Descargar Presentación

Anuncio
Milthon J. Chavez,
CISA, CISM, CGEIT, CRISC, ISO27000LA, ISO22301LA
Acreditado como Auditor de Certificación Electrónica
Director de MCH Y ASOCIADOS
Objetivos
•
•
•
•
© ISACA 2016.
All Rights Reserved.
Conocer arquitectura organizacional y procesos típicos de
entidades proveedoras de servicios de certificación
electrónica/ firma electrónica/ firma digital)
Entender el entorno de riesgos y requisitos de seguridad de
los servicios de firma electrónica/firma digital.
Conocer requerimientos de auditabilidad de proveedores de
servicios de certificación electrónica - PKI.
Conocer normativas internacionales específicas para
servicios de certificación electrónica/ firma digital.
#LATINCACS
© ISACA 2016.
All Rights Reserved.
#LATINCACS
Modelos de Confianza
Anillo de Confianza
•
•
•
PGP
GnuPGP
OpenPGP
Clave Publica (PKI)
•
•
•
•
•
© ISACA 2016.
All Rights Reserved.
Criptografía Asimétrica
X.509
TLS (Transport Layer Security)(RFC5246,6176)
SSL (Secure Sockets Layer)
Aplicaciones: HTTPS, IMAPS,POP3S,SMTPS
#LATINCACS
Criptografía Asimétrica

Dos claves relacionadas matemáticamente
– Es imposible derivar una de ella a partir de la otra
– Se cifra (encripta) con una – Se descifra (desencripta)
con la otra

Criptografía de Clave Pública
– Una Clave (pública) es publicada para que todos la
conozcan
– La otra Clave (privada) se mantiene en secreto

© ISACA 2016.
All Rights Reserved.
Algoritmos:
– RSA – Factorización de Enteros (Números primos muy
grandes)
– Diffie-Hellman – Algoritmo Discreto
– ECES – Algoritmo Discreto de Curva Elíptica
#LATINCACS
Infraestructura de Clave Pública
La infraestructura de claves púbicas (PKI) provee
los medios para enlazar las claves privadas con
sus propietarios y ayuda en la distribución de
claves públicas confiables en redes amplias y
heterogéneas. NIST
Es el conjunto de Hardware, software, personas,
políticas y procedimientos necesarios para crear,
administrar, almacenar, distribuir y revocar los
Certificados de Clave Pública basados en criptografía
de clave pública.
IETF PKIX working group
© ISACA 2016.
All Rights Reserved.
#LATINCACS
Ejemplo de Criptografía Asimétrica
Juan
Hola Rosa:
Clave Privada
Rosa
De Rosa
Clave Pública
De Rosa
Hola Rosa:
(Mensaje de Juan)
(Mensaje de Juan.)
Saludos, Juan
Saludos, Juan
Texto Cifrado
cifrado
011100111001001
110011100111001
001110000111111
descifrado
Ejemplo de No-Repudiación
Clave Privada
Rosa
de Rosa
Clave Pública
Juan
de Rosa
Hola Juan:
Hola Juan:
(Mensaje de Rosa)
(Mensaje de Rosa)
Rosa
Rosa
Texto Cifrado
descifrado
011100111001001
110011100111001
001110000111111
cifrado
Componentes estructurales
Soporte de
claves
privadas
Publicación
de
Certificados
Políticas de
Certificación
Aplicaciones
PKI
Autoridad
Certificadora
Raíz
© ISACA 2016.
All Rights Reserved.
#LATINCACS
Efectos colaterales
© ISACA 2016.
All Rights Reserved.
#LATINCACS
© ISACA 2016.
All Rights Reserved.
#LATINCACS
Requerimientos de Auditabilidad
Modelo de
Confianza
© ISACA 2016.
All Rights Reserved.
#LATINCACS
Requerimientos de Auditabilidad
Modelo de
Confianza
© ISACA 2016.
All Rights Reserved.
#LATINCACS
Requerimientos de Auditabilidad
Modelo de
Confianza
© ISACA 2016.
All Rights Reserved.
P.S.C
Normas
Comunidad
Mejores
Prácticas
Reguladores
Marco
Jurídico
#LATINCACS
Requerimientos de Auditabilidad
(+)
Modelo de
Confianza
S/Tecnológica
(-)
• Divulgación y Promoción
• Especialización
• Modo de Competencia
© ISACA 2016.
All Rights Reserved.
S/Jurídica
Proporcional
Escalar
Universal
Evolutiva
Evolutiva
#LATINCACS
Subsistemas críticos del Modelo de Confianza
Modelo de
Confianza
Seguridad
de la
Información
© ISACA 2016.
All Rights Reserved.
Gestión del
Ciclo de
Vida del
Certificado
#LATINCACS
Requerimientos de Auditabilidad
AUDITORIA
FIRMA
ELECTRONICA
© ISACA 2016.
All Rights Reserved.
#LATINCACS
Requerimientos de Auditabilidad
Modelo de
Confianza
Seguridad
de la
Información
© ISACA 2016.
All Rights Reserved.
Gestión del
Ciclo de
Vida del
Certificado
#LATINCACS
Procesos Principales










© ISACA 2016.
All Rights Reserved.
OPERACIÓN DE LA A. DE REGISTRO
OPERACIÓN DE LA A. DE CERTIFICACION
PLANIFICACION E IMPLEMENTACION DE LA S/I
GESTION DE LLAVES CRITOGRAFICAS
GESTION DE LA INFRAESTRUCTURA
ADMINISTRACION DE LA L.C.R
ADMINISTRACION DE LA CONTINUIDAD
ACTUALIZACION
GESTION DE RIESGOS
AUDITORIAS
#LATINCACS
Gobernabilidad – Gestión : Documentación
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
© ISACA 2016.
All Rights Reserved.
Estructura e Información del Certificado Electrónico
Estructura de la Lista de Certificados Revocados (LCR) y
Servicio OCSP (Online Certificate Status Protocol).
Registro de Acceso Público
Infraestructura de Clave Pública.
Ciclo de Vida de las Claves
Plan de Administración de Claves Criptográficas
Modelo y Manual de Operación de la Autoridad de Certificación (AC)
Modelo y Manual de Operación de la Autoridad de Registro (AR)
Declaración de Prácticas de Certificación y Políticas de Certificado
Declaración de Prácticas de Certificación(DPC) y Política de Certificados(PC)
Organización
Evaluación del Personal.
Reconocimiento de los Certificados de la Cadena de Confianza
Inclusión de Certificado Raíz de PSC o CE en Herramientas Tecnológicas
#LATINCACS
Seguridad : Documentación
•
•
•
•
•
•
•
•
© ISACA 2016.
All Rights Reserved.
Modelo de Confianza
Administración, Operación y Seguridad de la Infraestructura de Clave Pública
Revisión de la Evaluación de Riesgos y Amenazas
Política de Seguridad de la Información (Documentación y mantenimiento)
Plan de Continuidad del Negocio y Recuperación ante Desastres
Plan de Seguridad de la Información
Implementación del Plan de Seguridad de la Información
Evaluación de la Plataforma Tecnológica.
#LATINCACS
Riesgos Críticos
Compromiso
de las llaves
Continuidad
Tecnológica
Riesgos
Gobernabilidad
del C.D.V del
Certificado
© ISACA 2016.
All Rights Reserved.
Seguridad de la
Información
#LATINCACS
Áreas del Cumplimiento
Gestión
Tecnológica
Gestión
Jurídica
© ISACA 2016.
All Rights Reserved.
Usar una firma digital supone satisfacer
algunos requerimientos tecnológicos con
los documentos o sistemas
involucrados.
Usar una firma digital supone satisfacer
algunos requerimientos legales con los
documentos o sistemas involucrados.
#LATINCACS
Normas Internacionales

ETSI EN 319 403 V2.2.2 (2015-08) Electronic Signatures and Infrastructures (ESI);Trust
Service Provider Conformity Assessment - Requirements for conformity assessment bodies
assessing Trust Service Providers

FIPS PUB 140-2: Security Requirements for Cryptographic Modules, (Diciembre 2002).

ETSI TS 102 042V2.4.1 (2013-02): “Electronic Signatures and Infrastructures (ESI); Policy
requirements for certification authorities issuing public key certificates

RFC 3280, “Internet X.509 Public Key Infrastructure Certificate and Certificate. Revocation
List (CRL) Profile”. Abril 2002.

ISO/IEC 9594-8:2005 Information Tecnology – Open Systems Interconnection – The
Directory: Publickey and Attribute Certificate Frameworks.

ITU-T Rec. X.509 Information technology – Open Systems Interconnection – The Directory:
Public-key and attribute certificate frameworks . (10/2012)

ITU-T Rec. X.690 (1997) / ISO/IEC 8825-1:2008. ASN.1 Basic Encoding Rules RFC 2559
Boeyen, S. et al. "Internet X.509 Public Key Infrastructure. Abril 2002.

RFC 3647. “Internet X.509 Public Key Infrastructure Certificate Policy and Certification
Practices Framework“. Noviembre 2003.

© ISACA 2016.
All Rights Reserved.
#LATINCACS
Normas Seguridad de la Información
© ISACA 2016.
All Rights Reserved.
•
ISO/IEC 27001:2013 Tecnología de la Información. Técnicas de Seguridad – Sistema de
•
Gestión de la Seguridad de la Información - Requisitos. (2013).
•
ISO/IEC 27002:2013 Tecnología de la Información. Técnicas de Seguridad – Código de
buenas prácticas para controles de seguridad de la información.

ISO/IEC 27002:2007 Tecnología de la Información. Técnicas de Seguridad – Sistema de
Gestión de la Información. (2007).

ISO/IEC 15408: Common Criteria for Information Technology Security Evaluation, Versión 3
(2009)
#LATINCACS
Ciclos de Auditorias
INTERNAS
DE
TERCERA
PARTE
REGULATORIA
© ISACA 2016.
All Rights Reserved.
#LATINCACS
Milthon J. Chavez,
CISA, CISM, CGEIT, CRISC, ISO27000LA, ISO22301LA
Acreditado como Auditor de Certificación Electrónica
Director de MCH Y ASOCIADOS
mch@mch.com.ve
@mchyasociados
Descargar