Webinar ITI Brazil - Investing in Brazil in a time of change
O ITI e a Infra-estrutura de Chaves Públicas Brasileira · Segurança física, lógica e de...
Transcript of O ITI e a Infra-estrutura de Chaves Públicas Brasileira · Segurança física, lógica e de...
![Page 1: O ITI e a Infra-estrutura de Chaves Públicas Brasileira · Segurança física, lógica e de pessoal Testes de: – Validação do solicitante – Geração de certificados para tipo](https://reader034.fdocumentos.com/reader034/viewer/2022052422/5c2802f009d3f2476c8bfbb5/html5/thumbnails/1.jpg)
Instituto Nacional de Tecnologia da Informação
O ITI e a Infra-estrutura de Chaves Públicas Brasileira
Viviane Regina Lemos BertolCoordenadora-Geral
de Normalização e Pesquisa
![Page 2: O ITI e a Infra-estrutura de Chaves Públicas Brasileira · Segurança física, lógica e de pessoal Testes de: – Validação do solicitante – Geração de certificados para tipo](https://reader034.fdocumentos.com/reader034/viewer/2022052422/5c2802f009d3f2476c8bfbb5/html5/thumbnails/2.jpg)
Instituto Nacional de Tecnologia da Informação
O ITI– Autarquia Federal, ligada à Casa Civil daPresidência da República– Criada para ser a AC-Raiz da ICP-Brasil em 2001 –MP 2.200-2– Composta de:
•Diretor-Presidente•Diretoria de Infra-estrutura de Chaves Públicas•Diretoria de Auditoria, Fiscalização e Normalização•Procuradoria Especializada
![Page 3: O ITI e a Infra-estrutura de Chaves Públicas Brasileira · Segurança física, lógica e de pessoal Testes de: – Validação do solicitante – Geração de certificados para tipo](https://reader034.fdocumentos.com/reader034/viewer/2022052422/5c2802f009d3f2476c8bfbb5/html5/thumbnails/3.jpg)
Instituto Nacional de Tecnologia da Informação
O ITI– ICP-Brasil
• AC-Raiz• Auditoria e Fiscalização• Normalização e Pesquisa• Projeto João-de-Barro• Homologação de HW e SW
– Software Livre– Inclusão Digital – Casa Brasil
![Page 4: O ITI e a Infra-estrutura de Chaves Públicas Brasileira · Segurança física, lógica e de pessoal Testes de: – Validação do solicitante – Geração de certificados para tipo](https://reader034.fdocumentos.com/reader034/viewer/2022052422/5c2802f009d3f2476c8bfbb5/html5/thumbnails/4.jpg)
Instituto Nacional de Tecnologia da Informação
ICP-Brasil– Criada a partir da percepção do Governo Federal da importância de regulamentar as atividades de certificação digital no País
– Compõe-se de: (1) Entidades, (2) Padrões técnicose (3) Regulamentos para suportar um sistemacriptográfico de certificados digitais
![Page 5: O ITI e a Infra-estrutura de Chaves Públicas Brasileira · Segurança física, lógica e de pessoal Testes de: – Validação do solicitante – Geração de certificados para tipo](https://reader034.fdocumentos.com/reader034/viewer/2022052422/5c2802f009d3f2476c8bfbb5/html5/thumbnails/5.jpg)
Instituto Nacional de Tecnologia da Informação
AC 1º. Nível
COTEC
ACRAIZ Auditoria
AC 1º. NívelAR ARAR
AC 2º. NívelAC 2º. Nível
ARAR
PSS
Entidades
da
ICP-Brasil
COMITÊ GESTOR
LEA
Titulares
TitularesTitulares
![Page 6: O ITI e a Infra-estrutura de Chaves Públicas Brasileira · Segurança física, lógica e de pessoal Testes de: – Validação do solicitante – Geração de certificados para tipo](https://reader034.fdocumentos.com/reader034/viewer/2022052422/5c2802f009d3f2476c8bfbb5/html5/thumbnails/6.jpg)
Entidades da ICP–Brasil
Instituto Nacional de Tecnologia da Informação
– Comitê Gestor Responsável pela implantação da ICP-BrasilEstabele políticas, critérios e normas de
funcionamentoAudita e fiscaliza a AC Raiz
– CotecDá assessoria técnica ao CGPropõe criação / alteração de regulamentos
![Page 7: O ITI e a Infra-estrutura de Chaves Públicas Brasileira · Segurança física, lógica e de pessoal Testes de: – Validação do solicitante – Geração de certificados para tipo](https://reader034.fdocumentos.com/reader034/viewer/2022052422/5c2802f009d3f2476c8bfbb5/html5/thumbnails/7.jpg)
Entidades da ICP–Brasil– AC Raiz
Credencia, audita e fiscaliza entidades da ICP-BrasilAssina seu próprio certificado e os certificados das
AC imediatamente abaixo dela
– AC – Autoridade CertificadoraEmite, renova ou revoga certificados digitais de
outras AC ou de titulares finaisPublica LCR
Instituto Nacional de Tecnologia da Informação
![Page 8: O ITI e a Infra-estrutura de Chaves Públicas Brasileira · Segurança física, lógica e de pessoal Testes de: – Validação do solicitante – Geração de certificados para tipo](https://reader034.fdocumentos.com/reader034/viewer/2022052422/5c2802f009d3f2476c8bfbb5/html5/thumbnails/8.jpg)
Instituto Nacional de Tecnologia da Informação
Entidades da ICP–Brasil– AR – Autoridade de Registro
Identifica e cadastra usuários na presença destesEncaminha solicitações de certificados às ACMantém registros de suas operações
– PSS – Prestador de Serviços de SuporteInfra-estrutura física e lógicaMão-de-obra especializada
![Page 9: O ITI e a Infra-estrutura de Chaves Públicas Brasileira · Segurança física, lógica e de pessoal Testes de: – Validação do solicitante – Geração de certificados para tipo](https://reader034.fdocumentos.com/reader034/viewer/2022052422/5c2802f009d3f2476c8bfbb5/html5/thumbnails/9.jpg)
Instituto Nacional de Tecnologia da Informação
Entidades da ICP–BrasilTitular de Certificado
É aquele que é identificado pelo certificado digitalPode ser: pessoa física / jurídica ou equipamento
LEA – Laboratório de Ensaios e AuditoriaHomologação de equipamentos e sistemas de certificação digital
Auditoria Independente / Auditoria InternaAutorizada pelo ITIContratada pelas AC
![Page 10: O ITI e a Infra-estrutura de Chaves Públicas Brasileira · Segurança física, lógica e de pessoal Testes de: – Validação do solicitante – Geração de certificados para tipo](https://reader034.fdocumentos.com/reader034/viewer/2022052422/5c2802f009d3f2476c8bfbb5/html5/thumbnails/10.jpg)
Instituto Nacional de Tecnologia da Informação
ICP-Brasil - Padrões TécnicosFIPS 140-2 – segurança dos módulos criptográficos X-509 – formato do certificadoPKCS – formato de arquivos para solicitação e entrega dos certificadosRFC 3280 – interpretação das extensões do certificadoRFC 2527 – estrutura das declarações de práticasde certificação
![Page 11: O ITI e a Infra-estrutura de Chaves Públicas Brasileira · Segurança física, lógica e de pessoal Testes de: – Validação do solicitante – Geração de certificados para tipo](https://reader034.fdocumentos.com/reader034/viewer/2022052422/5c2802f009d3f2476c8bfbb5/html5/thumbnails/11.jpg)
Instituto Nacional de Tecnologia da Informação
Regulamentos da ICP-Brasil
MP-2200/2, de 24.10.01– criação da ICP-BrasilDecreto 4.689, de 07.05.2003 – estrutura do ITIResoluções do Comitê-Gestor Instruções Normativas do ITI Códigos Civil, Penal, Tributário, Direito do Consumidor
![Page 12: O ITI e a Infra-estrutura de Chaves Públicas Brasileira · Segurança física, lógica e de pessoal Testes de: – Validação do solicitante – Geração de certificados para tipo](https://reader034.fdocumentos.com/reader034/viewer/2022052422/5c2802f009d3f2476c8bfbb5/html5/thumbnails/12.jpg)
Por que usar certificados da ICP-Brasil
– Validade Jurídica dos documentos assinados– Padrões Internacionais de segurança nas instalações e procedimentos– Declaração Pública de Práticas– Identificação Presencial do titular do certificado– Seguro de responsabilidade civil– Guarda dados por tempo ilimitado– Auditoria prévia e anual nas entidades– Interoperabilidade
Instituto Nacional de Tecnologia da Informação
![Page 13: O ITI e a Infra-estrutura de Chaves Públicas Brasileira · Segurança física, lógica e de pessoal Testes de: – Validação do solicitante – Geração de certificados para tipo](https://reader034.fdocumentos.com/reader034/viewer/2022052422/5c2802f009d3f2476c8bfbb5/html5/thumbnails/13.jpg)
Interoperabilidade
Instituto Nacional de Tecnologia da Informação
Pessoa Física e Pessoa Jurídica
![Page 14: O ITI e a Infra-estrutura de Chaves Públicas Brasileira · Segurança física, lógica e de pessoal Testes de: – Validação do solicitante – Geração de certificados para tipo](https://reader034.fdocumentos.com/reader034/viewer/2022052422/5c2802f009d3f2476c8bfbb5/html5/thumbnails/14.jpg)
Instituto Nacional de Tecnologia da Informação
Exemplos de Uso de certificados ICP-BrasilSistema Brasileiro de Pagamentos – SPBDCTF, DIRPF, DIRPJ, e-CAC, PAF (SRF/MF)Escrituração Fiscal – Secretaria da Fazenda do Estadode PernambucoNF-e – Nota Fiscal Eletrônica (SRF/MF, SP,GO,MA,BA,SC,RS)Contratos de Câmbio - Apólices de SegurosPregões Eletrônicos (SP,SC,MG) e COMPRASNET (Federal)Sistemas Estruturadores do Governo Federal e SCPDInternet Banking e Mobile Banking
![Page 15: O ITI e a Infra-estrutura de Chaves Públicas Brasileira · Segurança física, lógica e de pessoal Testes de: – Validação do solicitante – Geração de certificados para tipo](https://reader034.fdocumentos.com/reader034/viewer/2022052422/5c2802f009d3f2476c8bfbb5/html5/thumbnails/15.jpg)
Instituto Nacional de Tecnologia da Informação
Exemplos de Uso de certificados ICP-BrasilPROUNI - MECe-DOC do TRT 4a. Região e outros cases na esfera do judiciário (TJ-RS, TJ-RJ, e-Jus, Diário da Justiça On-Line, Revista de Jurisprudência do STJ)DETRAN - MGLicenças Ambientais – CETESB/SPINPIContadores, Odontólogos, Médicos, Corretores de SegurosServidores do Judiciário Federal, Auditores-fiscais daReceita
![Page 16: O ITI e a Infra-estrutura de Chaves Públicas Brasileira · Segurança física, lógica e de pessoal Testes de: – Validação do solicitante – Geração de certificados para tipo](https://reader034.fdocumentos.com/reader034/viewer/2022052422/5c2802f009d3f2476c8bfbb5/html5/thumbnails/16.jpg)
Instituto Nacional de Tecnologia da Informação
Auditoria da ICP-BrasilPré-operacional
–Credenciar –Não credenciarOperacional – anual ou intempestiva
–Manter credenciamento–Suspender emissão de certificados–Descredenciar
![Page 17: O ITI e a Infra-estrutura de Chaves Públicas Brasileira · Segurança física, lógica e de pessoal Testes de: – Validação do solicitante – Geração de certificados para tipo](https://reader034.fdocumentos.com/reader034/viewer/2022052422/5c2802f009d3f2476c8bfbb5/html5/thumbnails/17.jpg)
Itens verificados numa Auditoria Pré-Operacional de AC
Instituto Nacional de Tecnologia da Informação
Segurança Pessoas–Contratação: verificação antecedentes, termos de sigilo, perfil –Treinamento, Avaliação Desempenho–Desligamento: revogação acessos, assinatura termos
Segurança Física–6 Níveis de Segurança – Sala Cofre–Monitoramento permanente: alarmes, câmaras vídeo–Sistemas proteção de incêndio, redundância energia
![Page 18: O ITI e a Infra-estrutura de Chaves Públicas Brasileira · Segurança física, lógica e de pessoal Testes de: – Validação do solicitante – Geração de certificados para tipo](https://reader034.fdocumentos.com/reader034/viewer/2022052422/5c2802f009d3f2476c8bfbb5/html5/thumbnails/18.jpg)
Instituto Nacional de Tecnologia da Informação
HSM
Nível 1
Nível 2Nível 3
Nível 4
![Page 19: O ITI e a Infra-estrutura de Chaves Públicas Brasileira · Segurança física, lógica e de pessoal Testes de: – Validação do solicitante – Geração de certificados para tipo](https://reader034.fdocumentos.com/reader034/viewer/2022052422/5c2802f009d3f2476c8bfbb5/html5/thumbnails/19.jpg)
Itens verificados numa Auditoria Pré-Operacional de AC
Instituto Nacional de Tecnologia da Informação
Segurança Lógica–Controle de acesso: somente funcis autorizados –Guarda / troca senhas administrador e usuários–Geração e guarda de logs com os registros obrigatórios–Geração e guarda de backups–Controle softwares instalados nos servidores críiticos: versão usada, testes de homologação, atualizações de segurança etc
![Page 20: O ITI e a Infra-estrutura de Chaves Públicas Brasileira · Segurança física, lógica e de pessoal Testes de: – Validação do solicitante – Geração de certificados para tipo](https://reader034.fdocumentos.com/reader034/viewer/2022052422/5c2802f009d3f2476c8bfbb5/html5/thumbnails/20.jpg)
Instituto Nacional de Tecnologia da Informação
HSM
AR
SERVWEB
SERV AUT
IDS
SERV CERT
![Page 21: O ITI e a Infra-estrutura de Chaves Públicas Brasileira · Segurança física, lógica e de pessoal Testes de: – Validação do solicitante – Geração de certificados para tipo](https://reader034.fdocumentos.com/reader034/viewer/2022052422/5c2802f009d3f2476c8bfbb5/html5/thumbnails/21.jpg)
Itens verificados numa Auditoria Pré-Operacional de AC
Instituto Nacional de Tecnologia da Informação
Segurança Rede–Topologia, segmentação da rede–Regras de Firewall, IDS –Uso de VPN em intranets e extranet–Monitoramento de ataques–Testes periódicos de vulnerabilidade–Disponibilidade do repositório de LCR
![Page 22: O ITI e a Infra-estrutura de Chaves Públicas Brasileira · Segurança física, lógica e de pessoal Testes de: – Validação do solicitante – Geração de certificados para tipo](https://reader034.fdocumentos.com/reader034/viewer/2022052422/5c2802f009d3f2476c8bfbb5/html5/thumbnails/22.jpg)
Itens verificados numa Auditoria Pré-Operacional de AC
Instituto Nacional de Tecnologia da Informação
Segurança Informação–Análise de logs –Classificação da Informação–Análise de Risco–Plano de Continuidade de Negócios–Plano de Extinção da AC–Gerenciamento de Mudanças–Administração dos procedimentos operacionais da AC
![Page 23: O ITI e a Infra-estrutura de Chaves Públicas Brasileira · Segurança física, lógica e de pessoal Testes de: – Validação do solicitante – Geração de certificados para tipo](https://reader034.fdocumentos.com/reader034/viewer/2022052422/5c2802f009d3f2476c8bfbb5/html5/thumbnails/23.jpg)
Itens verificados numa Auditoria Pré-Operacional de AC
Instituto Nacional de Tecnologia da Informação
Gerenciamento da Chave da AC – Instalação dos sistemas de certificação– Geração de chaves da Ac e Solicitação de certificado– Recepção de certificado da AC Raiz e instalação no
sistema– Revogação de certificado da AC– Guarda da chave privada – partições n/m, cofre,
gabinetes
![Page 24: O ITI e a Infra-estrutura de Chaves Públicas Brasileira · Segurança física, lógica e de pessoal Testes de: – Validação do solicitante – Geração de certificados para tipo](https://reader034.fdocumentos.com/reader034/viewer/2022052422/5c2802f009d3f2476c8bfbb5/html5/thumbnails/24.jpg)
Itens verificados numa Auditoria Pré-Operacional de AC
Instituto Nacional de Tecnologia da Informação
Gerenciamento dos certificados de titulares –Geração de certificados para tipo de PC–Revogação dos certificados–Geração e publicação de LCR–Log dos eventos
![Page 25: O ITI e a Infra-estrutura de Chaves Públicas Brasileira · Segurança física, lógica e de pessoal Testes de: – Validação do solicitante – Geração de certificados para tipo](https://reader034.fdocumentos.com/reader034/viewer/2022052422/5c2802f009d3f2476c8bfbb5/html5/thumbnails/25.jpg)
Itens verificados numa Auditoria Pré-Operacional de AR
Instituto Nacional de Tecnologia da Informação
Segurança física, lógica e de pessoalTestes de:
– Validação do solicitante– Geração de certificados para tipo de PC– Revogação dos certificados– Guarda da Documentação
Ênfase no treinamento dos agentes de registro
![Page 26: O ITI e a Infra-estrutura de Chaves Públicas Brasileira · Segurança física, lógica e de pessoal Testes de: – Validação do solicitante – Geração de certificados para tipo](https://reader034.fdocumentos.com/reader034/viewer/2022052422/5c2802f009d3f2476c8bfbb5/html5/thumbnails/26.jpg)
Instituto Nacional de Tecnologia da Informação
Resultados das Auditorias
Exemplos de problemas solucionados
– Sala-cofre sem estanqueidade– Bases de dados corrompidas– Não realização das análises de logs obrigatórias– Emissão de certificados sem respectiva documentação– Emprego de agentes de registro despreparados– Perda de imagens das câmaras de vídeo
![Page 27: O ITI e a Infra-estrutura de Chaves Públicas Brasileira · Segurança física, lógica e de pessoal Testes de: – Validação do solicitante – Geração de certificados para tipo](https://reader034.fdocumentos.com/reader034/viewer/2022052422/5c2802f009d3f2476c8bfbb5/html5/thumbnails/27.jpg)
Instituto Nacional de Tecnologia da Informação
Projeto João-de-Barro
MOTIVAMOTIVAÇÇÃOÃOIndependênciaIndependência de de fornecedoresfornecedores ((caixacaixa pretapreta))AutonomiaAutonomia TecnolTecnolóógicagicaResgateResgate AcadêmicoAcadêmicoNacionalizaNacionalizaççãoão dada PlataformaPlataforma TecnolTecnolóógicagica
![Page 28: O ITI e a Infra-estrutura de Chaves Públicas Brasileira · Segurança física, lógica e de pessoal Testes de: – Validação do solicitante – Geração de certificados para tipo](https://reader034.fdocumentos.com/reader034/viewer/2022052422/5c2802f009d3f2476c8bfbb5/html5/thumbnails/28.jpg)
Instituto Nacional de Tecnologia da Informação
Projeto João-de-Barro
OBJETIVOSOBJETIVOSCriptossistemaCriptossistema dada ACAC--Raiz Raiz dada ICPICP--BrasilBrasilMassaMassa crcrííticatica emem certificacertificaççãoão digital, auditoria de infradigital, auditoria de infra--estruturaestrutura de de chaveschaves ppúúblicasblicas e e criptografiacriptografia
![Page 29: O ITI e a Infra-estrutura de Chaves Públicas Brasileira · Segurança física, lógica e de pessoal Testes de: – Validação do solicitante – Geração de certificados para tipo](https://reader034.fdocumentos.com/reader034/viewer/2022052422/5c2802f009d3f2476c8bfbb5/html5/thumbnails/29.jpg)
Instituto Nacional de Tecnologia da Informação
Projeto João-de-Barro
PARTICIPANTESITI – GerênciaCASNAV – Especificação Técnica do ProjetoITA - Módulo de Segurança CriptográficaCEPESQ – Gerador de Números Aleatórios LABSEC UFSC - Sistema de Gerência de CertificadosSERPRO – Metodologia de DesenvolvimentoFINEP – Financiadora do Projeto
![Page 30: O ITI e a Infra-estrutura de Chaves Públicas Brasileira · Segurança física, lógica e de pessoal Testes de: – Validação do solicitante – Geração de certificados para tipo](https://reader034.fdocumentos.com/reader034/viewer/2022052422/5c2802f009d3f2476c8bfbb5/html5/thumbnails/30.jpg)
Instituto Nacional de Tecnologia da Informação
Projeto João-de-BarroCRONOGRAMASET 2006 – Integração entre sw SGC e sw MSC FEV 2007 – Integração entre sw SGC e sw + hw MSCAGO 2007 – Implantação em produção
![Page 31: O ITI e a Infra-estrutura de Chaves Públicas Brasileira · Segurança física, lógica e de pessoal Testes de: – Validação do solicitante – Geração de certificados para tipo](https://reader034.fdocumentos.com/reader034/viewer/2022052422/5c2802f009d3f2476c8bfbb5/html5/thumbnails/31.jpg)
Instituto Nacional de Tecnologia da Informação
Normalização e Pesquisa
Normalização sobre Carimbo de TempoAtualização dos algoritmos e padrões técnicosManual de Condutas Técnicas para homologação de sw e hw
![Page 32: O ITI e a Infra-estrutura de Chaves Públicas Brasileira · Segurança física, lógica e de pessoal Testes de: – Validação do solicitante – Geração de certificados para tipo](https://reader034.fdocumentos.com/reader034/viewer/2022052422/5c2802f009d3f2476c8bfbb5/html5/thumbnails/32.jpg)
Sites para consultaITI – www.iti.gov.br e www.iti.brCEF – www.icp.caixa.gov.br/asp/respositorio.aspPR – https://thor.serpro.gov.brSRF – http://www.receita.fazenda.gov.br/acsrfSERASA – http://certificadodigital.com.br/repositorioSERPRO – https://thor.serpro.gov.br/ACSERPROCERTISIGN – http://www.icp-brasil.certisign.com.br/repositorio
Instituto Nacional de Tecnologia da Informação
![Page 33: O ITI e a Infra-estrutura de Chaves Públicas Brasileira · Segurança física, lógica e de pessoal Testes de: – Validação do solicitante – Geração de certificados para tipo](https://reader034.fdocumentos.com/reader034/viewer/2022052422/5c2802f009d3f2476c8bfbb5/html5/thumbnails/33.jpg)
Instituto Nacional de Tecnologia da Informação
Muito Obrigada
VIVIANE REGINA LEMOS BERTOLCoordenadora Geral de Normalização e Pesquisa
e-mail: [email protected]