direta e simulação.
Procedimentos finais
     Numa auditoria pré-operacional de AC são adotadas as seguintes medidas, visando deixar o sistema preparado para a efetiva colocação da AC em funcionamento, quando autorizado pelo Diretor-Presidente do ITI:
  • Ao final das simulações, é solicitada a reinstalação do sistema operacional, do sistema de gerenciamento de banco de dados e do sistema de gerenciamento de certificados no equipamento ou partição que irá abrigar o servidor de certificação da AC, na presença de pelo menos um auditor
  • Tal reinstalação é filmada e os procedimentos realizados são registrados em log, de modo que a comissão de auditoria tenha condições de detectar qualquer atividade não autorizada
8.6.1 Área 1 - Segurança de Pessoal
Essa área está dividida em três sub-áreas:
  • Cargos, atribuições, autorizações de acesso
  • Contratação, desligamento e acompanhamento de desempenho
  • Treinamento técnico-operacional
     Os principais procedimentos relativos à segurança de pessoas referem-se a aspectos como: verificação de antecedentes e de idoneidade, treinamento e reciclagem profissional, rotatividade de cargos, sanções por ações não autorizadas e controles para contratação.
     As AC e AR não podem contratar estagiários. São verificados, para cada empregado, os antecedentes criminais, creditícios, histórico de empregos anteriores, comprovantes de escolaridade e residência.
    Os empregados também devem assinar contratos ou termos de responsabilidade, contendo:
  • Condições do perfil que ocuparão
  • Compromisso de observar normas, políticas e regras aplicáveis da ICP- Brasil
  • Compromisso de não divulgar informações sigilosas, mesmo depois de desligados da função
  • Conhecimento PS, DPC, PC e outros documentos relativos à sua atividade
    São obrigatórios ainda os treinamentos em:
  • Mecanismos de Segurança da Informação
  • Sistema Certificação da AC
  • Recuperação de Desastre
  • Reconhecimento de assinaturas e validade dos documentos apresentados
  • Treinamento específico para a função
     Devem ser realizadas entrevistas tanto na contratação como no desligamento do funcionário, bem como avaliações periódicas de desempenho.
    No caso de desligamento, devem ainda ser realizados os seguintes processos
  • Revogação de credencial, identificação, crachá etc.
  • Revogação de uso de equipamentos
  • Revogação de uso de mecanismos e acesso físico
  • Revogação de acesso lógico
    São usadas as técnicas de análise documental e observação direta
8.6.2 Área 2 - Segurança Física
     Neste item são verificadas as condições de segurança física para a proteção da chave privada da AC, do sistema de certificação e de outras informações críticas. São 4 níveis de proteção para o acesso aos equipamentos da AC e mais 2 níveis de proteção para acesso à chave privada da AC.
    Os principais requisitos de controle de acesso aos níveis são:
TODOS OS NÍVEIS
     Pessoas estranhas à operação da AC deverão transitar devidamente identificadas e acompanhadas.
     Os níveis de acesso deverão ser monitorados por câmeras de vídeo ligadas a um sistema de gravação 24x7.
     O sistema de monitoramento das câmeras de vídeo, bem como o sistema de notificação de alarmes, deverão ser permanentemente monitorados por guarda armado e estar localizados em ambiente de nível 3.
1º NÍVEL
     Para entrar em uma área de nível 1, cada indivíduo deverá ser identificado e registrado por segurança armada.
2º NÍVEL
    A passagem do primeiro para o segundo nível deverá exigir identificação por meio eletrônico, e o uso de crachá.
3º NÍVEL
    Deverão ser controladas tanto as entradas quanto as saídas de cada pessoa autorizada; dois tipos de mecanismos de controle deverão ser requeridos para a entrada nesse nível: algum tipo de identificação individual, como cartão eletrônico, e identificação biométrica.
4º NÍVEL - SALA COFRE
     As paredes, piso e o teto deverão ser inteiriços, constituindo uma célula estanque contra ameaças de acesso indevido, água, vapor, gases e fogo.
16
     O nível 4 deverá possuir os mesmos controles do nível 3, como cartão eletrônico, e identificação biométrica; em cada acesso ao ambiente nível 4, deve ser exigida a identificação de, no mínimo, 2 pessoas autorizadas.
     A sala-cofre de nível 4 deverá possuir sistema para detecção precoce de fumaça e sistema de extinção de incêndio por gás (FM200); ar condicionado redundante; sistema de alimentação elétrica; geradores e gerador reserva; nobreaks.
5º NÍVEL
     O nível 5, interior ao ambiente de nível 4, se constitui de um cofre ou um gabinete reforçado trancado.
6º NÍVEL - GUARDA DA CHAVE PRIVADA DA AC
     Consiste de pequenos depósitos localizados no interior do cofre ou gabinete de quinto nível. As chaves privadas deverão estar armazenados em nível 6, quando não estiverem em operação.
     Para a execução dos procedimentos relativos aos quesitos de segurança física, dividimos as ações de auditoria em quatro partes, sendo:
  • Construção e Localização - manutenção da sala-cofre; estrutura de energia e ar condicionado; sistema de detecção e alarme de incêndio e sistema de combate à incêndio por gás FM 200;
  • Controle de acesso físico - monitoramento e identificação nas passagens de nível;
  • Condições ambientais - monitoramento por câmara de vídeo, sala de segurança;
  • Inventários de Bens de Informação.
     É verificada a capacidade de realizar os controles exigidos, manualmente ou através de equipamentos ou sistemas, sem levar em consideração históricos, manutenções etc.
     São usadas as técnicas de análise documental, testes e observação direta. A comprovação documental pode incluir fotografias, plantas, especificações dos equipamentos/soluções utilizados, etc.
8.6.3 Área 3 - Segurança Lógica
    Os principais itens analisados são:
Controle de acesso lógico
  • Análise das estratégias adotadas pela AC para segregar funções e acessar os sistemas críticos (ex.: a chave privada da AC permanece cifrada quando não está sendo usada. Para utilizá-la, é preciso pelo menos 2 pessoas com senhas de ativação diferentes)
  • Guarda das senhas de root/administrador dos sistemas - como são guardadas, qual a periodicidade de troca das mesmas,
  • Utilização de logins individuais para acesso aos sistemas, sempre que possível
  • Análise das listas de acesso lógico aos diversos sistemas (operacional, certificação, SGBD, ativos de rede, etc.) para verificar se somente os funcionários encarregados das atividades possuem acesso
Geração, extração e guarda de logs
  • Verificação dos procedimentos e scripts para extração dos logs
  • Verificação se todos os eventos de guarda obrigatória serão registrados
  • Verificação do local de armazenamento e período de retenção dos logs
Geração, extração e guarda de backups
  • Verificação se os backups extraídos são suficientes para recomposição dos sistemas em caso de falhas
  • Verificação da forma de guarda e período de retenção dos backups
  • Análise de outros itens de segurança (p.ex.: em nenhum momento pode se feito backup do arquivo que contém a chave privada da AC, decifrada)
Controle de softwares
  • São analisados os procedimentos da AC para atualização dos softwares instalados, em especial quanto à homologação prévia das alterações e quanto à aplicação tempestiva de correções de segurança
  • Verificam-se ainda, os controles para evitar a instalação de softwares não autorizados nos equipamentos que fazem parte da rede da AC, atualização de antivírus etc.
     
     São usadas as técnicas de análise documental, testes e observação direta. Na auditoria pré-operacional é verificada a capacidade da AC realizar os controles exigidos, uma vez que ainda não existem registros históricos a serem analisados.
8.6.4 Área 4 - Segurança de Rede
    Os principais itens analisados são:
Segurança da rede da AC
  • Verificação da topologia da rede, sob o enfoque de segurança e disponibilidade
- a rede é segmentada, de forma a proteger o equipamento de certificação?
- existem equipamentos redundantes para evitar a perda de acesso?
- os links externos são contratados com operadoras diferentes?
- o tráfego dentro de intranets e extranets é protegido por VPN?
  • Análise dos mecanismos de segurança adotados: firewall e IDS para verificar: monitoramento, regras e políticas implementadas, atualização de listas de vulnerabilidades etc.
Repositório da AC
  • No repositório, além da LCR, que precisa ser continuamente verificada pelas aplicações que fazem uso dos certificados emitidos pela AC, ainda constam as PC e DPC, documentos que devem estar sempre disponíveis ao público. Analisam-se os mecanismos para verificação do índice de disponibilidade mensal do repositório, que deve ser de pelo menos 99%.
  • Verificam-se, ainda, os procedimentos para publicação da LCR, sobretudo quanto aos
    aspectos de segurança.
    São usadas as técnicas de análise documental, testes e observação direta.
8.6.5 Área 5 - Segurança da Informação
Está dividida em sete subáreas:
  • Classificação da informação
  • Geração, manuseio, guarda e destruição de documentos e arquivos
  • Auditorias de segurança das informações (análise de logs)
  • Análise de Risco
  • Plano de Continuidade de Negócios
  • Plano de Extinção da AC
  • Gerenciamento de Mudanças e Administração da AC
     Neste item é verificada a existência e adequação de Sistema de Classificação da Informação, Gerenciamento de Risco, Teste no Plano de Continuidade de Negócios e Plano de Extinção da AC.
     No decorrer da auditoria, observa-se se os procedimentos utilizados estão em conformidade com os documentos acima.
     Verifica-se se a AC está aparelhada para analisar os logs coletados, o que precisa ser realizado pelo menos semanalmente.
     Também se procura entender como será feito o controle e gerenciamento de todos os processos que devem ser obrigatoriamente realizados pela AC.
     São usadas as técnicas de análise documental e observação direta.
8.6.6 Área 6a - Gerenciamento de chaves criptográficas e do certificado da própria AC
     Neste item são verificados os procedimentos e a capacidade dos sistemas instalados na AC para gerenciar suas chaves criptográficas e seu próprio certificado, de acordo com os requisitos definidos pela ICP Brasil.
     É solicitada, durante a auditoria, a realização de simulação de:
  • geração de chaves criptográficas da AC
  • solicitação de seu certificado à AC Raiz
  • recepção do certificado e inserção no sistema
  • solicitação de revogação de seu certificado
     
     Além disso, analisa-se a guarda e utilização da chave privada da AC, como por exemplo:
  • A chave privada da AC deve ser guardada sempre cifrada, em hardware seguro;
  • Sua decifração deve  ocorrer  apenas com a utilização de controle  particionado, envolvendo pelo menos 2 pessoas;
  • Essas   pessoas   devem   assinar   termo   declarando   ter   conhecimentos   da   sua responsabilidade no processo;
  • Cada uma dessas pessoas deve necessitar de pelo menos um elemento físico (cartão ou token) mais senha de seu conhecimento exclusivo para ativação da chave privada;
  • Os cartões ou tokens ficam armazenados em cofre, cuja chave fica em poder de uma terceira pessoa, e têm seu uso registrado.
São usadas as técnicas de análise documental, observação direta e simulação.
8.6.7 Área 6b - Gerenciamento do ciclo de vida dos certificados emitidos
     Neste item são verificados os procedimentos e a capacidade dos sistemas instalados na AC para gerenciar o ciclo de vida dos certificados por ela emitidos, de acordo com os requisitos definidos pela ICP Brasil.
     É solicitada a realização de simulação de:
  • geração de certificados de diferentes tipos (um para cada PC)
  • geração de LCR
  • publicação de certificados e LCR no repositório, com os requisitos de segurança definidos.
     São usadas as técnicas de análise documental, observação direta e simulação.
8.6.8 Procedimentos finais
     Numa auditoria pré-operacional de AC são adotadas as seguintes medidas, visando deixar o sistema preparado para a efetiva colocação da AC em funcionamento, quando autorizado pelo Diretor-Presidente do ITI:
  • Ao final das simulações, é solicitada a reinstalação do sistema operacional, do sistema de gerenciamento de banco de dados e do sistema de gerenciamento de certificados no equipamento ou partição que irá abrigar o servidor de certificação da AC, na presença de pelo menos um auditor
  • Tal reinstalação é filmada e os procedimentos realizados são registrados em log, de modo que a comissão de auditoria tenha condições de detectar qualquer atividade não autorizada
Topo