A Infra-estrutura de Chaves Pblicas Brasileira e suas bases para a Auditoria em Segurana da Informao

Diretoria de Auditoria, Fiscalizao e Normalizao ITI Instituto Nacional de Tecnologia da Informao

Autores: Alexandre Menezes Ribeiro, Evandro Luiz de Oliveira, Pedro Pinheiro Cardoso, Viviane Regina Lemos Bertol

Braslia (DF), novembro de 2004

ndice
1 - Resumo ............................................................................................................................................. 3 2- O que ICP-Brasil..............................................................................................................................4 3 - Exemplos de uso de certificados da ICP-Brasil.................................................................................5 4 - Entidades que compem a ICP-Brasil ...............................................................................................6 Comit Gestor................................................................................................................................. 6 Comit Tcnico...............................................................................................................................7 AC-Raiz ........................................................................................................................................ 7 Autoridades Certificadoras - AC.....................................................................................................7 Autoridades de Registro - AR.........................................................................................................7 Prestador de Servios de Suporte - PSS..........................................................................................8 Auditorias Independentes ...............................................................................................................8 Titulares de Certificados.................................................................................................................8 Terceiras Partes...............................................................................................................................8 5 Normativos usados na criao da ICP-Brasil....................................................................................9 6 - O que diferencia a ICP-Brasil de outras cadeias de certificao......................................................11 7 Auditorias realizadas na ICP-Brasil.................................................................................................12 Tipos de Auditoria.........................................................................................................................12 Executores das Auditorias.............................................................................................................12 8 Etapas de uma Auditoria ................................................................................................................13 Anlise dos Documentos Obrigatrios..........................................................................................13 Anlise de Documentos Complementares.....................................................................................13 Planejamento dos Testes................................................................................................................13 Auditoria de Campo .....................................................................................................................14 Encerramento.................................................................................................................................14 9 - Itens verificados durante a auditoria................................................................................................15 Auditoria pr-operacional de Autoridade Certificadora................................................................15 rea 1 - Segurana de Pessoal..................................................................................................15 rea 2 - Segurana Fsica..........................................................................................................16 rea 3 - Segurana Lgica........................................................................................................17 rea 4 - Segurana de Rede......................................................................................................18 rea 5 - Segurana da Informao............................................................................................19 rea 6a - Gerenciamento de chaves criptogrficas e do certificado da prpria AC..................19 rea 6b - Gerenciamento do ciclo de vida dos certificados emitidos.......................................20 Procedimentos finais.................................................................................................................20 Auditoria pr-operacional de Autoridade de Registro...................................................................20 Auditoria pr-operacional de Prestador de Servios de Suporte...................................................21 Auditoria operacional de Autoridade Certificadora .....................................................................21 Auditoria operacional de Autoridade de Registro ........................................................................22 Auditoria operacional de Prestador de Servio de Suporte ..........................................................22 Auditorias operacionais realizadas por Empresas de Auditoria Independentes............................22 10 Resultados das Auditorias.............................................................................................................23 11- Bibliografia..................................................................................................................................... 4 2 12 - Sites das Autoridades Certificadoras da ICP-Brasil ......................................................................25

1 - Resumo
A ICP-Brasil, criada com o objetivo de regulamentar a utilizao de certificao digital no Pas est em franco desenvolvimento. Nas razes de sua criao encontramos um conjunto de normas e padres que visam, alm de permitir a compatibilidade entre os certificados de diversas origens, prover um nvel de segurana compatvel com os melhores padres internacionais. Nesse contexto, a estratgia adotada para auditoria nas entidades que compem a ICPBrasil assume um papel relevante, pois contribui para a confiabilidade de que esses padres esto sendo atingidos. O presente trabalho fornece uma viso geral de como so realizadas essas auditorias, quem as realiza e quais as tcnicas utilizadas para verificar o cumprimento dos padres estabelecidos.

2- O que ICP-Brasil
A ICP-Brasil - Infra-estrutura de Chaves Pblicas Brasileira - um conjunto de entidades, padres tcnicos e regulamentos, elaborados para suportar um sistema criptogrfico com base em certificados digitais. Foi criada a partir da percepo do Governo Federal da importncia de regulamentar as atividades de certificao digital no Pas, com vistas a inserir maior segurana nas transaes eletrnicas e incentivar a utilizao da Internet como meio para realizao de negcios. A ICP-Brasil foi instituda pela Medida Provisria 2.200-2, de 24 de agosto de 2001, que cria o Comit Gestor da ICP-Brasil, a Autoridade Certificadora Raiz Brasileira e define as demais entidades que compem a estrutura. A partir dessa medida foram elaborados os regulamentos que passaram a reger as atividades das entidades integrantes da ICP-Brasil, chamados de Resolues do Comit Gestor da ICP-Brasil (at o momento foram aprovadas 37 resolues, que podem ser obtidas no site www.iti.gov.br). Desde as primeiras Resolues ficou clara a importncia da Auditoria para a ICP-Brasil, como forma de assegurar a aplicao dos normativos por parte de todos os envolvidos. As entidades participantes da ICP-Brasil so auditadas previamente ao credenciamento, para verificar se esto aptas a desenvolver suas atividades conforme os regulamentos, e tambm anualmente, para verificar se todos os procedimentos previstos foram executados. A prpria AC Raiz foi auditada por uma comisso composta de membros de diversos rgos do Governo federal, para ter seu funcionamento autorizado pelo Comit Gestor (ver Resoluo 3, de 25 de setembro de 2001, que nomeia a comisso de auditoria e Resoluo 5, de 22 de novembro 2001, que publica o relatrio da auditoria realizada na AC Raiz). Em 2004, a AC Raiz implantou um novo site principal, destinando o site anterior para backup. Tambm foi realizada auditoria por comisso nomeada pelo Comit Gestor.

3 - Exemplos de uso de certificados da ICP-Brasil

A quantidade de entidades credenciadas na ICP-Brasil vem aumentando de forma cada vez mais acelerada, dada a percepo, pelos diversos setores, das inmeras possibilidades de uso dos certificados digitais. Alguns exemplos de uso so:

Sistema de Pagamentos Brasileiro SPB gerencia o processo de compensao e liquidao de pagamentos por meio eletrnico, ligando as Instituies Financeiras credenciadas ao Banco Central do Brasil. Utiliza certificados digitais da ICP-Brasil para autenticar e verificar a identidade dos participantes em todas as operaes realizadas; Tramitao e assinatura eletrnica de documentos oficiais, por Ministros e pelo Presidente da Repblica, para publicar no DOU; Registro de operaes e prestaes do ICMS pela Internet, em Pernambuco e outros estados; Consulta da situao dos contribuintes na base da Receita Federal e demais servios providos pelo Receita 222; Programa de ampliao do uso de certificados digitais para correntistas (convnio entre ITI, Febraban e Receita Federal); Substituio dos certificados do programa Conectividade Social, da Caixa Econmica Federal, por certificados da ICP-Brasil.

4 - Entidades que compem a ICP-Brasil

A figura 1 retrata o organograma simplificado da ICP-Brasil. Segue uma breve descrio de cada tipo de entidade componente.

Figura 1: ICP-BRASIL Viso Geral Comit Gestor

Aud.Ind. Indep.

Coordena a implantao e o funcionamento da ICP-Brasil, alm de estabelecer a poltica, os critrios e as normas para credenciamento das AC, AR e demais prestadores de servios de suporte em todos os nveis da cadeia de certificao. O Comit Gestor estabelece diretrizes e normas tcnicas para a formulao de polticas de certificados e regras operacionais das AC e das AR e define nveis da cadeia de certificao. Tambm atualiza, ajusta e revisa os procedimentos e as prticas estabelecidas para a ICP-Brasil, garante sua compatibilidade e promove a atualizao tecnolgica do sistema e a sua conformidade com as polticas de segurana. Estabelece a poltica de certificao e as regras operacionais da AC Raiz, bem como homologa, audita e fiscaliza a AC Raiz e os seus prestadores de servio.

Aprova polticas de certificados, prticas de certificao e regras operacionais, credencia e autoriza o funcionamento das AC e das AR, bem como autoriza a AC Raiz a emitir o correspondente certificado. Identifica e avalia as polticas de ICP externas, negocia e aprova acordos de certificao bilateral, de certificao cruzada, regras de interoperabilidade e outras formas de cooperao internacional. Certifica, quando for o caso, sua compatibilidade com a ICPBrasil, observado o disposto em tratados, acordos ou atos internacionais. O Comit Gestor pode delegar atribuies AC Raiz Comit Tcnico O Comit Tcnico COTEC presta suporte tcnico e assistncia ao Comit Gestor, sendo responsvel por manifestar-se previamente sobre as matrias apreciadas e decididas pelo comit Gestor. AC-Raiz Primeira autoridade da cadeia de certificao e executa as polticas de certificados e normas tcnicas e operacionais aprovadas pelo Comit Gestor. Emite, expede, distribui, revoga e gerencia os certificados das AC de nvel imediatamente subseqente ao seu; gerencia a lista de certificados revogados. Executa atividades de fiscalizao e auditoria das AC e das AR e dos prestadores de servio habilitados na ICP, em conformidade com as diretrizes e normas tcnicas estabelecidas pelo Comit Gestor da ICP-Brasil Participa de tratativas para celebrao de convnios e polticas de certificao internacionais (Argentina, Venezuela etc.). Autoridades Certificadoras - AC So entidades credenciadas a emitir certificados digitais vinculando pares de chaves criptogrficas ao respectivo titular. Emitem, expedem, distribuem, revogam e gerenciam os certificados, bem como colocam disposio dos usurios listas de certificados revogados e outras informaes pertinentes e mantm o registro de suas operaes. Autoridades de Registro - AR As AR so entidades operacionalmente vinculadas determinada AC. Compete-lhes identificar e cadastrar usurios na presena destes, encaminhar solicitaes de certificados s AC e manter registros de suas operaes.

Prestador de Servios de Suporte - PSS So empresas contratadas por uma AC ou AR para realizar atividades de: disponibilizao de infra-estrutura fsica e lgica; disponibilizao de recursos humanos especializados; disponibilizao de infra-estrutura fsica e lgica e de recursos humanos especializados. Auditorias Independentes As empresas de Auditoria Independentes, autorizadas pela AC-Raiz para atuar na ICPBrasil, so contratadas pelas autoridades certificadoras para realizar auditorias operacionais em entidades a elas subordinadas. Titulares de Certificados So as entidades - pessoas fsicas ou jurdicas que podem ser titulares dos certificados digitais emitidos por uma das AC integrantes da ICP-Brasil. Terceiras Partes Considera-se terceira parte, a parte que confia no teor, validade e aplicabilidade do certificado digital emitido por uma das AC integrantes da ICP-Brasil.

5 Normativos usados na criao da ICP-Brasil

As Resolues do Comit Gestor foram elaboradas tendo em mente a interoperabilidade da ICP-Brasil com outras estruturas de certificao, inclusive as de outros pases. Para tanto, foi necessrio seguir padres internacionais, em especial no que se refere a formatos de certificados, algoritmos criptogrficos e padres de segurana. Os principais normativos internacionais utilizados na ICP-Brasil so:
NORMAS ASSUNTO NA ICP-BRASIL

FIPS - Federal Information Processing Standards FIPS 140-1 Padro para o mdulo criptogrfico usado por titulares finais, para gerar seu par de chaves FIPS 140-1, level 2 Padro mnimo para o mdulo criptogrfico de uma AC FIPS 140-1, level 3 Padro para o mdulo criptogrfico da AC Raiz Padro para os parmetros de gerao de chaves assimtricas de qualquer tipo de certificado Descreve a funo hash SHA-1 Descreve o algoritmo DSA

FIPS 180-1 FIPS 186

ISO International Organization for Standardization ISO 17799 Referncia para elaborao da Poltica de Segurana da ICP-Brasil ISO 9594-1 / ITU X.500 Padro para formato de nome do titular e do emissor do certificado ISO 9594-8 / ITU X.509 Padro de formato dos certificados e LCR ISO 9834-3 Estrutura dos OID utilizados pela ICP-Brasil PKCS - Public Key Cryptographic Standards PKCS#1 Descreve o algoritmo RSA e sua utilizao na criptografia de dados PKCS#7 Padro de formato utilizado pela AC para disponibilizao de certificados emitidos PKCS#10 Padro de formato utilizado para solicitao de certificados AC emissora RFC - Request for Comments RFC 1321 RFC 2315 RFC 2459 RFC 2510 Descreve a funo hash MD5 Descreve as formas de disponibilizar a chave pblica de AC para os usurios Norma utilizada para interpretao de extenses de certificados digitais e LCR Define o mtodo de insero de chave privada em mdulo criptogrfico Define o mtodo de comprovao da posse de chave privada pelo titular do certificado Define a estrutura a ser usada na elaborao da PC e DPC

RFC 2527

NORMAS Outros Padres CMM-SEI (Capability Maturity Model do Software Engineering Institute) TSDM (Trusted Software Development Methodology) Common Criteria, Canadian Trusted Products, Evaluation Criteria, Trusted System Evaluation Criteria, European Information Technology ou Security Evaluation Criteria CMVP (Cryptographic Module Validation Program)

ASSUNTO NA ICP-BRASIL Critrios para determinar o nvel de maturidade atribudo ao ciclo de vida do software utilizado pela AC para utilizao dos certificados

Alternativas para os critrios de classificao atribuda segurana computacional de AC

Normas utilizadas para verificar a qualidade dos parmetros de gerao de chaves assimtricas

Tabela 1 Normativos Internacionais utilizados na ICP-Brasil Tambm so utilizadas normas nacionais, como a NBR 11.515, que define critrios de segurana fsica relativos a armazenamento de dados e a norma ABNT que trata dos aspectos relativos alimentao eltrica para redes. Para as regulamentaes que envolvem aspectos legais, so utilizados apenas instamentos brasileiros, como a MP 2.200-2, os Cdigos Civil, Penal, Tributrio, Direito do Consumidor etc. Para a realizao das auditorias so utilizadas as seguintes normas e recomendaes:

BS 7799 e NBR 17799; American Institute of Certified Public Accountants AICPA; Information Systems Audit and Control Association ISACA.

10

6 - O que diferencia a ICP-Brasil de outras cadeias de certificao

Qualquer pessoa, rgo ou empresa pode criar sua prpria cadeia de certificao. Existem sistemas pagos ou gratuitos, que podem ser buscados na Internet, com alto nvel de sofisticao. A prpria MP 2.200-2 no obsta a utilizao de outro meio de comprovao da autoria e integridade de documentos em forma eletrnica, inclusive os que utilizem certificados no emitidos pela ICP-Brasil, desde que admitido pelas partes como vlido ou aceito pela pessoa a quem for oposto o documento. Uma cadeia de certificao, entretanto, para ser amplamente aceita, precisa oferecer diversas garantias aos titulares e usurios de certificados. A ICP-Brasil se destaca nesse ponto, uma vez que:

O par de chaves criptogrficas deve ser gerado sempre pelo prprio titular e sua chave privada de assinatura de seu exclusivo controle, uso e conhecimento. Os documentos assinados com processo de certificao da ICP-Brasil possuem presuno de validade jurdica; So utilizados padres internacionais para os certificados bem como algoritmos criptogrficos e tamanhos de chaves que oferecem nvel de segurana aceitvel internacionalmente; As instalaes e procedimentos das entidades credenciadas possuem nvel de segurana fsica, lgica, de pessoal e procedimental em padres internacionais; As entidades componentes da ICP-Brasil so obrigadas a declarar em repositrio pblico as prticas de segurana utilizadas em todos os seus processos; As entidades esto sujeitas a auditoria prvia ao credenciamento e anualmente, para manter-se credenciadas; Os dados relativos aos certificados so mantidos por no mnimo 30 anos, para permitir comprovao e dirimir dvidas sobre a assinatura de documentos, atendendo legislaes especficas de guarda de documentos; Todas as AC so obrigadas a contratar seguro para cobertura de responsabilidade civil decorrente das atividades de certificao digital e de registro, com cobertura suficiente e compatvel com o risco; obrigatria a validao presencial dos titulares para obteno de certificados.

11

7 Auditorias realizadas na ICP-Brasil

Tipos de Auditoria As Resolues 01, 02 e 08 definem os seguintes tipos de auditoria a serem realizadas nas entidades da ICP-Brasil: Pr-operacional - realizada antes de a entidade ingressar na ICP-Brasil; pode ter como resultado: Autorizao do credenciamento da entidade No autorizao do credenciamento Operacional - realizada anualmente ou a qualquer momento, se houver suspeitas de irregularidades; pode ter como resultado: Manuteno do credenciamento da entidade; Suspenso da emisso de certificados pela entidade, at a correo das irregularidades verificadas; Descredenciamento da entidade; Substituio / treinamento de pessoal; Executores das Auditorias As Resolues tambm definem quem realiza as auditorias em cada uma das entidades: Entidade Auditada AC Raiz AC Subordinada AC Raiz AC Subordinada a outra AC AR PSS Entidade que realiza a auditoria Pr-Operacional Operacional Equipe indicada pelo Comit Equipe indicada pelo Comit Gestor Gestor AC Raiz AC Raiz AC Raiz AC Raiz AC Raiz Empresa de Auditoria Independente Empresa de Auditoria Independente ou AC Empresa de Auditoria Independente ou AC

Tabela 2 Entidades que realizam auditorias na ICP-Brasil importante tambm frisar que:

As auditorias devem ser realizadas por tcnicos com comprovada experincia nas reas de segurana da informao (ambientes fsico e lgico), criptografia, infra-estrutura de chaves pblica e sistemas crticos; Os auditores devem ser totalmente independentes da entidade auditada, aplicando-se, no que couber, as regras de suspeio e impedimento estabelecidas nos artigos 134 e 135 do Cdigo de Processo Civil. 12

8 Etapas de uma Auditoria

Uma auditoria quer seja do tipo operacional ou pr-operacional, quer seja realizada em AC, AR ou PSS, compe-se das seguintes etapas: Anlise dos Documentos Obrigatrios As Resolues definem padres mnimos que devem ser obedecidos pelas entidades. A partir delas, cada Autoridade Certificadora escreve seus prprios documentos tcnicos de carter obrigatrio, que contm os procedimentos adotados pelas entidades que fazem parte de sua cadeia de certificao: Poltica de Segurana PS - baseada na Resoluo n. 02 Poltica de Certificados PC - baseada na Resoluo n. 07 Declarao de Prticas de Certificao DPC - baseada na Resoluo n. 08. Nessa etapa da auditoria so verificados, ento, os seguintes documentos: Documentos relativos habilitao jurdico-fiscal: so examinadas a existncia e validade de certides, contrato social, atas de assemblias, etc. Balano Patrimonial: feita a anlise da situao econmico-financeira da empresa Documentos Tcnicos Obrigatrios: PS, PC e DPC so analisados para verificar se atendem os requisitos mnimos exigidos pelas Resolues da ICP-Brasil. Anlise de Documentos Complementares So tambm solicitados e examinados outros documentos tcnicos, que permitem checar o atendimento de outros itens obrigatrios pelas Resolues bem como programar e dimensionar o trabalho a ser executado. Exemplo: Lista dos funcionrios, com os respectivos cargos desempenhados e permisses de acesso lgico e fsico Planta baixa do prdio onde est instalada a entidade, com delimitao dos nveis de acesso fsico, em se tratando de uma AC Topologia da rede de comunicao Descrio dos sistemas e procedimentos utilizados para a manuteno da segurana fsica, lgica e da rede Descrio dos procedimentos e sistemas usados para gerao e revogao de certificados e para gerao e publicao de LCR Descrio dos procedimentos e ferramentas que sero usados para apoiar as atividades de AR Demais documentos obrigatrios, segundo as Resolues: Classificao da Informao, Gerenciamento de Risco, Plano de Continuidade de Negcios, Plano de Extino etc. Planejamento dos Testes Com a documentao acima, possvel conhecer previamente as principais caractersticas do ambiente a ser auditado. So ento preparados os testes, entrevistas e demais comprovaes que sero realizadas durante a auditoria de campo, bem como os instrumentos a serem utilizados: formulrios, checklists etc.

13

Auditoria de Campo Realizada no ambiente da AC ou da AR, essa etapa compreende a execuo dos testes, entrevistas, verificao documental e demais comprovaes programadas. feito o preenchimento do instrumental preparado e a solicitao de documentos adicionais, se necessrio. Encerramento O encerramento compreende a elaborao de Relatrio e Pareceres, com base nos documentos e evidncias coletados na AC ou AR, bem como a organizao do material e montagem de pastas de auditoria. Tambm faz parte desta etapa o acompanhamento do cumprimento das recomendaes de auditoria que no puderam ser atendidas antes do encerramento.

14

9 - Itens verificados durante a auditoria

Auditoria pr-operacional de Autoridade Certificadora Todos os itens de segurana e procedimentos constantes das Resolues, PC, DPC e PS da Autoridade Certificadora so considerados obrigatrios e tm seu cumprimento verificado durante a auditoria. Para facilitar os trabalhos, esses itens foram agrupados em sete reas: 1 - Segurana de Pessoal 2 - Segurana Fsica 3 - Segurana Lgica 4 - Segurana de Rede 5 - Segurana da Informao 6a - Gerenciamento de chaves criptogrficas e do certificado da prpria AC 6b - Gerenciamento do ciclo de vida dos certificados emitidos rea 1 - Segurana de Pessoal Essa rea est dividida em trs sub-reas: Cargos, atribuies, autorizaes de acesso Contratao, desligamento e acompanhamento de desempenho Treinamento tcnico-operacional

Os principais procedimentos relativos segurana de pessoas referem-se a aspectos como: verificao de antecedentes e de idoneidade, treinamento e reciclagem profissional, rotatividade de cargos, sanes por aes no autorizadas e controles para contratao. As AC e AR no podem contratar estagirios. So verificados, para cada empregado, os antecedentes criminais, creditcios, histrico de empregos anteriores, comprovantes de escolaridade e residncia. Os empregados tambm devem assinar contratos ou termos de responsabilidade, contendo: Condies do perfil que ocuparo Compromisso de observar normas, polticas e regras aplicveis da ICP-Brasil Compromisso de no divulgar informaes sigilosas, mesmo depois de desligados da funo Conhecimento PS, DPC, PC e outros documentos relativos sua atividade So obrigatrios ainda os treinamentos em: Mecanismos de Segurana da Informao Sistema Certificao da AC Recuperao de Desastre Reconhecimento de assinaturas e validade dos documentos apresentados 15

Treinamento especfico para a funo

Devem ser realizadas entrevistas tanto na contratao como no desligamento do funcionrio, bem como avaliaes peridicas de desempenho. No caso de desligamento, devem ainda ser realizados os seguintes processos Revogao de credencial, identificao, crach etc. Revogao de uso de equipamentos Revogao de uso de mecanismos e acesso fsico Revogao de acesso lgico So usadas as tcnicas de anlise documental e observao direta rea 2 - Segurana Fsica Neste item so verificadas as condies de segurana fsica para a proteo da chave privada da AC, do sistema de certificao e de outras informaes crticas. So 4 nveis de proteo para o acesso aos equipamentos da AC e mais 2 nveis de proteo para acesso chave privada da AC. Os principais requisitos de controle de acesso aos nveis so: TODOS OS NVEIS Pessoas estranhas operao da AC devero transitar devidamente identificadas e acompanhadas. Os nveis de acesso devero ser monitorados por cmeras de vdeo ligadas a um sistema de gravao 24x7. O sistema de monitoramento das cmeras de vdeo, bem como o sistema de notificao de alarmes, devero ser permanentemente monitorados por guarda armado e estar localizados em ambiente de nvel 3. 1 NVEL Para entrar em uma rea de nvel 1, cada indivduo dever ser identificado e registrado por segurana armada. 2 NVEL A passagem do primeiro para o segundo nvel dever exigir identificao por meio eletrnico, e o uso de crach. 3 NVEL Devero ser controladas tanto as entradas quanto as sadas de cada pessoa autorizada; dois tipos de mecanismos de controle devero ser requeridos para a entrada nesse nvel: algum tipo de identificao individual, como carto eletrnico, e identificao biomtrica. 4 NVEL - SALA COFRE As paredes, piso e o teto devero ser inteirios, constituindo uma clula estanque contra ameaas de acesso indevido, gua, vapor, gases e fogo.

16

O nvel 4 dever possuir os mesmos controles do nvel 3, como carto eletrnico, e identificao biomtrica; em cada acesso ao ambiente nvel 4, deve ser exigida a identificao de, no mnimo, 2 pessoas autorizadas. A sala-cofre de nvel 4 dever possuir sistema para deteco precoce de fumaa e sistema de extino de incndio por gs (FM200); ar condicionado redundante; sistema de alimentao eltrica; geradores e gerador reserva; no breaks. 5 NVEL O nvel 5, interior ao ambiente de nvel 4, se constitui de um cofre ou um gabinete reforado trancado. 6 NVEL - GUARDA DA CHAVE PRIVADA DA AC Consiste de pequenos depsitos localizados no interior do cofre ou gabinete de quinto nvel. As chaves privadas devero estar armazenados em nvel 6, quando no estiverem em operao. Para a execuo dos procedimentos relativos aos quesitos de segurana fsica, dividimos as aes de auditoria em quatro partes, sendo: Construo e Localizao - manuteno da sala-cofre; estrutura de energia e ar condicionado; sistema de deteco e alarme de incndio e sistema de combate incndio por gs FM 200; Controle de acesso fsico - monitoramento e identificao nas passagens de nvel; Condies ambientais - monitoramento por cmara de vdeo, sala de segurana; Inventrios de Bens de Informao. verificada a capacidade de realizar os controles exigidos, manualmente ou atravs de equipamentos ou sistemas, sem levar em considerao histricos, manutenes etc. So usadas as tcnicas de anlise documental, testes e observao direta. A comprovao documental pode incluir fotografias, plantas, especificaes dos equipamentos/solues utilizados, etc. rea 3 - Segurana Lgica Os principais itens analisados so: Controle de acesso lgico Anlise das estratgias adotadas pela AC para segregar funes e acessar os sistemas crticos (ex.: a chave privada da AC permanece cifrada quando no est sendo usada. Para utiliz-la, preciso pelo menos 2 pessoas com senhas de ativao diferentes) Guarda das senhas de root/administrador dos sistemas - como so guardadas, qual a periodicidade de troca das mesmas, Utilizao de logins individuais para acesso aos sistemas, sempre que possvel Anlise das listas de acesso lgico aos diversos sistemas (operacional, certificao, SGBD, ativos de rede, etc.) para verificar se somente os funcionrios encarregados das atividades possuem acesso Gerao, extrao e guarda de logs Verificao dos procedimentos e scripts para extrao dos logs 17

Verificao se todos os eventos de guarda obrigatria sero registrados Verificao do local de armazenamento e perodo de reteno dos logs

Gerao, extrao e guarda de backups Verificao se os backups extrados so suficientes para recomposio dos sistemas em caso de falhas Verificao da forma de guarda e perodo de reteno dos backups Anlise de outros itens de segurana (p.ex.: em nenhum momento pode se feito backup do arquivo que contm a chave privada da AC, decifrada) Controle de softwares So analisados os procedimentos da AC para atualizao dos softwares instalados, em especial quanto homologao prvia das alteraes e quanto aplicao tempestiva de correes de segurana Verificam-se ainda, os controles para evitar a instalao de softwares no autorizados nos equipamentos que fazem parte da rede da AC, atualizao de antivrus etc. So usadas as tcnicas de anlise documental, testes e observao direta. Na auditoria pr-operacional verificada a capacidade da AC realizar os controles exigidos, uma vez que ainda no existem registros histricos a serem analisados. rea 4 - Segurana de Rede Os principais itens analisados so: Segurana da rede da AC Verificao da topologia da rede, sob o enfoque de segurana e disponibilidade o a rede segmentada, de forma a proteger o equipamento de certificao? o existem equipamentos redundantes para evitar a perda de acesso? o os links externos so contratados com operadoras diferentes? o o trfego dentro de intranets e extranets protegido por VPN? Anlise dos mecanismos de segurana adotados: firewall e IDS para verificar: monitoramento, regras e polticas implementadas, atualizao de listas de vulnerabilidades etc.

Repositrio da AC No repositrio, alm da LCR, que precisa ser continuamente verificada pelas aplicaes que fazem uso dos certificados emitidos pela AC, ainda constam as PC e DPC, documentos que devem estar sempre disponveis ao pblico. Analisam-se os mecanismos para verificao do ndice de disponibilidade mensal do repositrio, que deve ser de pelo menos 99%. Verificam-se, ainda, os procedimentos para publicao da LCR, sobretudo quanto aos aspectos de segurana. So usadas as tcnicas de anlise documental, testes e observao direta. 18

rea 5 - Segurana da Informao Est dividida em sete subreas:

Classificao da informao Gerao, manuseio, guarda e destruio de documentos e arquivos Auditorias de segurana das informaes (anlise de logs) Anlise de Risco Plano de Continuidade de Negcios Plano de Extino da AC Gerenciamento de Mudanas e Administrao da AC

Neste item verificada a existncia e adequao de Sistema de Classificao da Informao, Gerenciamento de Risco, Teste no Plano de Continuidade de Negcios e Plano de Extino da AC. No decorrer da auditoria, observa-se se os procedimentos utilizados esto em conformidade com os documentos acima. Verifica-se se a AC est aparelhada para analisar os logs coletados, o que precisa ser realizado pelo menos semanalmente. Tambm se procura entender como ser feito o controle e gerenciamento de todos os processos que devem ser obrigatoriamente realizados pela AC. So usadas as tcnicas de anlise documental e observao direta. rea 6a - Gerenciamento de chaves criptogrficas e do certificado da prpria AC Neste item so verificados os procedimentos e a capacidade dos sistemas instalados na AC para gerenciar suas chaves criptogrficas e seu prprio certificado, de acordo com os requisitos definidos pela ICP Brasil. solicitada, durante a auditoria, a realizao de simulao de: gerao de chaves criptogrficas da AC solicitao de seu certificado AC Raiz recepo do certificado e insero no sistema solicitao de revogao de seu certificado Alm disso, analisa-se a guarda e utilizao da chave privada da AC, como por exemplo: A chave privada da AC deve ser guardada sempre cifrada, em hardware seguro; Sua decifrao deve ocorrer apenas com a utilizao de controle particionado, envolvendo pelo menos 2 pessoas; Essas pessoas devem assinar termo declarando ter conhecimentos da sua 19

responsabilidade no processo; Cada uma dessas pessoas deve necessitar de pelo menos um elemento fsico (carto ou token) mais senha de seu conhecimento exclusivo para ativao da chave privada; Os cartes ou tokens ficam armazenados em cofre, cuja chave fica em poder de uma terceira pessoa, e tm seu uso registrado.

So usadas as tcnicas de anlise documental, observao direta e simulao. rea 6b - Gerenciamento do ciclo de vida dos certificados emitidos Neste item so verificados os procedimentos e a capacidade dos sistemas instalados na AC para gerenciar o ciclo de vida dos certificados por ela emitidos, de acordo com os requisitos definidos pela ICP Brasil. solicitada a realizao de simulao de: gerao de certificados de diferentes tipos (um para cada PC) gerao de LCR publicao de certificados e LCR no repositrio, com os requisitos de segurana definidos. So usadas as tcnicas de anlise documental, observao direta e simulao. Procedimentos finais Numa auditoria pr-operacional de AC so adotadas as seguintes medidas, visando deixar o sistema preparado para a efetiva colocao da AC em funcionamento, quando autorizado pelo Diretor-Presidente do ITI: Ao final das simulaes, solicitada a reinstalao do sistema operacional, do sistema de gerenciamento de banco de dados e do sistema de gerenciamento de certificados no equipamento ou partio que ir abrigar o servidor de certificao da AC, na presena de pelo menos um auditor Tal reinstalao filmada e os procedimentos realizados so registrados em log, de modo que a comisso de auditoria tenha condies de detectar qualquer atividade no autorizada Auditoria pr-operacional de Autoridade de Registro Auditorias pr-operacionais em Autoridades de Registro tambm abrangem as reas de Segurana Fsica, Lgica, de Rede e de Pessoal, bem como Segurana da Informao e Ciclo de Vida dos Certificados. So, todavia, mais simples do que as auditorias em AC, pois as Autoridades de Registro: utilizam ambientes fsicos menores, que no possuem tantos nveis de segurana de acesso; no utilizam servidores para as atividades de AR, apenas estaes de trabalho com browser para acessar o sistema de certificao da AC; 20

ocupam menos pessoas pode haver AR com apenas 2 funcionrios; executam apenas as etapas do ciclo de vida dos certificados ligadas identificao dos titulares e a validao das solicitaes.

Em geral, d-se nfase, numa auditoria pr-operacional de AR, verificao do treinamento e preparo dos agentes de certificao para a execuo das atividades. Esse um ponto crucial para a ICP-Brasil, uma vez que: o agente de validao o elo entre o mundo real e o mundo virtual, ou seja, ele quem realmente pode atestar que um dado certificado pertence efetivamente ao seu titular, pois ele quem faz a validao presencial; o agente de validao que pode orientar o titular do certificado sobre o seu uso correto e as implicaes decorrentes da guarda inadequada de sua chave privada. Auditoria pr-operacional de Prestador de Servios de Suporte A Resoluo 06 define 3 tipos de empresas que podem prestar servios de suporte para AC e AR, como vimos anteriormente. Quando o PSS fornece mo-de-obra especializada, a auditoria apenas verifica os itens relativos a Segurana de Pessoal. No caso de o PSS fornecer Infra-estrutura fsica e lgica, a auditoria compreende a verificao dos itens relativos a Segurana Fsica, Lgica, de Rede e da Informao (especialmente Plano de Continuidade de Negcios). Quando o PSS fornece tanto a mo-de-obra quanto a infra-estrutura, a auditoria compreende todos os itens elencados acima. So utilizados os mesmos critrios e procedimentos que seriam usados caso no houvesse a terceirizao do servio. Por exemplo: as pessoas contratadas pelo PSS devem apresentar a mesma documentao que os prprios funcionrios da AC ou AR apresentam. Auditoria operacional de Autoridade Certificadora Na auditoria operacional de AC verificam-se os mesmos itens que na pr-operacional, com a particularidade de que j existem registros de eventos realizados: certificados emitidos, revogados, logs dos acessos aos ambientes fsico e lgico etc. Assim, atravs da anlise de tais registros, pode-se avaliar se a AC est realizando adequadamente os procedimentos previstos. Em cada auditoria operacional de AC, embora todos os itens das Resolues sejam analisados, utiliza-se a rotao de nfase, ou seja, a cada ano, alguns assuntos so escolhidos para um exame mais aprofundado. Como exemplo, o atual ciclo de auditorias operacionais est enfatizando os seguintes aspectos: Capacidade de recuperao dos registros de guarda obrigatria, nos perodos de reteno definidos Processos usados para gerenciar mudanas e controlar a atualizao de softwares (patchs, hotfix etc.) 21

Verifica-se novamente a situao econmico-financeira da empresa, pela anlise do ltimo balano patrimonial, a atualizao da aplice de seguros bem como a realizao de auditorias em entidades subordinadas, que tenham sido realizadas no perodo. Auditoria operacional de Autoridade de Registro A auditoria operacional de AR, alm dos aspectos verificados na pr-operacional, enfatiza a anlise dos certificados emitidos, buscando evidenciar a qualidade dos processos de identificao e validao dos solicitantes de certificados. A lista dos certificados emitidos pela AR, fornecida auditoria pela AC responsvel, confrontada com os documentos de identificao e outros termos que devem estar armazenados pelos agentes de registro no ambiente da AR. Auditoria operacional de Prestador de Servio de Suporte realizada juntamente com a auditoria da AC ou AR qual o PSS se vincula e observa as mesmas diretrizes acima expostas. Auditorias operacionais realizadas por Empresas de Auditoria Independentes As auditorias operacionais em Autoridades Certificadoras que no sejam estejam imediatamente abaixo da AC Raiz so realizadas por empresas de auditoria independentes, que tambm podem ser contratadas para realizar auditorias operacionais em Autoridades de Registro e Prestadores de Servio de Suporte (ver Tabela 2). Esse processo, que est regulamento pela Resoluo 24, envolve as seguintes fases: 1. Cadastramento inicial da empresa de auditoria junto AC Raiz, com comprovao da capacidade jurdico-fiscal e tcnica; 2. Solicitao de autorizao AC-Raiz para executar misso de auditoria na entidade contratante. Essa solicitao feita a cada misso individual e deve ser acompanhada dos seguintes documentos: plano de auditoria descrio dos procedimentos a serem usados nas verificaes relao dos auditores que iro executar a misso modelo de relatrio. 3. Realizao da auditoria, aps obtida a autorizao, com remessa do relatrio final, na ntegra, AC Raiz, para anlise. Esses procedimentos visam a descentralizar, de forma controlada, a realizao das auditorias na ICP-Brasil, uma vez que a quantidade de entidades credenciadas tende a crescer de forma no linear, no sendo possvel a AC Raiz auditar diretamente todas elas.

22

10 Resultados das Auditorias

As auditorias tm contribudo para manter a qualidade dos servios e processos realizados na ICP-Brasil e mesmo para melhorar os patamares de atuao. Em diversos casos as constataes e recomendaes de auditoria serviram para evitar problemas graves, como: Utilizao de sala-cofre sem os requisitos de estanqueidade necessrios; Manuteno de bases de dados corrompidas; No utilizao de VPN para proteger o trfego de dados para o servidor da AC ; Alocao de pessoas despreparadas para executar a tarefa de Agentes de Registro; No verificao da vulnerabilidade dos servidores, tendo, em decorrncia, sistemas desatualizados e com graves brechas de segurana; No realizao da anlise dos logs de eventos crticos; Perda de imagens dos ambientes pela falta de troca das fitas de vdeo em tempo hbil; Emisso de certificados a titulares sem a respectiva documentao.

23

11- Bibliografia

MP 2.200-2 de 24.08.2001 Resolues 1 a 37 da ICP-Brasil Costa, Joo Carlos Ferreira et. All Procedimentos de Auditoria Informtica Instituto de Auditores Internos do Brasil - 1994 King, Christopher M. et. All Security Architecture design, Deployment & Operations RSA PRESS - 2001 Champlain, Jack J. - Auditing Information Systems 2 edio, Ed. Wiley - Jon Wiley & Sons, inc. - 2003 Arruda, Jos Ricardo Campelo et All Segurana de Dados e Criptografia Ed. CEPUERJ Centro de Produo Universidade do Estado do Rio de Janeiro 1993 Silva, Lino Sarlo Public Key infrastructure . PKI Conhea a Infra-estrutura de Chaves pblicas e a Certificao Digital Novatec editora 2004 Boynton, William C. - Auditoria Editora Atlas So Paulo - 2002

24

12 - Sites das Autoridades Certificadoras da ICP-Brasil

ITI www.iti.gov.br CAIXA ECONMICA FEDERAL www.icp.caixa.gov.br/asp/repositorio.asp CERTISIGN CERTIFICADORA DIGITAL http://icp-brasil.certisign.com.br/repositorio PRESIDNCIA DA REPBLICA https://thor.serpro.gov.br SECRETARIA DA RECEITA FEDERAL http://www.receita.fazenda.gov.br/acsrf SERASA http://certificadodigital.com.br/repositorio SERPRO https://thor.serpro.gov.br/ACSERPRO

25