NTE INEN-ISO/IEC Primera edición

Transcripción

1 Quito Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC Primera edición TECNOLOGÍAS DE LA INFORMACIÓN TÉCNICAS DE SEGURIDAD SEGURIDAD DE APLICACIÓN PARTE 1: DESCRIPCIÓN Y CONCEPTOS (ISO/IEC :2011/Cor 1:2014, IDT) Information technology Security techniques Application security Part 1: Overview and concepts (ISO/IEC :2011) Correspondencia: Esta norma nacional es una traducción idéntica de la Norma Internacional ISO/IEC /Cor 1:2014 DESCRIPTORES: Tecnología, información, técnicas, seguridad, aplicación, descripción, conceptos ICS: Páginas

2 Prólogo nacional Esta Norma Técnica Ecuatoriana NTE INEN-ISO/IEC :2014, es una traducción idéntica de la Norma Internacional ISO/IEC :2011 Information technology Security techniques Application security Part 1: Overview and concepts, la traducción ha sido desarrollada por Ministerio de Telecomunicaciones y de la Sociedad de la Información MINTEL. El comité responsable de esta Norma Técnica Ecuatoriana y de su adopción es el Comité Técnico de Normalización del INEN. Para el propósito de este documento se han hecho los siguientes cambios editoriales: a) Las palabras esta Norma Internacional han sido reemplazadas por esta norma nacional. Para el propósito de esta Norma Técnica Ecuatoriana se indica que para el documento normativo internacional de referencia, que se menciona en Internacional ISO/IEC , existen los siguientes documentos normativos nacionales correspondientes. Documento Normativo Internacional ISO/IEC 27000:2009, Information technology Security techniques Information security management systems Overview and vocabulary ISO/IEC 27001:2005, Information technology Security techniques Information security management systems Requirements ISO/IEC 27002:2005, Information technology Security techniques Code of practice for information security management ISO/IEC 27005:2008, Information technology Security techniques Information security risk management Documento Normativo Nacional No existe documento nacional correspondiente. NTE INEN-ISO/IEC 27001:2011, Tecnología de la información. Técnicas de seguridad Sistema de gestión de la seguridad de la información. Requisitos. NTE INEN-ISO/IEC 27002:2009, Tecnología de la información Técnicas de la seguridad Código de práctica para la gestión de la seguridad de la información. NTE INEN-ISO/IEC 27005, Tecnología de información Técnicas de seguridad Gestión de riesgos de seguridad de información i

3 Índice Prólogo nacional...i Prólogo... vi Introducción... vii 0.1 General... vii 0.2 Propósito... vii 0.3 Audiencias Meta... viii General... viii Dirección... ix Equipos de aprovisionamiento y de operación... ix Adquirentes...x Abastecedores... xi Auditores... xi Usuarios... xi 0.4 Principios... xi La seguridad es un requisito... xi La seguridad de aplicación depende del contexto... xii Inversión adecuada para la seguridad de la aplicación... xii La seguridad de aplicación se debería demostrar... xii 0.5 Relación con otras Normas Internacionales... xii General... xii Norma ISO/IEC 27001, Sistemas de gestión de seguridad de información Requisitos... xiii Norma ISO/IEC 27002, Código de prácticas para la gestión de seguridad de información. xiii Norma ISO/IEC 27005, Gestión de riesgo de seguridad de información... xiii Norma ISO/IEC 21827, Ingeniería de Seguridad de Sistemas Modelo de Madurez de Capacidad, SSE-CMM, (Systems Security Engineering Capability Maturity Model )... xiii Norma ISO/IEC , Criterios de evaluación para la seguridad de TI Parte 3: Componentes de garantía de seguridad... xiii Norma ISO/IEC TR , Un marco para el aseguramiento de seguridad de TI Parte 1: Descripción y marco, y ISO/IEC TR , Un marco para el aseguramiento de seguridad de TI Parte 3: Análisis de los métodos de aseguramiento... xiv Norma ISO/IEC , Ingeniería de sistemas y software Aseguramiento de sistemas y software Parte 2: Caso de aseguramiento... xiv Norma ISO/IEC 15288, Ingeniería de sistemas y software Procesos de ciclo de vida de sistema, y Norma ISO/IEC 12207, Ingeniería de sistemas y software Proceso de ciclo de vida de software... xiv Norma ISO/IEC TR (en desarrollo), Principios y técnicas de ingeniería de sistemas seguros... xiv 1 Objeto y Campo de Aplicación Referencias normativas Términos y definiciones Términos abreviados Estructura de ISO/IEC Error! Marcador no definido. 6 Introducción a la seguridad de aplicación General Seguridad de aplicación versus seguridad de software Campo de aplicación de seguridad de aplicación General Contexto de negocio Contexto regulador Procesos de ciclo de vida de aplicación Procesos involucrados con la aplicación Contexto tecnológico Especificaciones de aplicación Datos de aplicación Datos de la organización y del usuario Roles y permisos Requisitos de seguridad de aplicación Fuentes de requisitos de seguridad de aplicación... 8 ii

4 6.4.2 Ingeniería de requisitos de seguridad de aplicación SGSI Riesgo Riesgo de seguridad de aplicación Vulnerabilidades de aplicación Amenazas a las aplicaciones Impacto en las aplicaciones Gestión de riesgo Costos de seguridad Ambiente meta Controles y sus objetivos Los procesos completos de ISO/IEC Componentes, procesos y marcos de trabajo Proceso de Gestión MNO Proceso de Gestión de Seguridad de Aplicación General Especificación de los requisitos y del ambiente de la aplicación Evaluación de los riesgos de seguridad de aplicación Creación y mantenimiento del Marco Normativo de la Aplicación Provisión y operación de la aplicación Auditar la seguridad de la aplicación Conceptos Marco Normativo de la Organización General Componentes Procesos relacionados con el Marco Normativo de la Organización Evaluación de riesgo de seguridad de aplicación Evaluación del riesgo versus gestión del riesgo Análisis de riesgo de aplicación Evaluación de Riesgo Nivel Meta de Confianza de la aplicación Aceptación del propietario de aplicación Marco Normativo de Aplicación General Componentes Procesos relacionados con la seguridad de la aplicación Ciclo de vida de la aplicación Procesos Aprovisionamiento y funcionamiento de la aplicación General Impacto de ISO/IEC en un proyecto de aplicación Componentes Procesos Auditoría de Seguridad de Aplicación General Componentes ANEXO A (INFORMATIVA) MAPEO DE UN PROCESO EXISTENTE DE DESARROLLO PARA EL CASO DE ESTUDIO ISO/IEC A.1 General A.2 Sobre el Ciclo de Vida de Desarrollo de Seguridad A.3 CVDS asignado al Marco Normativo de la Organización A.4 Contexto de Negocio A.5 Contexto Regulador A.6 Repositorio de Especificaciones de Aplicación A.7 Contexto Tecnológico A.8 Roles, Responsabilidades y Calificaciones A.9 Biblioteca de CSA de la Organización A.9.1 Formación A.9.2 Requisitos iii

5 A.9.3 Diseño A.9.4 Implementación A.9.5 Verificación A.9.6 Lanzamiento A.10 Auditoría de Seguridad de Aplicación A.11 Modelo de Ciclo de Vida de Aplicación A.12 El CVDS asignado al Modelo de Referencia de Ciclo de Vida de Seguridad de Aplicación ANEXO B (INFORMATIVA) MAPEAR EL CSA CON UNA NORMA EXISTENTE B.1 Categorías de candidato de CSA B.1.1 Consideraciones relacionadas con el control común de seguridad B.1.2 Consideraciones relacionadas aspectos ambientales/operacionales B.1.3 Consideraciones relacionadas con la infraestructura física B.1.4 Consideraciones relacionadas con el acceso público B.1.5 Consideraciones relacionadas con la tecnología B.1.6 Consideraciones relacionadas con la política/regulaciones B.1.7 Consideraciones relacionadas con la Escalabilidad B.1.8 Consideraciones relacionadas con el objetivo de seguridad B.2 Clases de controles de seguridad B.3 Sub-clases en la clase de Control de Acceso (AC) B.4 Clases detalladas de control de acceso B.4.1 Política y procedimientos de control de acceso AC B.4.2 Gestión de Cuentas de AC B.4.3 Acceso Remoto de AC B.5 Definición de un CSA construido de un control de muestra SP B.5.1 Control de AU-14 como está descrito en SP Rev B.5.2 Control de AU-14 como está descrito utilizando el formato de CSA de ISO/IEC ANEXO C (INFORMATIVO) PROCESO DE GESTIÓN DE RIESGO DE LA NORMA ISO/IEC MAPEADO CON EL PGSA BIBLIOGRAFIA...78 iv

6 Figuras Figura 1 Relación con otras Normas Internacionales... xiii Figura 2 Campo de aplicación de Seguridad de Aplicación... 6 Figura 3 Procesos de Gestión de la Organización Figura 4 Marco Normativo de la Organización (simplificado) Figura 5 Representación gráfica de un ejemplo de una Biblioteca de CSA de la Organización Figura 6 Componentes de un CSA Figura 7 Gráfico de los CSAs Figura 8 Vista del nivel superior del Modelo de Referencia de Ciclo de Vida de Seguridad de. Aplicación Figura 9 Proceso de Gestión de MNO Figura 10 Marco Normativo de Aplicación Figura 11 Impacto de la norma ISO/IEC en los papeles y responsabilidades en un proyecto típico de aplicación Figura 12 CSA utilizado como una actividad de seguridad Figura 13 CSA utilizado como una medición Figura 14 Vista general del proceso de verificación de seguridad de la aplicación Figura A.1 Ciclo de Vida de Desarrollo de Seguridad Figura A.2 CVDS asignado al Marco Normativo de la Organización Figura A.3 Ejemplo de un árbol de CSA Figura A.4 Ejemplo de una Linea de Aplicación de Negocio para la Auditoria de Seguridad de Aplicación Figura A.5 Ilustración del Proceso de CVDS Figura A.6 El CVDS mapeado al Modelo de Referencia de Ciclo de Vida de Seguridad de la Aplicación Figura A.7 Un mapeo detallado de las fases de CVDS con las etapas en el Modelo de Referencia de Ciclo de Vida de Seguridad de la Aplicación Figura C.1 El proceso de gestión de riesgo de la norma ISO/IEC mapeado con el PGSA Tablas Tabla 1 Campo de aplicación de Aplicación versus Campo de aplicación de Seguridad de Aplicación... 7 Tabla 2 Mapeo de los sub-procesos de SGSI y de gestión de MNO relacionados con la seguridad de aplicación Tabla B.1 Clases, familias e identificadores de control de seguridad Tabla B.2 Clases de control de seguridad y líneas de base de control de seguridad para los sistemas de información de bajo impacto, medio impacto y alto impacto Tabla B.3 SP control de AU-14 descrito utilizando el formato de CSA de ISO/IEC v

7 Prólogo ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional) forman el sistema especializado de normalización mundial. Los organismos nacionales que son miembros de la ISO o IEC participan en el desarrollo de las Normas Internacionales a través de los comités técnicos establecidos por la organización respectiva para hacer frente a los campos particulares de actividad técnica. Los comités técnicos de ISO e IEC colaboran en los campos de interés mutuo. Otras organizaciones internacionales, gubernamentales y no gubernamentales, en colaboración con la ISO e IEC, también participan en el trabajo. En el campo de la tecnología de información, la ISO e IEC han establecido un comité técnico conjunto, ISO/IEC JTC 1. Las Normas Internacionales se redactan de acuerdo con las reglas dadas en las Directivas de ISO/IEC, Parte 2. La tarea principal del comité técnico conjunto es de preparar las Normas Internacionales. Los proyectos de Normas Internacionales, adoptados por el comité técnico conjunto, se distribuyen a los miembros nacionales para votación. La publicación como una Norma Internacional requiere la aprobación por al menos 75% de los miembros nacionales con derecho a voto. Se advierte sobre la posibilidad de que algunos de los elementos de este documento pueden estar sujetos a derechos de patente. La ISO e IEC no se deben considerar responsables por la identificación de cualquiera o todos aquellos derechos de patente. ISO/IEC fue preparada por el Comité Técnico Conjunto ISO/IEC JTC-1, Tecnología de información, Sub-comité SC 27, Técnicas de seguridad de TI. ISO/IEC consiste de las siguientes partes, bajo el título general de Tecnología de Información - Técnicas de Seguridad Seguridad de aplicación: Parte 1: Descripción y conceptos Las siguientes partes están en preparación: Parte 2: Marco normativo de la organización Parte 3: Procesos de gestión de seguridad de aplicación Parte 4: Validación de seguridad de aplicación Parte 5: Protocolos y estructura de la información del control de seguridad de aplicación vi

8 0. Introducción 0.1 General Las organizaciones deberían proteger su información y sus infraestructuras tecnológicas con el fin de permanecer en el negocio. Tradicionalmente esto ha sido abordado al nivel de TI mediante la protección del perímetro y aquellos componentes de infraestructura tecnológica como computadoras y redes, lo cual generalmente no es suficiente. Además, las organizaciones se protegen cada vez más a nivel de gobierno operando sistemas formalizados, probados y verificados de gestión de seguridad de información, SGSI. Un enfoque sistemático contribuye a un sistema de gestión de seguridad de información eficaz descrito en ISO/IEC Sin embargo, las organizaciones se enfrentan a una necesidad creciente de proteger su información a nivel de aplicación. Las aplicaciones deberían ser protegidas contra las vulnerabilidades que podrían ser inherentes a la propia aplicación (por ejemplo, defectos del programa), las que aparecen en el curso del ciclo de vida de la aplicación (por ejemplo, a través de cambios en la aplicación), o las que surgen debido al uso de la aplicación en un contexto para el cual no estaba prevista. Un enfoque sistemático relacionado con una mayor seguridad de aplicación proporciona evidencias de que la información que se utiliza o almacena por las aplicaciones de una organización está siendo protegida adecuadamente. Las aplicaciones se pueden adquirir a través de un desarrollo interno, la contratación a terceros o la compra de un producto comercial. También las aplicaciones se pueden adquirir a través de una combinación de estos enfoques lo cual podría introducir nuevas implicaciones de seguridad, lo cual se debería considerar y gestionar. Ejemplos de las aplicaciones son los sistemas de recursos humanos, sistemas contables, sistemas de procesamiento de textos, sistemas de gestión de clientes, firewalls, sistemas anti-virus y sistemas de detección de intrusión. A través de su ciclo de vida, una aplicación segura exhibe características que son prerrequisitos de la calidad del software, como una ejecución y conformidad predecible, al igual que el cumplimiento de los requisitos desde un punto de vista de desarrollo, gestión, infraestructura tecnológica, y auditoria. Los procesos y prácticas cuya seguridad se ha mejorado y las personas capacitadas que los ejecutan requieren construir aplicaciones de confianza que no incrementen la exposición de riesgo residual más allá de un nivel aceptable o tolerable y que soporten un SGSI efectivo. Además, una aplicación segura toma en cuenta los requisitos de seguridad derivados del tipo de información que el ambiente específico (contextos de negocio, regulativos y tecnológicos), los actores y las especificaciones de aplicación. Debería ser posible obtener la evidencia que se presenta para demostrar que un nivel aceptable (o tolerable) del riesgo residual ha sido alcanzado y está siendo mantenido. 0.2 Propósito El propósito de ISO/IEC es el de ayudar a las organizaciones a integrar la seguridad de forma clara y transparente durante el ciclo de vida de sus aplicaciones: a) proporcionando los conceptos, principios, marcos, componentes y procesos; b) proporcionando mecanismos orientados a procesos para establecer requisitos de seguridad, evaluando los riesgos de seguridad, asignando un Nivel Meta de Confianza y seleccionando los controles de seguridad y las medidas de verificación correspondientes; vii

9 c) proporcionando directrices para establecer los criterios de aceptación a las organizaciones que subcontratan el desarrollo o la operación de las aplicaciones y para las organizaciones que compran aplicaciones de terceras personas; d) proporcionando mecanismos orientados a procesos para determinar, generar y coleccionar la evidencia necesaria para demostrar que sus aplicaciones se pueden utilizar de forma segura bajo un ambiente definido; e) apoyando a los conceptos generales especificados en ISO/IEC y ayudando con la implementación satisfactoria de la seguridad de información basada en un enfoque de gestión de riesgo; y f) proporcionando un marco de referencia que ayude a implementar los controles de seguridad especificados en ISO/IEC y en otras normas. ISO/IEC 27034: a) se aplica al software que es parte de una aplicación y a los factores contribuyentes que tienen un impacto en su seguridad, tal como la información, la tecnología, los procesos de ciclo de vida de desarrollo de la aplicación, los procesos de soporte y actores; y b) se aplica a todos los tamaños y a todo tipo de organizaciones (por ejemplo, empresas comerciales, agencias del gobierno, u organizaciones sin fines de lucro) expuestas a los riesgos asociados con las aplicaciones. ISO/IEC no: a) proporciona las directrices para la seguridad física y de la red; b) proporciona los controles o las mediciones; o c) proporciona las especificaciones de código seguro para ningún lenguaje de programación. ISO/IEC no es: a) una norma de desarrollo de aplicaciones de software; b) una norma de gestión de proyectos de aplicación; o c) una norma de ciclo de vida de desarrollo de software. Los requisitos y procesos especificados en ISO/IEC no están destinados a ser implementados aisladamente, sino integrados en el proceso existente de una organización. Para lograr esto, las organizaciones deberían mapear sus procesos y marcos de referencia existentes según lo propuesto por ISO/IEC 27034, así reduciendo el impacto de la implementación de ISO/IEC El Anexo A (informativo) proporciona un ejemplo que ilustra cómo un proceso existente de desarrollo de software se puede mapear según algunos de los componentes y procesos de ISO/IEC En general, una organización que utiliza cualquier ciclo de vida de desarrollo debería realizar un mapeo tal como el mapeo descrito en el Anexo A, y agregar cualquiera de los componentes o procesos que falten y que sean necesarios para el cumplimiento con ISO/IEC Público Meta Generalidades Las siguientes audiencias se beneficiarán de ISO/IEC mientras estas lleven a cabo sus papeles organizacionales designados: a) dirección; viii

10 b) equipos de aprovisionamiento y de operación; c) personal de adquisición; d) proveedores; y e) auditores Dirección La dirección se conforma de personas involucradas en la gestión de la aplicación durante su ciclo de vida completo. Las etapas aplicables del ciclo de vida de aplicación incluyen las etapas de aprovisionamiento y las etapas de producción. Ejemplos de la dirección son: a) gerentes de seguridad de información; b) gerentes de proyectos; c) administradores; d) compradores de software; e) gerentes de desarrollo de software; f) propietarios de aplicación; g) gerentes de línea, que supervisan a los empleados. La dirección típicamente necesita: a) equilibrar el coste de la implementación y del mantenimiento de la seguridad de aplicación con los riesgos y el valor que representa para la organización; b) revisar los informes del auditor recomendando la aceptación o el rechazo basado en si una aplicación ha alcanzado y mantenido su Nivel Meta de Confianza; c) asegurar el cumplimiento de las Normas, las reglas y los reglamentos según el contexto regulativo de una organización (ver ); d) supervisar la implementación de una aplicación segura; e) autorizar el Nivel Meta de Confianza según el contexto específico de la organización; f) determinar qué controles de seguridad y qué mediciones correspondientes de verificación se deberían implementar y probar; g) minimizar los costos de verificación de seguridad de aplicación; h) documentar las políticas y procedimientos de seguridad para una aplicación; i) proporcionar formación, socialización y supervisión para todos los actores; j) poner en marcha las autorizaciones correctas de seguridad de información requeridas por las políticas y procedimientos de seguridad de información aplicables; y k) estar al corriente de todos los planes de seguridad relacionados con el sistema a lo largo de la red de la organización Equipos de aprovisionamiento y de operación ix

11 Los miembros de los equipos de aprovisionamiento y de operación (conocidos de forma colectiva como el equipo de proyecto) son personas involucradas en el diseño, desarrollo y mantenimiento de una aplicación, a lo largo de su ciclo de vida completo. Los miembros incluyen: a) arquitectos; b) analistas; c) programadores; d) probadores; e) administradores de sistema; f) administradores de base de datos; g) administradores de red, y h) personal técnico. Típicamente los miembros necesitan: a) entender qué controles se deberían aplicar a cada etapa de un ciclo de vida de una aplicación y porqué; b) entender qué controles se deberían implementar en la propia aplicación; c) minimizar el impacto de la introducción de los controles en el desarrollo, en las actividades de prueba y de documentación dentro del ciclo de vida de aplicación d) asegurar que los controles introducidos cumplan los requisitos de las mediciones asociadas; e) obtener acceso a las herramientas y a las mejores prácticas con el fin de agilizar el desarrollo, las pruebas y la documentación; f) facilitar la revisión por similares; g) participar en la planificación y en las estrategias de adquisición; h) establecer las relaciones de negocio para obtener los bienes y servicios necesarios (por ejemplo, para la solicitud, evaluación y la adjudicación de los contratos); y i) organizar la disposición de los elementos residuales después de que se complete el trabajo, (por ejemplo, la gestión/disposición de propiedad) Adquirentes Esto incluye todas las personas involucradas en la adquisición de un producto o servicio. Típicamente los adquirientes necesitan: a) preparar las solicitudes para las propuestas que incluyen los requisitos para los controles de seguridad; b) seleccionar a los proveedores que cumplen con tales requisitos; c) verificar la evidencia de los controles de seguridad aplicados por los servicios de subcontratados; y x

12 d) evaluar los productos mediante la verificación de la evidencia de los controles de seguridad de aplicación implementados correctamente Proveedores Eso incluye a todas las personas involucradas en el abastecimiento de un producto o servicio. Típicamente los proveedores necesitan: a) cumplir con los requisitos de seguridad de aplicación de las solicitudes de propuestas; b) seleccionar adecuados controles de seguridad de aplicación de las propuestas, con respecto a su impacto en el costo; y c) proporcionar evidencia que los controles de seguridad requeridos están implementados correctamente en los productos y servicios propuestos Auditores Los auditores son personas que necesitan: a) entender el campo de aplicación y los procedimientos involucrados en las mediciones de verificación para los controles correspondientes; b) asegurar que los resultados de la auditoria sean repetibles; c) establecer una lista de mediciones de verificación que generen la evidencia que una aplicación ha alcanzado el Nivel Meta de Confianza requerido por la dirección; y d) aplicar los procesos normalizados de auditoría basados en el uso de la evidencia verificable Usuarios Los usuarios son personas que precisan: a) confiar en que se considera seguro utilizar o correr una aplicación; b) confiar en que una aplicación produce resultados seguros de manera consistente y oportuna; y c) confiar en que los controles y sus mediciones correspondientes de verificación se posicionan y que funcionan correctamente como se espera. 0.4 Principios La seguridad es un requisito Los requisitos de seguridad se deberían definir y analizar para cada una de las etapas de un ciclo de vida de una aplicación, abordados y manejados adecuadamente de forma continua. Los requisitos de seguridad de aplicación (ver 6.4) se deberían tratar de la misma manera que los requisitos de funcionalidad, calidad y usabilidad (ver ISO/IEC 9126 para un ejemplo de un modelo de calidad). Además, se deberían instituir los requisitos relacionados con la seguridad para ajustarse a las limitaciones establecidas acerca del riesgo residual. Según ISO/IEC/IEEE (en desarrollo), los requisitos deberían ser necesarios, abstractos, no ambiguos, consistentes, completos, concisos, factibles, rastreables y verificables. Las mismas características se aplican a los requisitos de seguridad. Los requisitos vagos de seguridad tales como El desarrollador debería descubrir todos los riesgos importantes de seguridad para la aplicación se encuentran con demasiada frecuencia en la documentación de los proyectos de aplicación. xi

13 0.4.2 La seguridad de aplicación depende del contexto La seguridad de aplicación está influenciada por un ambiente meta definido. El tipo y el campo de aplicación de los requisitos de seguridad de aplicación están determinados por el riesgo al cual la aplicación es sometida, que a su vez dependen de tres contextos: a) contexto de negocio: los riesgos específicos derivados del dominio de negocio de la organización (compañía telefónica, compañía de transporte, gobierno, etc.); b) contexto regulatorio: los riesgos específicos derivados de la ubicación geográfica donde la organización está haciendo negocios (derechos y licencias de propiedad intelectual, restricciones a la protección criptográfica, derechos de autor, leyes y regulaciones, legislación sobre la privacidad, etc.); c) contexto tecnológico: los riesgos específicos de las tecnologías utilizadas por las organizaciones en el curso del negocio [ingeniería reversa, seguridad de herramientas de desarrollo, protección del código de fuente, uso de un código pre-compilado de una tercera parte, pruebas de seguridad, pruebas de penetración, comprobación de los límites, comprobación del código, ambiente de tecnología de información y comunicación, TIC en el cual se ejecuta la aplicación, archivos de configuración y datos no compilados, privilegios de sistemas operativos para la instalación o la operación, mantenimiento, distribución segura, etc.] El contexto tecnológico abarca las especificaciones técnicas de las aplicaciones (funcionalidad de seguridad, componentes seguros, pagos en línea, registro seguro, criptográfica, gestión de permisiones, etc.) Una organización puede afirmar que una aplicación es segura, pero esta afirmación sólo es válida para esta organización particular en sus contextos específicos regulativos, tecnológicos y de negocio. Si, por ejemplo, la infraestructura tecnológica particular cambia, o la aplicación se utiliza para el mismo propósito en otro país, esos nuevos contextos podrían tener un impacto en los requisitos de seguridad y en el Nivel Meta de Confianza. Los Controles actuales de Seguridad de Aplicación podrían dejar de tratar adecuadamente los nuevos requisitos de seguridad y la aplicación podría ya no ser segura Inversión adecuada para la seguridad de la aplicación Los costos de la aplicación de los Controles de Seguridad de Aplicación y de las mediciones de auditoría deberían ser proporcionales al Nivel Meta de Confianza (ver ) requerido por el propietario de aplicación o por la dirección. Estos costos se pueden considerar como una inversión porque reducen los costos, las responsabilidades del propietario de la aplicación y las consecuencias legales de las brechas de seguridad La seguridad de aplicación se debería demostrar El proceso de auditoría de aplicación en ISO/IEC (ver 8.5) hace uso de la evidencia verificable proporcionada por los Controles de Seguridad de Aplicación (ver ). Una aplicación no se puede declarar segura a menos que el auditor esté de acuerdo en que la evidencia que soporta, generada por las mediciones correspondientes de verificación de los Controles aplicables de Seguridad de Aplicación, demuestre que ha alcanzada el Nivel Meta de Confianza de la dirección. 0.5 Relación con otras Normas Internacionales Generalidades La Figura 1 muestra las relaciones entre ISO/IEC y otras Normas Internacionales. xii

14 Figura 1 Relación con otras Normas Internacionales ISO/IEC 27001, Sistemas de gestión de seguridad de información Requisitos ISO/IEC ayuda a implementar, con un campo de aplicación limitado en la seguridad de aplicación, las recomendaciones de ISO/IEC En particular, los siguientes enfoques se utilizan: a) un enfoque sistemático para la gestión de seguridad; b) un enfoque de proceso Planificar, Hacer, Verificar, Actuar; y c) la implementación de seguridad de información basada en la gestión de riesgo ISO/IEC 27002, Código de prácticas para la gestión de seguridad de información ISO/IEC proporciona las prácticas que una organización puede implementar como los Controles de Seguridad de Aplicación como está propuesto por ISO/IEC De máximo interés son los controles de los siguientes capítulos en ISO/IEC 27002:2005: a) capítulo 10: Gestión de Comunicaciones y Operaciones; b) capítulo 11: Control de Acceso; y la más importante c) capítulo 12: Adquisición, Desarrollo y Mantenimiento de Sistemas de Información ISO/IEC 27005, Gestión de riesgo de seguridad de información ISO/IEC ayuda a implementar, con un campo de aplicación limitado a la seguridad de aplicación, el proceso de gestión de riesgo de ISO/IEC Ver el Anexo C (informativo) para una discusión más detallada ISO/IEC 21827, Ingeniería de Seguridad de Sistemas Modelo de Madurez de Capacidad, SSE-CMM, (Systems Security Engineering Capability Maturity Model ) ISO/IEC proporciona las prácticas de base de ingeniería de seguridad que una organización puede implementar como los Controles de Seguridad de Aplicación como está propuesto en ISO/IEC Además, los procesos de ISO/IEC ayudan a alcanzar varias de las capacidades que definen los niveles de capacidad en ISO/IEC ISO/IEC , Criterios de evaluación para la seguridad de TI Parte 3: Componentes de garantía de seguridad xiii

15 ISO/IEC proporciona los requisitos y los elementos de acción que una organización puede implementar como Controles de Seguridad de Aplicación de acuerdo con los que ha sido propuesto por la ISO/IEC ISO/IEC TR , Un marco de referencia para el aseguramiento de seguridad de TI Parte 1: Descripción y marco de referencia e ISO/IEC TR , Un marco de referencia para el aseguramiento de seguridad de TI Parte 3: Análisis de los métodos de aseguramiento ISO/IEC ayuda a hacer cumplir y refleja los principios del aseguramiento de seguridad de ISO/IEC TR y contribuye a los casos de aseguramiento de ISO/IEC TR ISO/IEC , Ingeniería de sistemas y software Aseguramiento de sistemas y software Parte 2: Caso de aseguramiento El uso de los procesos y de los Controles de Seguridad de Aplicación de ISO/IEC en los proyectos de aplicación proporciona directamente casos de aseguramiento acerca de la seguridad de la aplicación. En particular, a) las afirmaciones y sus justificaciones son proporcionadas por el proceso de análisis de riesgo de seguridad de aplicación, b) la evidencia se proporciona por las mediciones incorporadas de verificación de los Controles de Seguridad de Aplicación, y c) el cumplimiento a ISO/IEC se puede utilizar como argumento en muchos de los casos mencionados de aseguramiento. Ver también ISO/IEC 15288, Ingeniería de sistemas y software Procesos de ciclo de vida de sistema, e ISO/IEC 12207, Ingeniería de sistemas y software Proceso de ciclo de vida de software ISO/IEC proporciona los procesos adicionales para la organización, así como los Controles de Seguridad de Aplicación que una organización puede insertar como actividades adicionales en sus procesos existentes de ciclo de vida de ingeniería de sistemas y software como está dispuesto en ISO/IEC e ISO/IEC ISO/IEC TR (en desarrollo), Principios y técnicas de ingeniería de sistemas seguros ISO/IEC TR proporciona directrices para la ingeniería de sistemas seguros de sistemas o productos de TIC que una organización puede implementar como los Controles de Seguridad de Aplicación como está dispuesto en ISO/IEC xiv

16 Tecnologías de la Información Técnicas de Seguridad Seguridad de Aplicación Parte 1: Descripción y conceptos 1. Objeto y campo de aplicación ISO/IEC proporciona directrices para ayudar a las organizaciones a integrar la seguridad en los procesos utilizados para gestionar sus aplicaciones. Esta parte de ISO/IEC presenta una descripción de la seguridad de la aplicación. Introduce las definiciones, los conceptos, principios y procesos involucrados en la seguridad de la aplicación. ISO/IEC es aplicable a las aplicaciones desarrolladas internamente, a las aplicaciones adquiridas de terceras partes, y cuando el desarrollo o la operación de la aplicación se subcontrata. 2. Referencias normativas Los siguientes documentos, en todo o en partes, están referenciados de forma normativa en este documento y son indispensables para su aplicación. Para las referencias con fecha, se aplica solamente la edición citada. Para las referencias sin fecha se aplica la última edición del documento referenciado (incluyendo cualquier enmienda). ISO/IEC 27000:2009, Tecnología de información Técnicas de seguridad Sistemas de gestión de seguridad de información Descripción y vocabulario ISO/IEC 27001:2005, Tecnología de información Técnicas de seguridad Sistemas de gestión de seguridad de información Requisitos ISO/IEC 27002:2005, Tecnología de información Técnicas de seguridad Código de prácticas para la gestión de seguridad de información ISO/IEC 27005:2011, Tecnología de información Técnicas de seguridad Gestión de riesgo de seguridad de información 3. Términos y definiciones Para el propósito de este documento, se aplica los términos y definiciones dados en ISO/IEC 27000, ISO/IEC 27001, ISO/IEC 27002, ISO/IEC y los siguientes. 3.1 actor la persona o el proceso que realiza una actividad durante un ciclo de vida de una aplicación o inicia una interacción con cualquier proceso proporcionado o afectado por una aplicación 3.2 Nivel Real de Confianza el resultado de un proceso de auditoría que proporciona la evidencia de soporte, la cual muestra que todos los Controles de Seguridad de Aplicación requeridos por el Nivel Meta de Confianza de la aplicación, fueron implementados y verificados correctamente, y que produjeron los resultados esperados. 3.3 aplicación ISO/IEC 2011 Todos los derechos reservados INEN xxx 1 de 71

17 INFORMACIÓN COMPLEMENTARIA Documento: NTE INEN-ISO/IEC TÍTULO: TECNOLOGÍAS DE LA INFORMACIÓN TÉCNICAS DE SEGURIDAD SEGURIDAD DE APLICACIÓN PARTE 1: DESCRIPCIÓN Y CONCEPTOS (ISO/IEC :2011/Cor 1:2014, IDT) Código: ICS ORIGINAL: Fecha de iniciación del estudio: REVISIÓN: La Subsecretaría de la Calidad del Ministerio de Industrias y Productividad aprobó este proyecto de norma Oficialización con el Carácter de Obligatorio por Resolución No. publicado en el Registro Oficial No. Fecha de iniciación del estudio: Fechas de consulta pública: Subcomité Técnico de: Fecha de iniciación: Integrantes del Subcomité: NOMBRES: Ing. Ing. Ing. Ing. Ing. Fecha de aprobación: INSTITUCIÓN REPRESENTADA: Dirección Ejecutiva Dirección de Metrología Dirección de Normalización Dirección de Reglamentación Dirección de Certificación y Validación Otros trámites: La Subsecretaría de la Calidad del Ministerio de Industrias y Productividad aprobó este proyecto de norma Oficializada como: Por Resolución No. Registro Oficial No.

18 Instituto Ecuatoriano de Normalización, INEN - Baquerizo Moreno E8-29 y Av. 6 de Diciembre Casilla Telfs: (593 2) al Fax: (593 2) Dirección General: direccion@normalizacion.gob.ec Área Técnica de Normalización: normalizacion@normalizacion.gob.ec Área Técnica de Certificación: certificacion@normalizacion.gob.ec Área Técnica de Verificación: verificacion@normalizacion.gob.ec Área Técnica de Servicios Tecnológicos: inenlaboratorios@normalizacion.gob.ec Regional Guayas: inenguayas@normalizacion.gob.ec Regional Azuay: inencuenca@normalizacion.gob.ec Regional Chimborazo: inenriobamba@normalizacion.gob.ec URL: