Date post: | 03-Feb-2016 |
Category: |
Documents |
Upload: | lucas-ojeda-ortiz |
View: | 225 times |
Download: | 0 times |
INEI
“IMPLANTACION DE UN SISTEMA DE CORREO ELECTRONICO SEGURO, EMPLEANDO CERTIFICADOS Y FIRMAS DIGITALES, PARA LAS INSTITUCIONES DEL ESTADO PERUANO”
1. DESCRIPCION DEL PROBLEMA:
Existe una gran necesidad de transmitir información confidencial y sensitiva vía Correo Electrónico, entre el Estado y las compañías del sector privado, sin embargo en las instituciones públicas el correo electrónico es muy importante por ser un medio de transmisión de información pero se han notado muchos “huecos de seguridad” en cuanto a confidencialidad e integridad.
El sistema de correo electrónico seguro, provee servicios de seguridad de punto a punto, reduce el daño que podría resultar de un mensaje de correo electrónico mal direccionado o interceptado, los mensajes encriptados son protegidos de ser leídos aún si no llegan a su destinatario.
2. OBJETIVO
“ Implantación de un Sistema de Correo Electrónico Seguro, empleando certificados y firmas digitales, para las Instituciones del Estado Peruano”.
3. SOLUCIÓN PROPUESTA
Habilitar las facilidades de:
- Firma Digital de Correo Electrónico- Encriptación de Correo Electrónico- Courier Electrónico Seguro
ASPECTOS A CONSIDERAR:
- Sistema fácil de usar- Integración- Transparencia Global- Seguimiento Automático de
Auditoría - Control de Envío - Autenticación de dos vías
3.1 ALCANCES DE LA SOLUCIÓN PROPUESTA:
Primera Etapa: Usar certificados digitales con clientes de tipo S/MIME.Segunda Etapa: Estandarizar el software de correo con usuarios S/MIME.
Tercera Etapa: implementar un Sistema de Mensajería Segura.
3.2 FUNCIONALIDADES DE UNA INFRAESTRUCTURA PKI, CUMPLIMIENTO DE ESTÁNDARES.
De la Entidad Certificadora (CA)
De la entidad de Registro (RA)
De los Requerimientos de Seguridad y Estándares Internacionales
La empresa proveedora debe tener en cuenta:
- Estándares de los Certificados- Estándares Criptográficos - Normas de Comunicación- Estándares Comerciales
3.3 CONSIDERACIONES DE UN SISTEMA DE CORREO ELECTRÓNICO SEGURO
De la Estandarización de los Sistemas de Correo Electrónico para el Estado Peruano
De la confianza del Sistema de Correo Electrónico
De la Seguridad en la Transmisión de Correo Electrónico
Se ha tenido en cuenta la garantía de lossiguientes principios de seguridad en latransmisión de información por Internet:
AutenticaciónConfidencialidadIntegridadNo Repudiación
De los Certificados Digitales
El INEI y demás instituciones del Estado involucradas debenadquirir certificados digitales de Categoría o Nivel “3”, estándarX.509v3. El certificado digital:
Permitirá el cifrado de texto y la firma digital del correo electrónico.Utilizará una clave pública y una clave privada.Garantizará los cuatro aspectos fundamentales en una transacción electrónica.Permitirá uso en futuras aplicaciones diferentes.
La entidad certificadora, valiéndose de la Entidad de Registroverificarán la identidad de las personas a quien se le otorgará lalicencia de uso del certificado digital.
De la Generación y Grabación de las Firmas Digitales en las Llaves
Inteligentes USB.
La Autoridad de Registro: Instala los componentes de seguridad del tipo de llave inteligente UBS, y del procedimiento de generación Grabación de las llaves privadas en las tarjetas inteligentesJunto con la Autoridad Certificadora se verifica y confirma la identidad de la institución y del usuario al que se le entregará un componente de seguridad.
De la Distribución e Instalación de los Componentes de
Seguridad.
Se encargará la Autoridad Certificadora. Cada institución beneficiada deberá firmar un acta de conformidad de la instalación de los dispositivos de seguridadLa autoridad Certificadora entregará una guía de instalación y uso en idioma español.
4. BENEFICIOS DE LA SOLUCIÓN PROPUESTA
Funcionarios de la PCM, el INEI y las instituciones del Estado involucrados en el proyecto:
1. Son usuarios que envían un correo electrónico firmado digitalmente y que no podrán negar que fue él el emisor.
2. Solo la persona que posee un certificado digital y su correspondiente llave privada puede haber creado la firma digital que la vincula al documento.
3. Pueden enviar y recibir correo electrónico encriptado, los cuales si son “chuponeados”, no podrán ser leídos.
4. Si se realiza cualquier modificación en la información invalida la firma digital.
Alcance del proyecto:
5. Concretar la solución en sus dos primeras etapas, se estaría maximizando la seguridad existente en cuento a la transmisión de correo electrónico, y, al implementarse la tercera etapa, se tendría un sistema completo.
6. La firma digital aplicada tendrá la validez y peso legal de una firma manuscrita de acuerdo a la Ley 27269 – Ley de Firmas y Certificad Digitales, que señala textualmente en su artículo 1°: “Entiéndase por firma electrónica a cualquier símbolo basado en medios electrónicos utilizado o adoptado por una parte con la intención precisa de vincularse o autenticar un documento cumpliendo todas o algunas de las funciones características de una firma manuscrita”
7. Los certificados digitales a ser generados, cuentan con llaves inteligentes UBS, que cuentan con un chip criptográfico especial, que es portátil, y el dueño lo puede llevar consigo a donde vaya.
5. METODOLOGÍA – ETAPA 1
1. Levantamiento de información2. Diseño de Seguridad de Correo Electrónico3. Registro de Información de usuarios solicitantes de
certificados digitales4. Proceso de identificación y autenticación de usuarios
solicitantes de certificados digitales5. Generación de llaves pública y privada6. Emisión e certificados digitales7. Instalación y configuración de Servicios de Seguridad de
Correo Electrónico8. Pruebas de Uso Seguro de Correo Electrónico9. Entrenamiento a los usuarios
ETAPA 2
10. Estandarización de clientes de correo electrónico
11. Instalación y configuración de Servicios de Seguridad de Correo Electrónico en clientes de correo que han cambiado sus características
12. Pruebas de uso Seguro de Correo Electrónico13. Entrenamiento de usuarios
ETAPA 3
14.Análisis de requerimientos de sistema de courier electrónico seguro, para las Instituciones del Estado peruano
15.Desarrollo o Outsourcing de sistema de courier electrónico seguro
16.Pruebas de uso del sistema de courier electrónico seguro
17.Entrenamiento a los usuarios
7. RECURSOS PARA EL PROYECTO
Responsable del proyecto Jefe de sistema, proporcionará información para el buen desarrollo de la consultoría
Jefe de proyecto – Profesional INEI
Dar soporte a las labores de personal técnico de la empresa proveedora Proveer la información requerida, en forma oportuna al personal de la empresa proveedora. Tener disponibilidad durante el tiempo que dura la consultoría
7.1 RECURSOS DEL INEI E INSTITUCIONES DEL ESTADO INVOLUCRADAS EN EL PROYECTO
7.2 RECURSOS EXIGIBLES AL PROVEEDOR
Ejecutivo de Cuenta
1 persona tiempo parcial
Jefe de proyecto
1 persona tiempo parcial
Ingenieros e - Security
3 personas a tiempo completo durante el desarrollo del proyecto4 personas a tiempo parcial durante el desarrollo de la consultoría
8. ENTREGABLELos constituye un documento impreso, que consolide todos los aspectos contemplados en el alcance del mismo, dejando constancia de la implantación de la solución.
9. TIEMPOEs de acuerdo al tamaño del proyecto.
10.COSTOS ESTIMADOS
Descripción Certificados Digitales Cantidad Precio unitario
Certificados digitales 01 95,00.00
Servicios de Autenticación, Identificación, Validación, Instalación, Configuración
01 1,500.00
Servicio de Soporte Técnico Anual 01 2,000.00
El costo del proyecto, de acuerdo a la información disponible, se estimará en base a la distribución y cantidad de Certificados a requerirse. (Los precio son referenciales de un proveedor local)
11. PROPUESTA DE PILOTO PARA EVALUACIÓN
Para realizar el plan piloto:Su dimensión e implementación de la solución propuesta con Certificados en una cantidad de mínimo 05 y un máximo de 10 usuarios por institución.Debe incluir todos los servicios, que demostrará cómo es el proceso de Registro e Identificación a seguir en un Proyecto de mayor envergadura.Se incluirán los servicios de un ingeniero para apoyar en el piloto de pruebas durante el tiempo de duración del Piloto que no debe exceder los 45 días.