Auditoria pré-operacional de
Autoridade C ertificadora
Todos os
itens de segurança e procedimentos constantes das
Resoluções, PC, DPC e PS da Autoridade Certificadora
são considerados obrigatórios e têm seu cumprimento
verificado durante a auditoria.
Para
facilitar os trabalhos, esses itens foram agrupados em sete
áreas:
1 - Segurança de
Pessoal
2 - Segurança
Física
3 - Segurança
Lógica
4 - Segurança de
Rede
5 - Segurança da
Informação
6a - Gerenciamento de chaves
criptográficas e do certificado da própria
AC
6b - Gerenciamento do ciclo de
vida dos certificados emitidos
Área 1 - Segurança
de Pessoal
Essa área está dividida
em três sub-áreas:
-
Cargos, atribuições,
autorizações de acesso
-
Contratação, desligamento e
acompanhamento de desempenho
-
Treinamento
técnico-operacional
Os
principais procedimentos relativos à segurança de pessoas
referem-se a aspectos como: verificação de antecedentes e
de idoneidade, treinamento e reciclagem profissional, rotatividade
de cargos, sanções por ações não
autorizadas e controles para
contratação.
As
AC e AR não podem contratar estagiários. São
verificados, para cada empregado, os antecedentes criminais,
creditícios, histórico de empregos anteriores,
comprovantes de escolaridade e residência.
Os
empregados também devem assinar contratos ou termos de
responsabilidade, contendo:
-
Condições do perfil que
ocuparão
-
Compromisso de observar normas, políticas e
regras aplicáveis da ICP- Brasil
-
Compromisso de não divulgar
informações sigilosas, mesmo depois de desligados da
função
-
Conhecimento PS, DPC, PC e outros documentos
relativos à sua atividade
São
obrigatórios ainda os treinamentos em:
-
Mecanismos de Segurança da
Informação
-
Sistema Certificação da
AC
-
Recuperação de
Desastre
-
Reconhecimento de assinaturas e validade dos
documentos apresentados
-
Treinamento específico para a
função
Devem
ser realizadas entrevistas tanto na contratação como no
desligamento do funcionário, bem como avaliações
periódicas de desempenho.
No caso de
desligamento, devem ainda ser realizados os seguintes
processos
-
Revogação de credencial,
identificação, crachá etc.
-
Revogação de uso de
equipamentos
-
Revogação de uso de mecanismos e acesso
físico
-
Revogação de acesso
lógico
São
usadas as técnicas de análise documental e
observação direta
Área 2 - Segurança
Física
Neste
item são verificadas as condições de segurança
física para a proteção da chave privada da AC, do
sistema de certificação e de outras informações
críticas. São 4 níveis de proteção para o
acesso aos equipamentos da AC e mais 2 níveis de
proteção para acesso à chave privada da
AC.
Os
principais requisitos de controle de acesso aos níveis
são:
TODOS OS
NÍVEIS
Pessoas
estranhas à operação da AC deverão transitar
devidamente identificadas e acompanhadas.
Os
níveis de acesso deverão ser monitorados por câmeras
de vídeo ligadas a um sistema de gravação
24x7.
O
sistema de monitoramento das câmeras de vídeo, bem como o
sistema de notificação de alarmes, deverão ser
permanentemente monitorados por guarda armado e estar localizados
em ambiente de nível 3.
1º
NÍVEL
Para
entrar em uma área de nível 1, cada indivíduo
deverá ser identificado e registrado por segurança
armada.
2º
NÍVEL
A passagem
do primeiro para o segundo nível deverá exigir
identificação por meio eletrônico, e o uso de
crachá.
3º
NÍVEL
Deverão
ser controladas tanto as entradas quanto as saídas de cada
pessoa autorizada; dois tipos de mecanismos de controle
deverão ser requeridos para a entrada nesse nível: algum
tipo de identificação individual, como cartão
eletrônico, e identificação
biométrica.
4º NÍVEL - SALA
COFRE
As
paredes, piso e o teto deverão ser inteiriços,
constituindo uma célula estanque contra ameaças de acesso
indevido, água, vapor, gases e fogo.
16
O
nível 4 deverá possuir os mesmos controles do nível
3, como cartão eletrônico, e identificação
biométrica; em cada acesso ao ambiente nível 4, deve ser
exigida a identificação de, no mínimo, 2 pessoas
autorizadas.
A
sala-cofre de nível 4 deverá possuir sistema para
detecção precoce de fumaça e sistema de
extinção de incêndio por gás (FM200); ar
condicionado redundante; sistema de alimentação
elétrica; geradores e gerador reserva; no
breaks.
5º
NÍVEL
O
nível 5, interior ao ambiente de nível 4, se constitui de
um cofre ou um gabinete reforçado
trancado.
6º NÍVEL - GUARDA DA
CHAVE PRIVADA DA AC
Consiste
de pequenos depósitos localizados no interior do cofre ou
gabinete de quinto nível. As chaves privadas deverão
estar armazenados em nível 6, quando não estiverem em
operação.
Para
a execução dos procedimentos relativos aos quesitos de
segurança física, dividimos as ações de
auditoria em quatro partes, sendo:
-
Construção e Localização -
manutenção da sala-cofre; estrutura de energia e ar
condicionado; sistema de detecção e alarme de
incêndio e sistema de combate à incêndio por
gás FM 200;
-
Controle de acesso físico - monitoramento e
identificação nas passagens de
nível;
-
Condições ambientais - monitoramento por
câmara de vídeo, sala de
segurança;
-
Inventários de Bens de
Informação.
É
verificada a capacidade de realizar os controles exigidos,
manualmente ou através de equipamentos ou sistemas, sem levar
em consideração históricos, manutenções
etc.
São
usadas as técnicas de análise documental, testes e
observação direta. A comprovação documental
pode incluir fotografias, plantas, especificações dos
equipamentos/soluções utilizados,
etc.
Área 3 - Segurança
Lógica
Os
principais itens analisados são:
Controle de acesso
lógico
-
Análise das estratégias adotadas pela AC
para segregar funções e acessar os sistemas críticos
(ex.: a chave privada da AC permanece cifrada quando não
está sendo usada. Para utilizá-la, é preciso pelo
menos 2 pessoas com senhas de ativação
diferentes)
-
Guarda das senhas de root/administrador dos
sistemas - como são guardadas, qual a periodicidade de troca
das mesmas,
-
Utilização de logins individuais para
acesso aos sistemas, sempre que possível
-
Análise das listas de acesso lógico aos
diversos sistemas (operacional, certificação, SGBD,
ativos de rede, etc.) para verificar se somente os
funcionários encarregados das atividades possuem
acesso
Geração,
extração e guarda de logs
-
Verificação dos procedimentos e scripts
para extração dos logs
-
Verificação se todos os eventos de
guarda obrigatória serão registrados
-
Verificação do local de armazenamento e
período de retenção dos logs
Geração,
extração e guarda de backups
-
Verificação se os backups extraídos
são suficientes para recomposição dos sistemas em
caso de falhas
-
Verificação da forma de guarda e
período de retenção dos backups
-
Análise de outros itens de segurança
(p.ex.: em nenhum momento pode se feito backup do arquivo que
contém a chave privada da AC, decifrada)
Controle de
softwares
-
São analisados os procedimentos da AC para
atualização dos softwares instalados, em especial quanto
à homologação prévia das alterações e
quanto à aplicação tempestiva de correções
de segurança
-
Verificam-se ainda, os controles para evitar a
instalação de softwares não autorizados nos
equipamentos que fazem parte da rede da AC, atualização
de antivírus etc.
São
usadas as técnicas de análise documental, testes e
observação direta. Na auditoria pré-operacional
é verificada a capacidade da AC realizar os controles
exigidos, uma vez que ainda não existem registros
históricos a serem analisados.
Área 4 - Segurança
de Rede
Os
principais itens analisados são:
Segurança da rede da
AC
-
Verificação da topologia da rede, sob o
enfoque de segurança e disponibilidade
- a rede
é segmentada, de forma a proteger o equipamento de
certificação?
- existem
equipamentos redundantes para evitar a perda de
acesso?
- os links
externos são contratados com operadoras
diferentes?
- o
tráfego dentro de intranets e extranets é protegido por
VPN?
-
Análise dos mecanismos de segurança
adotados: firewall e IDS para verificar: monitoramento, regras e
políticas implementadas, atualização de listas de
vulnerabilidades etc.
Repositório da
AC
-
No repositório, além da LCR, que precisa
ser continuamente verificada pelas aplicações que fazem
uso dos certificados emitidos pela AC, ainda constam as PC e DPC,
documentos que devem estar sempre disponíveis ao público.
Analisam-se os mecanismos para verificação do índice
de disponibilidade mensal do repositório, que deve ser de pelo
menos 99%.
-
Verificam-se, ainda, os procedimentos para
publicação da LCR, sobretudo quanto aos
aspectos de segurança.
São usadas as
técnicas de análise documental, testes e
observação direta.
Área 5 - Segurança
da Informação
Está dividida em sete
subáreas:
-
Classificação da
informação
-
Geração, manuseio, guarda e
destruição de documentos e arquivos
-
Auditorias de segurança das
informações (análise de logs)
-
Análise de Risco
-
Plano de Continuidade de
Negócios
-
Plano de Extinção da
AC
-
Gerenciamento de Mudanças e
Administração da AC
Neste
item é verificada a existência e adequação de
Sistema de Classificação da Informação,
Gerenciamento de Risco, Teste no Plano de Continuidade de
Negócios e Plano de Extinção da
AC.
No
decorrer da auditoria, observa-se se os procedimentos utilizados
estão em conformidade com os documentos
acima.
Verifica-se
se a AC está aparelhada para analisar os logs coletados, o que
precisa ser realizado pelo menos semanalmente.
Também
se procura entender como será feito o controle e gerenciamento
de todos os processos que devem ser obrigatoriamente realizados
pela AC.
São
usadas as técnicas de análise documental e
observação direta.
Área 6a - Gerenciamento
de chaves criptográficas e do certificado da própria
AC
Neste
item são verificados os procedimentos e a capacidade dos
sistemas instalados na AC para gerenciar suas chaves
criptográficas e seu próprio certificado, de acordo com
os requisitos definidos pela ICP Brasil.
É
solicitada, durante a auditoria, a realização de
simulação de:
-
geração de chaves criptográficas da
AC
-
solicitação de seu certificado à AC
Raiz
-
recepção do certificado e
inserção no sistema
-
solicitação de revogação de
seu certificado
Além
disso, analisa-se a guarda e utilização da chave privada
da AC, como por exemplo:
-
A chave privada da AC deve ser guardada sempre
cifrada, em hardware seguro;
-
Sua decifração deve ocorrer
apenas com a utilização de controle particionado,
envolvendo pelo menos 2 pessoas;
-
Essas pessoas
devem assinar termo
declarando ter conhecimentos
da sua responsabilidade no processo;
-
Cada uma dessas pessoas deve necessitar de pelo
menos um elemento físico (cartão ou token) mais senha de
seu conhecimento exclusivo para ativação da chave
privada;
-
Os cartões ou tokens ficam armazenados em
cofre, cuja chave fica em poder de uma terceira pessoa, e têm
seu uso registrado.
São usadas as técnicas
de análise documental, observação direta e
simulação.
Área 6b - Gerenciamento
do ciclo de vida dos certificados
emitidos
Neste
item são verificados os procedimentos e a capacidade dos
sistemas instalados na AC para gerenciar o ciclo de vida dos
certificados por ela emitidos, de acordo com os requisitos
definidos pela ICP Brasil.
É
solicitada a realização de simulação
de:
-
geração de certificados de diferentes
tipos (um para cada PC)
-
geração de LCR
-
publicação de certificados e LCR no
repositório, com os requisitos de segurança
definidos.
São
usadas as técnicas de análise documental,
observação direta e
simulação.
Procedimentos
finais
Numa
auditoria pré-operacional de AC são adotadas as seguintes
medidas, visando deixar o sistema preparado para a efetiva
colocação da AC em funcionamento, quando autorizado pelo
Diretor-Presidente do ITI:
-
Ao final das simulações, é
solicitada a reinstalação do sistema operacional, do
sistema de gerenciamento de banco de dados e do sistema de
gerenciamento de certificados no equipamento ou partição
que irá abrigar o servidor de certificação da AC, na
presença de pelo menos um auditor
-
Tal reinstalação é filmada e os
procedimentos realizados são registrados em log, de
modo que a comissão de auditoria tenha condições de
detectar qualquer atividade não autorizada