Sistemul de Tahografe Digitale pentru ROMANIA Codul de Practici si Proceduri pentru operarea RO-CP

CUPRINS
CUPRINS........................................................................................................................................................... 2 1 INTRODUCERE ......................................................................................................................................... 4 1.1 Descriere generala ............................................................................................................................... 4 1.2 Numele si Identificarea Documentului .................................................................................................. 7 1.3 Participanti ............................................................................................................................................ 7 1.3.1 Autoritati de Certificare ................................................................................................................ 7 1.3.2 Autoritati de Inregistrare.................................................................................................................. 7 1.3.3 Abonati.......................................................................................................................................... 7 1.3.5 Destinatarii Cheilor pentru Senzorii de Miscare ................................................................................ 7 1.4 Utilizarea certificatului........................................................................................................................... 7 1.5 Utilizarea Mesajului pentru Distribuirea Cheii (KDM) ........................................................................... 7 1.6 Administrarea CPP ............................................................................................................................... 8 1.7 Definitii si Acronime .............................................................................................................................. 8 2 CONTROALE TEHNICE DE SECURITATE ................................................................................................ 10 2.1 Generarea si Instalarea Perechii de Chei pt Carduri.......................................................................... 10 2.1.1 Generarea perechii de chei ....................................................................................................... 10 2.1.2 Distribuirea cheii private catre entitati ........................................................................................... 10 2.1.3 Trimiterea cheii publice catre emitatorul certificatului (RO-CA) ...................................................... 10 2.1.4 Distribuirea cheilor publice ale cardurilor catre entitatile partenere................................................. 10 2.1.5 Marimile cheilor ........................................................................................................................... 11 2.1.6 Parametrii de generare ai cheilor publice...................................................................................... 11 2.1.7 Verificarea calitatii parametrilor .................................................................................................... 11 2.1.8 Generarea Hardware/software a cheii.......................................................................................... 11 2.1.9 Utilizarea perechii de chei............................................................................................................ 11 2.2 Protectia Cheii Private ........................................................................................................................ 11 2.2.1 Standarde si controale pentru modulele criptografice ............................................................... 11 2.2.2 Controlul k din n al cheii private................................................................................................. 12 2.2.3 Backup-ul cheii private............................................................................................................... 12 2.2.4 Arhivarea cheii private ............................................................................................................... 12 2.2.5 Transferul cheii private din sau intr-un modul HSM ................................................................. 12 2.2.6 Pastrarea cheii private intr-un modul HSM................................................................................ 12 2.2.7 Metoda de activare a cheii private............................................................................................. 12 2.2.10 Certificarea modulului HSM ....................................................................................................... 12 2.3 Alte Aspecte ale Managementului Perechii de Chei............................................................................ 12 2.3.1 Arhivarea Cheii Publice ............................................................................................................. 12 2.3.2 Perioadele de validitate pentru cheile publice si private ale RO-CA ......................................... 12 2.4 Datele de Activare .............................................................................................................................. 12 2.5 Controale de Securitate a Calculatoarelor ......................................................................................... 12 2.5.1 Cerinele tehnice specifice securitii calculatoarelor ..................................................................... 13 2.5.2 Evaluarea securitii calculatoarelor ............................................................................................... 14 2.5.3 Controale tehnice specifice ciclului de viata ................................................................................... 14 2.5.4 Controale de securitatea a reelei ................................................................................................... 14 2.5.5 Controale specifice modulelor criptografice .................................................................................... 15 2.5.6 nregistrarea evenimentelor i procedurile de auditare................................................................... 15 2.5.7 Arhivarea nregistrrilor................................................................................................................... 19 3 Controale de securitate fizic, organizaional i de personal..................................................................... 21 3.1 Controale de securitate fizic ................................................................................................................ 21 3.1.1 Controale de securitate fizic n cadrul RO-CP .............................................................................. 21 3.2 Controlul securitii organizaiei............................................................................................................. 23 3.2.1 Roluri de ncredere.......................................................................................................................... 24 3.2.2 Numrul de persoane necesare pentru ndeplinirea unei sarcini ................................................... 25 3.2.3 Identificarea i autentificarea pentru fiecare rol .............................................................................. 25 3.3 Controlul personalului........................................................................................................................ 26 3.3.1 Experiena personal, calificrile i clauzele de confidenialitate necesare ................................... 26 3.3.2 Cerinele de pregtire a personalului .............................................................................................. 27

3.3.3 Frecvena stagiilor de pregtire....................................................................................................... 27 3.3.4 Rotaia funciilor .............................................................................................................................. 27 3.3.5 Sancionarea aciunilor neautorizate............................................................................................... 27 3.3.6 Personalul angajat pe baza de contract.......................................................................................... 28 3.3.7 Documentaia oferit personalului .................................................................................................. 28 4 AUDITURILE PENTRU STABILIREA CONFORMITATII SI ALTE EVALUARI ....................................... 29 4.1 Identitatea / calificrile auditorului ...................................................................................................... 29 4.2 Relaia auditorilor cu entitatea auditat ................................................................................................. 30 4.3 Domeniile supuse auditrii..................................................................................................................... 30 4.4 Analiza vulnerabilitilor ......................................................................................................................... 30 4.5 Msurile ntreprinse ca urmare a descoperirii unei deficiene ............................................................... 31 9.6 Comunicarea rezultatelor ................................................................................................................... 31

INTRODUCERE

Autoritatea Rutiera Romana este responsabila pentru functia de Autoritate Nationala de Certificare a infrastructurii de management a cheilor criptografice din cadrul sistemului de tahografe digitale introdus prin Reglementarea Consiliului UE nr. 3821/85, revizuita prin Reglementarea Comisiei CE nr. 1360/2002 si Reglementarea Comisiei CE nr. 432/2004. Aceasta infrastructura de chei publice consta din sisteme, produse si servicii care asigura: Certificate pentru chei publice vehicul si senzor de miscare); pentru componente de tahograf (carduri, unitati de

Chei de criptare pentru datele senzorilor de miscare motion sensor data encryption keys. Scopul acestui document este acela de a descrie practicile implementate de RO-CP in lucrul cu cardurile de tahograf si cheile de criptare. Documentul a fost creat pentru a asigura conformitatea cu cerintele enuntate in Politica de Certificare a RO-CA si se bazeaza pe cadrul creat prin IETF RFC 3647.

1.1

Descriere generala

Scopul principal al acestui document este acela de a fi folosit de catre RO-MSA si de catre cei care doresc sa evalueze gradul de incredere care poate fi acordat serviciilor oferite de RO-CP sau sa determine masura in care acestea respecta cerintele sistemului pentru tahografe digitale. Sistemul de management al cheilor criprografice ( vezi figura urmatoare) este necesar pentru a implementa mecanismele de securitate definite in: Reglementarea Comisiei CE nr. 1360/2002, Anexa I(B), Appendix 11 Common Security Mechanisms ISO / IEC 16844-3 Road vehicles, Tachograph systems, Part 3: Motion sensor interface RO-CA si RO-CP sunt operate sub responsabilitatea si autoritatea autoritatilor nationale sau a furnizorilor de servicii externi autorizati. RO-CA are rolul de a certifica cheile RSA care sunt introduse in cardurile pt tahografe de catre RO-CP. Mai multe tipuri de carduri sunt emise soferilor, atelierelor, organelor de control si firmelor de transport. RO-CP primeste cererile de cartele tahografice de la RO-CIA in format electronic securizat, genereaza perechile de chei RSA pentru cartele, genereaza cererile de certificat corespunzatoare, le transmite RO-CA, primeste certificatele de la RO-CA, personalizeaza

cartelele, ambaleaza cartelele si PIN-ul (pentru cartelele de atelier) si le trimite la RO-CIA pentru distributie. RO-CA isi schimba cheile la intervale regulate. Formatul certificatelor digitale folosite este proprietar si incompatibil cu formatul X.509, al certificatelor digitale a caror utilizare este presupusa , dar nu ceruta obligatoriu de catre IETF RFC 3647. RO-CA genereaza, separa si distribuie o singura cheie criptografica simetrica, necesara pentru securizarea datelor de miscare ale vehiculelor , in conformitate cu mecanismele definite de standardul ISO / IEC 16844-3. Cheia master Km este separata in doua parti , KmVU si KmWC. Kmwc sunt inserate in cardurile de atelier de catre personalizatorii de carduri. Pentru a asigura confidentialitatea cheii Kmwc in timpul transportului de la ERCA la ROCA, ERCA o cripteaza folosind o cheie publica de criptare RSA, pentru a produce un mesaj de distributie a cheii (KDM). Acelasi lucru este valabil si pentru trasnportul aceleiasi cheii Kmwc de la RO-CA la RO-CP. Cheile RSA folosite la crearea mesajelor KDM sunt create de RO-CA sau RO-CP si trimise catre ERCA sau respectiv RO-CA printr-o cerere de distributie (KDR). Necesitatea ca RO-CA sau RO-CP sa primeasca cheia Kmwc este definita intr-un acord semnat de ERCA si RO-MSA.

1.2

Numele si Identificarea Documentului

Acest document poarta denumirea de Codul de Practici si Proceduri pentru Operarea RO-CP pentru Sistemul Tahografelor Digitale si va fi referit in continuare simplu ca ROCP CPP. 1.3 Participanti

Acest CPP este creat doar pentru a indeplini cerintele sistemului pentru tahografe digitale. 1.3.1 Autoritati de Certificare RO-CA si RO-CP sunt operate sub autoritatea si responsabilitatea autoritatilor romane responsabile, sau a furnizorilor de servicii autorizati. RO-CA este certificat de ERCA. 1.3.2 Autoritati de Inregistrare Autoritatea Nationala de Inregistrare implementeaza sisteme, produse si servicii necesare pentru emiterea de carduri de tahograf. Ra-ul national este responsabil pentru a mentine legatura intre identificatorii subiectilor certificatelor (cardurile) si persoanele fizice sau juridice care le folosesc. In Romania, functia RA pentru emiterea de certificate digitale pentru carduri de tahograf si cheii Kmwc este asigurata de RO-CIA. 1.3.3 Abonati Abonatii serviciilor de certificare oferite de RO-CA sunt cardurile de tahograf. 1.3.5 Destinatarii Cheilor pentru Senzorii de Miscare Destinatarii cheilor Kmwc sunt organizatiile care personalizeaza cardurile de atelier. Acestea sunt identificate in acordul semnat intre ERCA si RO-CA. 1.4 Utilizarea certificatului

Certificatele de cheie publica pentru tahografe trebuie inserate in componentele tahografelor digitale, asa cum se cere in procesul de autentificare mutuala descris in cerinta CSM_020 Reglementarea 1360/2002, Annex I(B) Appendix 11 Common Security Mechanism. Certificatele pentru tahografele digitale pot fi folosite in aplicatii in legatura sistemul tahografelor digitale ( de ex. Echipamente de calibrare utilizate in ateliere, echipamente pentru descarcarea de date folosite de oragnele de control, sisteme de management al flotelor auto si/sau marfurilor folosite de firmele de transport etc). Certificatele pentru tahografe digitale nu pot fi folosite pentru nici un alt scop. 1.5 Utilizarea Mesajului pentru Distribuirea Cheii (KDM)

Mesajele KDM trebuie folosite doar in scopul transmiterii securizate a cheii Kmwc intre ERCA si RO-CA si intre RO-CA si RO-CP

1.6

Administrarea CPP

1. Acest CPP este creat, mentinut si revizuit de catre UTI Systems, care indeplineste functia de RO-CP: Organizatia Romana pt Personalizarea Cardurilor de Tahograf Firma UTI Systems Sos Oltenitei, Nr 107A 2. Orice intrebare referitoare la prezentul CPP trebuie trimise catre: UTI Systems 3. Orice intrebare referitoare la operarea RO-CP trebuie trimise catre responsabilul RoCP. Acesta este desemnat de catre Directorul General al ARR. 4. Autoritatea Nationala, RO-MSA, trebuie sa stabileasca daca acest CPP este conform cu Politica de Certificare a RO-CA. 5. Stabilirea conformitatii se bazeaza pe o evaluare de securitate realizata fie chiar de catre RO-MSA, fie de un tert autorizat. 1.7 Definitii si Acronime

Criptare Asimetrica: procesul de criptare in care o cheie este folosita pentru a cripta mesajul si o cheie diferita este utilizata pentru decriptarea mesajului. Detectarea Intruziunii: detectarea unei intruziuni fizice de catre un agent de paza, sau a unei informatice de catre un sistem care cuprinde un senzor, un mediu de transmisie si un panou de alarma unde se trimite alarma. Escrow-ul cheii: trimiterea unei copii a cheii catre o entitate autorizata sa foloseasca aceasta copie pentru alt scop decat acela de a-l returna entitatii care a generat cheia. Criptare simetrica: procesul de criptare in care aceeasi chei este folosita si la criptarea mesajului si la decriptarea lui. CAR CHA CHR CP CPI CPS CRL CSP DES EA ENI EOV ERCA Certification Authority Reference Certificate Holder Authorisation Certificate Holder Reference Component Personaliser Certificate Profile Identifier Certification Practices Statement Certificate Revocation List Certification Service Provider Data Encryption Standard (symmetric encryption scheme) European Authority ESSOR Nuclear Island End Of Validity European Root Certification Authority

ETSI KCR KDR KDM Km Kmwc NCA RO-MSA RO-CA RO-CIA OA OE OM PK PKI PR RSA SAS SK TDES

European Telecommunications Standards Institute Key Certification Request Key Distribution Request Key Distribution Message Motion sensor master key Motion sensor master key inserted in workshop card National Certification Authority Romanian Authority Romanian Certification Authority Romanian Card Issuance Authority Operating Agent Operational Entity (used to refer to both a NCA and a CP) Operations Manager RSA public key Public Key Infrastructure Permanent Representation of Member State Rivest, Shamir, Adleman (asymmetric encryption scheme) Single access system RSA secret key Triple DES

2 CONTROALE TEHNICE DE SECURITATE

Acest capitol descrie procedurile de generare i management a perechii de chei criptografice a Autoritii de Certificare i Abonatului, inclusiv cerinele tehnice asociate.

2.1

Generarea si Instalarea Perechii de Chei pt Carduri

2.1.1 Generarea perechii de chei

Procedurile de management a cheii se refer la pstrarea i folosirea n siguran de ctre proprietar a cheilor sale. Semntura electronic este creat prin folosirea algoritmului RSA n combinaie cu rezumatul criptografic SHA-1. Generarea perechii de chei pentru carduri este realizata in serverul criptografic cu participarea activa a cel putin 3 persoane. Modulul HSM al serverului criptografic este conform cu cerintele FIPS 140-2 Nivel 3. Cheia privata este meninuta n permanen criptata pe dispozitivul HSM. Aciunile ntreprinse n momentul generrii perechii de chei sunt nregistrate si datate. nregistrrile sunt pstrate din motive de audit sau pentru verificrile obinuite ale sistemului.

2.1.2 Distribuirea cheii private catre entitati

Transferul cheii private din modulul HSM in card se face in mod securizat cu ajutorul aplicatiei de personalizare. Nici o entitate nu poate interveni pentru a deurna cheia sau pentru a o copia.

2.1.3 Trimiterea cheii publice catre emitatorul certificatului (RO-CA)

Conform politicii RO-CA.

2.1.4 Distribuirea cheilor publice ale cardurilor catre entitatile partenere

Cheia publica a cardului este distribuita de RO-CP pe card sub forma de certificat emis de RO-CA, semnat cu cheia privata a RO-CA. Cheia publica a RO-CA este distribuita catre RO-CP sub forma de certificat emis de ERCA. Cheia publica ERCA este distribuita catre RO-CP ca atare. Distribuirea certificatului RO-CA si a cheii publice a

ERCA catre RO-CP se face impreuna cu certificatul cardului ca urmare a unei cerereri KCR primite de RO-CA de la RO-CP.

2.1.5 Marimile cheilor

Cheile RSA trebuie sa aiba un modul de 1024 biti si un exponent public de 64 biti.

2.1.6 Parametrii de generare ai cheilor publice

Cel care genereaz o cheie este responsabil de verificarea calitii parametrilor cheii generate. Acesta trebuie s verifice: posibilitatea de a efectua operaii de criptare i decriptare, inclusiv creare de semnturi electronice i verificare a acestora, procesul de generare a cheii trebuie s se bazeze pe generatoare puternice de numere aleatoare surse fizice de zgomot alb, dac este posibil, imunitatea la atacuri cunoscute (n cazul algoritmilor RSA i DSA).

2.1.7 Verificarea calitatii parametrilor

Se folosesc module HSM certificate, configurate pentru a genera chei RSA cu modulul de 1024-bit.

2.1.8 Generarea Hardware/software a cheii

Cheile pentru carduri sunt generate in module HSM certificate.

2.1.9 Utilizarea perechii de chei

Cheia privata RSA a cardului este utilizata doar pentru semnarea certificateleor cheilor cererii de certificat catre RO-CA.

2.2

Protectia Cheii Private

2.2.1 Standarde si controale pentru modulele criptografice

RO-CA utilizeaza pentru generarea si stocarea cheilor private RSA ale cardurilor doar module HSM certificate. Operatia modulului HSM este verificata periodic prin teste interne, iar upgrade-ul de firmware pentru HSM este realizat annual de administratorul HSM, daca este cazul.

2.2.2 Controlul k din n al cheii private

Generarea cheii private este realizata de cel putin trei persoane autorizate.

2.2.3 Backup-ul cheii private

Nu se aplica.

2.2.4 Arhivarea cheii private

Nu se aplica.

2.2.5 Transferul cheii private din sau intr-un modul HSM

Cheia privata RSA este generata in HSM si apoi transferat pe card in mod securizat.

2.2.6 Pastrarea cheii private intr-un modul HSM

Cheile private ale cardurilor nu sunt pastrate in modulul HSM unde au fost generate.

2.2.7 Metoda de activare a cheii private

Activarea cheii se face dupa principiul K din N, cu K>=2. La operatie participa doi operatori HSM.

2.2.10

Certificarea modulului HSM

RO-CP foloseste module criptografice certificate cel putin FIPS 140-2 Level 3.

2.3

Alte Aspecte ale Managementului Perechii de Chei

2.3.1 Arhivarea Cheii Publice

Cheia publica a RO-CA este pastrata in baza de date a RO-CA in certificatul emis de acesta.

2.3.2 Perioadele de validitate pentru cheile publice si private ale RO-CA

Perioada de validitate a cheii private a cardului este de maximum 5 ani. Perioada de validitate a cheii publice a cardului este de maximum 5 ani.

2.4

Datele de Activare

Singurul tip de card acre foloseste date de activare (PIN) este cardul de atelier.

2.5

Controale de Securitate a Calculatoarelor

Sarcinile operatorilor si administratorilor care lucreaz n cadrul RO-CP sunt realizate prin intermediul unor dispozitive hardware i aplicaii software de ncredere.

2.5.1 Cerinele tehnice specifice securitii calculatoarelor

Cerinele tehnice prezentate n acest capitol se refer la controalele de securitate specifice calculatoarelor i aplicaiilor, folosite n cadrul RO-CP. Msurile de securitate care protejeaz sistemele de calcul sunt aplicate la nivelul sistemului de operare, al aplicaiilor precum i din punct de vedere fizic. Calculatoarele aparinnd RO-CP dispun de urmtoarele mijloace de securitate: autentificarea obligatorie la nivelul sistemului de operare i al aplicaiilor, control discreionar al accesului, posibilitatea de a fi auditate din punct de vedere al securitii, calculatorul este accesibil doar personalului autorizat, cu roluri de ncredere n RO-CP separarea sarcinilor, conform rolului n cadrul sistemului, identificarea i autentificarea rolurilor i a personalului care ndeplinete aceste roluri, prevenirea refolosirii unui obiect de ctre un alt proces dup eliberarea acestuia de ctre procesul autorizat, protecia criptografic a schimburilor de informaii i protecia bazelor de date, arhivarea istoricului operaiunilor executate pe un calculator i a datelor necesare auditrii, o cale sigur ce permite identificarea i autentificarea rolurilor i a personalului care ndeplinete aceste roluri, metode de restaurare a cheilor (numai n cazul modulelor hardware de securitate), a aplicailor i a sistemului de operare, mijloace de monitorizare i alertare n cazul accesului neautorizat la resursele de calcul.

2.5.2 Evaluarea securitii calculatoarelor

Sistemele de calcul ale RO-CP respect cerinele descrise n standardele ETSI: ETSI TS 101456 (Cerinele de Politic pentru Autoritile de Certificare care emit certificate calificate) i CEN CWA 14167 (Cerinele de Securitate pentru Sistemele de ncredere care asigur Managementul certificatelor pentru Semntur Electronic).

2.5.3 Controale tehnice specifice ciclului de viata

Controale specifice dezvoltrii sistemului Fiecare aplicaie, nainte de a fi folosita n producie de catre RO-CP, este instalata astfel nct s se permit controlul versiunii curente i s se previn instalarea neautorizat de programe sau falsificarea celor existente. Reguli similare se aplic n cazul nlocuirii componentelor hardware, cum ar fi: dispozitivele fizice sunt furnizate n aa fel nct s poat fi urmrita i evaluat ruta fiecruia, pn la locul su de instalare, livrarea unui dispozitiv fizic pentru nlocuire se realizeaz ntr-un mod similar celui de livrare al dispozitivului original; nlocuirea se realizeaz de ctre personal calificat i de ncredere. Controale pentru managementul securitii Scopul controalelor pentru managementului securitii este acela de a superviza funcionalitatea sistemelor RO-CP, garantnd astfel c acestea opereaz corect i n concordan cu configurarea acceptat i implementat. Configuraia curent a sistemelor RO-CP, precum i orice modificare i actualizare a acestora, este nregistrat i controlat. Controalele aplicate sistemelor RO-CP permit verificarea continu a integritii aplicaiilor, versiunii i autentificarea i verificarea originii dispozitivelor hardware.

2.5.4 Controale de securitatea a reelei

Serverele i staiile de lucru de ncredere aparinnd RO-CP sunt conectate prin intermediul unei reele locale (LAN), divizate n mai multe subretele, cu acces controlat.

Accesul dinspre Internet ctre orice segment, este protejat prin intermediul unui firewall inteligent. Controalele de securitate sunt dezvoltate pe baza firewall-ului i a filtrelor de trafic aplicate la nivelul ruterelor i serviciilor Proxy. Mijloacele de asigurare a securitii reelei accept doar mesajele transmise prin protocoalele http, https, NTP, POP3 i SMTP. Evenimentele (log-urile) sunt nregistrate n jurnalele de sistem i permit supravegherea folosirii corecte a serviciilor furnizate de RO-CP.

2.5.5 Controale specifice modulelor criptografice

Controalele modulelor criptografice includ cerinele impuse pentru dezvoltarea, producia i livrarea modulelor. RO-CP nu definete cerine specifice n acest domeniu. Totui, RO-CP accept i utilizeaz numai module criptografice care corespund cerinelor din Capitolul 6 din Politica de Certificare a RO-CA.

2.5.6 nregistrarea evenimentelor i procedurile de auditare

Pentru a gestiona eficient sistemele RO-CP i pentru a putea audita aciunile utilizatorilor i personalului RO-CP, toate evenimentele care apar n sistem sunt nregistrate. Informaiile nregistrate alctuiesc jurnalele (log-urile) de evenimente i trebuie pstrate n aa fel nct s permit, daca este cazul, s se acceseze informaiile corespunztoare i necesare rezolvrii disputelor, sau s detecteze tentativele de compromitere a securitii RO-CP. Evenimentele nregistrate fac obiectul procedurilor de arhivare. Arhivele sunt pstrate n afara incintei RO-CP. Cnd este posibil, log-urile sunt create automat. Dac nregistrrile nu pot fi create automat, se vor folosi jurnalele de evenimente pe hrtie. Fiecare nregistrarea n log, electronic sau de mn, este pstrata i dezvluita atunci cnd se desfoar un audit. Tipuri de evenimente nregistrate Fiecare activitate critic din punctul de vedere al securitii RO-CP este nregistrat n log-urile de evenimente i arhivat. Arhivele sunt depozitate pe medii de stocare ce nu pot fi suprascrise pentru a preveni modificarea sau falsificarea lor.

Log-urile de evenimente RO-CP conin nregistrri ale tuturor activitilor generate de componentele software din cadrul sistemului. Aceste nregistrri sunt mprite n trei categorii separate: nregistrri de sistem conin informaii despre cererile clienilor software i rspunsurile server-ului (sau invers) la nivelul protocolului de reea (de exemplu http, https); datele concrete care se nregistreaz sunt: adresa IP a staiei sau a server-ului, operaiunile executate (de exemplu: cutare, editare, scriere etc.) i rezultatele lor (de exemplu introducerea cu succes a unei nregistrri n baza de date), erori conine informaii despre erori la nivelul protocoalelor de reea i la nivelul modulelor aplicaiilor; audit conin informaii specifice serviciilor de certificare, de exemplu: cererea de nregistrarea i de certificare, cererea de schimbare a cheii, acceptarea certificatului, emiterea de certificat etc. Jurnalele de evenimente de mai sus sunt comune fiecrei componente instalate pe un server sau staie de lucru i au o capacitate prestabilit. Atunci cnd se depete aceast capacitate, este creat automat o nou versiune de jurnal. Jurnalul anterior este arhivat i ters de pe disc. Fiecare nregistrare, automat sau manual, conine urmtoarele informaii: tipul evenimentului, identificatorul evenimentului, data i ora apariiei evenimentului, identificatorul persoanei responsabile de eveniment. Coninutul nregistrrilor se refera la: alertele firewall-urilor i IDS-urilor, operaiile asociate nregistrrii, certificrii etc., modificri ale structurii hard sau soft, modificri ale reelei i conexiunilor, nregistrrile fizice n zonele securizate i violrile de securitate,

schimbrile de parole, drepturi asupra codurilor PIN, rolurile personalului, accesul reuit i nereuit la baza de date RO-CP i la aplicaiile serverului, generarea de chei pentru carduri, etc., fiecare cerere primit i decizia emis n format electronic, istoria crerii copiilor de backup i a arhivelor cu nregistrri. Accesul al jurnalele de evenimente (log-uri) este permis n exclusivitate

administratorului de securitate i auditorilor. Frecvena analizei jurnalelor de evenimente nregistrrile din jurnalul de evenimente trebuie revzute n detaliu cel puin o dat pe lun. Orice eveniment avnd o importan semnificativ trebuie explicat i descris ntrun jurnal. Procesul de verificare a jurnalului include verificarea unor eventuale falsificri, sau modificri i verificarea fiecrei alerte sau anomalii consemnat n loguri. Orice aciune executat ca rezultat al funcionri defectuoase detectate trebuie nregistrat n jurnal. Perioada de retenie a jurnalelor de evenimente nregistrrile evenimentelor sunt stocate n fiiere pe discul sistem pn cnd acestea ajung la capacitatea maxim permis. n tot acest timp sunt disponibile on-line, la cererea fiecrei persoane, sau proces autorizat. Dup depirea spaiului alocat, jurnalele sunt pstrate n arhive i pot fi accesate numai off-line, de la o anumit staie de lucru. Jurnalele arhivate sunt pstrate cel puin 10 ani. Protecia jurnalelor de evenimente Sptmnal, fiecare nregistrare din jurnale face obiectul arhivrii pe band magnetic. Dup depirea numrului acceptat de nregistrri pentru un jurnal, coninutul acestuia este arhivat. Arhivele pot fi criptate folosind algoritmul Triple DES sau AES. O cheie folosit pentru criptarea arhivelor este plasat sub controlul administratorului de securitate. Un jurnal de evenimente poate fi revzut numai de administratorului de securitate, sau de ctre un auditor. Accesul la jurnalul de evenimente este configurat n aa fel nct:

numai entitile de mai sus au dreptul s citeasc nregistrrile jurnalului, numai administratorul de securitate poate arhiva sau terge fiiere (dup arhivarea acestora) care conin evenimentele nregistrate, este posibil detectarea oricrei violri de integritate; acest lucru asigur faptul c nregistrrile nu conin goluri sau falsuri, nici o entitate nu are dreptul s modifice coninutul unui jurnal. n plus, procedurile de protecie a jurnalului sunt implementate n aa fel nct, chiar i dup arhivarea jurnalului, este imposibil s tergi nregistrri, sau s tergi jurnalul naintea expirrii perioadei de retenie a jurnalului. Procedurile de backup pentru jurnalele de evenimente Procedurile de securitate RO-CP solicita ca jurnalul de evenimente s fac obiectul backup-ului lunar. Aceste backup-uri sunt stocate n locaii auxiliare ale RO-CP. Notificarea entitilor responsabile de tratarea evenimentelor Modulul de analiz a jurnalului de evenimente implementat n sistem examineaz evenimentele curente i sesizeaz automat activitile suspecte sau pe cele care au ca scop compromiterea securitii. n cazul activitilor care au influen asupra securitii sistemului, sunt notificai automat administratorul de securitate. n celelalte cazuri, notificarea este direcionat numai ctre administratorul de sistem. Transmiterea informaiilor ctre persoanele autorizate despre situaiile critice din punctul de vedere al securitii sistemului se face prin alte mijloace de comunicare, protejate corespunztor, de exemplu, pager, telefon mobil, pot electronic. Entitile notificate iau msurile corespunztoare pentru a proteja sistemul fa de ameninarea detectat. Procedura de backup si restaurare Copiile de siguran permit restaurarea complet (dac este necesar, de exemplu, dup distrugerea sistemului) a datelor eseniale pentru activitatea RO-CP. Pentru a realiza acest lucru, sunt copiate urmtoarele aplicaii i fiiere: discurile de instalare a aplicaiilor sistem (de exemplu sistemul de operare), discurile de instalare a aplicaiilor pentru RO-CP, istoricul cheilor,

datele privind personalul RO-CP, jurnalele de evenimente. Metoda de creare a copiilor de backup are o influen deosebit asupra timpului i costului restaurrii aplicatiilor dup defectarea, sau distrugerea sistemului. RO-CP folosete att backup-uri full (sptmnale), cat i backup-uri incrementale (zilnice), toate copiile sunt clonate i clonele sunt pstrate n alt locaie, n aceleai condiii de securitate ca i cele din locaia primar. Procedura de restaurare va fi verificata cel puin o data la 3 luni, pentru a se verifica utilitatea backup-ului, in caz de crash. Va trebui sa se verifice daca datele salvate pe banda sunt suficiente pentru restaurarea sistemului in cel mai scurt timp posibil. Concluziile testelor vor fi inregistrate.

2.5.7 Arhivarea nregistrrilor

Este necesar ca toate datele i fiierele referitoare la informaiile despre securitatea sistemului s fie arhivate. Pe baza arhivelor se creeaz copiile de siguran care sunt inute n afara locaiei ROCP. Tipurile de date arhivate Urmtoarele date sunt incluse n procesul de arhivare: informaiile rezultate n urma examinrii i evalurii (ca urmare a unui audit) msurilor de protecie logica i fizica ale RO-CP, baza de date cu date despre carduri, Frecvena arhivrii datelor Datele se arhiveaza cel putin o data pe saptamana. Perioada de pstrare a arhivelor
Arhivele de pastreaza cel putin 10 ani.

Cerinele pentru marcarea temporal a nregistrrilor

Se recomand ca datele arhivate s fie semnate cu o marc temporal, creat de Autoritatea de Marcare Temporal (TSA) autorizat, avnd certificatul emis de Autoritatea de Certificare operaional afiliat la RO-CA. Serviciul de marcare temporal este disponibil n cadrul RO-CA . Procedurile de acces i verificarea informaiilor arhivate Pentru a verifica integritatea informaiilor arhivate, datele sunt periodic testate i verificate prin comparaie cu datele originale (dac mai sunt nc accesibile n sistem). Aceast activitate poate fi realizat numai de ctre administratorul de securitate i trebuie nregistrat n jurnalul de evenimente. Dac sunt detectate deteriorri sau modificri ale datelor originale, acestea trebuie corectate ct mai repede posibil.

3 Controale de securitate fizic, organizaional i de personal

Acest capitol descrie cerinele generale privind securitatea fizic i organizaional, precum i activitatea personalului RO-CP n activitatea de management al cheilor, personalizarea optica a cardurilor, audit i crearea de copii de siguran. 3.1 Controale de securitate fizic 3.1.1 Controale de securitate fizic n cadrul RO-CP Sistemele de calcul, terminalele operatorilor i resursele informaionale ale RO-CP sunt dispuse ntr-o zon dedicat, protejat fizic mpotriva accesului neautorizat, distrugerilor sau perturbrii activitii. Aceste locaii sunt monitorizate. Fiecare intrare i ieire este nregistrat n jurnalul de evenimente (log-urile sistemului); stabilitatea sursei de electricitate precum i temperatura sunt de asemenea monitorizate i controlate. Amplasarea locaiei RO-CP este localizat n Bucureti, la urmtoarea adres: Central Bussiness Park, Strada Serban Voda, Nr. 133, Cladirea C1. Accesul fizic Accesul fizic n cadrul RO-CP este controlat i monitorizat de un sistem de alarm integrat. RO-CP dispune de sisteme de prevenire a incendiilor, sisteme de detectare a intruilor i sisteme de alimentare cu energie electric n caz de urgen. Sediul RO-CP este accesibil n fiecare zi lucrtoare ntre 10:00 i 16:00. numai

persoanelor autorizate de ctre conducerea RO-CP. Vizitatorii locaiilor aparinnd ROCP trebuie s fie nsoii permanent de persoane autorizate. Zonele ocupate de RO-CP se mpart n: zona serverelor, zona operatorilor CP zona de dezvoltare i testare.

Zona serverelor este echipat cu un sistem de securitate monitorizat continuu, alctuit din senzori de micare, efracie i incendiu. Accesul n aceast zon este permis numai personalului autorizat, de exemplu, administratorul de securitate, administratorul HSM i administratorul de sistem. Monitorizarea drepturilor de acces se face folosind carduri i cititoare, montate lng punctul de acces. Fiecare intrare i ieire din zon este nregistrat automat n jurnalul de evenimente. Controlul accesului n zona operatorilor se face prin intermediul cardurilor i a

cititoarelor de carduri. Deoarece toate informaiile senzitive sunt protejate prin folosirea unor seifuri, iar accesul la terminalele operatorilor i administratorilor necesit n prealabil autorizarea acestora, securitatea fizic n aceast zon este considerat ca fiind adecvat. Cheile de acces pot fi ridicate numai de personalul autorizat. n aceast zon au acces numai angajaii RO-CP i persoanele autorizate; ultimilor nu le este permis prezena n zon nensoii. Zona de dezvoltare i testare este protejat ntr-o manier similar cu zona operatorilor. n aceast zon este permis i prezena persoanelor nensoite. Programatorii i dezvoltatorii nu au acces la informaii senzitive. Dac este necesar un astfel de acces, atunci el se poate face numai n prezena administratorul de securitate. Proiectele n curs de implementare i software-ul aferent este testat n mediul de dezvoltare al RO-CP. Sursa de alimentare cu electricitate i aerul condiionat Zona operatorilor i administratorilor, precum i zona de dezvoltare i testare sunt prevzute cu aer condiionat. Din momentul ntreruperii alimentrii cu energie, sursele de electricitate de urgen (UPS) permit continuarea neperturbat a activitii pn la intervenia automat a grupului electrogen al cldirii. Expunerea la ap Riscul de inundaie n zona serverelor este foarte mic, deoarece distana fa de conductele de ap este mare, iar locaia RO-CP este la ultimul etaj. n plus, personalul de paz este localizat chiar lng zona serverelor i este instruit s anune imediat administratorul RO-CP i administratorul cldirii.

Prevenirea incendiilor Locaia RO-CP dispune de sistem de prevenire i protecie mpotriva incendiilor n conformitate cu standardele i reglementrile n domeniu. Depozitarea mediilor de stocare a informaiilor n funcie de sensibilitatea informaiilor, mediile electronice care conin arhivele i copiile de siguran ale datelor curente sunt stocate n seifuri metalice, localizate ntr-o camera cu grad ridicat de securitate. Accesul la camera i seifuri este permis numai persoanelor autorizate. Aruncarea deeurilor Hrtiile i mediile electronice care conin informaii importante din punct de vedere al securitii RO-CP sunt distruse dup expirarea perioadei de pstrare. Modulele de securitate hardware sunt resetate i terse conform recomandrilor productorului. Aceste dispozitive sunt, de asemenea, resetate i terse atunci cnd sunt trimise n service sau reparate. Depozitarea backup-urilor n afara locaiei Copiile parolelor, codurile PIN i cardurile criptografice sunt stocate n containere speciale, situate n afara locaiei RO-CP. Stocarea n afara locaiei se aplic i n cazul arhivelor, copiilor curente ale informaiilor procesate de sistem i kit-urilor de instalare ale aplicaiilor RO-CP. Acest lucru permite refacerea de urgen a oricrei funcii a RO-CP n 48 de ore, n locaia principal a RO-CP, sau n locaia auxiliar. 3.2 Controlul securitii organizaiei Acest capitol prezint rolurile ce pot fi atribuite personalului aparinnd RO-CP. De asemenea, tot n acest capitol sunt descrise responsabilitile i sarcinile specifice fiecrui rol.

3.2.1 Roluri de ncredere Roluri de ncredere n RO-CP n RO-CP sunt definite urmtoarele roluri de ncredere, care pot fi atribuite uneia sau mai multor persoane: Responsabilul RO-CP o Raspunzator pentru operarea sigura si continua a functiei RO-CP o Este reprezentantul organizatiei si este autorizat sa ia decizii in cadrul organizatiei RO-CP o Nu este direct implicat in implementarea proceselor de afaceri, dar este responsabil pentru respectarea si evaluarea masurilor de securitate, ca si pentru managementul RO-CP o Accepta responsabilitatea pentru managementul schimbarii. Administrator de securitate Responsabilitate global pentru implementarea politicilor i procedurilor de securitate. o Iniiaz instalarea, configurarea i managementul aplicaiilor software i hardware (inclusiv resursele de reea) ale RO-CP; iniiaz i suspend serviciile oferite de RO-CP; coordoneaz administratorii, iniiaz i supravegheaz generarea de chei i secrete partajate; atribuie drepturi din punct de vedere al securitii i privilegiilor de acces ale utilizatorilor; atribuie parole pentru conturile utilizatorilor noi; verific jurnalele de evenimente; supervizeaz auditurile interne i externe; primete i rspunde la rapoartele de audit; supervizeaz eliminarea deficienelor constatate n urma auditului. o Supravegheaz operatorii; o Configureaz sistemele i reeaua, activeaz i configureaz

mecanismele de protecie a reelei; creeaz conturile pentru utilizatorii RO-CP; verific log-urile de sistem; verific respectarea Codului de Practici i Proceduri; genereaz secrete partajate i chei; creeaz copiile de siguran de urgen; modific numele i adresele serverelor.

Administratorul de sistem Autorizat s instaleze, configureze i s ntrein sistemele de ncredere ale RO-CP pentru managementul cardurilor si al cheilor. Instaleaz dispozitivele hardware i sistemele de operare; instaleaz i configureaz echipamentele de reea. Operator Responsabil de operarea zilnic a sistemelor de ncredere ale ROCP; ia parte in procesul de personalizare logica si optica a cardurilor HSM Administrator o Executa in siguranta Procesul de Management al Cheilor, o Genereaza, administreaza si distruge cheile asimetrice pentru carduri Auditorul de sistem autorizat s acceseze arhivele i log-urile de audit ale sistemelor de incredere ale RO-CP. Responsabil de efectuarea de audituri interne pentru respectarea Codului de Practici i Proceduri de ctre personalul RO-CP; n cadrul RO-CA, rolul de auditor nu poate fi combinat cu nici un alt rol. O entitate care are un rol diferit de cel de auditor nu poate prelua responsabilitile auditorului. 3.2.2 Numrul de persoane necesare pentru ndeplinirea unei sarcini Procesul de generare de chei pentru semnarea certificatelor sau pentru transportul Kmwc este una din operaiile ce necesit o atenie deosebit. Generarea necesit prezena a cel puin trei persoane: un administrator de securitate, un administrator de HSM si un Operator CA. Prezena Operatorului Autoritii de Certificare i a unui numr corespunztor de operatori HSM este necesar i la ncrcarea cheii criptografice a Autoritii de Certificare n modulul hardware de securitate. Orice alt operaiune sau rol, descris n cadrul CPP poate fi efectuat de o singur persoan, special desemnat n acest sens. 3.2.3 Identificarea i autentificarea pentru fiecare rol Personalul RO-CP este supus identificrii i autentificrii n urmtoarele situaii: plasarea pe lista de persoane care au dreptul de a accesa locaiile RO-CP , plasarea pe lista de persoane care au acces fizic la sisteme i resurse de reea aparinnd RO-CP,

emiterea confirmrii care autorizeaz ndeplinirea rolului asignat, asignarea unui cont i a unei parole n sistemul informatic al RO-CP, Fiecare cont asignat: trebuie s fie unic i asignat direct unei anumite persoane, nu poate fi folosit n comun cu nici o alt persoan, trebuie restricionat conform funciei (ce reiese din rolul ndeplinit de persoana respectiv) pe baza software-ului de sistem al RO-CP, a sistemului de operare i a controalelor de aplicaii. Operaiile efectuate n RO-CP care necesit acces la resurse de reea comune sunt protejate prin mecanisme de autentificare sigur i de criptare a informaiilor transmise. 3.3 Controlul personalului

RO-CP trebuie s se asigure c persoana care ndeplinete responsabilitile funciei, conform cu rolul atribuit n cadrul RO-CP: a absolvit cel puin liceul, este cetean romn, a semnat un contract care descrie rolul i responsabilitile sale n cadrul sistemului, a beneficiat de un stagiu de pregtire avansat n conformitate cu obligaiile i sarcinile asociate funciei sale, a fost instruit cu privire la protecia datelor personale i informaiilor confideniale sau private, a semnat un contract ce conine clauze referitoare la protejarea datelor confideniale (din punctul de vedere al securitii RO-CP) , 3.3.1 Experiena personal, calificrile i clauzele de confidenialitate necesare Personalul angajat al RO-CP care ndeplinete un rol de ncredere, trebuie s obin avizul responsabilului de securitate. Avizul nu este necesar n cazul persoanelor care nu exercit un rol de ncredere.

ndeplinirea unei funcii de ncredere permite accesul la informaiile clasificate. Dezvluirea organizaii. Procedurile de acces la informaiile nepublice i de verificare a ncrederii n personal sunt n conformitate cu Legea Proteciei Datelor cu Caracter Personal. 3.3.2 Cerinele de pregtire a personalului Personalul care ndeplinete roluri i sarcini ca urmare a angajrii la RO-CP, trebuie s fie instruit cu privire la: reglementrile Codului de Practici i Proceduri al RO-CP, reglementrile Politicii de certificare a RO-CA, procedurile i controalele de securitate folosite de RO-CA, aplicaiile software ale RO-CP, responsabilitile ce decurg din rolurile i sarcinile executate n sistem, procedurile ce trebuie executate ca urmare a apariiei unei defeciuni n funcionarea sistemului. Dup ncheierea pregtirii, participanii semneaz un document prin care confirm familiarizarea lor cu Codul de Practici i Proceduri, Politica de certificare i accept restriciile i obligaiile impuse. 3.3.3 Frecvena stagiilor de pregtire Pregtirea descris n paragraful 3.3.2 trebuie repetat de fiecare dat cnd apar modificri semnificative n RO-CP. 3.3.4 Rotaia funciilor Acest Cod de Practici i Proceduri nu specific nici un fel de cerine n aceast privin. 3.3.5 Sancionarea aciunilor neautorizate n cazul descoperirii sau existenei suspiciunii unui acces neautorizat, administratorul de sistem mpreun cu administratorul de securitate poate suspenda accesul persoanei respective la sistemul RO-CP. Msurile disciplinare pentru astfel de neautorizat a acestor informaii poate cauza pierderea sau compromiterea intereselor, aprate de lege, ale unei persoane fizice sau ale unei

incidente trebuie descrise n regulamente corespunztoare i trebuie s fie conforme cu prevederile legale. 3.3.6 Personalul angajat pe baza de contract Personalul angajat pe baza de contract (servicii externe, dezvoltatori de subsisteme sau aplicaii etc.) fac obiectul unor verificri similare ca i n cazul angajailor RO-CP . n plus, personalul angajat pe baz de contract, pe timpul ct i desfoar activitatea n locaia RO-CP, trebuie permanent nsoit de ctre un angajat al RO-CP , cu excepia celor care au primit avizare din partea administratorului de securitate i care poate accesa informaii clasificate intern sau n conformitate cu normele legale n vigoare. 3.3.7 Documentaia oferit personalului RO-CP trebuie s ofere personalului su accesul la urmtoarele documente: Politica de certificare a RO-CA, Codul de Practici i Proceduri al RO-CP, Responsabilitile i obligaiile asociate rolului deinut n sistem.

4 AUDITURILE PENTRU STABILIREA CONFORMITATII SI ALTE EVALUARI

Auditurile au ca obiectiv verificarea consistenei aciunilor RO-CP sau a entitilor delegate de aceasta cu declaraiile i procedurile acestora (inclusiv cu prezentul Cod de Practici i Proceduri). Auditurile desfurate la RO-CP urmresc n principal centrele de procesare a datelor, gestiunea cardurilor si a PIN-urilor, procedurile de gestiune a cheilor. Auditurile desfurate la RO-CP pot fi efectuate de echipe interne (audit intern) sau de RO-MSA sau organizaii independente (audit extern) angajate de aceasta. n toate aceste cazuri, auditul se desfoar sub supravegherea administratorului de securitate

Frecvena auditrii Auditul extern prin care se verific compatibilitatea cu reglementrile legale i procedurale (Codul de Practici i Proceduri) se desfoar anual, n timp ce un audit intern este efectuat ori de cate ori administratorul de securitate considera necesar.

4.1 Identitatea / calificrile auditorului

Auditul extern trebuie realizat de personal avnd cunotine i experien tehnic corespunztoare (s dispun de documente care s certifice acest lucru) n domeniul infrastructurilor de chei publice, tehnologiilor i dispozitivelor de securitate informatic i de auditare a securitii sistemelor. De asemnea auditorul trebuie sa posede cunostinte solide ale reglementarilor UE, CE si RO-MSA referitoare la sistemul tahografelor digitale. Auditul intern este realizat de ctre departamentul de calitate i audit al RO-CP.

4.2 Relaia auditorilor cu entitatea auditat

Vezi paragraful anterior. Auditorul nu trebuie sa depinda in nici un fel de entitatea auditata si nici sa nu fi fost in vre-un fel implicat in activitatile de planificare si operare ale sistemelor ITC ale entitatii auditate.

4.3 Domeniile supuse auditrii

Auditurile interne i externe se desfoar conform regulilor i procedurilor acceptate pe plan internaional i vizeaz: securitatea fizic a RO-CP, procedurile de furnizare a serviciilor, securitatea aplicaiilor software i a accesului la reea, securitatea personalului RO-CP, jurnalele de evenimente i procedurile de monitorizare a sistemului, arhivarea i restaurarea datelor, procedurile de arhivare, nregistrrile referitoare la modificarea parametrilor de configurare pentru RO-CP, nregistrrile referitoare la analizele i verificrile efectuate pentru aplicaiile software i dispozitivele hardware.

4.4 Analiza vulnerabilitilor

RO-CP face anual o analiz a vulnerabilitilor pentru fiecare procedur intern, aplicaie i sistem informatic. Cerinele de analiz pot, de asemenea, s fie stabilite de ctre o instituie extern, autorizat s auditeze RO-CP. Administratorul de securitate are sarcina de a solicita audituri interne prin care s verifice conformitatea nregistrrilor din jurnalul de securitate, corectitudinea copiilor de backup, activitile executate n cazul apariiei unei ameninri i conformitatea cu Codul de Practici i Proceduri.

Instituia extern care efectueaz auditul de securitate, trebuie s desfoare aceast activitate respectnd recomandrile ISO/IEC 13335 (Guidelines for Management of IT Security) i ISO/IEC 17799 (Code of Practice for Information Security Management).

4.5 Msurile ntreprinse ca urmare a descoperirii unei deficiene

In cazul descoperirii unor deficiente se pot lua trei tipuri de masuri: 1. continuarea operatiilor 2. continuarea limitata a operatiilor; 3. suspendarea operatiilor. Auditorul, impreuna cu RO-MSA, decide ce actiune trebuie intreprinsa. Decizia se bazeaza pe gravitatea deficientelor si a posibilului impact. In cazul in care se decide actiunea de tipul 1, managementul RO-CP este raspunzator pentru implementarea masurilor corective specificate in raportul de audit, in limitele de timp din acelasi raport. In cazul in care se decide actiunea de tipul 2, RO-CP continua operatiile in modul restrans indicat in raportul de audit. In cazul in care se decide actiunea de tipul 3, toate cardurile afectate trebuie trecute pe un backlist. Managementul RO-CP trebuie sa raporteze saptamanal stadiul masurilor de remediere catre auditor. RO-MSA si auditorul determina cand trebuie facuta o noua evaluare de securitate. Daca deficientele sunt considerate ca remediate dupa reevaluare, atunci RO-CP isi poate relua operatiile.

9.6

Comunicarea rezultatelor

Rezultatele auditului anual sunt communicate catre RO-MSA. In cazul actiunilor de tipul 1 sau 2, RO-MSA se asigura ca toti cei care trebuie informati sunt informati.