INEI “IMPLANTACION DE UN SISTEMA DE CORREO ELECTRONICO SEGURO, EMPLEANDO CERTIFICADOS Y FIRMAS DIGITALES, PARA LAS INSTITUCIONES DEL ESTADO PERUANO”
1. DESCRIPCION DEL PROBLEMA: Existe una gran necesidad de transmitir información confidencial y sensitiva vía Correo Electrónico, entre el Estado y las compañías del sector privado, sin embargo en las instituciones públicas el correo electrónico es muy importante por ser un medio de transmisión de información pero se han notado muchos “huecos de seguridad” en cuanto a confidencialidad e integridad.
El sistema de correo electrónico seguro, provee servicios de seguridad de punto a punto, reduce el daño que podría resultar de un mensaje de correo electrónico mal direccionado o interceptado, los mensajes encriptados son protegidos de ser leídos aún si no llegan a su destinatario.
2. OBJETIVO “ Implantación de un Sistema de Correo Electrónico Seguro, empleando certificados y firmas digitales, para las Instituciones del Estado Peruano”.
3. SOLUCIÓN PROPUESTA Habilitar las facilidades de: - Firma Digital de Correo Electrónico - Encriptación de Correo Electrónico - Courier Electrónico Seguro
ASPECTOS A CONSIDERAR: - Sistema fácil de usar - Integración - Transparencia Global - Seguimiento Automático de Auditoría - Control de Envío - Autenticación de dos vías
3.1 ALCANCES DE LA SOLUCIÓN PROPUESTA: Primera Etapa: Usar certificados digitales con clientes de tipo S/MIME. Segunda Etapa: Estandarizar el software de correo con usuarios S/MIME. Tercera Etapa: implementar un Sistema de Mensajería Segura.
3.2 FUNCIONALIDADES DE UNA INFRAESTRUCTURA PKI, CUMPLIMIENTO DE ESTÁNDARES. De la Entidad Certificadora (CA) De la entidad de Registro (RA) De los Requerimientos de Seguridad y Estándares Internacionales
La empresa proveedora debe tener en cuenta: - Estándares de los Certificados - Estándares Criptográficos - Normas de Comunicación - Estándares Comerciales
3.3 CONSIDERACIONES DE UN SISTEMA DE CORREO ELECTRÓNICO SEGURO De la Estandarización de los Sistemas de Correo Electrónico para el Estado Peruano De la confianza del Sistema de Correo Electrónico
De la Seguridad en la Transmisión de Correo Electrónico Se ha tenido en cuenta la garantía de los siguientes principios de seguridad en la transmisión de información por Internet: Autenticación Confidencialidad Integridad No Repudiación
De los Certificados Digitales El INEI y demás instituciones del Estado involucradas deben adquirir certificados digitales de Categoría o Nivel “3”, estándar X.509v3. El certificado digital: Permitirá el cifrado de texto y la firma digital del correo electrónico. Utilizará una clave pública y una clave privada. Garantizará los cuatro aspectos fundamentales en una transacción electrónica. Permitirá uso en futuras aplicaciones diferentes. La entidad certificadora, valiéndose de la Entidad de Registro verificarán la identidad de las personas a quien se le otorgará la licencia de uso del certificado digital.
De la Generación y Grabación de las Firmas Digitales en las Llaves Inteligentes USB. La Autoridad de Registro: Instala los componentes de seguridad del tipo de llave inteligente UBS, y del procedimiento de generación Grabación de las llaves privadas en las tarjetas inteligentes Junto con la Autoridad Certificadora se verifica y confirma la identidad de la institución y del usuario al que se le entregará un componente de seguridad.
De la Distribución e Instalación de los Componentes de Seguridad. Se encargará la Autoridad Certificadora. Cada institución beneficiada deberá firmar un acta de conformidad de la instalación de los dispositivos de seguridad La autoridad Certificadora entregará una guía de instalación y uso en idioma español.
4.BENEFICIOS DE LA SOLUCIÓN PROPUESTA Funcionarios de la PCM, el INEI y las instituciones del Estado involucrados en el proyecto: 1.Son usuarios que envían un correo electrónico firmado digitalmente y que no podrán negar que fue él el emisor. 2.Solo la persona que posee un certificado digital y su correspondiente llave privada puede haber creado la firma digital que la vincula al documento. 3.Pueden enviar y recibir correo electrónico encriptado, los cuales si son “chuponeados”, no podrán ser leídos. 4.Si se realiza cualquier modificación en la información invalida la firma digital.
Alcance del proyecto: 5.Concretar la solución en sus dos primeras etapas, se estaría maximizando la seguridad existente en cuento a la transmisión de correo electrónico, y, al implementarse la tercera etapa, se tendría un sistema completo. 6.La firma digital aplicada tendrá la validez y peso legal de una firma manuscrita de acuerdo a la Ley – Ley de Firmas y Certificad Digitales, que señala textualmente en su artículo 1°: “Entiéndase por firma electrónica a cualquier símbolo basado en medios electrónicos utilizado o adoptado por una parte con la intención precisa de vincularse o autenticar un documento cumpliendo todas o algunas de las funciones características de una firma manuscrita” 7.Los certificados digitales a ser generados, cuentan con llaves inteligentes UBS, que cuentan con un chip criptográfico especial, que es portátil, y el dueño lo puede llevar consigo a donde vaya.
5.METODOLOGÍA – ETAPA 1 1.Levantamiento de información 2.Diseño de Seguridad de Correo Electrónico 3.Registro de Información de usuarios solicitantes de certificados digitales 4.Proceso de identificación y autenticación de usuarios solicitantes de certificados digitales 5.Generación de llaves pública y privada 6.Emisión e certificados digitales 7.Instalación y configuración de Servicios de Seguridad de Correo Electrónico 8.Pruebas de Uso Seguro de Correo Electrónico 9.Entrenamiento a los usuarios
ETAPA Estandarización de clientes de correo electrónico 11. Instalación y configuración de Servicios de Seguridad de Correo Electrónico en clientes de correo que han cambiado sus características 12. Pruebas de uso Seguro de Correo Electrónico 13. Entrenamiento de usuarios
ETAPA Análisis de requerimientos de sistema de courier electrónico seguro, para las Instituciones del Estado peruano 15. Desarrollo o Outsourcing de sistema de courier electrónico seguro 16. Pruebas de uso del sistema de courier electrónico seguro 17. Entrenamiento a los usuarios
7.RECURSOS PARA EL PROYECTO Responsable del proyectoJefe de sistema, proporcionará información para el buen desarrollo de la consultoría Jefe de proyecto – Profesional Dar soporte a las labores de personal técnico de la empresa Proveer la información requerida, en forma oportuna al personal de la empresa Tener disponibilidad durante el tiempo que dura la consultoría 7.1RECURSOS DEL INEI E INSTITUCIONES DEL ESTADO INVOLUCRADAS EN EL PROYECTO
7.2 RECURSOS EXIGIBLES AL PROVEEDOR Ejecutivo de Cuenta 1 persona tiempo parcial Jefe de proyecto 1 persona tiempo parcial Ingenieros e - Security 3 personas a tiempo completo durante el desarrollo del proyecto 4 personas a tiempo parcial durante el desarrollo de la consultoría
8. ENTREGABLE Los constituye un documento impreso, que consolide todos los aspectos contemplados en el alcance del mismo, dejando constancia de la implantación de la solución. 9. TIEMPO Es de acuerdo al tamaño del proyecto.
10.COSTOS ESTIMADOS Descripción Certificados DigitalesCantidad Precio unitario Certificados digitales0195,00.00 Servicios de Autenticación, Identificación, Validación, Instalación, Configuración 011, Servicio de Soporte Técnico Anual012, El costo del proyecto, de acuerdo a la información disponible, se estimará en base a la distribución y cantidad de Certificados a requerirse. (Los precio son referenciales de un proveedor local)
11.PROPUESTA DE PILOTO PARA EVALUACIÓN Para realizar el plan piloto: Su dimensión e implementación de la solución propuesta con Certificados en una cantidad de mínimo 05 y un máximo de 10 usuarios por institución. Debe incluir todos los servicios, que demostrará cómo es el proceso de Registro e Identificación a seguir en un Proyecto de mayor envergadura. Se incluirán los servicios de un ingeniero para apoyar en el piloto de pruebas durante el tiempo de duración del Piloto que no debe exceder los 45 días.