RELATÓRIO DE AUDITORIA DA AC RAIZ DA ICP-BRASIL
1 - Objeto de Auditoria
Instalações e procedimentos operacionais da AC Raiz para geração do seu par de chaves assimétricas e emissão
do seu correspondente certificado digital.
2 - Período da Auditoria
15.10.2001 a 19.10.2001 e de 12.11.2001 a 14.11.2001
3 - Objetivo da Auditoria
Avaliar se a AC Raiz está tecnicamente habilitada a gerar seu par de chaves assimétricas e a emitir o seu
certificado de maneira segura, em conformidade com os procedimentos preconizados na sua Declaração de
Práticas de Certificação - DPC, na Política de Segurança - PS da ICP-Brasil, nas Diretrizes de Segurança da
Informação - DSI da AC Raiz e em outros documentos técnicos normativos da AC Raiz.
4 - Escopo da Auditoria
O escopo da auditoria pré-operacional foi a análise da conformidade dos procedimentos da AC Raiz em relação
aos controles ambientais, operacionais e administrativos, necessários para garantir a geração de seu par de
chaves assimétricas e a emissão de seu certificado, de maneira segura.
Por se tratar de uma auditoria pré-operacional, isto é, em ambiente onde ainda não foram iniciadas efetivamente
as atividades da AC Raiz, não havia registros históricos de diversos procedimentos. Assim, utilizou-se a simulação
de eventos e a análise documental dos manuais operacionais, examinando a conveniência e exatidão dos
procedimentos previstos.
Devido ao caráter pré-operacional da auditoria, não foram avaliados os procedimentos e os ambientes para:
− divulgação do diretório de certificados e da lista de certificados revogados (site web); e
−
− recepção, análise e encaminhamento de pedidos de credenciamento como Autoridade Certificadora de
nível imediatamente subseqüente ao da AC Raiz.
5 - Visão Global
O ITI firmou contrato com o SERPRO para que o mesmo opere, inicialmente, o sistema de certificação da AC
Raiz, tendo sido prevista a realização das seguintes atividades:
− “alocação do sistema de geração de pares de chaves criptográficas e de certificados e respectivos
serviços de gerenciamento do ciclo de vida das chaves criptográficas e dos certificados gerados, no
ambiente físico do SERPRO-RJ, no Rio de Janeiro, Horto, em Sala-Cofre, com toda a infra-estrutura de
segurança necessária;
−
− prestação de serviços relativos à segurança física, segurança dos dados, segurança operacional
(procedimentos executados de forma segura) e controle de pessoal;
−
− realização de cerimonial de geração de certificado da AC Raiz;
−
− realização de cerimonial de geração de certificado das Autoridades Certificadoras - AC, quando
demandado pelo ITI;
−
− geração de chaves de ignição que dão acesso à chave da AC Raiz, a serem fornecidas aos servidores
designados pelo ITI;
− confecção, hospedagem e manutenção da página Web da AC Raiz, em português e inglês, em
ambiente seguro;
−
− consultoria de Infra-estrutura de Chaves Públicas – ICP;
−
− treinamento técnico-operacional especializado sobre infra-estrutura de chaves públicas;
2