1. Experiencia Educativa:
Administración de Tecnologías de la
Información
Capitulo 10:
Panorámica General sobre Normas de
Seguridad de Tecnologías de la Información
Catedrático:
Dr. Carlos Arturo Torres Gastelú
Equipo #5
2. CONTENIDO
Papel de la normas en la Seguridad de los STI
Conceptos básicos de normalización
Subcomité ISO/IEC JTC 1/SC 27 Técnicas de Seguridad
Gestión de la Seguridad de la Información
Técnicas y mecanismos
Actuación de CEN/ISSS
Otras normas relacionadas
3. PAPEL DE LAS NORMAS EN LA SEGURIDAD DE LOS
SISTEMAS DE TECNOLOGÍAS DE LA INFORMACIÓN
Uno de los papeles principales que juegan las normas es la
de ofrecer políticas, procedimientos, prácticas y medidas
organizativas, y técnicas capaces de proteger la información
y de gestionar la seguridad de los sistemas respondiendo a
las amenazas existentes; capaces de garantizar dimensiones
esenciales de la seguridad como la confidencialidad, la
integridad, la disponibilidad y la autenticidad.
• Necesidad de demostrar que se realiza una gestión
competente, efectiva y continua de la seguridad en el marco
de los riesgos detectados y de que se han adoptado medidas
adecuadas y proporcionales a los riesgos a los que esta
expuesta la organización.
4. CONCEPTOS BÁSICOS DE NORMALIZACIÓN
Normas: Especificaciones técnicas, de carácter voluntario,
consensuadas, elaboradas con la participación de las
partes interesadas y aprobadas por un organismo
reconocido.
En el ámbito internacional ISO (Organización
Internacional de Normalización) e IEC (Comisión
Electrotécnica Internacional) tienen por objeto favorecer
el desarrollo de la normalización en el mundo, con vista
a facilitar los intercambios comerciales y las
prestaciones de servicios entre los distintos países.
En el ámbito europeo CEN (Cómite Europeo de
Normalización) contribuye a los objetivos de la Unión
Europea y del espacio económico europeo con
estandares técnicos de uso voluntario.
5. SUBCOMITÉ ISO/IEC JTC 1/SC 27 TÉCNICAS DE SEGURIDAD
• Normalización de
métodos genericos y
técnicas para la
seguridad de
tecnologias de la
informaición.
Alcance
y Area de
trabajo
• Identificación de requisitos
genéricos.
• Desarrollo de técnicas y
mecanismos de seguridad.
• Desarrollo de guías de
seguridad y documentos
interpretativo.
• Desarrollo de soporte a la
gestión, documentación y
normas.
SC27
6. AEN/CTN 71/SC 27 *ESPAÑOL
HITOS Creación de un cuerpo de normas UNE relativas a
la seguridad de las TI.
Contribución activa a la normalización
internacional.
Retroalimentación de la normativa nacional UNE a
partir de la normativa internacional en materia.
Explotación del potencial que ofrece la amplia y
variada composición del SC27.
Asistencia a las reuniones internacionales del
SC27.
8. GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Futuro
Debe ser coherente con los
principios generales de gobierno
de las TI en las organizaciones.
Debe ser coherente con los principios
de seguridad de la OCDE.
Debe ser coherente con otros
sistemas de gestión.
Debe ser coherente con lo previsto
en las Guías ISO.
10. TÉCNICAS Y MECANISMOS CRIPTOGRÁFICOS
ESPECIFICADOS POR EL SC27
Servicios de fechado electrónico
(ISO/IEC 18014 Time Stamping
Services).
Algoritomos de cifrado simétricos, de bloqueo,
de flujo y asimétricos (ISO/IEC 18033
Encryption algorithms).
Funciones hash criptográficas (ISO/IEC
10118 Hash functions).
Esquemas de firma digital que incorporan
funcionalidades de autenticación e integridad
(ISO/IEC 9796).
Atenticación de entidades (ISO/IEC
9798 Entity authenticaction).
11. Técnicas criptográficas basadas
en curvas elipticas (ISO/IEC
15946 Cryptographic techniques based
on elliptic curves).
Requisitos de modulos
criptográficos.
Gestión de claves (ISO/IEC 11770
Key Management).
Mecanismos de no repudio
(ISO/IEC 1388 Non repudiation).
12. CONFIANZA EN LOS PRODUTOS Y SISTEMAS DE
TECNOLOGÍAS DE LA INFORMACIÓN
Relación de los objetivos de seguridad con amenazas,
políticas, supuestos y requisitos funcionales y de
aseguramiento.
13. ACTUACIÓN DE CEN/ISSS
CEN/ISSS centra su actividad de producción de
normas en dos campos que son prioritarios para la
Unión Europea y que son los relativos a:
• La firma electrónica y a la protección de datos.
• La privacidad.
Es igualmente activo en normas relativas a
provacidad y protección de datos habiendo producido
una colección de documentos CWA en la materia, así
como en materia de tarjetas inteligentes y lectores de
las mismas (CWA 14174- 8 partes).
14. OTRAS NORMAS RELACIONADAS CON LA
SEGURIDAD DE LAS TI
Norma ISO 10011 “Guidelines for auditing quality systems”
“Parte 1: Auditing, Parte 2: Qualification criteria for quality
system auditors” y Parte 3: “Management of audit
programmes”.
Norma UNE EN ISO/IEC 17025
Requisitos relativos a la competencia de los laboratorios de
ensayo y calibración.
Norma UNE EN 45012:1998
Requisitos generales para entidades que realizan la
evaluación y certificación de sistemas de calidad.
15. Norma UNE EN ISO 9001: “Sistemas de gestion de la calidad” e
ISO 14001:1996
Sirven ambas de referentes en cuanto a normalización de sistemas
de gestión.
Norma ISO Guide 72:2001
Trata sobre los principios y orientaciones para el desarrollo de
sistemas de gestión.
16. PERSPECTIVA DE EVOLUCIÓN
Líneas de evolución
Desarrollo y perfeccionamiento de la serie
27000 relativa a los sistemas de gestión de la
seguridad de la información.
Proyectos significativos en materia de medidas
del SGSI (ISO/IEC 27004), de orientación para
la implantación del sistema de gestión.
El proyecto relativo a la gestión de riesgos (ISO/IEC
27005) se encuentra relacionado con el proyecto
abordado por ISO/TMB para elaborar sus orientaciones
genéricas en dicha materia.