You are on page 1of 4

Normas y estandares aplicables en seguridad informatica

La seguridad informtica, es el rea de la informtica que se enfoca en la proteccin de la infraestructura computacional y todo lo relacionado con esta (incluyendo la informacin contenida). Para ello existen una serie de estndares, protocolos, mtodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la informacin. La seguridad informtica comprende software, bases de datos, metadatos, archivos y todo lo que la organizacin valore (activo) y signifique un riesgo si sta llega a manos de otras personas. Este tipo de informacin se conoce como informacin privilegiada o confidencial. El concepto de seguridad de la informacin no debe ser confundido con el de seguridad informtica, ya que este ltimo slo se encarga de la seguridad en el medio informtico, pero la informacin puede encontrarse en diferentes medios o formas, y no solo en medios informticos. La seguridad informtica es la disciplina que se ocupa de disear las normas, procedimientos, mtodos y tcnicas destinados a conseguir un sistema de informacin seguro y confiable. Las principales recomendaciones que se utilizan en seguridad de SI son las siguientes: Los TCSEC (Trusted Computer Security Evaluation Criteria) definidas por el Departamento de Defensa de EEUU (comnmente conocido como el Libro Naranja). Suministra especificaciones de seguridad relativas a sistemas operativos y sistemas gestores de bases de datos (en proceso de revisin). El ITSEC (Information Technology Security Evaluation Criteria) que es el equivalente europeo del Libro Naranja, pero ms moderno y con mayor alcance que aqul. Se conoce comnmente como Libro Blanco. El ITSEM (Information Technology Security Evaluation Manual). Las definidas por el subcomit 27 del JTC-1 de la ISO/IEC. Las definidas por la ECMA (European Computer Manufacturing Association). El estndar ISO 7498-2 (OSI, Security Architecture).

A continuacin se describen cada una de estas recomendaciones de seguridad:

TCSEC
Los TCSEC tienen por objetivo aplicar la poltica de seguridad del Departamento de Defensa estadounidense. Esta poltica se preocupa fundamentalmente del mantenimiento de la confidencialidad de la informacin clasificada a nivel nacional. Los TCSEC definen siete conjuntos de criterios de evaluacin denominados clases (D, C1, C2, B1, B2, B3 y A1). Cada clase de criterios cubre cuatro aspectos de la evaluacin: poltica de seguridad, imputabilidad, aseguramiento y documentacin. Los criterios correspondientes a estas cuatro reas van ganando en detalle de una clase a otra, constituyendo una jerarqua en la que D es el nivel ms bajo y A1 l ms elevado. Todas las clases incluyen requisitos tanto de funcionalidad como de confianza. A continuacin se enumeran las siete clases: D Proteccin mnima. Sin seguridad. C1 Limitaciones de accesos a datos. C2 Acceso controlado al SI. Archivos de log y de auditora del sistema. B1 Equivalente al nivel C2 pero con una mayor proteccin individual para cada fichero. B2 Los sistemas deben estar diseados para ser resistentes al acceso de personas no autorizadas. B3 Dominios de seguridad. Los sistemas deben estar diseados para ser altamente resistentes a la entrada de personas no autorizadas. A1 Proteccin verificada. En la prctica, es lo mismo que el nivel B3, pero la seguridad debe estar definida en la fase de anlisis del sistema.

El Libro Naranja fue desarrollado por el NCSC (National Computer Security Center) de la NSA (National Security Agency) del Departamento de Defensa de EEUU. Actualmente, la responsabilidad sobre la seguridad de SI la ostenta un organismo civil, el NIST (National Institute of Standards and Technology). Se est trabajando en la modernizacin del Libro Naranja, ampliando su alcance, ahora reducido a sistemas operativos, hacia las aplicaciones, bases de datos y comunicaciones.

ITSEC
Ha surgido de la armonizacin de varios sistemas europeos de criterios de seguridad en TI. Tiene un enfoque ms amplio que TCSEC. Los criterios establecidos en ITSEC permiten seleccionar funciones de seguridad arbitrarias (objetivos de seguridad que el sistema bajo estudio debe cumplir teniendo presentes las leyes y reglamentaciones). Se definen siete niveles de evaluacin, denominados E0 a E6, que representan una confianza para alcanzar la meta u objetivo de seguridad. E0 representa una confianza inadecuada. E1, el punto de entrada por debajo del cual no cabe la confianza til, y E6 el nivel de confianza ms elevado. Por ello,

los presentes criterios pueden aplicarse a una gama de posibles sistemas y productos ms amplia que los del TCSEC. El objetivo del proceso de evaluacin es permitir al evaluador la preparacin de un informe imparcial en el que se indique si el sistema bajo estudio satisface o no su meta de seguridad al nivel de confianza precisado por el nivel de evaluacin indicado. En general, a funcionalidad idntica y a nivel de confianza equivalente, un sistema goza de ms libertad arquitectnica para satisfacer los criterios de ITSEC que los de TCSEC. La correspondencia que se pretende entre los criterios ITSEC y las claves TCSEC es la siguiente: Criterios ITSEC Claves TCSEC E0 D F-C1, E1 C1 F-C2, E2 C2 F-B1, E3 B1 F-B2, E4 B2 F-B3, E5 B3 F-B3, E6 A1 F-C1, F-C2, etc., son claves de funcionalidad definidas en el Anexo A de ITSEC.

ITSEM
Manual de evaluacin de la seguridad de TI que forma parte del ITSEC versin 1.2 y cuya misin es describir cmo aplicar los criterios de evaluacin del ITSEC. El objetivo especfico del ITSEM es asegurar que existe un conjunto completo de mtodos de evaluacin de sistemas de seguridad que complemente al ITSEC. Contiene mtodos y procedimientos de evaluacin suficientemente detallados para ser aplicados a evaluaciones de seguridad realizadas tanto en el sector privado como en el pblico.
Definidos

por el subcomit 27 del JTC-1 de la ISO

ISO, junto con IEC (International Electrotechnical Commission), ha creado un Comit Tcnico Conjunto (JTC-1) para abordar un amplio rango de estndares en tecnologas de la informacin, incluida la seguridad. Se han establecido varios subcomits para el desarrollo de estndares, de los cuales el SC27 (subcomit 27) tiene el protagonismo en tcnicas de seguridad, si bien en al menos otros seis subcomits tienen especial relevancia los aspectos de seguridad. La lista de todos estos subcomits se detalla a continuacin: SC6 Ncleo de seguridad. Capas OSI 3 y 4. SC14 Representacin de elementos de datos. EDI. SC17 Tarjetas inteligentes y de identificacin. SC18 Sistemas ofimticos. Manejo de mensajes, oficina distribuida, arquitectura de seguridad de documento compartido.

SC21 Seguridad de las capas altas de OSI. Bases de datos, gestin de directorios y archivos, seguridad de FTAM y TP. SC22 Lenguajes. SC27 Tcnicas de seguridad. Criptografa, etc. Incluye autentificacin, integridad, no repudiacin, modos de operacin, control de acceso y registro de algoritmos.

Definidas por la ECMA

TC22 Bases de datos. TC29 Seguridad de la arquitectura de documento compartido. TC32 Protocolos y capas bajas de OSI.

Estndar ISO 7498-2

Define el concepto de Arquitectura de Seguridad

You might also like