Download De la Seguridad en la Transmisión de Correo Electrónico

page
1
page
2
page
3
page
4
page
5
page
6
page
7
page
8
page
9
page
10
page
11
page
12
page
13
page
14
page
15
page
16
page
17
page
18
page
19
page
20
page
21
page
22
page
23
page
24
Document related concepts
no text concepts found
Transcript 
INEI
“IMPLANTACION DE UN SISTEMA DE
CORREO
ELECTRONICO
SEGURO,
EMPLEANDO CERTIFICADOS Y FIRMAS
DIGITALES, PARA LAS INSTITUCIONES
DEL ESTADO PERUANO”
1. DESCRIPCION DEL PROBLEMA:
Existe una gran necesidad de transmitir
información confidencial y sensitiva vía Correo
Electrónico, entre el Estado y las compañías del
sector privado, sin embargo en las instituciones
públicas el correo electrónico es muy importante
por ser un medio de transmisión de información
pero se han notado muchos “huecos de seguridad”
en cuanto a confidencialidad e integridad.
El sistema de correo electrónico seguro, provee
servicios de seguridad de punto a punto, reduce el
daño que podría resultar de un mensaje de correo
electrónico mal direccionado o interceptado, los
mensajes encriptados son protegidos de ser leídos
aún si no llegan a su destinatario.
2. OBJETIVO
“ Implantación de un Sistema de
Correo Electrónico Seguro, empleando
certificados y firmas digitales, para
las
Instituciones
del
Estado
Peruano”.
3. SOLUCIÓN PROPUESTA
Habilitar las facilidades de:
- Firma Digital de Correo Electrónico
- Encriptación de Correo Electrónico
- Courier Electrónico Seguro
- Sistema fácil de usar
- Integración
- Transparencia Global
- Seguimiento Automático de Auditoría
- Control de Envío
- Autenticación de dos vías
3.1 ALCANCES DE LA
SOLUCIÓN PROPUESTA:
Primera
Etapa:
Usar
certificados
digitales con clientes de tipo S/MIME.
Segunda Etapa:
Estandarizar el
software de correo con usuarios
S/MIME.
Tercera Etapa: implementar un Sistema
de Mensajería Segura.
INFRAESTRUCTURA PKI, CUMPLIMIENTO DE
ESTÁNDARES.
De la Entidad Certificadora (CA)
De la entidad de Registro (RA)
De los Requerimientos de Seguridad
y Estándares Internacionales
La empresa proveedora debe tener en
cuenta:
- Estándares de los Certificados
- Estándares Criptográficos
- Normas de Comunicación
- Estándares Comerciales
3.3 CONSIDERACIONES DE UN
SISTEMA DE CORREO ELECTRÓNICO
SEGURO
De la Estandarización de los
Sistemas
de Correo Electrónico
para el Estado Peruano
De la confianza del Sistema de
Correo Electrónico
De la Seguridad en la Transmisión de
Correo Electrónico
Se ha tenido en cuenta la garantía de los
siguientes principios de seguridad en la
transmisión de información por Internet:
Autenticación
Confidencialidad
Integridad
No Repudiación
De los Certificados Digitales
El INEI y demás instituciones del Estado involucradas deben
adquirir certificados digitales de Categoría o Nivel “3”, estándar
X.509v3. El certificado digital:
Permitirá el cifrado de texto y la firma digital del correo
electrónico.
Utilizará una clave pública y una clave privada.
Garantizará los cuatro aspectos fundamentales en una
transacción electrónica.
Permitirá uso en futuras aplicaciones diferentes.
La entidad certificadora, valiéndose de la Entidad de Registro
verificarán la identidad de las personas a quien se le otorgará la
licencia de uso del certificado digital.
De la Generación y Grabación de las
Firmas Digitales en las Llaves Inteligentes
USB.
La Autoridad de Registro:
Instala los componentes de seguridad del tipo
de llave inteligente UBS, y del procedimiento
de generación
Grabación de las llaves privadas en las
tarjetas inteligentes
Junto con la Autoridad Certificadora se
verifica y confirma la identidad de la
institución y del usuario al que se le
entregará un componente de seguridad.
De la Distribución e Instalación de
los Componentes de Seguridad.
Se encargará la Autoridad Certificadora.
Cada institución beneficiada deberá
firmar un acta de conformidad de la
instalación de los dispositivos de
seguridad
La autoridad Certificadora entregará
una guía de instalación y uso en idioma
español.
4.
BENEFICIOS DE LA SOLUCIÓN
PROPUESTA
Funcionarios de la PCM, el INEI y las instituciones del Estado
involucrados en el proyecto:
1. Son usuarios que envían un correo electrónico firmado
digitalmente y que no podrán negar que fue él el emisor.
2. Solo la persona que posee un certificado digital y su
correspondiente llave privada puede haber creado la firma
digital que la vincula al documento.
3. Pueden enviar y recibir correo electrónico encriptado, los cuales
si son “chuponeados”, no podrán ser leídos.
4. Si se realiza cualquier modificación en la información invalida la
firma digital.
Alcance del proyecto:
5. Concretar la solución en sus dos primeras etapas, se estaría
maximizando la seguridad existente en cuento a la transmisión
de correo electrónico, y, al implementarse la tercera etapa, se
tendría un sistema completo.
6. La firma digital aplicada tendrá la validez y peso legal de una
firma manuscrita de acuerdo a la Ley 27269 – Ley de Firmas y
Certificad Digitales, que señala textualmente en su artículo 1°:
“Entiéndase por firma electrónica a cualquier símbolo basado en
medios electrónicos utilizado o adoptado por una parte con la
intención precisa de vincularse o autenticar un documento
cumpliendo todas o algunas de las funciones características de
una firma manuscrita”
7. Los certificados digitales a ser generados, cuentan con llaves
inteligentes UBS, que cuentan con un chip criptográfico
especial, que es portátil, y el dueño lo puede llevar consigo a
donde vaya.
5.
METODOLOGÍA – ETAPA 1
1. Levantamiento de información
2. Diseño de Seguridad de Correo Electrónico
3. Registro de Información de usuarios solicitantes de certificados
digitales
4. Proceso de identificación y autenticación de usuarios solicitantes
de certificados digitales
5. Generación de llaves pública y privada
6. Emisión e certificados digitales
7. Instalación y configuración de Servicios de Seguridad de Correo
Electrónico
8. Pruebas de Uso Seguro de Correo Electrónico
9. Entrenamiento a los usuarios
ETAPA 2
10. Estandarización de clientes de correo electrónico
11. Instalación y configuración de Servicios de
Seguridad de Correo Electrónico en clientes de
correo que han cambiado sus características
12. Pruebas de uso Seguro de Correo Electrónico
13. Entrenamiento de usuarios
ETAPA 3
14. Análisis de requerimientos de sistema de
courier electrónico seguro, para las
Instituciones del Estado peruano
15. Desarrollo o Outsourcing de sistema de
courier electrónico seguro
16. Pruebas de uso del sistema de courier
electrónico seguro
17. Entrenamiento a los usuarios
7. RECURSOS PARA EL
PROYECTO
7.1
RECURSOS DEL INEI E INSTITUCIONES
DEL ESTADO INVOLUCRADAS EN EL PROYECTO
Responsable del proyecto
Jefe
de
proyecto
Profesional INEI
Jefe de sistema, proporcionará información
para el buen desarrollo de la consultoría
–
@
Dar soporte a las labores de
personal técnico de la empresa
proveedora
@ Proveer la información requerida,
en forma oportuna al personal de la
empresa proveedora.
@
Tener disponibilidad durante el
tiempo que dura la consultoría
7.2 RECURSOS EXIGIBLES AL
PROVEEDOR
Ejecutivo
Cuenta
de
1 persona tiempo parcial
Jefe
proyecto
de
1 persona tiempo parcial
Ingenieros e Security
3 personas a tiempo completo durante el desarrollo
del proyecto
4 personas a tiempo parcial durante el desarrollo de
la consultoría
8. ENTREGABLE
Los constituye un documento impreso, que
consolide todos los aspectos contemplados
en el alcance del mismo, dejando
constancia de la implantación de la
solución.
9. TIEMPO
Es de acuerdo al tamaño del proyecto.
10. COSTOS ESTIMADOS
El costo del proyecto, de acuerdo a la
información disponible, se estimará en base a la
distribución y cantidad de Certificados a
requerirse. (Los precio son referenciales de un
proveedor local)
Cantidad
Precio
unitario
Certificados digitales
01
95,00.00
Servicios de Autenticación, Identificación,
Validación, Instalación, Configuración
Servicio de Soporte Técnico Anual
01
1,500.00
01
2,000.00
Descripción Certificados Digitales
11. PROPUESTA DE PILOTO PARA
EVALUACIÓN
Para realizar el plan piloto:
Su dimensión e implementación de la solución
propuesta con Certificados en una cantidad de
mínimo 05 y un máximo de 10 usuarios por
institución.
Debe incluir todos los servicios, que demostrará
cómo es el proceso de Registro e Identificación a
seguir en un Proyecto de mayor envergadura.
Se incluirán los servicios de un ingeniero para apoyar
en el piloto de pruebas durante el tiempo de duración
del Piloto que no debe exceder los 45 días.
Related documents
Aspectos Técnicos, Usos y Aplicaciones “Firma y Certificado Digital”
Aspectos Técnicos, Usos y Aplicaciones “Firma y Certificado Digital”
Cifrado de datos
Cifrado de datos
entidad de certificación
entidad de certificación
TARJETA CIUDADANA - Una visión de las tarjetas inteligentes y su
TARJETA CIUDADANA - Una visión de las tarjetas inteligentes y su
Ventajas de la factura electrónica
Ventajas de la factura electrónica
modelo de gestión de servicios pki basado en una arquitectura
modelo de gestión de servicios pki basado en una arquitectura
Certificado Digital Izenpe - OpenSUSE_12.2
Certificado Digital Izenpe - OpenSUSE_12.2
Sin título de diapositiva - Gobierno
Sin título de diapositiva - Gobierno
Guía de instalación de Certificado Digital IZENPE para Ubuntu 12.04
Guía de instalación de Certificado Digital IZENPE para Ubuntu 12.04
Soluciones electrónicas para el cuidado de la salud
Soluciones electrónicas para el cuidado de la salud
Maestría en Dirección de Empresas Caso de Estudio: CertiSur S.A.
Maestría en Dirección de Empresas Caso de Estudio: CertiSur S.A.
CodEnd - UC
CodEnd - UC