OBJETIVOS GENÉRICOS DE SEGURIDAD
4. Funciones de aplicación de la seguridad 1 Identificación y autentificación
UIA_101 El sensor de movimiento deberá ser capaz de establecer, para cada interacción, la identidad de cualquier entidad a la que esté conectado.
UIA_102 La identidad de una entidad conectada constará de: - un grupo de entidad:
-- VU,
-- dispositivo de gestión, -- otros,
una identificación de entidad (VU exclusivamente).
UIA_103 La identificación de entidad de una VU conectada constará del número de homologación y del número de serie de dicha VU.
UIA_104 El sensor de movimiento deberá ser capaz de autentificar cualquier VU o dispositivo de gestión al que esté conectado:
- en el momento de producirse la conexión de la entidad, - al recuperarse el suministro eléctrico
UIA_105 El sensor de movimiento deberá ser capaz de reautentificar periódicamente la VU a la que está conectado.
UIA_106 El sensor de movimiento deberá ser capaz de detectar e impedir el uso de datos de autentificación que se hayan copiado y reproducido.
UIA_107 Tras haberse detectado varios intentos consecutivos de autentificación con resultados negativos (número de intentos a discreción del fabricante y no superior a 20), la función SEF deberá:
- generar un registro de auditoría del incidente, - enviar una advertencia a la entidad,
- seguir exportando datos de movimiento en un modo no seguro. 4.2. Control de accesos
Los controles de accesos garantizan que sólo las personas autorizadas pueden leer, crear o modificar la información del TOE.
ACC_101 El sensor de movimiento deberá controlar los derechos de acceso a las funciones y a los datos. 4.2.2. Derechos de acceso a los datos
ACC_102 El sensor de movimiento deberá garantizar que los datos de identificación del sensor de movimiento sólo pueden escribirse una vez (condición 078).
ACC_103 Los datos de usuario que acepte o almacene el sensor de movimiento deberán proceder exclusivamente de entidades autentificadas.
ACC_104 El sensor de movimiento deberá aplicar un sistema adecuado que regule los derechos de acceso a la lectura y la escritura de datos de seguridad.
4.2.3. Estructura de archivos y condiciones de acceso
ACC_105 La estructura de los archivos de la aplicación y de los archivos de datos, así como las condiciones de acceso, deberán crearse durante el proceso de fabricación y posteriormente no se podrán modificar ni borrar.
4.3. Responsabilidad
ACT_101 El sensor de movimiento deberá almacenar en su memoria sus propios datos de identificación (condición 077).
ACT_102 El sensor de movimiento deberá almacenar en su memoria los datos de instalación (condición 099).
ACT_103 El sensor de movimiento deberá ser capaz de enviar los datos de control a entidades autentificadas cuando éstas lo soliciten.
4.4. Auditoría
AUD_101 El sensor de movimiento deberá generar registros de auditoría para los incidentes que afecten a su seguridad.
AUD_102 Los incidentes que afectan a la seguridad del sensor de movimiento son los siguientes: - intentos de violación de la seguridad:
-- fallo de autentificación,
-- error en la integridad de los datos almacenados, -- error en una transferencia interna de datos, -- apertura no autorizada de la carcasa, -- sabotaje del hardware,
- fallo del sensor.
AUD_103 Los registros de auditoría deberán incluir los datos siguientes: - fecha y hora del incidente,
- tipo de incidente,
- identidad de la entidad conectada.
Cuando estos datos no estén disponibles, se mostrará por defecto una indicación adecuada (a discreción del fabricante).
AUD_104 El sensor de movimiento deberá enviar los registros de auditoría a la VU en el mismo momento de su generación, y también podrá guardarlos en su memoria.
AUD_105 Si el sensor de movimiento guarda los registros de auditoría, deberá garantizar que permanecen almacenados 20 de dichos registros, con independencia de si se agota la capacidad de la memoria. Si una entidad autentificada lo solicita, el sensor de movimiento deberá ser capaz de enviarle los registros de auditoría almacenados.
4.5. Precisión
4.5.1. Política de control del flujo de información
ACR_101 El sensor de movimiento deberá garantizar que los datos de movimiento sólo se pueden procesar y extraer de la entrada mecánica.
4.5.2. Transferencias internas de datos
Las condiciones descritas en este apartado se aplican exclusivamente si el sensor de movimiento utiliza piezas separadas físicamente.
ACR_102 Si se transfieren datos entre piezas del sensor de movimiento que se encuentren separadas físicamente, dichos datos deberán estar protegidos de posibles modificaciones.
ACR_103 Si se detecta un error durante una transferencia interna, la transmisión deberá repetirse y la función SEF deberá generar un registro de auditoría del incidente.
4.5.3. Integridad de los datos almacenados
ACR_104 El sensor de movimiento deberá comprobar la existencia de errores de integridad en los datos de usuario que almacena en su memoria.
ACR_105 Si se detecta un error de integridad en los datos de usuario almacenados, la función SEF deberá generar un registro de auditoría.
4.6. Fiabilidad de servicio 4.6.1 Pruebas
RLB_101 Todos los comandos, acciones o puntos de prueba específicos para las necesidades de ensayo propias de la fase de fabricación deberán ser desactivados o eliminados antes de que termine dicha fase, y no se podrán restablecer para su empleo posterior.
RLB_102 El sensor de movimiento deberá efectuar comprobaciones automáticas en el momento de la puesta en marcha y durante el funcionamiento normal, a fin de verificar su correcto funcionamiento. Las comprobaciones automáticas del sensor de movimiento deberán incluir una verificación de la integridad de los datos de seguridad y una verificación de la integridad del código ejecutable almacenado (si no se encuentra en una memoria ROM).
RLB_103 Si se detecta un fallo interno durante una comprobación automática, la función SEF deberá generar un registro de auditoría (fallo del sensor).
4.6.2. Software
RLB_104 Debe ser imposible analizar o depurar sobre el terreno el software del sensor de movimiento. RLB_105 No deberán aceptarse como código ejecutable las entradas procedentes de fuentes externas. 4.6.3. Protección física
RLB_106 Si el sensor de movimiento se diseña de manera que pueda abrirse, deberá detectar la apertura de la carcasa, incluso sin alimentación eléctrica externa (durante un mínimo de 6 meses). En tal caso, la función SEF deberá generar un registro de auditoría del incidente. (Es admisible que el registro de auditoría se genere y se almacene después de haberse reconectado el suministro eléctrico).
Si el sensor de movimiento no puede abrirse, deberá estar diseñado de manera que los intentos de manipulación física puedan detectarse con facilidad (por ejemplo, mediante inspección ocular).
RLB_107 El sensor de movimiento deberá detectar determinados actos (a discreción del fabricante) de sabotaje del hardware.
RLB_108 En el caso arriba descrito, la función SEF deberá generar un registro de auditoría y el sensor de movimiento deberá: (a discreción del fabricante).
4.6.4. Interrupciones del suministro eléctrico
RLB_109 El sensor de movimiento mantendrá las condiciones de seguridad durante las interrupciones u oscilaciones del suministro eléctrico.
4.6.5. Condiciones de reinicio
RLB_110 En caso de interrupción del suministro eléctrico, o si se detiene una transacción antes de que concluya, o si se da cualquier otra condición de reinicio, el sensor de movimiento deberá reiniciarse limpiamente.
4.6.6. Disponibilidad de los datos
RLB_111 El sensor de movimiento deberá garantizar que se obtiene acceso a los recursos cuando es necesario y que dichos recursos no se solicitan ni se retienen de forma innecesaria.
4.6.7. Múltiples aplicaciones
RLB_112 Si el sensor de movimiento ofrece otras aplicaciones aparte de la de tacógrafo, todas ellas deberán estar separadas entre sí por medios físicos o lógicos. Dichas aplicaciones no deberán compartir datos de seguridad, y sólo podrá haber una tarea activa en un momento dado.
4.7. Intercambio de datos
DEX_101 Los datos de movimiento que el sensor de movimiento exporte a la VU deberán ir acompañados de los atributos de seguridad asociados, de manera que la VU sea capaz de verificar su integridad y autenticidad.
4.8. Apoyo criptográfico
Los requisitos del presente apartado se aplican exclusivamente cuando es necesario, en función de los mecanismos de seguridad empleados y según las soluciones del fabricante.
CSP_101 En todas las operaciones criptográficas que lleve a cabo el sensor de movimiento se emplearán un algoritmo y un tamaño de clave específicos.
CSP_102 Si el sensor de movimiento genera claves criptográficas, deberá ser con arreglo a algoritmos específicos de generación de claves y tamaños de clave específicos.
CSP_103 Si el sensor de movimiento distribuye claves criptográficas, deberá ser con arreglo a métodos específicos de distribución de claves.
CSP_104 Si el sensor de movimiento accede a claves criptográficas, deberá ser con arreglo a métodos específicos de acceso a claves criptográficas.
CSP_105 Si el sensor de movimiento destruye claves criptográficas, deberá ser con arreglo a métodos específicos de destrucción de claves criptográficas.