jueves, 24 de marzo de 2011

Normas y estándares aplicables en seguridad informática

Las principales recomendaciones que se utilizan en seguridad de SI son las siguientes:
Se está trabajando en la modernización del Libro Naranja, ampliando su alcance, ahora reducido a sistemas operativos, hacia las aplicaciones, bases de datos y comunicaciones.

  • Los TCSEC (Trusted Computer Security Evaluation Criteria) definidas por el Departamento de Defensa de EEUU (comúnmente conocido como el Libro Naranja). Suministra especificaciones de seguridad relativas a sistemas operativos y sistemas gestores de bases de datos (en proceso de revisión). 
  • El ITSEC (Information Technology Security Evaluation Criteria) que es el equivalente europeo del Libro Naranja, pero más moderno y con mayor alcance que aquél. Se conoce comúnmente como Libro Blanco. 
  • El ITSEM (Information Technology Security Evaluation Manual).  
  • Las definidas por el subcomité 27 del JTC-1 de la ISO/IEC
  • Las definidas por la ECMA (European Computer Manufacturing Association). 
  • El estándar ISO 7498-2 (OSI, Security Architecture).
A continuación se describen cada una de estas recomendaciones de seguridad:


  • TCSEC
Los TCSEC tiene por objetivo aplicar la política de seguridad del Departamento de Defensa estadounidense. Esta política se preocupa fundamentalmente del mantenimiento de la confidencialidad de la información clasificada a nivel nacional.

Los TCSEC definen siete conjuntos de criterios de evaluación denominados clases (D, C1, C2, B1, B2, B3 y A1). Cada clase de criterios cubre cuatro aspectos de la evaluación: política de seguridad, imputabilidad, aseguramiento y documentación. Los criterios correspondientes a estas cuatro áreas van ganando en detalle de una clase a otra, constituyendo una jerarquía en la que D es el nivel más bajo y A1 él más elevado. Todas las clases incluyen requisitos tanto de funcionalidad como de confianza.

A continuación se enumeran las siete clases:


    • D Protección mínima. Sin seguridad.
    • C1 Limitaciones de accesos a datos.
    • C2 Acceso controlado al SI. Archivos de log y de auditoría del sistema.
    • B1 Equivalente al nivel C2 pero con una mayor protección individual para cada fichero.
    • B2 Los sistemas deben estar diseñados para ser resistentes al acceso de personas no autorizadas.
    • B3 Dominios de seguridad. Los sistemas deben estar diseñados para ser altamente resistentes a la entrada de personas no autorizadas.
    • A1 Protección verificada. En la práctica, es lo mismo que el nivel B3, pero la seguridad debe estar definida en la fase de análisis del sistema.
El Libro Naranja fue desarrollado por el NCSC (National Computer Security Center) de la NSA (National Security Agency) del Departamento de Defensa de EEUU. Actualmente, la responsabilidad sobre la seguridad de SI la ostenta un organismo civil, el NIST (National Institute of Standards and Technology).
  • ITSEC
Ha surgido de la armonización de varios sistemas europeos de criterios de seguridad en TI. Tiene un enfoque más amplio que TCSEC.

Los criterios establecidos en ITSEC permiten seleccionar funciones de seguridad arbitrarias (objetivos de seguridad que el sistema bajo estudio debe cumplir teniendo presentes las leyes y reglamentaciones).

Se definen siete niveles de evaluación, denominados E0 a E6, que representan una confianza para alcanzar la meta u objetivo de seguridad. E0 representa una confianza inadecuada. E1, el punto de entrada por debajo del cual no cabe la confianza útil, y E6 el nivel de confianza más elevado. Por ello, los presentes criterios pueden aplicarse a una gama de posibles sistemas y productos más amplia que los del TCSEC.

El objetivo del proceso de evaluación es permitir al evaluador la preparación de un informe imparcial en el que se indique si el sistema bajo estudio satisface o no su meta de seguridad al nivel de confianza precisado por el nivel de evaluación indicado.

En general, a funcionalidad idéntica y a nivel de confianza equivalente, un sistema goza de más libertad arquitectónica para satisfacer los criterios de ITSEC que los de TCSEC. La correspondencia que se pretende entre los criterios ITSEC y las claves TCSEC es la siguiente:





Criterios ITSECClaves TCSEC
E0D
F-C1, E1C1
F-C2, E2C2
F-B1, E3B1
F-B2, E4B2
F-B3, E5B3
F-B3, E6A1


F-C1, F-C2, etc., son claves de funcionalidad definidas en el Anexo A de ITSEC.

  • ITSEM
Manual de evaluación de la seguridad de TI que forma parte del ITSEC versión 1.2 y cuya misión es describir cómo aplicar los criterios de evaluación del ITSEC.

El objetivo específico del ITSEM es asegurar que existe un conjunto completo de métodos de evaluación de sistemas de seguridad que complemente al ITSEC. Contiene métodos y procedimientos de evaluación suficientemente detallados para ser aplicados a evaluaciones de seguridad realizadas tanto en el sector privado como en el público.
  • Definidos por el subcomité 27 del JTC-1 de la ISO
ISO, junto con IEC (International Electrotechnical Commission), ha creado un Comité Técnico Conjunto (JTC-1) para abordar un amplio rango de estándares en tecnologías de la información, incluida la seguridad. Se han establecido varios subcomités para el desarrollo de estándares, de los cuales el SC27 (subcomité 27) tiene el protagonismo en técnicas de seguridad, si bien en al menos otros seis subcomités tienen especial relevancia los aspectos de seguridad. La lista de todos estos subcomités se detalla a continuación:
    • SC6 Núcleo de seguridad. Capas OSI 3 y 4.
    • SC14 Representación de elementos de datos. EDI.
    • SC17 Tarjetas inteligentes y de identificación.
    • SC18 Sistemas ofimáticos. Manejo de mensajes, oficina distribuida, arquitectura de seguridad de documento compartido.
    • SC21 Seguridad de las capas altas de OSI. Bases de datos, gestión de directorios y archivos, seguridad de FTAM y TP.
    • SC22 Lenguajes.
    • SC27 Técnicas de seguridad. Criptografía, etc. Incluye autentificación, integridad, no repudiación, modos de operación, control de acceso y registro de algoritmos.
  • Definidas por la ECMA
    • TC22 Bases de datos.
    • TC29 Seguridad de la arquitectura de documento compartido.
    • TC32 Protocolos y capas bajas de OSI.
  • Estándar ISO 7498-2
  • Define el concepto de Arquitectura de Seguridad

    0 comentarios:

    Publicar un comentario