Grupo de Seguridad de ATI Jornadas de Riesgos, Seguridad y Confianza para el Negocio Electrónico



Documentos relacionados
Eterovic, Jorge Esteban Donadello, Domingo Universidad Nacional de La Matanza, Departamento de Ingeniería e Investigaciones Tecnológicas

Unidad 8. Evaluación y gestión de seguridad S E G U R I D A D D E L A I N F O R M A C I O N

INFORME DE CERTIFICACIÓN

INFORME DE CERTIFICACIÓN

INFORME DE CERTIFICACIÓN

Calidad y testing del software. Aspectos esenciales para la seguridad

Quito Ecuador EXTRACTO

INFORME DE CERTIFICACIÓN

Conocimientos y habilidades específicos del auditor de un SGSI. Luis Miguel Castellanos Maeso Auditoría Informática Módulo AI3.Proceso de Auditoría

Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Informática

Aspectos prácticos de implementación del Esquema Nacional de Seguridad

Proporcionó tales servicios de acuerdo con sus prácticas manifestadas.

Gestión de la configuración en el software (SCM) Ingeniería de software Eduardo Ferreira, Martín Solari

Prof. Juan José Díaz Nerio. Foro de Tecnología : Gestión de la Calidad del Software. Domingo 16 Noviembre 2014

Enginyeria del Software III

Cloud Security Alliance. Recomendaciones de Seguridad para Usuarios

Marco Normativo de IT

Elementos requeridos para crearlos (ejemplo: el compilador)

Bizagi BPM Suite. Guía de Usuario

NTE INEN-ISO/IEC Tercera edición

Orientación Técnica y Metodológicas Compromisos de Gestión

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS

MODELO PARA LA EVALUACION EN SEGURIDAD INFORMÁTICA A PRODUCTOS SOFTWARE, BASADO EN EL ESTÁNDAR ISO/IEC COMMON CRITERIA

Administración de Proyectos de Software - PMI. Tema: Gestión de la Calidad del Proyecto. Autor: Mario Hernández

NIVEL 2. Diseño y Configuración del Directorio Activo

10.1 Seguridad en el ámbito de la Administración electrónica

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

ISO (SAM), por dónde empezamos?

INFORME DE CERTIFICACIÓN

PRUEBAS DE SOFTWARE TECNICAS DE PRUEBA DE SOFTWARE

Modelo de Proceso de Desarrollo de Software

Hotelli Gestión de Reservas Hoteleras Especificación de Requisitos Software

Auditorías de Seguridad: revisión como método de prevención. Vicente Aguilera Díaz Internet Security Auditors, S.L.

RUP: Disciplina de Manejo de Cambios y Configuraciones

INFORME DE CERTIFICACIÓN

Plan de Gestión de Configuración. Universidad Nacional de la Patagonia Austral

Resumen General del Manual de Organización y Funciones

Norma NTC-ISO/IEC Sistema de Gestión de Seguridad de Información

Guía de indicadores de la gestión para la seguridad de la información. Guía Técnica

Administración de Proyectos de Software - PMI. Tema: Cierre de Proyectos. Autor: Mario Hernández

Metodología básica de gestión de proyectos. Octubre de 2003

6.4 ESTRATEGIAS DE PRUEBA

SEMANA 12 SEGURIDAD EN UNA RED

Resumen de los protocolos de seguridad del Registro Telemático

Recursos HELP DESK Biblioteca 2012

INFORME N GTI INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE

Los Sistemas de Gestión de Seguridad de la Información. Un modelo a seguir. T21: Gestión de la Seguridad de las Organizaciones

ISO 9000:2000. Roberto Aprili Justiniano Rodrigo Ramírez Pérez. Roberto Aprili, Rodrigo Ramírez

Protección de Datos y Adecuación al Esquema Nacional. Puntos de encuentro y diferencias entre las normativas

AI 2 ADQUISICIÓN Y MANTENIMIENTO DE SOFTWARE DE APLICACIÓN AFINES OBJETIVOS OBJETIVOS DE CONTROL

CONTRALORIA GENERAL DE LA REPUBLICA UNIDAD DE TECNOLOGIAS DE INFORMACION POLITICAS DE USO DE LA RED INALAMBRICA INSTITUCIONAL

Cit Criterios i comunes para Monitorear y Evolucionar la Seguridad Informática en Colombia

Información de Producto:

Informe de Auditoria Independiente

Entidad Certificadora y Políticas Pertinentes

Desarrollo de Capacidades para la Gestión de TI - Ing. MBA José Szyman

El Proceso Unificado de Desarrollo de Software

ARQUITECTURA TÉCNICA ASIGNATURA: MATERIALES DE CONSTRUCCIÓN II CURSO: APUNTES TEMA 1: CONTROL DE CALIDAD

Anexo III: Inventario de iniciativas horizontales incluidas en el Eje e-gestión.

ITIL V3. Base de Datos de la Configuración C M D B

OBLIGACIONES DE HACER INSTITUCIONES PÚBLICAS (INSTITUCIONES EDUCATIVAS, HOSPITALES Y CENTROS DE SALUD) DECRETO 2044 DE 2013

LEGISLACION Y NORMATIVAS COMO FACTORES DETERMINANTES DE LA CALIDAD DEL SOFTWARE

Introducción a la ISO Sistemas de Gestión de Seguridad de Información. Carlos Ignacio Gamboa Hirales

Cómo hacer coexistir el ENS con otras normas ya

M.T.I. Arturo López Saldiña

Seminario. Las medidas de seguridad y la Protección de los Datos Personales. La implementación de medidas de seguridad en la óptica empresaria:

Resumen de indicadores básicos de COBIT Preparado por: T I AUDISEG S.A.

Tecnologías de componentes y proceso de diseño de aplicaciones basado en componentes

Ingeniería de Software. Pruebas

GERENCIA DE INTEGRACIÓN

HISTORIAL DE CAMBIOS MOTIVO DEL CAMBIO. DESCRIPCION DEL CAMBIO Elaboración del Documento VERSION FECHA N/A

Solución de una Intranet bajo software Open Source para el Gobierno Municipal del Cantón Bolívar [IOS-GMCB] Gobierno Municipal del Cantón Bolívar

Cómo afrontar con éxito la Certif icación ISO 27001:2005. Valencia, octubre Juan Carlos Serrano Antón

3. GESTIÓN DE CONFIGURACIÓN DE SOFTWARE

Nombre del Documento: Manual de Gestión de la Calidad. Referencia a punto de la norma ISO 9001:2000: DIRECCIÓN GENERAL DE EVALUACIÓN

TEMA XIV. Concepto de seguridad

SEGURIDAD DE LA INFORMACIÓN

CMM - Capability Maturity Model. Estructura de CMM... Componentes de CMM. Estructura de CMM

PROCEDIMIENTO PARA AUDITORÍAS INTERNAS PC-TESI-10

AGENDA 1. ANTECEDENTES 2. INTRODUCCIÓN A LOS CONTROLES DE APLICACIÓN 3. OBJETIVOS DE CONTROL DE APLICACIÓN IDENTIFICADOS EN COBIT

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO

Infraestructura Extendida de Seguridad IES

NORMA ISO/IEC 27001:2005

NTE INEN-ISO/IEC Primera edición

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES

Resumen de los cambios de la versión 2.0 a la 3.0 de las PA-DSS (normas de seguridad de datos para las aplicaciones de pago)

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

ISO 9001 Auditing Practices Group Guidance on:

Palabras Clave Amenazas, Vulnerabilidades, Redes Inalámbricas, Seguridad de la Información, Usuarios SoHo, Análisis y Gestión de Riesgos.

ENFOQUE ISO 9000:2000

Estándares de Seguridad

La Intranet Gubernamental como elemento clave de la Interoperabilidad

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001

DESCRIPCIÓN DEL PROGRAMA TÉCNICO EN SEGURIDAD INFORMÁTICA

L 320/8 Diario Oficial de la Unión Europea

norma española UNE-ISO Información y documentación Sistemas de gestión para los documentos Diciembre 2011 TÍTULO CORRESPONDENCIA OBSERVACIONES

MACROPROCESO GESTIÓN TECNOLÓGICA

Anexo I. Politicas Generales de Seguridad del proyecto CAT

Normalización en seguridad de las tecnologías de la información

Transcripción:

Grupo de Seguridad de ATI Jornadas de Riesgos, Seguridad y Confianza para el Negocio Electrónico ISO/IEC 15408 Common Criteria 7 de noviembre del 2000 Roberto Moya ATI-EOI EL ESTADO DEL ARTE ACTUAL SE REFLEJA EN: INFORME COSO COBIT GMITS (ISO/IEC 13335-x), BS 7799 (ISO/IEC DIS 14980) Common Criteria (ISO/IEC 15408-x) Adicionalmente en España ISO/IEC MAGERIT JTC 1/SC 27 NUEVO MODELO NUEVO MODELO: CONSTRUCCIÓN DE Common LA Criteria CONFIANZA ISO/IEC 15408 Roberto Moya; rmoya@dimasoft.es / rmoya@ati.es 1

T O E En el CC se denomina Target Of Evaluation (TOE) a la parte del producto o sistema que es objeto de evaluación Requisitos Funcionales ( functionality requirements ) Definen el comportamiento de seguridad deseado frente a las amenazas que están presentes en el entorno de operación del TOE (CC parte 2) ejemplos: requisitos para la identificación, autenticación, auditabilidad ISO/IEC de la seguridad, JTC 1/SC no 27 rechazo, etc. Information. technology - Security techniques Estos requisitos son detectados por el usuario al interaccionar con el TOE Roberto Moya; rmoya@dimasoft.es / rmoya@ati.es 2

Requisitos para aseguramiento ( assurance requirements ) Requisitos para una certeza razonable sobre la seguridad aseguramiento. Son las propiedades del Target Of Evaluation (TOE) que dan la confianza de que la seguridad que el TOE dice proporcionar es efectiva Information y está implementada technology - Security correctamente techniques (CC parte3). Protection Profile (PP) El CC proporciona a los consumidores una estructura formal denominada Protection Profile (PP) que es independiente de implementaciones concretas. El PP especifica: el entorno donde se utilizará el TOE (amenazas a las que va ha estar expuesto), los objetivos de seguridad y los requisitos de seguridad que el TOE debe satisfacer para alcanzar los objetivos de seguridad. Por ejemplo, Information si un usuario technology desea utilizar - Security una techniques base de datos segura, puede desarrollar un PP o seleccionar uno Common de un repositorio Criteria de PPs ISO/IEC indicando 15408 lo que espera. 3

Security Target (ST) Un desarrollador utiliza un Security Target (ST), que es una estructura formal aplicable únicamente a un producto especifico, por tanto dependiente de la implementación. Mediante el ST el desarrollador identifica los requisitos que serán, o son, satisfechos por su producto o Information sistema (TOE). technology - Security techniques Evaluation Assurance Levels (EALs) Mediante la apropiada combinación de los componentes de aseguramiento, el CC proporciona una escala de evaluación de aseguramiento de 7 niveles EALs 4

Denominación de los Evaluation assurance level (EAL) en el CC ISO/IEC 15408 EAL1 functionally tested EAL2 structurally tested EAL3 methodically tested and checked EAL4 methodically designed, tested, and reviewed EAL5 semiformally designed and Tested EAL6 semiformally verified design and Tested EAL7 formally verified design and Tested Clases de requisitos funcionales que distingue el CC ISO/IEC 15408 Security Audit (FAU) en el sentido de Auditabilidad de la seguridad Communication (FCO) que contempla requisitos para el aseguramiento de la identidad de las partes participantes en el intercambio de datos y el no rechazo.(non-repudiation) Cryptographic support (FCS) Esta clase se utiliza cuando el TOE implanta funciones criptograficas en el hardware, firmware o software 5

Clases de requisitos funcionales que distingue el CC ISO/IEC 15408 User Data Protection (FDP) dirigida a la protección de datos de los usuarios Identification and Authentication (FIA) trata la verificación de la identidad del usuario Security management (FMT) Contempla los requisitos de tiempo para la propagación de atributos de seguridad (por ejemplo: revocación, autorización por tiempo limitado) en un entorno distribuido Clases de requisitos funcionales que distingue el CC ISO/IEC 15408 Privacy (FPR) esta clase esta basada en el conocimiento actual de las técnicas sobre privacidad Protection of the Trusted Security Functions (FPT) se centra en la integridad y gestión de los mecanismos que proporcionan las funciones de seguridad del TOE Resource Utilisation (FRU) enfocado a la disponibilidad de los recursos (procesador, memoria, etc.) 6

Clases de requisitos funcionales que distingue el CC ISO/IEC 15408 TOE Access (FTA) referente a los requisitos de identificación y autenticación para controlar el establecimiento de una sesión de usuario Trusted Path/Channels (FTP) proporciona requisitos referentes a los distintos canales de comunicación seguros Clases de requisitos de aseguramiento que distingue el CC ISO/IEC 15408 Configuration management (ACM) incluye los requisitos dirigidos a asegurar la integridad de los parámetros de configuración de forma que únicamente los usuarios autorizados puedan cambiarlos Delivery and operation (ADO) proporciona los requisitos para la correcta distribución, instalación y puesta en operación del TOE 7

Clases de requisitos de aseguramiento que distingue el CC ISO/IEC 15408 Development (ADV) contiene requisitos para representar las funciones de seguridad del TOE (TSF) a diversos niveles de abstracción desde el interface funcional a la implementación Guidance documents (AGD) proporciona los requisitos para los documentos: guía del usuario y guía del administrador para administrar/utilizar el TOE de la forma que proporcione la seguridad para la que fue diseñado Life cycle support (ALC) en el aspecto de establecer la disciplina y control en el proceso de refinamiento del TOE durante su desarrollo y mantenimiento Clases de requisitos de aseguramiento que distingue el CC ISO/IEC 15408 Tests (ATE) mediante el test se determina si las funciones de seguridad del TOE (TSF) muestran las propiedades necesarias para satisfacer los requisitos funcionales del PP/ST Vulnerability assessment (AVA) comprende, entre otros, el análisis de la existencia de canales ocultos que permitan ser explotados para violar la seguridad, la incorrecta o mala utilización de la configuración del TOE, test de penetración que exploten las vulnerabilidades 8

COORDENADAS WEB DE POSIBLE INTERES GMITS (ISO/IEC 13335-X), BS7799 (ISO/IEC DIS 14980) Common Criteria (ISO/IEC 15408-x) MAGERIT http://www.dimasoft.es/ctn71sc27 c/génova 6 C/Trafalgar, 29 Roberto Moya; http://www.aenor.es http://www.iso.ch http://www.iso.ch/meme/jtc1sc27.html AENOR http://www.map.es/csi Librería B.O.E. rmoya@dimasoft.es / rmoya@ati.es 9

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback