FNM - Group Security Office Romolo BERNARDI

Transcript

1 Activity Responsible Elaboration FNM - Group Security Office Romolo BERNARDI FGS - ICT Systems & Architecture Stefano BORDI Control FGS - Quality & Processes Andrea BELLINI Approval & Issue FGS - Group ICT Giorgio MOSCA La copia digitale disponibile sulla intranet aziendale e sul portale PKI è conforme all originale depositato in archivio. Ogni altra copia, digitale o cartacea, è da considerarsi in forma non controllata FGS Group ICT Object: Regola Page: 1 of 17

2 Version Control Date Version Author Paragraph Notes S. Bordi Tutti Prima emissione FGS Group ICT Object: Regola Page: 2 of 17

3 Table of contents 1 Finalità Ambito di applicazione Linee Guida Definizioni Informazioni generali: Gestione del documento Pubblicazione Dettagli relativi ai contatti Utilizzo dei certificati: Soggetti coinvolti nella PKI e loro obblighi Autorità di certificazione (Certification Authority - CA) Servizi di Gestione Certificati Autorità di Registrazione (Registration Authority - RA) Titolare del Certificato Titolare Persona fisica Titolare Sistema Utilizzatore del Certificato Requisiti operativi del ciclo di vita del certificato Identificazione e registrazione dei titolari Richiesta e rilascio del certificato Rinnovo del certificato Sospensione del certificato Revoca del certificato Frequenza della pubblicazione delle CRL Controlli di gestione, di operatività, di sicurezza fisica e logica Cessazione della CA o della RA Profili dei certificati e delle CRL Profilo del certificato Profilo della CRL Disposizioni legali e commerciali FGS Group ICT Object: Regola Page: 3 of 17

4 10.1 Tutela dati personali Diritti della proprietà intellettuale Diritti di proprietà intellettuale Diritti di proprietà del certificato Diritti di proprietà della coppia di chiavi Diritti di proprietà del token/supporto crittografico Strumenti e standard di riferimento Riferimenti normativi Documenti di riferimento FGS Group ICT Object: Regola Page: 4 of 17

5 1 Finalità L obiettivo del presente documento: Certificate Policy (CP) è quello di descrivere i principi e linee guida a cui tutti i soggetti coinvolti nell infrastruttura a chiave pubblica del Gruppo Finmeccanica (Public Key Infrastructure - PKI), dall utente finale all erogatore del servizio, devono aderire per le attività di emissione, gestione ed utilizzo dei certificati digitali. 2 Ambito di applicazione Il presente documento si applica a tutti i seguenti soggetti coinvolti nel processo di gestione dei certificati digitali emessi dalla PKI Finmeccanica. Tali soggetti sono: Finmeccanica Società per Azioni (da ora FNM) Finmeccanica unità organizzativa Group Security Office (da ora FNM GSO); Finmeccanica Group Services unità organizzativa Group ICT (da ora FGS ICT); Fornitore dei servizi di Gestione dei Certificati - Elsag Datamat (da ora Gestore PKI); Titolare del certificato; Security Manager (da ora SM); Business Process Owner (da ora BPO). che devono essere a conoscenza delle procedure di loro pertinenza (cfr. Certificate Practice Statement) e rispettarle durante lo svolgimento della loro attività nell ambito della PKI. I principi e le linee guida descritti nel presente documento sono applicabili ai certificati rilasciati a persone fisiche e a sistemi (vedere 6.3). I certificati erogati possono essere utilizzati ai fini di autenticazione/firma e cifratura dei dati Essendo la PKI Finmeccanica rivolta anche verso entità esterne al Gruppo, la CP è resa pubblica e può essere reperita sul sito insieme alla Contact List con i riferimenti dei vari soggetti coinvolti nel processo di gestione della PKI FGS Group ICT Object: Regola Page: 5 of 17

6 3 Linee Guida Finmeccanica S.p.a. si è dotata di un infrastruttura a chiave pubblica messa a disposizione di tutte le Società del Gruppo per garantire l utilizzo degli applicativi e dei servizi del Gruppo FNM che necessitano elevati livelli di sicurezza. L infrastruttura a chiave pubblica dispone di tutte le funzionalità proprie di una PKI previste dagli standard di riferimento e assicura che la gestione dei certificati digitali a chiave pubblica e il loro utilizzo siano effettuati con adeguate garanzie di sicurezza. La PKI FNM non è concepita attualmente come strumento tecnologico a supporto di un ente di certificazione abilitato al rilascio di certificati qualificati (D.P.R. 28 dicembre 2000, n. 445 e successive modificazioni e integrazioni). 4 Definizioni Di seguito si riportano alcune definizioni significative per l mabito in oggetto: Termine Acronimo Definizione Public Key Infrastructure PKI L infrastruttura a chiave pubblica è intesa come un insieme di: processi e procedure di erogazione dei servizi evidenze dei servizi erogati personale addetto risorse logistiche associate tecnologie (sistemi HW/SW, dispositivi crittografici, rete di trasmissione dati) Chiave pubblica e privata - Una chiave pubblica è una chiave crittografica utilizzata in un sistema di crittografia asimmetrica; in tale sistema ogni chiave pubblica è associata ad una chiave privata. Certificati Digitali - Insieme di dati elettronici firmati dalla Certification Authority con la chiave privata di certificazione, che garantisce la corrispondenza tra il nome del soggetto certificato e la sua chiave pubblica. Il formato del certificato ed i dati ivi contenuti sono definiti dallo standard ITU-T X Certificate Policy CP Insieme di regole che indica l applicabilità di un certificato ad una comunità e/o ad una classe di applicazioni che condividono gli stessi requisiti di sicurezza. FGS Group ICT Object: Regola Page: 6 of 17

7 Termine Acronimo Definizione Piano di Sicurezza PS Il Piano di Sicurezza illustra le misure di sicurezza, nei loro aspetti logici, fisici e organizzativi, adottate dal Fornitore del servizio di gestione PKI nella emissione e gestione dei certificati a chiave pubblica, fornendo evidenza delle protezioni adottate ed un adeguata confidenza sulla sicurezza dei servizi erogati. Personal Identification Number PIN Codice alfanumerico identificativo con cui il Titolare del Certificato attiva il token contenente la coppia di chiavi e il certificato stesso. LDAP Active Directory - Funzione che consente di erogare servizi di Directory su piattaforma Microsoft, in conformità allo standard X509 v3. Certificate Revocation List Certificate Suspension List CRL CSL Elenco dei certificati revocati pubblicato dal Certificatore nella directory dei certificati. Elenco dei certificati sospesi pubblicato dal Certificatore nella directory dei certificati. Certification Authority CA Autorità di certificazione responsabile dell emissione ed amministrazione dei certificati digitali. Registration Authority RA Entità preposta alla verifica delle credenziali presentate dall utente 5 Informazioni generali: 5.1 Gestione del documento La revisione della presente CP è effettuata almeno ogni due anni e comunque a seguito di eventi tali da pregiudicarne la validità. Le modifiche e le integrazioni della presente CP saranno effettuate da FGS e condivise con FNM GSO. La tracciatura degli aggiornamenti sarà riportata nel capitolo Controllo versioni. Le informazioni relative al presente documento possono essere richieste inviando un all indirizzo: pki@finmeccanica.com FGS Group ICT Object: Regola Page: 7 of 17

8 5.2 Pubblicazione Tutte le informazioni legate alla PKI di Gruppo sono reperibili sul sito web A tale sito è, ad esempio, possibile reperire una copia del presente documento. 5.3 Dettagli relativi ai contatti Per i riferimenti si consulti la Contact List disponibile sul sito Utilizzo dei certificati: I certificati gestiti dalla PKI sono stati concepiti per due categorie di utilizzo: Autenticazione/Firma e Cifratura: Firma/Autenticazione (digital signature, data encipher, key encipher, key agreement, non repudiation): come strumento di autenticazione forte del Titolare per accedere ad applicazioni/servizi di Gruppo Finmeccanica o sistemi propri delle singole aziende e, nel caso di persone fisiche, di firma digitale applicata ai documenti per assicurarne l origine, l integrità e il non ripudio; Cifratura (data encipher, key encipher, key agreement, non repudiation), come strumento di cifratura dei dati originati dal Titolare del certificato stesso e per assicurarne la riservatezza. 6 Soggetti coinvolti nella PKI e loro obblighi 6.1 Autorità di certificazione (Certification Authority - CA) FNM, è l Autorità di Certificazione dell infrastruttura. È il Titolare del certificato della CA, firma i certificati, emana le politiche di gestione dei certificati e ne verifica l attuazione. L Autorità di Certificazione è tenuta a: non rendersi depositaria di chiavi private dei Titolari; firmare i certificati della CA, della RA e dei Titolari; garantire un servizio di revoca e sospensione dei certificati; FGS Group ICT Object: Regola Page: 8 of 17

9 attenersi alle regole e procedure previste dalla presente CP e dal Certificate Practice Statement (CPS) Servizi di Gestione Certificati Elsag Datamat S.p.A. ricopre il ruolo di Fornitore dei Servizi di Gestione dei Certificati (Gestore PKI). Rientrano tra le sue attività l emissione, la pubblicazione, la sospensione e la revoca dei Certificati, tutte attività svolte in conformità con le politiche emanate dall Autorità di Certificazione. Il Gestore PKI ha il compito, su richiesta della CA, di: generare la coppia di chiavi; generare il certificato garantendo l associazione tra la chiave pubblica ed il Titolare; informare gli interessati sulla necessità di tenere segreta la chiave privata e di custodire in modo protetto il supporto che contiene il certificato (es.: token, smart card); definire gli accordi di servizio con l Autorità di Certificazione secondo adeguate garanzie di affidabilità e sicurezza; utilizzare sistemi affidabili per la gestione della directory dei certificati con modalità tali da garantire: - che soltanto le persone autorizzate possano effettuare inserimenti e modifiche, - che l'autenticità delle informazioni sia verificabile, - che l'operatore possa rendersi conto di qualsiasi evento che comprometta i requisiti di sicurezza. garantire che le operazioni relative al servizio di certificazione avvengano nel rispetto della presente CP e del CPS. 6.2 Autorità di Registrazione (Registration Authority - RA) La RA è responsabile degli aspetti organizzativi nella generazione e gestione dei certificati. A tale entità compete l identificazione e l autenticazione degli utenti che richiedono un certificato delegando alla CA la firma e l emissione dei certificati stessi. La RA ha l obbligo di garantire: la gestione delle richieste dei certificati; 1 Il CPS definisce le procedure che una CA utilizza nell emissione e gestione (revoca, sospensione, rinnovo) dei certificati digitali. Contiene pertanto delle informazioni più dettagliate rispetto ad una Certificate Policy sulle metodologie utilizzate da una Certification Authority. Un utente valuta l affidabilità di una CA anche sulla base di quanto dichiarato nel CPS. FGS Group ICT Object: Regola Page: 9 of 17

10 la corretta identificazione e registrazione dei Titolari; la registrazione e conservazione delle informazioni necessarie all emissione del certificato; la comunicazione alla CA dei dati di registrazione del titolare per attivare la procedura di emissione del certificato; l applicazione della presente CP. Tali funzioni, che consentono di assicurare la veridicità delle informazioni fornite in fase di registrazione, fanno sì che la RA rivesta un ruolo di alta responsabilità all interno dell infrastruttura a chiave pubblica. 6.3 Titolare del Certificato Il Titolare del certificato è la persona fisica o il sistema, il cui nome appare nel certificato come subject ed è in possesso della coppia di chiavi Titolare Persona fisica Per ottenere il rilascio di un certificato il Titolare Persona fisica deve sottoscrivere un modulo di Condizioni Generali per il rilascio del Certificato digitale. Il Titolare deve garantire: la correttezza, la completezza e l'attualità delle informazioni personali fornite per la richiesta e il rilascio del certificato; la protezione e la conservazione delle proprie chiavi private con la massima cura, al fine di garantirne l integrità e la riservatezza; la sostituzione del PIN immediatamente dopo l attivazione del token; la modifica del PIN almeno ogni tre mesi; la conservazione del PIN utilizzato per l accesso al token crittografico (qualora risulti davvero necessaria la conservazione in formato cartaceo) in un luogo diverso da quello in cui è custodito il token crittografico; l'adozione di ogni altra ragionevole misura atta ad impedire la perdita, la compromissione o l'utilizzo improprio della chiave privata e del proprio token crittografico; l'utilizzo personale ed esclusivo del token crittografico, non cedendolo o dandolo in uso a terzi e/o a colleghi per qualsivoglia motivo ; l'utilizzo delle chiavi e del certificato unicamente per gli usi sopra previsti; FGS Group ICT Object: Regola Page: 10 of 17

11 la comunicazione immediata all Help Desk del Gestore PKI ed al Security Manager della Società di appartenenza in caso di eventi accidentali (quali il furto o lo smarrimento del token crittografico) che richiedano la sospensione del proprio certificato; l adozione di tutte le misure organizzative e tecniche idonee ad evitare danno ad altri; la conoscenza e l osservanza delle istruzioni contenute nel Certification Practice Statement CPS, che è reperibile sul sito e che può essere richiesto via mail all indirizzo pki@finmeccanica.com Titolare Sistema Per ottenere il rilascio di un certificato per un Titolare Sistema il BPO (che in tale caso coincide con il responsabile dei sistemi informativi) deve sottoscrivere un modulo di Condizioni Generali per il rilascio del Certificato digitale (per sistemi). Gli obblighi ai quali si deve attenere, come responsabile del sistema sono: la protezione e la conservazione delle chiavi private del sistema con la massima accuratezza al fine di garantirne l integrità e la riservatezza; l adozione di ogni altra misura atta ad impedire la perdita, la compromissione o l utilizzo improprio della chiave privata e del token del sistema; l utilizzo delle chiavi e del certificato del sistema per le sole modalità previste; l adozione di tutte le misure organizzative e tecniche idonee ad evitare danno ad altri. 6.4 Utilizzatore del Certificato L Utilizzatore del Certificato è la persona fisica o il sistema che utilizza una chiave pubblica per: verificare la firma digitale apposta ad un documento da parte del Titolare del certificato e avere quindi garanzie sull identità del possessore della corrispondente chiave privata; crittografare documenti destinati al Titolare del certificato. FGS Group ICT Object: Regola Page: 11 of 17

12 7 Requisiti operativi del ciclo di vita del certificato 7.1 Identificazione e registrazione dei titolari La procedura di identificazione e registrazione delle persone fisiche (dipendenti e non dipendenti) e dei sistemi, per i quali è stata fatta la richiesta di rilascio del certificato, è realizzata dalla RA. In questa fase, le cui modalità di attuazione sono descritte nel CPS, sono raccolte le informazioni necessarie per identificare in modo univoco il futuro Titolare del certificato. 7.2 Richiesta e rilascio del certificato In seguito alla registrazione della richiesta del certificato la CA opera diversamente a seconda che il Titolare sia Persona fisica o Sistema. Se il Titolare è una persona fisica la CA inizializza il supporto che contiene il certificato, generando le due coppie di chiavi ed i certificati. La CA firma il certificato del Titolare e lo pubblica. Il Titolare persona fisica riceve il kit di sicurezza 2 e, seguendo le procedure per l attivazione del Token Crittografico ad esso allegate, attiva il supporto che contiene il certificato e può quindi utilizzare i propri certificati. Se il Titolare è un sistema la CA associa la chiave pubblica, generata a bordo del sistema dal BPO insieme alla corrispondente chiave privata, al certificato. Dopo aver firmato il certificato, lo pubblica e lo invia al BPO. Tutte le fasi sopra descritte sono dettagliate nel CPS. 7.3 Rinnovo del certificato La procedura di rinnovo del certificato prevede che il Gestore PKI comunichi tempestivamente (almeno con un mese di anticipo) al Titolare persona fisica o al BPO (se Titolare sistema) l imminente scadenza del certificato insieme alle istruzioni necessarie al rinnovo, come è descritto nel CPS. 2 Kit che contiene il token, le istruzioni e la prima password telefonica per la sua attivazione, le condizioni generali per l accettazione del servizio. Le procedure operative sono descritte in modo particolareggiato nel CPS. FGS Group ICT Object: Regola Page: 12 of 17

13 7.4 Sospensione del certificato La sospensione del certificato è un operazione reversibile e non retroattiva che determina l interruzione temporanea della validità del certificato. Tale operazione è presente solo nel caso in cui il Titolare è persona fisica. Le condizioni che possono determinare la richiesta di sospensione sono quelle di sospetto smarrimento o furto. La procedura di sospensione del certificato è dettagliata nel CPS. 7.5 Revoca del certificato La revoca del certificato è un operazione irreversibile e non retroattiva che determina la cessazione anticipata della validità del certificato da un dato momento. La revoca può avvenire in seguito alle seguenti circostanze: smarrimento o furto; compromissione della chiave privata; variazione dei dati del Titolare presenti nel certificato; mancato rispetto del presente CP. cambiamento di ruolo del Titolare, ad esempio: trasferimento tra aziende, del Gruppo, uscita dal Gruppo, ed in generale qualsiasi evento che faccia decadere la necessità di disporre di un certificato rilasciato dalla CA Finmeccanica. La procedura di revoca del certificato è dettagliata nel CPS. 7.6 Frequenza della pubblicazione delle CRL La CRL è l elenco dei certificati revocati e sospesi pubblicato dal Certificatore nella directory dei certificati. L elenco, il cui formato è definito nella raccomandazione ITU-X.509, è firmato digitalmente dal Certificatore. Tale lista è aggiornata ogni 4 ore. FGS Group ICT Object: Regola Page: 13 of 17

14 8 Controlli di gestione, di operatività, di sicurezza fisica e logica La PKI è gestita da Elsag Datamat che ha ottenuto la certificazione di sicurezza delle informazioni secondo lo standard ISO/IEC L erogazione in sicurezza del servizio di PKI e garantito da adeguate misure di protezione fisica, logica ed organizzativa. 8.1 Cessazione della CA o della RA Non è attualmente prevista la cessazione dell attività della CA e della RA. 9 Profili dei certificati e delle CRL 9.1 Profilo del certificato Il Certificato emesso dalla CA FNM è conforme allo standard X.509v3. La sua struttura è la seguente: Numero di versione (Version): versione v3 definita sullo standard X.509v3; Numero di serie (Serial number): identificativo univoco assegnato dalla CA FNM per distinguere ogni certificato che è stato emesso; Algoritmo di firma (Signature algorithm): algoritmo di firma sha-1 RSA; Ente emettitore (Issuer): informazioni relative all ente che emette il certificato; - CN (Common Name) = CA FINMECCANICA - OU (Organizational Unit) = FINMECCANICA - O (Organization) = FINMECCANICA - C (Country) = IT Validità del certificato (Valid from-valid to): intervallo di tempo in cui è valido il certificato (20 anni se il Titolare è la CA, 2 anni se è persona fisica, 5 anni se è un sistema); Informazioni del Titolare (Subject): informazioni relative al Titolare: - L (Luogo): sede di appartenenza se il Titolare è un sistema; - E ( ): indirizzo se il Titolare è una persona fisica; - CN (Common Name): nome identificativo univoco del Titolare; - OU (Organizational Unit): unità organizzativa di appartenenza; FGS Group ICT Object: Regola Page: 14 of 17

15 - O (Organization): organizzazione di appartenenza; - C (Country): paese di appartenenza della CA. Chiave pubblica (Public key): chiave pubblica del Titolare del certificato; Utilizzo della chiave (Key Usage): utilizzo previsto della chiave del Titolare (vedere 5.4); Nome alternativo del Titolare (Subject Alternative Name): ulteriori informazioni da collegare al Titolare del certificato; Ulteriore utilizzo della chiave (Enhanced Key Usage): informazioni sugli utilizzi addizionali del certificato (presente solo nel certificato appartenente a persona fisica con scopo di firma/autenticazione); Distribuzione della CRL: accesso alla CRL tramite un URL http ( oppure tramite un URL ldap (ldap:// :389/cn=cdpfinmeccanica,cn=cdp,cn=pu); Authority Key Identifier: identificativo univoco della chiave dell Autorità di Certificazione; Subject Key Identifier: identificativo univo della chiave del Titolare del certificato; Basic Constraints: indica se il Titolare del certificato è una CA (Subject Type) e il livello massimo di subordinazione consentito dalla CA (Path Length Constraint) (presente solo nel caso di certificato della CA); Thumbprint: algoritmo (SHA1) e valore di thumbprint (e9 43 ec cc 76 f0 0d 80 0e e c ) necessario per controllare l integrità del certificato. 9.2 Profilo della CRL Il Certificato della CRL è conforme allo standard X.509v3 e al RFC La sua struttura è la seguente: Numero di versione (Version): versione V2; Ente emettitore (Issuer): informazioni relative all ente che emette il certificato (vedere 6.1); Data/ora di emissione (Effective date): data e ora in cui è stato effettuato l ultimo aggiornamento della CRL; Data/ora prossima emissione (Next update): data e ora in cui si effettuerà l aggiornamento della CRL (dopo 4 ore); Algoritmo di firma (Signature algorithm): algoritmo di firma sha-1 RSA. FGS Group ICT Object: Regola Page: 15 of 17

16 10 Disposizioni legali e commerciali 10.1 Tutela dati personali Le informazioni relative al Titolare del certificato saranno trattate con personale specificamente incaricato da Finmeccanica S.p.A. (Titolare del trattamento) e da Elsag Datamat S.p.A. (Responsabile del trattamento) per le sole finalità e con le sole modalità connesse e strumentali al rilascio e alla gestione dei certificati. Senza il conferimento delle informazioni il servizio non potrà essere attivato. Per i diritti dell art. 7 del D. Lgs 196/2003 (accesso, integrazione, correzione, ecc.) e per conoscere l elenco completo dei Responsabili del Trattamento rivolgersi al Titolare del trattamento al seguente indirizzo security@finmeccanica.com Diritti della proprietà intellettuale Diritti di proprietà intellettuale Il contenuto del presente CPS è di proprietà di FNM che si riserva tutti i diritti Diritti di proprietà del certificato La proprietà del certificato è dell Autorità di Certificazione Diritti di proprietà della coppia di chiavi La proprietà della coppia di chiavi è del Titolare Diritti di proprietà del token/supporto crittografico La proprietà del token è della società di appartenenza del Titolare. FGS Group ICT Object: Regola Page: 16 of 17

17 11 Strumenti e standard di riferimento 11.1 Riferimenti normativi [1] Decreto del Presidente della Repubblica 28 dicembre 2000 n.445, Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa, pubblicato sul Supplemento Ordinario alla Gazzetta Ufficiale n. 42 del 20 febbraio 2001 [2] Direttiva del Parlamento europeo e del Consiglio del 13 dicembre 1999 relativa ad un quadro comunitario per le firme elettroniche (Gazzetta Ufficiale delle Comunità europee L. 13 del 13 dicembre 1999) [3] Decreto Legislativo 23 gennaio 2002, n. 10: Attuazione della direttiva 1999/93/CE relativa ad un quadro comunitario per le firme elettroniche, pubblicato sulla Gazzetta Ufficiale n. 39 del 15 febbraio 2002 [4] Decreto legislativo 30 giugno 2003, n Documenti di riferimento [5] RFC 3647 Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework [6] RFC 3280 Internet X.509 Public Key Infrastructure Certificate and CRL Profile FGS Group ICT Object: Regola Page: 17 of 17