02 - Anexo II - Estandarizacin y Certificacin en Seguridad Informtica

Anexo II

Estandarizacin y Certificacin en Seguridad Informtica

lvaro Gmez Vieites

CONTENIDO

ESTNDARES DE SEGURIDAD............................................................................................ 1

Propsito de los estndares .................................................................................... 1 Organismos responsables de la estandarizacin..................................................... 3

ESTNDARES ESTADOUNIDENSES .................................................................................... 4 TCSEC: Trusted Computer System Evaluation Criteria ........................................ 4 Federal Criteria ...................................................................................................... 6 FISCAM: Federal Information Systems Controls Audit Manual........................... 6 NIST SP 800 .......................................................................................................... 6

ESTNDARES EUROPEOS.................................................................................................. 6 ITSEC: Information Technology Security Evaluation Criteria.............................. 6 ITSEM: Information Technology Security Evaluation Metodology...................... 6 Agencia Europea de Seguridad de la Informacin y las Redes.............................. 6

ESTNDARES INTERNACIONALES..................................................................................... 7 ISO/IEC 15408: Common Criteria ........................................................................ 8 ISO/IEC 17799..................................................................................................... 12 BS 7799 Parte 2:2002 .......................................................................................... 14 ISO/IEC 27001..................................................................................................... 14

ESTNDARES ESPAOLES .............................................................................................. 14 UNE-ISO 17799:2002 ......................................................................................... 15

IV ENCICLOPEDIA DE LA SEGURIDAD INFORMTICA RA-MA

UNE 71501 .......................................................................................................... 20 UNE 71502:2004 ................................................................................................. 21 MAGERIT ........................................................................................................... 25 Criterios de Seguridad, Normalizacin y Conservacin (SNC)........................... 25

PROCESO DE CERTIFICACIN ......................................................................................... 26 Gua para la Implantacin de un Sistema de Gestin de Seguridad de la

Informacin segn la norma UNE 71502:2004........................................................... 27 REFERENCIAS DE INTERS.............................................................................................. 29

ANEXO II

ESTANDARIZACIN Y CERTIFICACIN EN SEGURIDAD INFORMTICA

ESTNDARES DE SEGURIDAD

Propsito de los estndares

En general, los estndares cumplen hoy en da un importante papel en la sociedad y en el desarrollo de muchas actividades empresariales, sobre todo a raz de la implantacin de las tcnicas de gestin de la calidad y la homologacin y certificacin de productos en numerosos sectores.

Podemos considerar que en el caso de concreto de los estndares de seguridad existen al menos tres razones que justifican su desarrollo e implantacin:

1. Suministrar normas de seguridad a los fabricantes de productos

Los estndares permiten establecer una serie de orientaciones para el desarrollo de nuevos productos. Para cumplir de forma adecuada con este principio, los fabricantes de productos certificados deben ofrecer una documentacin exhaustiva sobre la seguridad de estos productos.

2. Definir mtricas de evaluacin, de certificacin y de acreditacin, aplicadas tanto a procesos como a tcnicas de gestin y al desarrollo y comercializacin de productos y servicios.

2 ENCICLOPEDIA DE LA SEGURIDAD INFORMTICA RA-MA

Las evaluaciones y certificaciones no pueden ser realizadas por el mismo fabricante o vendedor, sino que correspondera este papel a organismos independientes acreditados para llevar a cabo estas tareas.

3. Transmitir la confianza necesaria a los usuarios y consumidores

As, por una parte, los usuarios pueden comparar sus requerimientos especficos de seguridad frente a lo establecido en distintos estndares para poder determinar cul es el nivel de seguridad que necesitan y, en consecuencia, qu caractersticas o atributos deberan exigir a los productos o servicios que vayan a adquirir (definicin de las especificaciones para las compras).

Por otra parte, gracias a los estndares los usuarios y consumidores pueden determinar ms fcilmente cundo un producto o servicio cumple una serie de requisitos.

En este sentido, los estndares permiten crear un lenguaje comn entre los fabricantes y los usuarios y consumidores de los productos, que facilita la adquisicin de sistemas y productos tecnolgicos.

Antes de proseguir con el estudio de los distintos estndares de seguridad que se han desarrollado tanto a nivel nacional como internacional, conviene precisar el significado de algunos trminos que se emplean al abordar esta cuestin.

As, se suele hablar de criterios cuando nos referimos a unas escalas utilizadas para poder medir la seguridad de los sistemas y productos tecnolgicos. Las metodologas definen cmo debe realizarse la evaluacin de acuerdo con los criterios utilizados. Por su parte, los esquemas nacionales e internacionales permiten establecer el marco y los procedimientos de actuacin para la evaluacin y certificacin de la seguridad de los productos tecnolgicos.

Asimismo, tambin es necesario distinguir los conceptos de evaluacin, certificacin y acreditacin en el contexto de la seguridad de la informacin.

La evaluacin consiste en el anlisis de la capacidad de un determinado producto para proteger la informacin de acuerdo a unos criterios establecidos.

Para ello, se realiza un examen detallado de los aspectos de seguridad del producto en cuestin, as como toda una serie de pruebas necesarias para asegurar que ste es eficaz, funciona correctamente y no presenta ninguna vulnerabilidad lgica. La evaluacin se lleva a cabo siguiendo una determinada metodologa y tiene por objeto determinar si el producto puede ser certificado. La credibilidad de este proceso depender de los mtodos utilizados y del rigor y nivel de detalle del anlisis del producto: qu aspectos de la seguridad se evalan?, cmo se evalan?, quin se encarga de llevar a cabo esta evaluacin y qu confianza nos merece?

RA-MA ANEXO II: ESTANDARIZACIN Y CERTIFICACIN EN SEGURIDAD INFORMTICA 3

La certificacin es el proceso que permite determinar la capacidad de un determinado producto para proteger la informacin de acuerdo a unos criterios establecidos.

Mediante el proceso de certificacin se puede confirmar de forma independientemente la validez de los resultados y conclusiones de la evaluacin previa, y si esta evaluacin se ha llevado a cabo de acuerdo con el procedimiento establecido.

En principio, de acuerdo con algunos expertos se pueden distinguir cuatro tipos de certificaciones:

Certificacin de la Seguridad de las Tecnologas de la Informacin.

Certificacin de la Seguridad Criptolgica.

Certificacin de la Seguridad Fsica.

Certificacin de la Seguridad de Emanaciones Radioelctricas (segn la normativa TEMPEST).

Por ltimo, la acreditacin permite valorar la capacidad de los sistemas informticos para resistir, hasta un determinado nivel de confianza, accidentes o acciones maliciosas que puedan comprometer la confidencialidad, integridad, autenticidad y disponibilidad de la informacin que manejan.

Se trata, por tanto, de un proceso por el que se confirma que el uso del sistema informtico de la organizacin para procesar, almacenar o enviar informacin identificada como sensible segn los requerimientos del cliente no representa ningn riesgo que se haya considerado inaceptable.

Organismos responsables de la estandarizacin

Los principales organismos responsables de la elaboracin de estndares a nivel internacional son, por una parte, la Comisin Electrotcnica Internacional (IEC), responsable de la elaboracin de normas sobre electrotecnia y electrnica, y por otra parte, la Organizacin Internacional de Normalizacin (ISO), responsable de la estandarizacin en el resto de los sectores de actividad. Tanto la ISO como la IEC comparten la responsabilidad de la elaboracin de normas relativas a las Tecnologas de la Informacin y la Comunicacin (TICs).

A nivel europeo conviene destacar el papel del Comit Europeo de Normalizacin (CEN), el Instituto Europeo de Normalizacin de las Telecomunicaciones (CENELEC) o el Instituto Europeo de Normas de Telecomunicacin (ETSI).


Por ltimo, en Espaa este papel de elaboracin de estndares corresponde a AENOR, la Asociacin Espaola de Normalizacin y Certificacin.

ESTNDARES ESTADOUNIDENSES

En este apartado se presentan de forma resumida los principales estndares en materia de Gestin de la Seguridad de la Informacin que se han desarrollado en Estados Unidos:

TCSEC: Trusted Computer System Evaluation Criteria

Los Criterios de Evaluacin de Sistemas Informticos de Confianza (Trusted Computer System Evaluation Criteria) fueron desarrollados en 1985 por el Centro de Seguridad Informtica Nacional1 de Estados Unidos (NCSC National Computer Security Center), un organismo dependiente de la Agencia de Seguridad Nacional (NSA) responsable de la fiabilidad de los sistemas informticos del gobierno de los Estados Unidos.

Tambin son conocidos popularmente como el libro naranja, por el color de las tapas de su publicacin, y definen varias clases de sistemas en funcin de su nivel de seguridad: D, C1, C2, B1, B2, B3 y A.

Clase D (Sin Seguridad): se otorga a aquellos sistemas que no cumplen ninguna especificacin de seguridad, es decir, no se dispone de proteccin para el hardware, el sistema operativo es inestable y no existe autenticacin con respecto a los usuarios y sus derechos en el acceso a la informacin. Como ejemplos podramos citar los sistemas operativos utilizados en los PCs de los aos ochenta y principios de los noventa, como MS-DOS o Windows 3.1.

Clase C1 (Control de Acceso Discrecional): el sistema informtico distingue varios tipos de usuarios, disponiendo adems de mecanismos fiables de autenticacin y de control de acceso a la informacin por parte de cada usuario. El administrador del sistema es un usuario especial con control total de acceso. Mediante el control de acceso discrecional es posible definir grupos de objetos (archivos, directorios...) y grupos de usuarios que comparten los mismos derechos.

Clase C2 (Proteccin de Acceso Controlado): adems de las caractersticas ya prevista para la clase o nivel C1, en estos sistemas se debe implementar un mecanismo de auditora de accesos e intentos

1 Conocido en la actualidad por el nombre de CSRC (Computer Security Resource Center).


fallidos de acceso a los objetos protegidos. Tambin poseen la capacidad de definir un mayor nmero y tipo de restricciones sobre los usuarios del sistema: qu comandos y aplicaciones pueden ejecutar, limitacin del acceso a determinados archivos o servicios, etc. Por ltimo, ofrecen la posibilidad de registrar todas las acciones relacionadas con la seguridad para facilitar la auditora del sistema. Como ejemplos podramos citar los sistemas operativos Windows NT, Windows 2000, Windows XP y UNIX.

Clase B1 (Seguridad Etiquetada): estos sistemas soportan la seguridad multinivel, mediante la cual a cada objeto del sistema (ya sea ste un usuario, dato, fichero u otro recurso) se le asigna una etiqueta, con un nivel de seguridad jerrquico (alto secreto, secreto, reservado, etc.) y con unas determinadas categoras (contabilidad, ventas, personal...). De este modo, cada usuario que accede a un objeto debe poseer un permiso expreso para hacerlo, y viceversa, es decir, el objeto debe incluir a ese usuario entre la lista de los que se encuentran autorizados. Por otra parte, se establecen controles para limitar la propagacin o modificacin de los permisos de acceso a los distintos objetos del sistema.

Clase B2 (Proteccin Estructurada): en este caso se aplica a los sistemas que permiten establecer una jerarqua de objetos a la hora de definir las etiquetas de seguridad, facilitando adems la comunicacin entre objetos de un nivel superior con otros de un nivel inferior. As, el sistema ser capaz de alertar a los usuarios si sus condiciones de accesibilidad y seguridad han sido modificadas.

Clase B3 (Dominios de Seguridad): el sistema informtico contempla la implantacin de Dominios de Seguridad, reforzados mediante hardware especfico para facilitar la aplicacin de las polticas de acceso que se hayan definido (cada usuario tiene previamente asignados los lugares y los objetos a los que puede acceder). As, por ejemplo, el sistema hardware de administracin de memoria de estos sistemas est preparado para restringir el acceso a los objetos de diferentes Dominios de Seguridad, gracias a la aplicacin de tcnicas de aislamiento y separacin a nivel lgico.

Clase A (Proteccin Verificada): se reserva para aquellos casos en los que se han utilizado mtodos formales (tcnicas matemticas de verificacin formal) en el proceso de diseo, control y verificacin del sistema, para garantizar la seguridad de todas las tareas que realiza un usuario sobre los distintos recursos. El hardware y el software son protegidos para evitar infiltraciones ante traslados de los equipos informticos.


Federal Criteria

Se trata de una evolucin de TCSEC presentada en el ao 1992.

FISCAM: Federal Information Systems Controls Audit Manual

Estndar de auditora y control de la seguridad de los Sistemas de Informacin Federales desarrollado de la Oficina de Contabilidad General (General Accounting Office) de Estados Unidos.

NIST SP 800

Estndar para la certificacin de sistemas basados en las Tecnologas de la Informacin, que ha sido desarrollado por el NIST (National Institute for Standards and Technology, Instituto Nacional de Estndares y Tecnologa), un organismo que depende del Departamento de Comercio de Estados Unidos.

ESTNDARES EUROPEOS

A nivel europeo podemos destacar los siguientes estndares y actuaciones destacadas en materia de Gestin de la Seguridad de la Informacin (propuestos en algunos casos como una evolucin y adaptacin de los estndares de Estados Unidos):

ITSEC: Information Technology Security Evaluation Criteria

Los Criterios de Evaluacin de la Seguridad de las Tecnologas de la Informacin fueron desarrollados conjuntamente por Francia, Alemania, Holanda y el Reino Unido en el ao 1991, tomando como referencia el trabajo llevado a cabo previamente por el estndar TCSEC en Estados Unidos.

ITSEM: Information Technology Security Evaluation Metodology

Se trata de la metodologa de evaluacin que se ha definido correspondiente a los criterios ITSEC.

Agencia Europea de Seguridad de la Informacin y las Redes

En marzo de 2003 la Comisin Europea decidi crear la Agencia Europea de Seguridad de la Informacin y las Redes Informticas (ENISA European Network and Information Security Agency), con los siguientes objetivos:


Obtener un consenso en materia de seguridad informtica en Europa que permita mantener la disponibilidad y seguridad necesarias en las redes y sistemas de informacin de las distintas organizaciones.

Proveer asistencia para la aplicacin de nuevas normativas en este campo.

Dirigir el desarrollo en estas materias.

Avisar y coordinar acerca de la informacin recopilada y analizada.

Dar soporte a la certificacin y estandarizacin del mercado.

Facilitar el contacto con terceros pases. Finalmente, mediante el Reglamento nmero 460/2004 del Parlamento

Europeo y del Consejo, de 10 de marzo de 2004, se cre esta Agencia Europea de Seguridad de las Redes y de la Informacin (DOCE de 13 de marzo de 2004).

Esta nueva Agencia est llamada a desempear un importante papel en la aprobacin de nuevos estndares relacionados con la seguridad informtica en Europa.

ESTNDARES INTERNACIONALES

Los principales estndares relacionados con la seguridad de la informacin y la certificacin de los productos tecnolgicos han sido desarrollados por la ISO y el IEC. Seguidamente se presenta una relacin de los estndares ms conocidos a nivel internacional, algunos de los cuales sern analizados posteriormente con un mayor detalle debido a su especial trascendencia:

ISO/IEC 13335: Guidelines for Management of Information Technologies Security (Directrices para la Gestin de la Seguridad), es un estndar que define un marco de referencia para las tcnicas de gestin de riesgos y los criterios de seleccin de medidas de seguridad o salvaguardas en los sistemas y redes informticas.

ISO/IEC 15408: Common Criteria, Criterios Comunes para la evaluacin de determinados productos de seguridad, facilitando de este modo el proceso de certificacin de los niveles y servicios de seguridad que pueden proporcionar estos productos.

ISO/IEC 21827: Systems Security Engineering (Ingeniera de la Seguridad de los Sistemas), se ha propuesto para facilitar la evaluacin del nivel de madurez de los procesos relacionados con la Gestin de la Seguridad de la Informacin.

ISO/IEC 17799 (BS-7799): Information Security Management (Gestin de la Seguridad de la Informacin), estndar que define un cdigo de


Buenas Prcticas mediante un conjunto de controles que se pueden aplicar para mejorar la Gestin de la Seguridad de la Informacin en una organizacin.

ISO/IEC 27001: Information Security Management Systems Requirements (Requisitos para los Sistemas de Gestin de Seguridad de la Informacin), norma que permite certificar la implantacin de un Sistema de Gestin de Seguridad de la Informacin en una organizacin.

ISM3: Information Security Management Maturity Model (Modelo de Madurez de la Gestin de la Seguridad de la Informacin), nuevo estndar que se estructura en distintos niveles de madurez para facilitar su implantacin progresiva en las organizaciones, partiendo de los requerimientos bsicos de seguridad del negocio o actividad que desarrollan.

COBIT: requerimientos de seguridad establecidos por la ISACA (Information Systems Audit and Control Association Asociacin para el Control y la Auditora de los Sistemas de Informacin, www.isaca.org).

RFC 2196, documento del IETF (Internet Engineering Task Force Grupo de Trabajo de Ingeniera de Internet) que constituye un Manual de Seguridad con una serie de directrices aplicables al desarrollo y explotacin de un Website en Internet.

OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation Evaluacin de Vulnerabilidades, Activos y Amenazas Crticas), del Software Engineering Institute (SEI) de la Universidad Carnegie Mellon. Se trata de una metodologa propuesta para facilitar la evaluacin y la gestin de los riesgos en una organizacin (http://www.cert.org/octave/).

ISO/IEC 15408: Common Criteria

ISO/IEC 15408 es el estndar que define una serie de criterios de evaluacin unificados y ampliamente aceptados a nivel internacional para poder evaluar la seguridad de los productos tecnolgicos, conocidos como Criterios Comunes (Common Criteria for Information Technology Security Evaluation). Este estndar surge como el resultado de una laboriosa e intensa negociacin entre pases para obtener un acuerdo de reconocimiento mutuo de las certificaciones de seguridad de productos tecnolgicos, llevada a cabo por un grupo de 14 pases entre los que figura Espaa.


TCSEC(EEUU)

1985

TCSEC(EEUU)

1985

ITSEC(Europa)

1991

ITSEC(Europa)

1991

CTCPEC(Canad)

1993

CTCPEC(Canad)

1993

FederalCriteria(EEUU)

1992


1992

CommonCriteria 1.0

1996

CommonCriteria 1.0

1996

ISO 15408Common

Criteria 2.11999

ISO 15408Common

Criteria 2.11999

TCSEC(EEUU)

1985

TCSEC(EEUU)

1985

ITSEC(Europa)

1991

ITSEC(Europa)

1991

CTCPEC(Canad)

1993

CTCPEC(Canad)

1993


1992


1992

CommonCriteria 1.0

1996

CommonCriteria 1.0

1996

ISO 15408Common

Criteria 2.11999

ISO 15408Common

Criteria 2.11999

Figura 1: Desarrollo de la ISO/IEC 15408

En este estndar se definen los siguientes conceptos aplicados a la seguridad de los productos:

Perfil de Proteccin: es el conjunto de requisitos de seguridad que cumple unas necesidades especficas y que es independiente de la implementacin. Se corresponde, por lo tanto, con los requisitos de los usuarios del producto o sistemas.

Declaracin de Seguridad: conjunto de requisitos y especificaciones de seguridad de un producto o sistema informtico que ser utilizado como punto de partida para su evaluacin. Se trata, por lo tanto, de la propia especificacin del producto o sistema.

Objeto a Evaluar: producto o sistema informtico, con su documentacin de usuario y administrador asociada, que se somete a una evaluacin y cuyas caractersticas de seguridad se describen de forma especfica en una Declaracin de Seguridad.

El estndar ISO/IEC 15408 est estructurado en tres partes:

Parte 1: Estructura comn y desarrollo de un lenguaje para expresar los requisitos de seguridad de los productos y sistemas informticos.

Parte 2: Catlogos de componentes y de paquetes de requisitos de seguridad funcionales. Permiten establecer las distintas funcionalidades de seguridad de los productos tecnolgicos, respondiendo de este modo a la cuestin: qu hace el producto?

Parte 3: Catlogos de componentes y de paquetes de requisitos de aseguramiento. Se utilizan para poder definir y evaluar las actividades de diseo, desarrollo, pruebas, entrega y puesta en marcha, gestin de la configuracin, mantenimiento, documentacin y soporte del producto o sistema en cuestin, pudiendo establecer de este modo la confianza en las funciones de seguridad del producto: est el producto bien construido y cumple con su propsito?


En el estndar ISO/IEC 15408 se establece una organizacin jerrquica de los Requisitos de Seguridad de los distintos productos y sistemas:

Los elementos representan la expresin de ms bajo nivel de un requisito de seguridad que es indivisible y que puede verificarse en la evaluacin. Los elementos son los constituyentes a partir de los cuales se construyen los componentes.

Los componentes estn formados por los requisitos de seguridad que constituyen el conjunto ms pequeo que puede seleccionarse para su inclusin en un paquete.

Las familias son agrupaciones de componentes que comparten objetivos de seguridad pero que pueden diferir en el nfasis o nivel de exigencia.

Las clases son, a su vez, agrupaciones de familias que comparten un enfoque comn, difiriendo en la cobertura de los objetivos de seguridad. As, podramos citar distintos ejemplos de clases de requisitos de seguridad funcional (utilizando la propia terminologa recogida en el estndar):

o Auditora: FAU.

o Comunicaciones: FCO.

o Utilizacin de Recursos: FRU.

o Privacidad: FPR.

o Gestin de la Seguridad: FMT.

o Identificacin y Autenticacin: FIA.

o Proteccin de los Datos de Usuario: FDP.

o Soporte Criptogrfico: FCS.

o Proteccin de las Funciones de Seguridad: FPT.

Por ltimo, los paquetes son combinaciones de componentes que permiten expresar una serie de requisitos funcionales o de aseguramiento que permiten satisfacer un conjunto de objetivos de seguridad identificables, con la intencin de ser reutilizables para definir requisitos en otros Paquetes, Perfiles de Proteccin o Declaraciones de Seguridad.


Familia 1Familia 1

Clase

Familia 2Familia 2 Familia NFamilia N...

Componente 1.1

Componente 1.1 ... Componente 1.M

Componente 1.M

Componente N.1

Componente N.1 ... Componente N.P

Componente N.P

Elemento 1.M.1

Elemento 1.M.1

... Elemento 1.M.Q

Elemento 1.M.Q

Paquete XPaquete X

Familia 1Familia 1

Clase

Familia 2Familia 2 Familia NFamilia N...

Componente 1.1

Componente 1.1 ... Componente 1.M

Componente 1.M

Componente N.1

Componente N.1 ... Componente N.P

Componente N.P

Elemento 1.M.1

Elemento 1.M.1

... Elemento 1.M.Q

Elemento 1.M.Q

Paquete XPaquete X Figura 2: Organizacin jerrquica de los requisitos de seguidad

Por otra parte, el estndar define distintos Niveles de Aseguramiento de las Evaluaciones (conocidos por el acrnimo en ingls EAL Evaluation Assurance Levels).

EAL Descripcin Equivalente ITSEC

EAL 1 Probado Funcionalmente EAL 2 Probado Estructuralmente E1 EAL 3 Probado y Comprobado Metdicamente E2 EAL 4 Diseado, Probado y Revisado Metdicamente E3 EAL 5 Diseado y Probado Semi-formalmente E4 EAL 6 Diseo y Verificado Semi-formalmente, y Probado E5 EAL 7 Diseo y Verificado Formalmente, y Probado E6

Tabla 1: Niveles de Aseguramiento de las Evaluaciones (EAL)

Podemos distinguir distintos tipos de evaluacin a la hora de aplicar los Criterios Comunes:

Evaluacin del Perfil de Proteccin: consiste en demostrar que la definicin de un Perfil de Proteccin determinado es completa, consistente y tcnicamente adecuada para su uso como declaracin de requisitos de seguridad para un objeto evaluable.

Evaluacin de la Declaracin de Seguridad: en este caso se tratara de demostrar que esta declaracin es completa, consistente y tcnicamente apropiada para su uso como base de la evaluacin del objeto que describe.


Evaluacin del Objeto: pretende demostrar que dicho objeto (producto o sistema a evaluar) cumple los requisitos de seguridad de la Declaracin de Seguridad. En este proceso de evaluacin se examinan las funcionalidades que se especifican en la Declaracin de Seguridad del objeto.

Conviene destacar, por otra parte, que existen distintos aspectos relacionados con la seguridad informtica que no estn cubiertos por los Criterios Comunes: medidas de seguridad administrativas y procedimientos de control; procedimientos para la evaluacin de los riesgos; seguridad fsica; seguridad frente al personal; determinadas cualidades de los algoritmos criptogrficos (robustez, eficiencia...); etctera.

Tambin se han propuesto unos Mtodos de Evaluacin Comunes, que tratan de asegurar la aplicacin consistente de los Criterios Comunes entre diferentes evaluaciones y mltiples esquemas de trabajo. Para ello, documentan en detalle las actividades requeridas para poder evaluar un producto o sistema informtico. Actualmente se encuentran en revisin, de cara a su incorporacin en el futuro estndar ISO 18045.

Cabe destacar que en Espaa los Criterios Comunes han adquirido una especial relevancia desde la constitucin del Centro Criptolgico Nacional como organismo de certificacin de la seguridad de las Tecnologas de la Informacin (segn Real Decreto 421/2004, de 12 de marzo), ya que se utilizan como normas bsicas sobre las que se dictamina la certificacin de la seguridad de numerosos productos y servicios criptogrficos, como todos los relacionados con la firma electrnica.

Figura 3: Centro Criptolgico Nacional

ISO/IEC 17799

Este estndar define un conjunto de guas de seguridad de la informacin reconocidas y aceptadas internacionalmente, es decir, se trata de un cdigo de Buenas Prcticas para la Seguridad de la Informacin. En concreto, en su versin inicial se especifican un conjunto de 127 controles donde se identifican las mejores prcticas para la Gestin de la Seguridad de la Informacin en una organizacin.

Por Control de Seguridad nos referimos a una prctica, procedimiento o mecanismo que permite reducir el nivel de riesgo. Los controles se agrupan en 10 Dominios o temticas, de los que se derivan 36 Objetivos de Control (resultados que se esperan alcanzar).


De este modo, el estndar ISO/IEC 17799 proporciona una base comn para desarrollar normas y procedimientos de seguridad dentro de las organizaciones, aplicables a cualquier tipo organizacin independientemente de su tamao o sector de actividad.

Se trata de una norma No Certificable, basada en el estndar BS 7799-1, publicada en 1995 por el British Standard Institute (BSI, Instituto de Estndares Britnico).

En la ISO/IEC 17799 se define la informacin como un activo que posee valor para la organizacin y, en consecuencia, requiere de una proteccin adecuada. Asimismo, la Seguridad de la Informacin se define como la preservacin de su confidencialidad, su integridad y su disponibilidad. El objetivo de la Seguridad de la Informacin es proteger de forma adecuada este activo para asegurar la continuidad del negocio, minimizar los daos a la organizacin y maximizar el retorno de las inversiones y las oportunidades de negocio.

El 15 de junio de 2005 se publicaba la ltima versin de esta norma, la ISO/IEC 17799:2005, tras un proceso de revisin de tres aos de duracin. Esta nueva versin consta de 12 dominios, 41 objetivos de seguridad y 133 controles especficos, adoptando una nueva estructura para presentar estos controles e incorporando una gua de implantacin para cada control. Adems, en esta nueva versin de la norma se ha incluido una seccin sobre anlisis de riesgos y otra sobre gestin de incidentes, al mismo tiempo que se ha procedido a revisar otros contenidos relacionados con la seguridad fsica, la seguridad ligada a los Recursos Humanos o el control de accesos.

Los 12 dominios previstos en esta nueva versin de la norma ISO/IEC 17799 para agrupar los controles de seguridad son los siguientes:

Anlisis de riesgos.

Poltica de seguridad.

Organizacin de seguridad (tanto interna como de terceras partes).

Gestin de activos.

Seguridad de los Recursos Humanos. Seguridad fsica.

Gestin de comunicaciones y operaciones.

Desarrollo y mantenimiento de sistemas.

Control de accesos.


Gestin de incidentes.

Plan de continuidad del negocio. Conformidad legal.

BS 7799 Parte 2:2002

Esta norma publicada en 1998 por el British Standard Institute (BSI) y revisada en 2002, desarrolla una especificacin para la Certificacin de Sistemas de Gestin de Seguridad de la Informacin (SGSI). El proceso de implementacin incluye la seleccin y aplicacin de controles de seguridad definidos en la BS7799-1, tras un proceso de evaluacin de los riesgos a los que estn expuestos los activos y recursos a proteger en el SGSI.

Se trata de un estndar que todava no tiene su versin ISO equivalente.

ISO/IEC 27001

Esta norma fue publicada el 14 de octubre de 2005, estableciendo los requisitos para los Sistemas de Gestin de Seguridad de la Informacin (Information Security Management Systems Requirements).

Es, por tanto, una norma que permite certificar la implantacin de un Sistema de Gestin de Seguridad de la Informacin en una organizacin, incorporando los controles de la ISO/IEC 17799:2005 y enmarcndose en el modelo de gestin ISO 27000.

Est previsto que a partir de abril de 2007 entre en vigor el nuevo modelo ISO 27000, centrado en la gestin de la seguridad de la informacin. Una vez que esto ocurra, la actual norma ISO/IEC 17799:2005 pasar a denominarse ISO/IEC 27002.

ESTNDARES ESPAOLES

En este apartado se presenta una relacin de los estndares ms relevantes que se han aprobado en Espaa, algunos de los cuales sern analizados posteriormente con un mayor nivel detalle debido a su importancia:

UNE-ISO 17799:2002, que adopta la norma ISO 17799 como una norma UNE.

Serie de informes UNE 71501 y UNE 71502 de AENOR, desarrollados para establecer los requisitos para proteger y gestionar la Seguridad de los Sistemas de Informacin dentro de las organizaciones.


o UNE 71501-Parte 1: Conceptos y Modelos para la Seguridad de las Tecnologas de la Informacin.

o UNE 71501-Parte 2: Gestin y Planificacin de la Seguridad de las Tecnologas de la Informacin.

o UNE 71501-Parte 3: Tcnicas para la Gestin de la Seguridad de Tecnologas de la Informacin.

o UNE 71502: Especificaciones para la implantacin de los Sistemas de Gestin de Seguridad de la Informacin (SGSI).

MAGERIT: Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin de las Administraciones Pblicas, desarrollada por el Ministerio de Administraciones Pblicas.

SNC: Criterios de Seguridad, Normalizacin y Conservacin.

UNE-ISO 17799:2002

Esta norma desarrolla un cdigo de Buenas Prcticas de la Gestin de la Seguridad de la Informacin, adoptando as la norma ISO/IEC 17799 como norma UNE.

Por lo tanto, al igual que la ISO/IEC 17799, especifica 127 controles tcnicos agrupados en 10 temticas o dominios de gestin, con 36 objetivos de control.

Sin embargo, no se trata de una norma tecnolgica y ha sido redactada de forma flexible e independiente de cualquier solucin de seguridad especfica que pueda encontrarse en el mercado. En este sentido, proporciona una relacin de buenas prcticas neutrales con respecto a la tecnologa y a las soluciones disponibles en el mercado.

Los 10 dominios de gestin contemplados por la UNE-ISO 17799:2002 son los que se describen a continuacin:

1. Polticas de Seguridad de Informacin.

o Objetivos:

Dirigir y dar soporte a la Gestin de la Seguridad de la Informacin.

o Controles propuestos:

Compromiso y apoyo de la Alta Direccin, que debe definir las lneas directrices de la organizacin en materia


de seguridad, aprobarlas y darlas a conocer de forma adecuada a todo el personal implicado.

Elaboracin del Documento con las Polticas de Seguridad.

Revisin y evaluacin de las Polticas de Seguridad.

2. Aspectos organizativos de la Seguridad de la Informacin.

o Objetivos:

Gestionar la seguridad de la informacin dentro de la organizacin.

Mantener la seguridad de la informacin cuando la responsabilidad de su tratamiento se haya externalizado a otra organizacin.

o Controles:

Definicin de un Comit de Seguridad de la Informacin.

Figura del Coordinador de Seguridad de la Informacin.

Asignacin de responsabilidades a cada usuario o rea de trabajo.

Armonizacin de recursos. Asesoramiento por parte de especialistas.

Cooperacin con otras organizaciones.

Revisin independiente de la gestin de la seguridad.

3. Clasificacin y control de activos.

o Objetivos:

Mantener una proteccin adecuada sobre los activos de la organizacin.

Asegurar un nivel de proteccin adecuado de la informacin.

o Controles:


Clasificacin e inventario actualizado de activos.

Marcado y tratamiento de la informacin.

4. Seguridad frente al personal.

o Objetivos:

Reducir los riesgos de errores humanos, robos, fraudes o una mala utilizacin de los servicios, recursos e instalaciones.

Asegurar que los usuarios son conscientes de las amenazas y riesgos en el mbito de la seguridad de la informacin, y que se encuentran preparados para cumplir con las directrices de seguridad.

Minimizar los daos provocados por incidencias de seguridad o por un mal funcionamiento del sistema.

o Controles:

Responsabilidades del personal en relacin con la seguridad de la informacin.

Seleccin y poltica de personal.

Confidencialidad. Trminos y condiciones de la relacin laboral.

Proceso de notificacin de incidencias.

5. Seguridad fsica y del entorno.

o Objetivos:

Evitar accesos no autorizados a las instalaciones y recursos de la organizacin.

Evitar prdidas, daos o interferencias que puedan afectar a los activos y a la informacin de la organizacin, as como interrumpir su normal funcionamiento.

Prevenir los robos de informacin y/o de recursos para el tratamiento de la informacin.


o Controles:

Proteccin de las reas de trabajo y de los equipos frente a cualquier riesgo factible de ndole fsica: robo, inundacin, incendio, etc.

6. Gestin de comunicaciones y operaciones.

o Objetivos:

Asegurar la operacin correcta y segura de los recursos.

Minimizar el riesgo de fallo en los sistemas. Proteger la integridad y disponibilidad de los servicios

informticos y de comunicaciones.

Asegurar la salvaguarda de la informacin en las redes y la proteccin de su infraestructura de apoyo.

Prevenir la prdida, modificacin o mal uso de la informacin intercambiada con otras organizaciones.

o Controles:

Procedimientos de operacin y mantenimiento.

Planificacin y aceptacin de capacidades y sistemas.

Proteccin frente a software daino. Gestin interna de copias de respaldo y recuperacin.

Utilizacin segura de redes y soportes de informacin.

Procedimiento para el intercambio seguro de informacin.

7. Control de accesos.

o Objetivos:

Controlar los accesos a la informacin. Evitar accesos no autorizados a los recursos, a los

servicios ofrecidos y a la informacin de la organizacin.

Detectar actividades no autorizadas.


Garantizar la seguridad de la informacin cuando se emplean equipos informticos porttiles y/o se recurre al teletrabajo.

o Controles:

Gestin de accesos de usuarios.

Responsabilidades de los usuarios.

Control de accesos a la red, sistema operativo y aplicaciones informticas.

Seguimiento de los accesos y del uso de los recursos y de la informacin por parte de los usuarios.

Proteccin de equipos porttiles.

8. Desarrollo y mantenimiento de sistemas.

o Objetivos:

Garantizar que la seguridad est incluida en el desarrollo de los sistemas de informacin.

Evitar prdidas, modificaciones o un mal uso de los datos en las aplicaciones informticas.

Proteger la confidencialidad, autenticidad e integridad de la informacin.

Mantener la seguridad del sistema de informacin.

o Controles:

Especificacin de requisitos.

Desarrollo seguro de aplicaciones.

Utilizacin de la criptografa. Seguridad de los ficheros.

Seguridad de procesos de soporte y mantenimiento.


9. Gestin de la Continuidad del Negocio.

o Objetivos:

Responder de forma adecuada frente a la interrupcin del negocio, y proteger sus procesos crticos frente a grandes fallos o desastres.

o Controles:

Anlisis de los impactos de posibles fallos o desastres en el sistema.

Definicin y aprobacin de planes de contingencia.

Equipos de recuperacin ante contingencias.

Pruebas y reevaluacin.

10. Conformidad.

o Objetivos:

Evitar el incumplimiento de cualquier ley, regulacin u obligacin contractual.

Garantizar la alineacin de los sistemas con las Polticas de Seguridad de la Informacin de la organizacin.

o Controles:

Actualizacin de las polticas, tcnicas y procedimientos para tener en cuenta los cambios de la legislacin y normativa aplicable: LOPD, Cdigo Penal, LSSI, Propiedad Intelectual...

Auditoras peridicas de las Polticas de Seguridad de la Informacin.

UNE 71501

Esta norma es la traduccin realizada por AENOR de la ISO/IEC 13335, con los siguientes objetivos:

Definir y describir los conceptos relacionados con la Seguridad en las Tecnologas de la Informacin.


Identificar las relaciones entre la Gestin de la Seguridad y la Gestin de las Tecnologas de la Informacin.

Proporcionar una orientacin general para la Gestin de la Seguridad, as como para la seleccin de las Salvaguardas y Controles de Seguridad.

Para ello, se encuentra estructurada en tres partes:

UNE 71501-Parte 1: Conceptos y Modelos para la Seguridad en las Tecnologas de la Informacin.

UNE 71501-Parte 2: Gestin y Planificacin de la Seguridad en las Tecnologas de la Informacin.

UNE 71501-Parte 3: Tcnicas para la Gestin de la Seguridad en las Tecnologas de la Informacin.

UNE 71502:2004

Esta norma especifica los requisitos para establecer, implantar, documentar y evaluar un Sistema de Gestin de la Seguridad de la Informacin (SGSI) de acuerdo con la BS 7799-2 (que por ahora no tiene equivalente ISO).

De acuerdo con la definicin propuesta en esta norma, un SGSI es un sistema de gestin que comprende la poltica, la estructura organizativa, los procedimientos, los procesos y los recursos necesarios para implantar la gestin de la seguridad de la informacin.

En este sentido, se trata de un sistema equivalente a otros sistemas de gestin como la ISO 9000 o la ISO 14000, e integrable con ellos, certificable e independiente del tipo, tamao o rea de actividad de la organizacin. La certificacin de acuerdo con esta norma es vlida por un perodo de tres aos, con revisiones anuales.

El documento con la especificacin de la norma UNE 71502:2004 presenta la siguiente estructura:

o Objeto y campo de aplicacin.

o Normas para consulta.

o Trminos y definiciones.

o Marco general del SGSI: Requisitos generales. Planificacin y diseo del SGSI. Seleccin de controles. Documentacin y Control de documentacin. Registros. Responsabilidades de la Direccin.


o Implantacin del SGSI.

o Explotacin: Provisin de recursos materiales y humanos.

o Revisin del SGSI: Auditoras internas. Revisin por parte de la Direccin.

o Proceso de mejora: Mejora continua. Acciones correctoras y preventivas.

Tabla 2: Estructura de la UNE 71502:2004

El SGSI es la herramienta de que dispone la Direccin de una organizacin para llevar a cabo las polticas y los objetivos de seguridad, protegiendo de este modo los recursos tecnolgicos, los activos de informacin y los procesos de negocio. Define los requisitos de los controles de seguridad de acuerdo con las necesidades de las organizaciones, independientemente de su tipo, tamao o rea de actividad. Los controles de seguridad se tendrn que seleccionar teniendo en cuenta tres fuentes principales:

Anlisis de riesgos en la organizacin.

Requisitos del negocio: cumplimiento de las polticas y normas de seguridad de la empresa y de los estndares del sector.

Obligaciones legales, reglamentarias y contractuales. De acuerdo con esta norma, podemos establecer las siguientes etapas en el

diseo de un SGSI:

1. Definicin del Alcance del SGSI: los procesos de negocio, los recursos de informacin afectados, los recursos tecnolgicos y organizativos, as como la localizacin de stos.

2. Establecimiento de las Polticas de Seguridad: la Direccin General, junto con los empleados de los departamentos afectados en la implantacin, debe definir y desarrollar unas Polticas de Seguridad de la Informacin dentro de la organizacin.

3. Preparacin de un Documento de Seguridad en el que se refleje:

o El compromiso de la Direccin.

o Definicin de la Seguridad de la Informacin dentro de su organizacin.

o Descripcin de los principios del Sistema de Gestin de Seguridad de la Informacin.


o Definicin de responsabilidades de los usuarios y empleados.

o Referencia al soporte documental del SGSI.

o Cumplimiento con los requisitos legales.

4. Anlisis y Gestin de Riesgos de forma sistemtica, de acuerdo con las siguientes actividades:

o Registro de los activos de la organizacin: informacin, hardware, software, equipos de redes y comunicaciones, personas, imagen y reputacin de la empresa...

o Anlisis de las posibles amenazas.

o Identificacin de vulnerabilidades y estimacin de su impacto en la organizacin.

o Evaluacin del nivel de riesgo, teniendo en cuenta para ello la probabilidad de ocurrencia de una amenaza y de su impacto en la organizacin.

o Definicin del nivel de riesgo aceptable o residual.

5. Seleccin de Controles y Definicin de Objetivos de Seguridad. Ser necesario llevar a cabo una revisin de la aplicabilidad de los controles seleccionados, partiendo del anlisis de la disponibilidad tecnolgica, del coste econmico y del esfuerzo requerido para su implantacin.

La organizacin puede tomar como referencia la norma UNE-ISO/IEC 17799:2002 para la seleccin de los controles de seguridad. El Documento de Seleccin de Controles (DSC) es el documento que describe los controles relevantes aplicables en la organizacin, como consecuencia de los resultados del proceso de anlisis y valoracin de riesgos.

En dicho documento, para cada uno de los controles seleccionados se debe especificar cules son los objetivos de seguridad perseguidos, incluyendo una descripcin detallada de cada uno de los controles y cul es la razn que ha aconsejado su seleccin. Asimismo, para los controles no seleccionados se debe especificar la razn para su exclusin.

Por otra parte, la organizacin puede utilizar la norma UNE 71501 para la definicin de los procesos y modelos relacionados con la Seguridad de la Informacin.

El modelo propuesto para un SGSI en la norma UNE 71502:2004 es un modelo de mejora continua PDCA, alinendose de este modo con lo establecido en la norma ISO/IEC 9001:


Plan (Planificar): definicin y establecimiento del SGSI.

Do (Ejecutar): implantacin y operacin del SGSI. Check (Verificar): comprobacin y revisin del SGSI (medir la

efectividad de las medidas de seguridad).

Act (Actuar): mantenimiento y mejora del SGSI.

PlanPlan

DoDo

CheckCheck

ActActCiclo de Desarrollo,

Mantenimiento y Mejora Continua

PlanPlan

DoDo

CheckCheck

ActActCiclo de Desarrollo,

Mantenimiento y Mejora Continua

Figura 4: Modelo PDCA para la implantacin de un SGSI

En lo que se refiere a la elaboracin de la documentacin del SGSI, ser necesario contemplar toda una serie de documentos previstos por la norma UNE 71502:2004:

Planificacin y Diseo del SGSI (incluyendo la definicin del alcance).

Polticas de Seguridad de la Informacin. Registro de Activos de Informacin y Valoracin de Riesgos.

Documento de Seleccin de Controles (DSC).

Procedimientos para la Implantacin de los Controles (acciones previstas y responsabilidades).

Procedimientos para la Gestin y Operacin del SGSI (acciones previstas y responsabilidades).

La norma seala que la organizacin deber establecer y mantener los procedimientos para controlar la documentacin del SGSI, cumpliendo con los siguientes objetivos:

1. Disponibilidad para su lectura.

2. Revisin peridica segn las pautas de las Polticas de Seguridad.


3. Control de versiones.

4. Eliminacin de los documentos obsoletos.

Por otra parte, la organizacin tambin debe establecer y mantener los procedimientos que permitan identificar, mantener, conservar y destruir los registros que evidencien el cumplimiento del SGSI implantado. Estos registros tienen que ser lebles, identificables y trazables, debiendo ser almacenados de forma adecuada y segura para facilitar su posterior recuperacin y evitar daos, prdidas o posibles manipulaciones de su contenido.

MAGERIT

MAGERIT, la Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin de las Administraciones Pblicas, fue desarrollada por el Ministerio de Administraciones Pblicas y publicada en 1997.

Los objetivos de MAGERIT son cuatro: concienciar a los responsables de los Sistemas de Informacin de la existencia de riesgos y de la necesidad de adoptar las medidas para limitar su impacto, ofrecer un mtodo sistemtico para analizar tales riesgos, planificar las medidas oportunas para mantener los riesgos identificados bajo control, y facilitar los procesos de evaluacin, auditora, certificacin o acreditacin.

En el mes de julio de 2005, el Consejo Superior de Administracin Electrnica hizo pblica la versin 2 de MAGERIT, estructurada en tres libros: Mtodo (que describe la metodologa propuesta), Catlogo de Elementos (con una descripcin de activos, amenazas, salvaguardas y criterios de valoracin) y Gua de Tcnicas (donde se describen de forma detallada diversas tcnicas utilizadas en los proyectos de anlisis y gestin de riesgos).

Asimismo, como complemento de MAGERIT el Centro Criptolgico Nacional ha desarrollado una herramienta informtica para facilitar el anlisis y gestin de riesgos, conocida como Pilar.

Criterios de Seguridad, Normalizacin y Conservacin (SNC)

Estos criterios han sido definidos por el Ministerio de Administraciones Pblicas (documento publicado en febrero 2003), como un catlogo de requisitos legales y de su correspondencia en criterios o recomendaciones tcnicas u organizativas, para la utilizacin de las TIC en el ejercicio de las potestades que tienen atribuidas los rganos y entidades de la Administracin General del Estado.

El objetivo perseguido con estos criterios es facilitar el mximo aprovechamiento de las TIC en la actividad administrativa en condiciones de racionalidad y economa, mediante la adopcin de normas que aseguran la interoperabilidad de los sistemas informticos y telemticos, a la vez que se asegura el


respeto de las garantas y derechos de los ciudadanos en sus relaciones con la Administracin.

Los Criterios de Seguridad establecen determinados requisitos, criterios y recomendaciones relativos a la implantacin de las medidas de seguridad, organizativas y tcnicas en el diseo, desarrollo, implantacin y explotacin de las aplicaciones y servicios informticos.

A su vez, los Criterios de Normalizacin definen una serie de pautas para la normalizacin en los servicios electrnicos prestados por los rganos y entidades del mbito de la Administracin General del Estado, con el objeto de facilitar la compatibilidad e interoperabilidad.

Por ltimo, los Criterios de Conservacin establecen los requisitos, criterios y recomendaciones para la conservacin de la informacin en soporte electrnico, prestando especial atencin a la gestin de los dispositivos, soportes electrnicos y formatos: cmo se deben manipular de datos sensibles (de carcter personal); cmo definir e implantar salvaguardar frente al deterioro, dao, robo o acceso no autorizado; cmo se debe llevar a cabo la eliminacin o destruccin de soportes; gestin de los soportes removibles; etc.

PROCESO DE CERTIFICACIN

El proceso de certificacin debe ser realizado por una entidad independiente y competente capaz de determinar si un determinado SGSI es correcto, y lo confirma mediante el correspondiente certificado por escrito.

La certificacin constituye un reconocimiento al trabajo bien hecho, una garanta de calidad de la seguridad, que aporta beneficios para la propia organizacin, sus clientes, inversores y empleados. Sin embargo, la adaptacin a la norma no garantiza la inmunidad total de la organizacin frente a problemas de seguridad, pero permite reducir el riesgo. Conviene recordar, una vez ms, que la seguridad total no existe.

El proceso de certificacin consta de dos grandes etapas:

1. Consultora: un equipo de consultores con experiencia en la norma ayuda a la organizacin a cumplir con los requisitos de certificacin: Polticas de Seguridad, procedimientos, seleccin e implantacin de controles, etc. En esta etapa ser necesario determinar las acciones correctivas (que eliminan la causa de las no conformidades en la implantacin, operacin y uso del SGSI) y las acciones preventivas (que permiten eliminar la causa de no conformidades potenciales, previniendo su ocurrencia).

2. Auditora: un organismo acreditado, como AENOR en Espaa, se encarga de revisar los distintos procesos y procedimientos de gestin de


seguridad exigidos por la norma, as como de revisar la implantacin de los distintos controles seleccionados.

Una de las instituciones de referencia a nivel internacional en auditora de los Sistemas de Informacin es ISACA (Information Systems Audit and Control Association Asociacin para el Control y la Auditora de los Sistemas de Informacin).

En Espaa la Asociacin de Auditores y Auditora y Control de Sistemas y Tecnologas de la Informacin y las Comunicaciones (ASIA) constituye el Captulo de Madrid de ISACA. ASIA es, en palabras de sus promotores, una asociacin dedicada a fomentar la auditora y la seguridad informtica en beneficio de los responsables y usuarios de los Sistemas y Tecnologas de la Informacin y las Comunicaciones.

Gua para la Implantacin de un Sistema de Gestin de Seguridad de la Informacin segn la norma UNE 71502:2004

Seguidamente se presenta una gua compuesta por 10 etapas o fases necesarias para la implantacin de un SGSI y su posterior certificacin de acuerdo con la norma UNE 71502:2004, que podra servir de marco de referencia para una organizacin interesada en obtener esta certificacin:

1. Definicin de las Polticas de Seguridad y del Alcance del SGSI. o Definicin de las partes o reas del negocio que van a ser

auditadas bajo la norma.

o Especificacin del alcance del proyecto identificando los procesos de negocio, los recursos de informacin afectados, los recursos tecnolgicos y organizativos, las personas clave y las relaciones con terceros.

o Establecimiento de las Polticas de Seguridad: la Direccin General, junto con los empleados de los departamentos afectados en la implantacin, debe definir y desarrollar una Polticas de Seguridad de la Informacin dentro de la organizacin.

o Elaboracin de un Documento de Seguridad en el que se debe reflejar el compromiso de la Direccin, la definicin de la seguridad de la informacin dentro de su organizacin, la descripcin de los principios fundamentales del Sistema de Gestin de Seguridad de la Informacin, la definicin de las responsabilidades de los usuarios, la referencia al soporte documental y el cumplimiento con los requisitos legales y contractuales.


2. Definicin de Responsabilidades y Asignacin de Recursos. o Creacin de un Comit de Seguridad que se encargar de la

revisin y actualizacin de la Polticas de Seguridad de la Informacin. Este Comit revisar el anlisis de riesgos, partiendo de la identificacin de los principales activos y recursos a proteger, de sus vulnerabilidades y de las posibles amenazas que les puedan afectar.

o Asimismo, se debera definir un Responsable de la implantacin del SGSI, con la misin de apoyar al Comit de Seguridad, dirigir y mantener el SGSI, trabajar con los procesos y departamentos directamente implicados en el SGSI (actuando de interlocutor con los responsables de los activos identificados y de la correcta implantacin del sistema en su proceso o rea de negocio) y llevar a cabo las auditoras internas que permitan controlar la adecuada implantacin del SGSI.

3. Identificacin y Registro de Activos. o Identificacin y descripcin de todos los activos contemplados

dentro del alcance del SGSI, as como de quines son los responsables de gestionar dichos activos.

4. Anlisis y Gestin de Riesgos. o Identificacin de amenazas, vulnerabilidades y probabilidades de

impacto en los activos.

o Elaboracin de un documento donde se refleje el resultado de la evaluacin de las vulnerabilidades, los niveles de riesgo y la necesidad de aplicar las distintas medidas y requisitos de seguridad.

5. Seleccin e Implantacin de Controles de Seguridad. o Elaboracin de un Documento de Seleccin de Controles,

documento que, por otra parte, es obligatorio segn la norma UNE 71502.

o Revisin de la aplicabilidad de los controles seleccionados.

o Implantacin de forma efectiva de los controles seleccionados.


6. Establecer un Programa de Mejora de la Seguridad. o Definicin de un plan de accin con actuaciones concretas para

mejorar la seguridad, siguiendo el modelo PDCA.

7. Completar la Documentacin del SGSI. o Planificacin y Diseo del SGSI, incluyendo la definicin del

alcance.

o Polticas de Seguridad de la Informacin.

o Registro de Activos de Informacin y Valoracin de Riesgos.

o Documento de Seleccin de Controles (DSC).

o Procedimientos para la Implantacin de los Controles.

o Procedimientos para la gestin y operacin del SGSI.

8. Revisin y Auditora Interna del Proyecto de Implantacin del SGSI.

9. Realizacin de la Auditora de Certificacin.

10. Ejecutar las Recomendaciones de la Auditora.

REFERENCIAS DE INTERS

9 AENOR: http://www.aenor.es/

9 Organizacin Internacional de Normalizacin (ISO): http://www.iso.org/

9 Comisin Electrotcnica Internacional (IEC): http://www.iec.org/

9 Comit Europeo de Normalizacin (CEN): http://www.cenorm.be/

9 Comit Europeo de Normalizacin Electrotcnica (CENELEC): http://www.cenelec.org/

9 Instituto Europeo de Normas de Telecomunicacin (ETSI): http://www.etsi.org/


9 Instituto Nacional de Estndares y Tecnologa de Estados Unidos (NIST): http://www.nist.gov/

9 Trusted Computer System Evaluation Criteria (TCSEC): http://www.radium.ncsc.mil/tpep/library/rainbow/5200.28-STD.html

9 Agencia Europea de Seguridad de la Informacin y las Redes Informticas (ENISA): http://europa.eu.int/agencies/enisa/index_en.htm

9 Asociacin para el Control y la Auditora de los Sistemas de Informacin (ISACA): http://www.isaca.org

9 Asociacin de Auditores de Sistemas (ASIA): http://www.auditoresdesistemas.com/

9 OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation): http://www.cert.org/octave/

9 British Standard Institute (BSI): http://www.bsi-global.com/

9 ISO 17799: http://www.iso17799.org/

9 Security Management Index, un cuestionario de autodiagnstico basado en la ISO 17799: http://www.humanfirewall.org/smi/

9 Centro Criptolgico Nacional (CCN): http://www.ccn.cni.es/

9 MAGERIT (Metodologa de Anlisis y Gestin de Riesgos desarrollada por el Ministerio de Administraciones Pblicas de Espaa): http://www.csi.map.es/csi/pg5m20.htm

9 Criterios de Seguridad, Normalizacin y Conservacin (SNC): http://www.csi.map.es/csi/pg5c10.htm

02 - Anexo II - Estandarizacin y Certificacin en Seguridad Informtica

Documents

Transcript of 02 - Anexo II - Estandarizacin y Certificacin en Seguridad Informtica