170 likes | 287 Views
Cómo contribuye la certificación a la seguridad de la (tecnología de la) información 7 de Noviembre del 2.000. Grupo de Seguridad de ATI. Jornadas de Riesgos, Seguridad y Confianza para el Negocio Electrónico. Fco. López Crespo ATI-EOI. Certificación de las Tecnología de la Información.
E N D
Cómo contribuye la certificación a la seguridad de la (tecnología de la) información7 de Noviembre del 2.000 Grupo de Seguridad de ATI Jornadas de Riesgos, Seguridad y Confianza para el Negocio Electrónico Fco. López Crespo ATI-EOI
Certificación de las Tecnología de la Información. Antecedente: El Acuerdo de Reconocimiento Mutuo de las evaluaciones y los certificados. El Arreglo sobre el reconocimiento de los certificados de criterios comunes en el campo de la seguridad de la tecnología de la información. Ejemplo de aplicación: La certificación para la firma electrónica. PSC y Dispositivos El Proyecto de Esquema Nacional de Evaluación y Certificación de la Seguridad de los Sistemas de Información.
CERTIFICAR: Asegurar, afirmar, dar por cierta alguna cosa (DRAE). Declarar cierta una cosa; particularmente, hacerlo así un funcionario con autoridad para ello, en un documento oficial (María Moliner).
MEDIO + MENSAJE MEDIO + MENSAJE firma PSC firma + Creación de firma
La confianza se construye con tres clases de certificaciones: El documento electrónico y su creador no pueden asociarse por si mismos => certificación de la autenticación. Garantizar el éxito de la invocación del documento electrónico. => certificación para la integridad, disponibilidad y confidencialidad ACID se desenvuelve en el seno de las organizaciones => certificación de los servicios
Criterios para las certificaciones: tecnología de la información, en base a evaluaciones realizadas con los criterios ITSEC/ITSEM y más recientemente con los Criterios Comunes, ISO 15408. los servicios de información, en base a la norma BS 7799. autenticación e integridad de las transacciones electrónicas y de su archivo, EESSI.
Por evaluación se entiende el examen detallado, efectuado por un organismo acreditado, de los aspectos de seguridad de un sistema informático (TOE), a fin de comprobar qué requisitos de seguridad cumple y hasta qué nivel de fortaleza. Realizadas por Instalaciones de evaluación, acreditadas conforme a la norma EN 450001 o la directriz ISO 25 o establecida en virtud de instrumento legislativo, si demuestra el cumplimiento de requisitos equivalentes a dichas normas.
Por certificación de la seguridad de la tecnología de la información se entiende la confirmación del resultado de una evaluación, bajo los criterios correctamente aplicados. El Organismo de certificación o validación ha de estar acreditado conforme a la norma EN 45011 o con la directriz ISO 65 o establecida mediante instrumento legal si demuestra cumplimiento de requisitos equivalentes a dichas normas.
Tipos de evaluación: Autoevaluación del fabricante o proveedor. Pruebas de aceptación, realizadas por el usuario. Evaluación indirecta (existencia de otro sistema ya evaluado y de arquitectura común). Pruebas de aceptación efectuadas por terceros, sin requisitos formales . Evaluación formal por parte de un laboratorio acreditado.
NIVELES DE EVALUACIÓN C1 C2 B1 B2 B3 A1 ITSEC, Trusted Computer Systems Evaluation Criteria, “Orange Book” ITSEC Assurance Level Definitions (Niveles E) y Common Criteria ISO 15408 Assurance Level Definitions (Niveles EAL)
VENTAJAS DEL RECONOCIMIENTO DE CERTIFICADOS. • Eliminar la necesidad de múltiples evaluaciones y certificaciones nacionales, lo que abarata costes y reduce los plazos. • Apoyar su extensión global, más allá del Proyecto de Criterios Comunes, a través de la creación de un estándar internacional (promoviéndose lo que ya es una realidad, la norma ISO 15408).
DIRECCIONES DE INTERÉS: MAP http://www.map.es/csi/pg3400.htm NIST (CC) http://csrc.nist.gov/cc ESSI : http://www.ict.etsi.fr/eessi-intro.htm
MIEMBROS DEL ARREGLO: • Alemania • Australia • Canadá • España • Estados Unidos • Finlandia • Francia • Grecia • Italia • Noruega • Nueva Zelanda • Países Bajos • Reino Unido
FUNCIONES: • Seguimiento e interpretación de los Criterios Comunes. • Desarrollo metodológico • Dirigir las evaluaciones “en la sombra”. • Mantener registros de productos y perfiles de protección • Promover la realización de los perfiles de protección. • Difusión y promoción
Esquema Nacional de Evaluación y Certificación de la Seguridad de los Sistemas de Información Establece la estructura y procedimientos para la evaluación y certificación de la seguridad de productos y sistemas de información Beneficios generales de la certificación: Los usuarios de TI pueden seleccionar las salvaguardas con fundamento riguroso. Mejora la competitividad de la empresa e industria. Tendencia de los países más avanzados: a mayor dependencia de TI, mayor demanda de protección certificada; no basta la mera declaración de seguridad.
Componentes del Esquema Nacional de Evaluación y Certificación de la Seguridad de los Sistemas de Información - Administración del Esquema - Oficina Nacional de Seguridad, que emite los certificados y acredita los laboratorios de evaluación - Laboratorios de evaluación