Quito Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC 27034-1 Primera edición TECNOLOGÍAS DE LA INFORMACIÓN TÉCNICAS DE SEGURIDAD SEGURIDAD DE APLICACIÓN PARTE 1: DESCRIPCIÓN Y CONCEPTOS (ISO/IEC 27034-1:2011/Cor 1:2014, IDT) Information technology Security techniques Application security Part 1: Overview and concepts (ISO/IEC 27034-1:2011) Correspondencia: Esta norma nacional es una traducción idéntica de la Norma Internacional ISO/IEC 27034-2011/Cor 1:2014 DESCRIPTORES: Tecnología, información, técnicas, seguridad, aplicación, descripción, conceptos ICS:35.040 71 Páginas
Prólogo nacional Esta Norma Técnica Ecuatoriana NTE INEN-ISO/IEC 27034-1:2014, es una traducción idéntica de la Norma Internacional ISO/IEC 27034-1:2011 Information technology Security techniques Application security Part 1: Overview and concepts, la traducción ha sido desarrollada por Ministerio de Telecomunicaciones y de la Sociedad de la Información MINTEL. El comité responsable de esta Norma Técnica Ecuatoriana y de su adopción es el Comité Técnico de Normalización del INEN. Para el propósito de este documento se han hecho los siguientes cambios editoriales: a) Las palabras esta Norma Internacional han sido reemplazadas por esta norma nacional. Para el propósito de esta Norma Técnica Ecuatoriana se indica que para el documento normativo internacional de referencia, que se menciona en Internacional ISO/IEC 27034-1, existen los siguientes documentos normativos nacionales correspondientes. Documento Normativo Internacional ISO/IEC 27000:2009, Information technology Security techniques Information security management systems Overview and vocabulary ISO/IEC 27001:2005, Information technology Security techniques Information security management systems Requirements ISO/IEC 27002:2005, Information technology Security techniques Code of practice for information security management ISO/IEC 27005:2008, Information technology Security techniques Information security risk management Documento Normativo Nacional No existe documento nacional correspondiente. NTE INEN-ISO/IEC 27001:2011, Tecnología de la información. Técnicas de seguridad Sistema de gestión de la seguridad de la información. Requisitos. NTE INEN-ISO/IEC 27002:2009, Tecnología de la información Técnicas de la seguridad Código de práctica para la gestión de la seguridad de la información. NTE INEN-ISO/IEC 27005, Tecnología de información Técnicas de seguridad Gestión de riesgos de seguridad de información i
Índice Prólogo nacional...i Prólogo... vi Introducción... vii 0.1 General... vii 0.2 Propósito... vii 0.3 Audiencias Meta... viii 0.3.1 General... viii 0.3.2 Dirección... ix 0.3.3 Equipos de aprovisionamiento y de operación... ix 0.3.4 Adquirentes...x 0.3.5 Abastecedores... xi 0.3.6 Auditores... xi 0.3.7 Usuarios... xi 0.4 Principios... xi 0.4.1 La seguridad es un requisito... xi 0.4.2 La seguridad de aplicación depende del contexto... xii 0.4.3 Inversión adecuada para la seguridad de la aplicación... xii 0.4.4 La seguridad de aplicación se debería demostrar... xii 0.5 Relación con otras Normas Internacionales... xii 0.5.1 General... xii 0.5.2 Norma ISO/IEC 27001, Sistemas de gestión de seguridad de información Requisitos... xiii 0.5.3 Norma ISO/IEC 27002, Código de prácticas para la gestión de seguridad de información. xiii 0.5.4 Norma ISO/IEC 27005, Gestión de riesgo de seguridad de información... xiii 0.5.5 Norma ISO/IEC 21827, Ingeniería de Seguridad de Sistemas Modelo de Madurez de Capacidad, SSE-CMM, (Systems Security Engineering Capability Maturity Model )... xiii 0.5.6 Norma ISO/IEC 15408-3, Criterios de evaluación para la seguridad de TI Parte 3: Componentes de garantía de seguridad... xiii 0.5.7 Norma ISO/IEC TR 15443-1, Un marco para el aseguramiento de seguridad de TI Parte 1: Descripción y marco, y ISO/IEC TR 15443-3, Un marco para el aseguramiento de seguridad de TI Parte 3: Análisis de los métodos de aseguramiento... xiv 0.5.8 Norma ISO/IEC 15026-2, Ingeniería de sistemas y software Aseguramiento de sistemas y software Parte 2: Caso de aseguramiento... xiv 0.5.9 Norma ISO/IEC 15288, Ingeniería de sistemas y software Procesos de ciclo de vida de sistema, y Norma ISO/IEC 12207, Ingeniería de sistemas y software Proceso de ciclo de vida de software... xiv 0.5.10 Norma ISO/IEC TR 29193 (en desarrollo), Principios y técnicas de ingeniería de sistemas seguros... xiv 1 Objeto y Campo de Aplicación... 1 2 Referencias normativas... 1 3 Términos y definiciones... 1 4 Términos abreviados... 4 5 Estructura de ISO/IEC 27034... Error! Marcador no definido. 6 Introducción a la seguridad de aplicación... 6 6.1 General... 6 6.2 Seguridad de aplicación versus seguridad de software... 6 6.3 Campo de aplicación de seguridad de aplicación... 6 6.3.1 General... 6 6.3.2 Contexto de negocio... 7 6.3.3 Contexto regulador... 7 6.3.4 Procesos de ciclo de vida de aplicación... 7 6.3.5 Procesos involucrados con la aplicación... 7 6.3.6 Contexto tecnológico... 7 6.3.7 Especificaciones de aplicación... 8 6.3.8 Datos de aplicación... 8 6.3.9 Datos de la organización y del usuario... 8 6.3.10 Roles y permisos... 8 6.4 Requisitos de seguridad de aplicación... 8 6.4.1 Fuentes de requisitos de seguridad de aplicación... 8 ii
6.4.2 Ingeniería de requisitos de seguridad de aplicación... 9 6.4.3 SGSI... 9 6.5 Riesgo... 9 6.5.1 Riesgo de seguridad de aplicación... 9 6.5.2 Vulnerabilidades de aplicación... 10 6.5.3 Amenazas a las aplicaciones... 10 6.5.4 Impacto en las aplicaciones... 10 6.5.5 Gestión de riesgo... 10 6.6 Costos de seguridad... 10 6.7 Ambiente meta... 11 6.8 Controles y sus objetivos... 11 7 Los procesos completos de ISO/IEC 27034... 11 7.1 Componentes, procesos y marcos de trabajo... 11 7.2 Proceso de Gestión MNO... 12 7.3 Proceso de Gestión de Seguridad de Aplicación... 12 7.3.1 General... 12 7.3.2 Especificación de los requisitos y del ambiente de la aplicación... 13 7.3.3 Evaluación de los riesgos de seguridad de aplicación... 13 7.3.4 Creación y mantenimiento del Marco Normativo de la Aplicación... 13 7.3.5 Provisión y operación de la aplicación... 14 7.3.6 Auditar la seguridad de la aplicación... 14 8 Conceptos... 14 8.1 Marco Normativo de la Organización... 14 8.1.1 General... 14 8.1.2 Componentes... 15 8.1.3 Procesos relacionados con el Marco Normativo de la Organización... 29 8.2 Evaluación de riesgo de seguridad de aplicación... 31 8.2.1 Evaluación del riesgo versus gestión del riesgo... 31 8.2.2 Análisis de riesgo de aplicación... 31 8.2.3 Evaluación de Riesgo... 32 8.2.4 Nivel Meta de Confianza de la aplicación... 32 8.2.5 Aceptación del propietario de aplicación... 33 8.3 Marco Normativo de Aplicación... 33 8.3.1 General... 33 8.3.2 Componentes... 34 8.3.3 Procesos relacionados con la seguridad de la aplicación... 35 8.3.4 Ciclo de vida de la aplicación... 35 8.3.5 Procesos... 35 8.4 Aprovisionamiento y funcionamiento de la aplicación... 36 8.4.1 General... 36 8.4.2 Impacto de ISO/IEC 27034 en un proyecto de aplicación... 36 8.4.3 Componentes... 37 8.4.4 Procesos... 37 8.5 Auditoría de Seguridad de Aplicación... 39 8.5.1 General... 39 8.5.2 Componentes... 40 ANEXO A (INFORMATIVA) MAPEO DE UN PROCESO EXISTENTE DE DESARROLLO PARA EL CASO DE ESTUDIO ISO/IEC 27034... 41 A.1 General... 41 A.2 Sobre el Ciclo de Vida de Desarrollo de Seguridad... 41 A.3 CVDS asignado al Marco Normativo de la Organización... 42 A.4 Contexto de Negocio... 42 A.5 Contexto Regulador... 43 A.6 Repositorio de Especificaciones de Aplicación... 44 A.7 Contexto Tecnológico... 44 A.8 Roles, Responsabilidades y Calificaciones... 44 A.9 Biblioteca de CSA de la Organización... 46 A.9.1 Formación... 47 A.9.2 Requisitos... 47 iii
A.9.3 Diseño... 48 A.9.4 Implementación... 49 A.9.5 Verificación... 50 A.9.6 Lanzamiento... 50 A.10 Auditoría de Seguridad de Aplicación... 51 A.11 Modelo de Ciclo de Vida de Aplicación... 53 A.12 El CVDS asignado al Modelo de Referencia de Ciclo de Vida de Seguridad de Aplicación... 56 ANEXO B (INFORMATIVA) MAPEAR EL CSA CON UNA NORMA EXISTENTE... 65 B.1 Categorías de candidato de CSA... 58 B.1.1 Consideraciones relacionadas con el control común de seguridad... 58 B.1.2 Consideraciones relacionadas aspectos ambientales/operacionales... 58 B.1.3 Consideraciones relacionadas con la infraestructura física... 58 B.1.4 Consideraciones relacionadas con el acceso público... 58 B.1.5 Consideraciones relacionadas con la tecnología... 59 B.1.6 Consideraciones relacionadas con la política/regulaciones... 59 B.1.7 Consideraciones relacionadas con la Escalabilidad... 59 B.1.8 Consideraciones relacionadas con el objetivo de seguridad... 59 B.2 Clases de controles de seguridad... 60 B.3 Sub-clases en la clase de Control de Acceso (AC)... 60 B.4 Clases detalladas de control de acceso... 61 B.4.1 Política y procedimientos de control de acceso AC-1... 61 B.4.2 Gestión de Cuentas de AC-2... 62 B.4.3 Acceso Remoto de AC-17... 63 B.5 Definición de un CSA construido de un control de muestra SP 800-53... 64 B.5.1 Control de AU-14 como está descrito en SP 800-53 Rev.3... 64 B.5.2 Control de AU-14 como está descrito utilizando el formato de CSA de ISO/IEC 27034... 64 ANEXO C (INFORMATIVO) PROCESO DE GESTIÓN DE RIESGO DE LA NORMA ISO/IEC 27005 MAPEADO CON EL PGSA... 72 BIBLIOGRAFIA...78 iv
Figuras Figura 1 Relación con otras Normas Internacionales... xiii Figura 2 Campo de aplicación de Seguridad de Aplicación... 6 Figura 3 Procesos de Gestión de la Organización... 12 Figura 4 Marco Normativo de la Organización (simplificado)... 15 Figura 5 Representación gráfica de un ejemplo de una Biblioteca de CSA de la Organización... 18 Figura 6 Componentes de un CSA... 23 Figura 7 Gráfico de los CSAs... 24 Figura 8 Vista del nivel superior del Modelo de Referencia de Ciclo de Vida de Seguridad de. Aplicación... 28 Figura 9 Proceso de Gestión de MNO... 29 Figura 10 Marco Normativo de Aplicación... 34 Figura 11 Impacto de la norma ISO/IEC 27034 en los papeles y responsabilidades en un proyecto típico de aplicación... 37 Figura 12 CSA utilizado como una actividad de seguridad... 38 Figura 13 CSA utilizado como una medición... 38 Figura 14 Vista general del proceso de verificación de seguridad de la aplicación... 40 Figura A.1 Ciclo de Vida de Desarrollo de Seguridad... 42 Figura A.2 CVDS asignado al Marco Normativo de la Organización... 42 Figura A.3 Ejemplo de un árbol de CSA... 47 Figura A.4 Ejemplo de una Linea de Aplicación de Negocio para la Auditoria de Seguridad de Aplicación... 53 Figura A.5 Ilustración del Proceso de CVDS... 532 Figura A.6 El CVDS mapeado al Modelo de Referencia de Ciclo de Vida de Seguridad de la Aplicación... 56 Figura A.7 Un mapeo detallado de las fases de CVDS con las etapas en el Modelo de Referencia de Ciclo de Vida de Seguridad de la Aplicación... 56 Figura C.1 El proceso de gestión de riesgo de la norma ISO/IEC 27005 mapeado con el PGSA.... 69 Tablas Tabla 1 Campo de aplicación de Aplicación versus Campo de aplicación de Seguridad de Aplicación... 7 Tabla 2 Mapeo de los sub-procesos de SGSI y de gestión de MNO relacionados con la seguridad de aplicación... 30 Tabla B.1 Clases, familias e identificadores de control de seguridad... 60 Tabla B.2 Clases de control de seguridad y líneas de base de control de seguridad para los sistemas de información de bajo impacto, medio impacto y alto impacto... 60 Tabla B.3 SP800-53 control de AU-14 descrito utilizando el formato de CSA de ISO/IEC 27034... 64 v
Prólogo ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional) forman el sistema especializado de normalización mundial. Los organismos nacionales que son miembros de la ISO o IEC participan en el desarrollo de las Normas Internacionales a través de los comités técnicos establecidos por la organización respectiva para hacer frente a los campos particulares de actividad técnica. Los comités técnicos de ISO e IEC colaboran en los campos de interés mutuo. Otras organizaciones internacionales, gubernamentales y no gubernamentales, en colaboración con la ISO e IEC, también participan en el trabajo. En el campo de la tecnología de información, la ISO e IEC han establecido un comité técnico conjunto, ISO/IEC JTC 1. Las Normas Internacionales se redactan de acuerdo con las reglas dadas en las Directivas de ISO/IEC, Parte 2. La tarea principal del comité técnico conjunto es de preparar las Normas Internacionales. Los proyectos de Normas Internacionales, adoptados por el comité técnico conjunto, se distribuyen a los miembros nacionales para votación. La publicación como una Norma Internacional requiere la aprobación por al menos 75% de los miembros nacionales con derecho a voto. Se advierte sobre la posibilidad de que algunos de los elementos de este documento pueden estar sujetos a derechos de patente. La ISO e IEC no se deben considerar responsables por la identificación de cualquiera o todos aquellos derechos de patente. ISO/IEC 27034-1 fue preparada por el Comité Técnico Conjunto ISO/IEC JTC-1, Tecnología de información, Sub-comité SC 27, Técnicas de seguridad de TI. ISO/IEC 27034 consiste de las siguientes partes, bajo el título general de Tecnología de Información - Técnicas de Seguridad Seguridad de aplicación: Parte 1: Descripción y conceptos Las siguientes partes están en preparación: Parte 2: Marco normativo de la organización Parte 3: Procesos de gestión de seguridad de aplicación Parte 4: Validación de seguridad de aplicación Parte 5: Protocolos y estructura de la información del control de seguridad de aplicación vi
0. Introducción 0.1 General Las organizaciones deberían proteger su información y sus infraestructuras tecnológicas con el fin de permanecer en el negocio. Tradicionalmente esto ha sido abordado al nivel de TI mediante la protección del perímetro y aquellos componentes de infraestructura tecnológica como computadoras y redes, lo cual generalmente no es suficiente. Además, las organizaciones se protegen cada vez más a nivel de gobierno operando sistemas formalizados, probados y verificados de gestión de seguridad de información, SGSI. Un enfoque sistemático contribuye a un sistema de gestión de seguridad de información eficaz descrito en ISO/IEC 27001. Sin embargo, las organizaciones se enfrentan a una necesidad creciente de proteger su información a nivel de aplicación. Las aplicaciones deberían ser protegidas contra las vulnerabilidades que podrían ser inherentes a la propia aplicación (por ejemplo, defectos del programa), las que aparecen en el curso del ciclo de vida de la aplicación (por ejemplo, a través de cambios en la aplicación), o las que surgen debido al uso de la aplicación en un contexto para el cual no estaba prevista. Un enfoque sistemático relacionado con una mayor seguridad de aplicación proporciona evidencias de que la información que se utiliza o almacena por las aplicaciones de una organización está siendo protegida adecuadamente. Las aplicaciones se pueden adquirir a través de un desarrollo interno, la contratación a terceros o la compra de un producto comercial. También las aplicaciones se pueden adquirir a través de una combinación de estos enfoques lo cual podría introducir nuevas implicaciones de seguridad, lo cual se debería considerar y gestionar. Ejemplos de las aplicaciones son los sistemas de recursos humanos, sistemas contables, sistemas de procesamiento de textos, sistemas de gestión de clientes, firewalls, sistemas anti-virus y sistemas de detección de intrusión. A través de su ciclo de vida, una aplicación segura exhibe características que son prerrequisitos de la calidad del software, como una ejecución y conformidad predecible, al igual que el cumplimiento de los requisitos desde un punto de vista de desarrollo, gestión, infraestructura tecnológica, y auditoria. Los procesos y prácticas cuya seguridad se ha mejorado y las personas capacitadas que los ejecutan requieren construir aplicaciones de confianza que no incrementen la exposición de riesgo residual más allá de un nivel aceptable o tolerable y que soporten un SGSI efectivo. Además, una aplicación segura toma en cuenta los requisitos de seguridad derivados del tipo de información que el ambiente específico (contextos de negocio, regulativos y tecnológicos), los actores y las especificaciones de aplicación. Debería ser posible obtener la evidencia que se presenta para demostrar que un nivel aceptable (o tolerable) del riesgo residual ha sido alcanzado y está siendo mantenido. 0.2 Propósito El propósito de ISO/IEC 27034 es el de ayudar a las organizaciones a integrar la seguridad de forma clara y transparente durante el ciclo de vida de sus aplicaciones: a) proporcionando los conceptos, principios, marcos, componentes y procesos; b) proporcionando mecanismos orientados a procesos para establecer requisitos de seguridad, evaluando los riesgos de seguridad, asignando un Nivel Meta de Confianza y seleccionando los controles de seguridad y las medidas de verificación correspondientes; vii
c) proporcionando directrices para establecer los criterios de aceptación a las organizaciones que subcontratan el desarrollo o la operación de las aplicaciones y para las organizaciones que compran aplicaciones de terceras personas; d) proporcionando mecanismos orientados a procesos para determinar, generar y coleccionar la evidencia necesaria para demostrar que sus aplicaciones se pueden utilizar de forma segura bajo un ambiente definido; e) apoyando a los conceptos generales especificados en ISO/IEC 27001 y ayudando con la implementación satisfactoria de la seguridad de información basada en un enfoque de gestión de riesgo; y f) proporcionando un marco de referencia que ayude a implementar los controles de seguridad especificados en ISO/IEC 27002 y en otras normas. ISO/IEC 27034: a) se aplica al software que es parte de una aplicación y a los factores contribuyentes que tienen un impacto en su seguridad, tal como la información, la tecnología, los procesos de ciclo de vida de desarrollo de la aplicación, los procesos de soporte y actores; y b) se aplica a todos los tamaños y a todo tipo de organizaciones (por ejemplo, empresas comerciales, agencias del gobierno, u organizaciones sin fines de lucro) expuestas a los riesgos asociados con las aplicaciones. ISO/IEC 27034 no: a) proporciona las directrices para la seguridad física y de la red; b) proporciona los controles o las mediciones; o c) proporciona las especificaciones de código seguro para ningún lenguaje de programación. ISO/IEC 27034 no es: a) una norma de desarrollo de aplicaciones de software; b) una norma de gestión de proyectos de aplicación; o c) una norma de ciclo de vida de desarrollo de software. Los requisitos y procesos especificados en ISO/IEC 27034 no están destinados a ser implementados aisladamente, sino integrados en el proceso existente de una organización. Para lograr esto, las organizaciones deberían mapear sus procesos y marcos de referencia existentes según lo propuesto por ISO/IEC 27034, así reduciendo el impacto de la implementación de ISO/IEC 27034. El Anexo A (informativo) proporciona un ejemplo que ilustra cómo un proceso existente de desarrollo de software se puede mapear según algunos de los componentes y procesos de ISO/IEC 27034. En general, una organización que utiliza cualquier ciclo de vida de desarrollo debería realizar un mapeo tal como el mapeo descrito en el Anexo A, y agregar cualquiera de los componentes o procesos que falten y que sean necesarios para el cumplimiento con ISO/IEC 27034. 0.3 Público Meta 0.3.1 Generalidades Las siguientes audiencias se beneficiarán de ISO/IEC 27034 mientras estas lleven a cabo sus papeles organizacionales designados: a) dirección; viii
b) equipos de aprovisionamiento y de operación; c) personal de adquisición; d) proveedores; y e) auditores. 0.3.2 Dirección La dirección se conforma de personas involucradas en la gestión de la aplicación durante su ciclo de vida completo. Las etapas aplicables del ciclo de vida de aplicación incluyen las etapas de aprovisionamiento y las etapas de producción. Ejemplos de la dirección son: a) gerentes de seguridad de información; b) gerentes de proyectos; c) administradores; d) compradores de software; e) gerentes de desarrollo de software; f) propietarios de aplicación; g) gerentes de línea, que supervisan a los empleados. La dirección típicamente necesita: a) equilibrar el coste de la implementación y del mantenimiento de la seguridad de aplicación con los riesgos y el valor que representa para la organización; b) revisar los informes del auditor recomendando la aceptación o el rechazo basado en si una aplicación ha alcanzado y mantenido su Nivel Meta de Confianza; c) asegurar el cumplimiento de las Normas, las reglas y los reglamentos según el contexto regulativo de una organización (ver 8.1.2.2); d) supervisar la implementación de una aplicación segura; e) autorizar el Nivel Meta de Confianza según el contexto específico de la organización; f) determinar qué controles de seguridad y qué mediciones correspondientes de verificación se deberían implementar y probar; g) minimizar los costos de verificación de seguridad de aplicación; h) documentar las políticas y procedimientos de seguridad para una aplicación; i) proporcionar formación, socialización y supervisión para todos los actores; j) poner en marcha las autorizaciones correctas de seguridad de información requeridas por las políticas y procedimientos de seguridad de información aplicables; y k) estar al corriente de todos los planes de seguridad relacionados con el sistema a lo largo de la red de la organización. 0.3.3 Equipos de aprovisionamiento y de operación ix
Los miembros de los equipos de aprovisionamiento y de operación (conocidos de forma colectiva como el equipo de proyecto) son personas involucradas en el diseño, desarrollo y mantenimiento de una aplicación, a lo largo de su ciclo de vida completo. Los miembros incluyen: a) arquitectos; b) analistas; c) programadores; d) probadores; e) administradores de sistema; f) administradores de base de datos; g) administradores de red, y h) personal técnico. Típicamente los miembros necesitan: a) entender qué controles se deberían aplicar a cada etapa de un ciclo de vida de una aplicación y porqué; b) entender qué controles se deberían implementar en la propia aplicación; c) minimizar el impacto de la introducción de los controles en el desarrollo, en las actividades de prueba y de documentación dentro del ciclo de vida de aplicación d) asegurar que los controles introducidos cumplan los requisitos de las mediciones asociadas; e) obtener acceso a las herramientas y a las mejores prácticas con el fin de agilizar el desarrollo, las pruebas y la documentación; f) facilitar la revisión por similares; g) participar en la planificación y en las estrategias de adquisición; h) establecer las relaciones de negocio para obtener los bienes y servicios necesarios (por ejemplo, para la solicitud, evaluación y la adjudicación de los contratos); y i) organizar la disposición de los elementos residuales después de que se complete el trabajo, (por ejemplo, la gestión/disposición de propiedad). 0.3.4 Adquirentes Esto incluye todas las personas involucradas en la adquisición de un producto o servicio. Típicamente los adquirientes necesitan: a) preparar las solicitudes para las propuestas que incluyen los requisitos para los controles de seguridad; b) seleccionar a los proveedores que cumplen con tales requisitos; c) verificar la evidencia de los controles de seguridad aplicados por los servicios de subcontratados; y x
d) evaluar los productos mediante la verificación de la evidencia de los controles de seguridad de aplicación implementados correctamente. 0.3.5 Proveedores Eso incluye a todas las personas involucradas en el abastecimiento de un producto o servicio. Típicamente los proveedores necesitan: a) cumplir con los requisitos de seguridad de aplicación de las solicitudes de propuestas; b) seleccionar adecuados controles de seguridad de aplicación de las propuestas, con respecto a su impacto en el costo; y c) proporcionar evidencia que los controles de seguridad requeridos están implementados correctamente en los productos y servicios propuestos. 0.3.6 Auditores Los auditores son personas que necesitan: a) entender el campo de aplicación y los procedimientos involucrados en las mediciones de verificación para los controles correspondientes; b) asegurar que los resultados de la auditoria sean repetibles; c) establecer una lista de mediciones de verificación que generen la evidencia que una aplicación ha alcanzado el Nivel Meta de Confianza requerido por la dirección; y d) aplicar los procesos normalizados de auditoría basados en el uso de la evidencia verificable. 0.3.7 Usuarios Los usuarios son personas que precisan: a) confiar en que se considera seguro utilizar o correr una aplicación; b) confiar en que una aplicación produce resultados seguros de manera consistente y oportuna; y c) confiar en que los controles y sus mediciones correspondientes de verificación se posicionan y que funcionan correctamente como se espera. 0.4 Principios 0.4.1 La seguridad es un requisito Los requisitos de seguridad se deberían definir y analizar para cada una de las etapas de un ciclo de vida de una aplicación, abordados y manejados adecuadamente de forma continua. Los requisitos de seguridad de aplicación (ver 6.4) se deberían tratar de la misma manera que los requisitos de funcionalidad, calidad y usabilidad (ver ISO/IEC 9126 para un ejemplo de un modelo de calidad). Además, se deberían instituir los requisitos relacionados con la seguridad para ajustarse a las limitaciones establecidas acerca del riesgo residual. Según ISO/IEC/IEEE 29148 (en desarrollo), los requisitos deberían ser necesarios, abstractos, no ambiguos, consistentes, completos, concisos, factibles, rastreables y verificables. Las mismas características se aplican a los requisitos de seguridad. Los requisitos vagos de seguridad tales como El desarrollador debería descubrir todos los riesgos importantes de seguridad para la aplicación se encuentran con demasiada frecuencia en la documentación de los proyectos de aplicación. xi
0.4.2 La seguridad de aplicación depende del contexto La seguridad de aplicación está influenciada por un ambiente meta definido. El tipo y el campo de aplicación de los requisitos de seguridad de aplicación están determinados por el riesgo al cual la aplicación es sometida, que a su vez dependen de tres contextos: a) contexto de negocio: los riesgos específicos derivados del dominio de negocio de la organización (compañía telefónica, compañía de transporte, gobierno, etc.); b) contexto regulatorio: los riesgos específicos derivados de la ubicación geográfica donde la organización está haciendo negocios (derechos y licencias de propiedad intelectual, restricciones a la protección criptográfica, derechos de autor, leyes y regulaciones, legislación sobre la privacidad, etc.); c) contexto tecnológico: los riesgos específicos de las tecnologías utilizadas por las organizaciones en el curso del negocio [ingeniería reversa, seguridad de herramientas de desarrollo, protección del código de fuente, uso de un código pre-compilado de una tercera parte, pruebas de seguridad, pruebas de penetración, comprobación de los límites, comprobación del código, ambiente de tecnología de información y comunicación, TIC en el cual se ejecuta la aplicación, archivos de configuración y datos no compilados, privilegios de sistemas operativos para la instalación o la operación, mantenimiento, distribución segura, etc.] El contexto tecnológico abarca las especificaciones técnicas de las aplicaciones (funcionalidad de seguridad, componentes seguros, pagos en línea, registro seguro, criptográfica, gestión de permisiones, etc.) Una organización puede afirmar que una aplicación es segura, pero esta afirmación sólo es válida para esta organización particular en sus contextos específicos regulativos, tecnológicos y de negocio. Si, por ejemplo, la infraestructura tecnológica particular cambia, o la aplicación se utiliza para el mismo propósito en otro país, esos nuevos contextos podrían tener un impacto en los requisitos de seguridad y en el Nivel Meta de Confianza. Los Controles actuales de Seguridad de Aplicación podrían dejar de tratar adecuadamente los nuevos requisitos de seguridad y la aplicación podría ya no ser segura. 0.4.3 Inversión adecuada para la seguridad de la aplicación Los costos de la aplicación de los Controles de Seguridad de Aplicación y de las mediciones de auditoría deberían ser proporcionales al Nivel Meta de Confianza (ver 8.1.2.6.4) requerido por el propietario de aplicación o por la dirección. Estos costos se pueden considerar como una inversión porque reducen los costos, las responsabilidades del propietario de la aplicación y las consecuencias legales de las brechas de seguridad. 0.4.4 La seguridad de aplicación se debería demostrar El proceso de auditoría de aplicación en ISO/IEC 27034 (ver 8.5) hace uso de la evidencia verificable proporcionada por los Controles de Seguridad de Aplicación (ver 8.1.2.6.5). Una aplicación no se puede declarar segura a menos que el auditor esté de acuerdo en que la evidencia que soporta, generada por las mediciones correspondientes de verificación de los Controles aplicables de Seguridad de Aplicación, demuestre que ha alcanzada el Nivel Meta de Confianza de la dirección. 0.5 Relación con otras Normas Internacionales 0.5.1 Generalidades La Figura 1 muestra las relaciones entre ISO/IEC 27034 y otras Normas Internacionales. xii
Figura 1 Relación con otras Normas Internacionales 0.5.2 ISO/IEC 27001, Sistemas de gestión de seguridad de información Requisitos ISO/IEC 27034 ayuda a implementar, con un campo de aplicación limitado en la seguridad de aplicación, las recomendaciones de ISO/IEC 27001. En particular, los siguientes enfoques se utilizan: a) un enfoque sistemático para la gestión de seguridad; b) un enfoque de proceso Planificar, Hacer, Verificar, Actuar; y c) la implementación de seguridad de información basada en la gestión de riesgo. 0.5.3 ISO/IEC 27002, Código de prácticas para la gestión de seguridad de información ISO/IEC 27002 proporciona las prácticas que una organización puede implementar como los Controles de Seguridad de Aplicación como está propuesto por ISO/IEC 27034. De máximo interés son los controles de los siguientes capítulos en ISO/IEC 27002:2005: a) capítulo 10: Gestión de Comunicaciones y Operaciones; b) capítulo 11: Control de Acceso; y la más importante c) capítulo 12: Adquisición, Desarrollo y Mantenimiento de Sistemas de Información. 0.5.4 ISO/IEC 27005, Gestión de riesgo de seguridad de información ISO/IEC 27034 ayuda a implementar, con un campo de aplicación limitado a la seguridad de aplicación, el proceso de gestión de riesgo de ISO/IEC 27005. Ver el Anexo C (informativo) para una discusión más detallada. 0.5.5 ISO/IEC 21827, Ingeniería de Seguridad de Sistemas Modelo de Madurez de Capacidad, SSE-CMM, (Systems Security Engineering Capability Maturity Model ) ISO/IEC 21827 proporciona las prácticas de base de ingeniería de seguridad que una organización puede implementar como los Controles de Seguridad de Aplicación como está propuesto en ISO/IEC 27034. Además, los procesos de ISO/IEC 27034 ayudan a alcanzar varias de las capacidades que definen los niveles de capacidad en ISO/IEC 21827. 0.5.6 ISO/IEC 15408-3, Criterios de evaluación para la seguridad de TI Parte 3: Componentes de garantía de seguridad xiii
ISO/IEC 15408-3 proporciona los requisitos y los elementos de acción que una organización puede implementar como Controles de Seguridad de Aplicación de acuerdo con los que ha sido propuesto por la ISO/IEC 27034. 0.5.7 ISO/IEC TR 15443-1, Un marco de referencia para el aseguramiento de seguridad de TI Parte 1: Descripción y marco de referencia e ISO/IEC TR 15443-3, Un marco de referencia para el aseguramiento de seguridad de TI Parte 3: Análisis de los métodos de aseguramiento ISO/IEC 27034 ayuda a hacer cumplir y refleja los principios del aseguramiento de seguridad de ISO/IEC TR 15443-1 y contribuye a los casos de aseguramiento de ISO/IEC TR 15443-3. 0.5.8 ISO/IEC 15026-2, Ingeniería de sistemas y software Aseguramiento de sistemas y software Parte 2: Caso de aseguramiento El uso de los procesos y de los Controles de Seguridad de Aplicación de ISO/IEC 27034 en los proyectos de aplicación proporciona directamente casos de aseguramiento acerca de la seguridad de la aplicación. En particular, a) las afirmaciones y sus justificaciones son proporcionadas por el proceso de análisis de riesgo de seguridad de aplicación, b) la evidencia se proporciona por las mediciones incorporadas de verificación de los Controles de Seguridad de Aplicación, y c) el cumplimiento a ISO/IEC 27034 se puede utilizar como argumento en muchos de los casos mencionados de aseguramiento. Ver también 8.1.2.6.5.1. 0.5.9 ISO/IEC 15288, Ingeniería de sistemas y software Procesos de ciclo de vida de sistema, e ISO/IEC 12207, Ingeniería de sistemas y software Proceso de ciclo de vida de software ISO/IEC 27034 proporciona los procesos adicionales para la organización, así como los Controles de Seguridad de Aplicación que una organización puede insertar como actividades adicionales en sus procesos existentes de ciclo de vida de ingeniería de sistemas y software como está dispuesto en ISO/IEC 15288 e ISO/IEC 12207. 0.5.10 ISO/IEC TR 29193 (en desarrollo), Principios y técnicas de ingeniería de sistemas seguros ISO/IEC TR 29193 proporciona directrices para la ingeniería de sistemas seguros de sistemas o productos de TIC que una organización puede implementar como los Controles de Seguridad de Aplicación como está dispuesto en ISO/IEC 27034. xiv
Tecnologías de la Información Técnicas de Seguridad Seguridad de Aplicación Parte 1: Descripción y conceptos 1. Objeto y campo de aplicación ISO/IEC 27034 proporciona directrices para ayudar a las organizaciones a integrar la seguridad en los procesos utilizados para gestionar sus aplicaciones. Esta parte de ISO/IEC 27034 presenta una descripción de la seguridad de la aplicación. Introduce las definiciones, los conceptos, principios y procesos involucrados en la seguridad de la aplicación. ISO/IEC 27034 es aplicable a las aplicaciones desarrolladas internamente, a las aplicaciones adquiridas de terceras partes, y cuando el desarrollo o la operación de la aplicación se subcontrata. 2. Referencias normativas Los siguientes documentos, en todo o en partes, están referenciados de forma normativa en este documento y son indispensables para su aplicación. Para las referencias con fecha, se aplica solamente la edición citada. Para las referencias sin fecha se aplica la última edición del documento referenciado (incluyendo cualquier enmienda). ISO/IEC 27000:2009, Tecnología de información Técnicas de seguridad Sistemas de gestión de seguridad de información Descripción y vocabulario ISO/IEC 27001:2005, Tecnología de información Técnicas de seguridad Sistemas de gestión de seguridad de información Requisitos ISO/IEC 27002:2005, Tecnología de información Técnicas de seguridad Código de prácticas para la gestión de seguridad de información ISO/IEC 27005:2011, Tecnología de información Técnicas de seguridad Gestión de riesgo de seguridad de información 3. Términos y definiciones Para el propósito de este documento, se aplica los términos y definiciones dados en ISO/IEC 27000, ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27005 y los siguientes. 3.1 actor la persona o el proceso que realiza una actividad durante un ciclo de vida de una aplicación o inicia una interacción con cualquier proceso proporcionado o afectado por una aplicación 3.2 Nivel Real de Confianza el resultado de un proceso de auditoría que proporciona la evidencia de soporte, la cual muestra que todos los Controles de Seguridad de Aplicación requeridos por el Nivel Meta de Confianza de la aplicación, fueron implementados y verificados correctamente, y que produjeron los resultados esperados. 3.3 aplicación ISO/IEC 2011 Todos los derechos reservados INEN 2015. 201-xxx 1 de 71
INFORMACIÓN COMPLEMENTARIA Documento: NTE INEN-ISO/IEC 27034-1 TÍTULO: TECNOLOGÍAS DE LA INFORMACIÓN TÉCNICAS DE SEGURIDAD SEGURIDAD DE APLICACIÓN PARTE 1: DESCRIPCIÓN Y CONCEPTOS (ISO/IEC 27034-1:2011/Cor 1:2014, IDT) Código: 35.040 ICS ORIGINAL: Fecha de iniciación del estudio: 2014-0 REVISIÓN: La Subsecretaría de la Calidad del Ministerio de Industrias y Productividad aprobó este proyecto de norma Oficialización con el Carácter de Obligatorio por Resolución No. publicado en el Registro Oficial No. Fecha de iniciación del estudio: Fechas de consulta pública: Subcomité Técnico de: Fecha de iniciación: Integrantes del Subcomité: NOMBRES: Ing. Ing. Ing. Ing. Ing. Fecha de aprobación: INSTITUCIÓN REPRESENTADA: Dirección Ejecutiva Dirección de Metrología Dirección de Normalización Dirección de Reglamentación Dirección de Certificación y Validación Otros trámites: La Subsecretaría de la Calidad del Ministerio de Industrias y Productividad aprobó este proyecto de norma Oficializada como: Por Resolución No. Registro Oficial No.
Instituto Ecuatoriano de Normalización, INEN - Baquerizo Moreno E8-29 y Av. 6 de Diciembre Casilla 17-01-3999 - Telfs: (593 2)2 501885 al 2 501891 - Fax: (593 2) 2 567815 Dirección General: E-Mail: direccion@normalizacion.gob.ec Área Técnica de Normalización: E-Mail: normalizacion@normalizacion.gob.ec Área Técnica de Certificación: E-Mail: certificacion@normalizacion.gob.ec Área Técnica de Verificación: E-Mail: verificacion@normalizacion.gob.ec Área Técnica de Servicios Tecnológicos: E-Mail: inenlaboratorios@normalizacion.gob.ec Regional Guayas: E-Mail: inenguayas@normalizacion.gob.ec Regional Azuay: E-Mail: inencuenca@normalizacion.gob.ec Regional Chimborazo: E-Mail: inenriobamba@normalizacion.gob.ec URL: www.normalizacion.gob.ec