PROCEDIMIENTOS DE CONTROL DE SEGURIDAD

5.4.1 TIPOS DE EVENTOS REGISTRADOS

En los siguientes ítems, se describen los aspectos del sistema de auditoría y del registro de eventos implementados por el PSC-FII para la gestión de cada una de las AC-FII del PSC-FII y AC3-FUNDAYACUCHO, con el objeto de mantener un ambiente seguro.

El sistema de certificación utilizado se localiza en un nivel de seguridad 3 y es instalado sobre una plataforma de altas medidas de seguridad de red.

El PSC-FII registra en archivos de auditoría todos los eventos relacionados con la seguridad de los sistemas de certificación. Los siguientes eventos son obligatorios incluir dentro de la bitácora del sistema:

¾ Inicialización de los sistemas de certificación.

¾ Tentativas de remover, modificar, realizar o definir cualquier cambio de privilegios de los sistemas de operadores de la AC-FII.

¾ Cambios de configuración o creación de nuevas claves. ¾ Cambios en las políticas de creación de certificados.

¾ Operaciones de escrituras o lectura en el repositorio de certificados y en otros repositorios, cuando aplique.

¾ Operaciones descritas en el repositorio, cuando apliquen.

Los registros de auditoría, electrónicos o manuales, contienen la información, la hora del evento registrado y la identificación del agente que lo causó.

La documentación relacionada con los servicios de cada una de las AC-FII del PSC-FII y AC3- FUNDAYACUCHO, es generada electrónica o manualmente, y ensamblada en un único lugar, de forma de estructurarla para facilitar su acceso y consultar los procesos de auditoria, para atender a las políticas de seguridad.

La periodicidad con que los registros de auditoría del PSC-FII son analizados por el personal operacional es de una semana (salvo que se tenga conocimiento de alguna situación que justifique su adelanto). Todos los eventos significativos son explicados en una relación de auditoría de registros, tal análisis implica una inspección breve de todos los registros, con la verificación de que no fueran alterados, sugiriendo una investigación más detallada sobre cualquier alerta o irregularidad en esos registros. Todas las acciones tomadas producto de esos análisis serán documentadas.

La generación de copias de seguridad de registros de auditoría es realizada en medios especializados, por profesional autorizado del PSC-FII regularmente. El sistema de almacenamiento de datos de auditoría es una combinación de procesos automatizados y manuales, que se ejecutan por el personal de operación u otros sistemas.

Los eventos registrados poseen, como mínimo, la información siguiente:

Categoría: Indica la importancia del evento.

- Informativo: los eventos de esta categoría contienen información sobre operaciones realizadas con éxito.

- Marca: cada vez que empieza y termina una sesión de administración, se registra un evento de esta categoría.

- Advertencia: indica que se ha detectado un hecho inusual durante una operación, pero que no provocó que la operación fallara (p.ej. una petición de lote denegada).

- Error: indica el fallo de una operación debido a un error predecible (p.ej. un lote que no se ha procesado porque la AR pidió una plantilla de certificación para la cual no estaba autorizada).

- Error Fatal: indica que ha ocurrido una circunstancia excepcional durante una operación (p.ej. una tabla de base de datos a la que no se puede acceder).

Autor: Nombre distintivo de la Autoridad que generó el evento. Rol: Tipo de Autoridad que generó el evento.

Tipo evento: Identifica el tipo del evento, distinguiendo, entre otros, los eventos criptográficos,

de interfaz de usuario, de librería.

Módulo: Identifica el módulo que generó el evento. Por ejemplo: AC, AR, entre otros. Descripción: Representación textual del evento.

5.4.2 FRECUENCIA DE PROCESADOS DE REGISTROS DE LOGS

La periodicidad con que los registros de auditoría para cada una de las AC-FII del PSC-FII y AC3-FUNDAYACUCHO son analizados por el personal operacional del PSC-FII, es de una semana (salvo que se tenga conocimiento de alguna situación que justifique su adelanto).

5.4.3 PERIODO DE RETENCIÓN PARA LOS LOGS DE AUDITORIA

El PSC-FII mantendrá todos los registros de auditoría generados por el sistema de certificación de la AC-FII, por un periodo mínimo desde la fecha de su creación de:

¾ Dos (2) años para los pertenecientes a auditorias semanales. ¾ Cinco (5) años para las mensuales.

¾ Diez (10) años para los de auditorías anuales y extraordinarias.

Para el caso de la AC3-FUNDAYACUCHO, está especificado en su PC de Becario de FUNDAYACUCHO.

5.4.4 PROTECCIÓN DE LOS LOGS DE AUDITORIA

La generación de copias de seguridad de registros de auditoría es realizada en medios especializados, por profesional autorizado del PSC-FII regularmente, estos serán colocados en la caja de seguridad del PSC-FII, la cual estará ubicada en un lugar ajeno a la sala principal de operaciones.

5.4.5 PROCEDIMIENTOS DE BACKUP DE LOS REGISTROS DE AUDITORIA

Como medida preventiva ante fallas que pongan en riesgo los repositorios, se realizarán operaciones de respaldos periódicos, y estos se almacenarán en un lugar seguro. En este sentido, se manejará la siguiente metodología:

¾ Se realizará respaldos diarios que abarcarán los logs y la información que se encuentre almacenada en cada una de la Base de Datos, para ese momento. ¾ Se realizarán respaldos mensuales los cuales contendrán tanto la información

almacenada como la estructura de cada una de la Base de Datos.

De esta manera, los respaldos diarios y mensuales en un principio serán dispuestos en el disco duro de un servidor destinado para tal fin, y la primera de semana del mes siguiente, serán pasados a otros medios de almacenamiento (Dvd’s), para que posteriormente sean colocados en forma ordenada en un armario exclusivo, el cual estará ubicado en un lugar ajeno a la sala principal de operaciones.

Figura 2 Proceso de Respaldos

En este sentido, se resumen las siguientes consideraciones al respecto: ¾ Deberán ser almacenados en armarios ignífugos.

¾ Solamente personas autorizadas disponen de acceso a los backups. ¾ Las copias deberán estar identificadas.

¾ Si un material ha contenido backups (cdrom, dvd’s...) y se quieren reutilizar nos aseguraremos que los datos que ha contenido hayan sido totalmente borrados haciendo imposible su recuperación.

¾ Se autoriza expresamente la extracción de los backups fuera de la Entidad, rellenando una ficha al respecto y anotando el correspondiente detalle en un libro de registro.

En caso de fallas, los repositorios podrán ser recuperados a partir de su respaldo diario, sincronizando nuevamente con los registros obtenidos de la sincronización de las últimas 24 horas.

Figura 3 Proceso de Recuperación