Quito Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC 27033-1 Primera edición TECNOLOGÍAS DE LA INFORMACIÓN TÉCNICAS DE SEGURIDAD SEGURIDAD DE LA RED PARTE 1: DESCRIPCIÓN Y CONCEPTOS (ISO/IEC 27033-1:2009, IDT) INFORMATION TECHNOLOGY SECURITY TECHNIQUES NETWORK SECURITY PART 1: OVERVIEW AND CONCEPTS (ISO/IEC 27033-1:2009, IDT) Correspondencia: Esta norma nacional es una traducción idéntica de la Norma Internacional ISO/IEC 27033-1:2009 DESCRIPTORES: Tecnología, información, técnicas, seguridad, red, conceptos ICS:35.040 79 Páginas INEN 2014
Prólogo nacional Esta Norma Técnica Ecuatoriana NTE INEN-ISO/IEC 27033-1:2014, es una traducción idéntica a la Norma Internacional ISO/IEC 27033-1:2009 Information technology Security techniques Network security Part 1: Overview and concepts, la traducción ha sido desarrollada por el Ministerio de Telecomunicaciones y de la Sociedad de la Información MINTEL. El comité responsable de esta Norma Técnica Ecuatoriana y de su adopción es el Comité Técnico de Normalización INEN/TC del INEN. Dentro del texto de esta norma se han hecho los siguientes cambios editoriales: a) Las palabras esta Norma Internacional han sido reemplazadas por esta norma nacional. Para el propósito de esta Norma Técnica Ecuatoriana se indica que para el documento normativo internacional de referencia, que se menciona en la Norma Internacional ISO/IEC 27033-1, existen los siguientes documentos normativos nacionales correspondientes. Documento Normativo Internacional ISO/IEC TR 7498 (all parts), Information technology Open Systems Interconnection Basic Reference Model Documento Normativo Nacional ISO/IEC TR 18044:2004 (todas las partes), Tecnología de información Interconexión de Sistemas Abiertos Modelo Básico de Referencia. ISO/IEC 27000:2009, Information technology Security techniques Information security management systems Overview and vocabulary ISO/IEC 27001:2005, Information technology Security techniques Information security management systems Requirements ISO/IEC 27002:2005, Information technology Security techniques Code of practice for information security management ISO/IEC 27005:2008, Information technology Security techniques Information security risk management NTE INEN-ISO/IEC 27000, Tecnología de información Técnicas de seguridad Sistemas de gestión de seguridad de información Resumen y vocabulario NTE INEN-ISO/IEC 27001:2011, Tecnología de la información. Técnicas de seguridad Sistema de gestión de la seguridad de la información. Requisitos. NTE INEN-ISO/IEC 27002:2009, Tecnología de la información Técnicas de la seguridad Código de práctica para la gestión de la seguridad de la información. NTE INEN-ISO/IEC 27005, Tecnología de información Técnicas de seguridad Gestión de riesgos de seguridad de información ii
Índice Prólogo nacional... ii Prólogo... iv Introducción... vi 1 Objeto y campo de aplicación... Error! Marcador no definido. 2 Referencias normativas... Error! Marcador no definido. 3 Términos y definiciones... Error! Marcador no definido. 4 Abreviaturas... Error! Marcador no definido. 5 Estructura... 9 6 Descripción general... 11 6.1 Antecedentes... 11 6.2 Planeación y gestión de la seguridad de red... 12 7 Identificación de riesgos y preparación para identificar los controles de seguridad... 14 7.1 Introducción... 14 7.2 Información sobre la red actual o planeada... 15 7.3 Riesgos de seguridad de la información y áreas potenciales de control... 20 8 Controles de Respaldo... 23 8.1 Introducción... 23 8.2 Gestión de la seguridad de la red... 23 8.3 Gestión de las Vulnerabilidades Técnicas... 27 8.4 Identificación y autenticación... 28 8.5 Registro de los Resultados de Auditoría y Monitoreo de la Red... 29 8.6 Detección y prevención de intrusos... 30 8.7 Protección contra el código malicioso... 31 8.8 Servicios Basados en Encriptación... 32 8.9 Gestión de la continuidad de negocios... 33 9 Directrices para el Diseño e Implementación de Seguridad de Red... 34 9.1 Antecedentes... 34 9.2 Arquitectura/diseño técnico de la seguridad de red... 34 10 Escenarios de referencia de red - Riesgos, diseño, técnicas y control de problemas.. 36 10.1 Introducción... 36 10.2 Servicios de Acceso a Internet para Empleados... 36 10.3 Mejora de servicios de colaboración... 37 10.4 Servicios de empresa a empresa... 37 10.5 Servicios de Empresa a Cliente... 37 10.6 Servicios subcontratados... 38 10.7 Segmentación de red... 38 10.8 Comunicaciones Móviles... 38 10.9 Soporte de red para los usuarios viajeros... 39 10.10Soporte de red para el hogar y pequeñas oficinas comerciales... 39 11 Temas de 'tecnología ' - riesgos, técnicas de diseño y problemas de control... 39 12 Desarrollar y Probar la Solución de Seguridad... 40 13 Operar la Solución de Seguridad... 41 14 Monitoreo y Revisión de la Implementación de la Solución... 41 Anexo A (informativo) Temas de "tecnología" - riesgos, técnicas de diseño y problemas de control... 42 Anexo B (informativo) Referencias cruzadas entre las normas ISO/IEC 27001 e ISO/IEC 27002 sobre controles de seguridad de redes relacionados y capítulos de esta parte de ISO/IEC 27033... 70 Anexo C (informativo) Ejemplo de plantilla para un documento de procedimientos operativos de seguridad... 75 Bibliografía... 78 iii
Prólogo ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional) forman el sistema mundial especializado de normalización. Los organismos nacionales, miembros de la ISO o de la IEC, participan en el desarrollo de Normas Internacionales por medio de comités técnicos establecidos por la respectiva organización para tratar los campos particulares de las actividades técnicas. Los comités técnicos de ISO e IEC colaboran en campos de mutuo interés. Otras organizaciones internacionales, gubernamentales y no gubernamentales, en colaboración con ISO e IEC, también participan en el trabajo. En el campo de la tecnología de la información, ISO e IEC han establecido un comité conjunto, ISO/IEC JTC 1. Las Normas Internacionales son redactadas de acuerdo con las reglas dadas en las Directivas de ISO/IEC, Parte 2. La principal tarea del comité técnico conjunto es preparar Normas Internacionales. Los proyectos de las Normas Internacionales adoptados por el comité técnico conjunto son distribuidos a los organismos nacionales para su votación. Su publicación como una Norma Internacional requiere la aprobación de por lo menos un 75% de los organismos nacionales con derecho a voto. Se llama la atención sobre la posibilidad de que algunos elementos de este documento puedan ser sujetos a derechos de patentes. ISO e IEC no deben ser responsables de la identificación de alguno o de todos los derechos de patentes antes señalados. ISO/IEC 27033-1 fue preparada por el Comité Técnico ISO/IEC JTC 1, Tecnología de la Información, Subcomité SC 7, Técnicas de Seguridad Informática. Esta primera edición de ISO/IEC 27033-1 cancela y reemplaza a ISO/IEC 18028-1:2006. ISO/IEC 27033 contiene las siguientes partes bajo el título general de Tecnología de la información Técnicas de seguridad Seguridad de la red de TI: - Parte 1: Guías para la seguridad de la red Las siguientes partes están en preparación: - Parte 2: Guías para el diseño e implementación de la seguridad en la red - Parte 3: Escenarios de redes de referencia - Riesgos, técnicas de diseño y problemas de control Los riesgos, técnicas de diseño y problemas de control para - asegurar las comunicaciones entre redes que utilizan puertas de enlace de seguridad, - asegurar las redes privadas virtuales, - Convergencia IP, y - redes inalámbricas formarán el objeto de partes futuras. iv
Introducción En el mundo actual, la mayoría de organizaciones tanto comerciales como gubernamentales tienen sus sistemas de información conectados mediante redes (ver Figura 1), con conexiones de red que son una o más de las siguientes: - dentro de la organización, - entre organizaciones diferentes, - entre la organización y el público en general. Figura 1 - Tipos generales de conexión de red Además, con la rápida evolución de la tecnología de red a disposición del público (en particular, con el Internet) ofreciendo importantes oportunidades de negocio, las organizaciones están utilizando cada vez más el comercio electrónico a escala global y prestando servicios públicos en línea. Las oportunidades incluyen un menor costo en la comunicación de datos, el uso del Internet simplemente como un medio de conexión global, a través de servicios más sofisticados prestados por los proveedores de servicios de Internet (ISP). Esto puede significar el uso local de puntos de conexión a relativamente un bajo costo en cada extremo de un circuito para el comercio electrónico en línea y sistemas de entrega de servicios en línea a gran escala mediante la utilización de aplicaciones y servicios basados en la Web. Además, la nueva tecnología (incluyendo la integración de datos, voz y vídeo) aumenta las oportunidades de trabajo a distancia (también conocido como teletrabajo o telecomunicación ) que permiten al personal operar lejos de su base de trabajo madre durante períodos de tiempo significativos. Las personas pueden mantenerse en contacto a través del uso de las instalaciones remotas para acceder a la organización y a redes comunitarias, y a la información y los servicios de soporte a los negocios pertinentes. Sin embargo, mientras que este entorno proporciona ventajas comerciales importantes, existen nuevos riesgos de seguridad a enfrentar. Según las organizaciones se basan en gran medida en el uso de la información y redes asociadas para llevar a cabo sus negocios, la pérdida de confidencialidad, integridad y disponibilidad de la información y de los servicios podría tener impactos adversos significativos en las operaciones comerciales. Por lo tanto, existe un requisito importante para proteger adecuadamente las redes y sistemas de información, y la información correspondientes. En otras palabras: la implementación y mantenimiento de una seguridad de red v
adecuada es absolutamente fundamental para el éxito de las operaciones comerciales de cualquier organización. En este contexto, las industrias de telecomunicaciones y tecnología de la información están buscando soluciones de seguridad integrales rentables, encaminadas a proteger las redes contra los ataques maliciosos y acciones incorrectas inadvertidas, y al cumplimiento de los requisitos del negocio de confidencialidad, integridad y disponibilidad de la información y los servicios. La seguridad de una red también es esencial para mantener la exactitud de la facturación o el uso de la información como corresponda. Las prestaciones de seguridad en los productos son cruciales para la seguridad global de la red (incluyendo aplicaciones y servicios). Sin embargo, a medida que más productos se combinan para proporcionar soluciones totales, la interoperabilidad, o la falta de ella, definirán el éxito de la solución. La seguridad no debe ser sólo un asunto de preocupación para cada producto o servicio, sino que debe ser desarrollada de manera que promueva la integración de las capacidades de seguridad en la solución global de seguridad. El propósito de ISO/IEC 27033 es proporcionar una guía detallada sobre los aspectos de gestión, operación y uso de las redes de sistemas de información y sus interconexiones. Las personas dentro de una organización que son responsables de la seguridad de la información en general, y de la seguridad de la red en particular, deben ser capaces de adaptar el material en esta norma nacional para satisfacer sus necesidades específicas. Los principales objetivos son los siguientes. - ISO/IEC 27033-1, Descripción y conceptos, para definir y describir los conceptos relacionados, y proporcionar una guía sobre la gestión de la seguridad de la red. Esto incluye el suministro de una descripción de seguridad de la red y las definiciones correspondientes, y una guía sobre la manera de identificar y analizar los riesgos de seguridad de red para luego definir los requisitos de seguridad de la red. También presenta la forma de lograr arquitecturas de seguridad técnica de buena calidad, el riesgo, y los aspectos de diseño y control asociados con los escenarios típicos de red, y las áreas "tecnológicas" de la red (que se tratan en detalle en el desarrollo de ISO/IEC 27033). - ISO/IEC 27033-2, Guías para el diseño e implementación de la seguridad de red, para definir cómo las organizaciones deberían lograr arquitecturas de red de seguridad técnica, diseños e implementaciones que garanticen la seguridad de red adecuada para sus entornos de negocio, utilizando un enfoque coherente de planificación, diseño e implementación de seguridad de la red, según el caso, con la ayuda de la utilización de modelos/marcos de referencia (en este contexto, se utiliza un modelo/marco de referencia para delinear una representación o descripción que muestre la estructura y el alto nivel de funcionamiento de una arquitectura/diseño técnicamente seguros), y es relevante para todo el personal que participa en la planificación, diseño e implementación de los aspectos arquitectónicos de la seguridad de red (por ejemplo, los arquitectos de la red y diseñadores, administradores de red y los agentes de seguridad de red). - ISO/IEC 27033-3, Riesgos, Técnicas de diseño y los problemas de control para los escenarios de red de referencia, para definir los riesgos específicos, las técnicas de diseño y los problemas de control asociados con los escenarios típicos de red. Es relevante para todo el personal que participe en la planificación, diseño e implementación de los aspectos arquitectónicos de la seguridad de la red (por ejemplo, los arquitectos y diseñadores de red, los administradores de red, y los agentes de seguridad de la red). Se propone que las futuras partes de ISO/IEC 27033 aborden los siguientes temas. - ISO/IEC 27033-4, Riesgos, técnicas de diseño y problemas de control para asegurar las comunicaciones entre redes que utilizan puertas de enlace de protección, para determinar los riesgos específicos, técnicas de diseño y problemas de control para asegurar el flujo de información entre redes que utilizan puertas de enlace de seguridad. Será relevante para todo el personal que participa en la planificación detallada, el diseño y la implementación de puertas de enlace de seguridad (por ejemplo, los arquitectos y diseñadores de red, los administradores de red, y los agentes de seguridad de la red). vi
- ISO/IEC 27033-5, Riesgos, técnicas de diseño y problemas de control para la seguridad de las redes privadas virtuales, para definir los riesgos específicos, técnicas de diseño y problemas de control para la seguridad de las conexiones que se establecen utilizando redes privadas virtuales (VPNs). Es aplicable para todo el personal que participe en la planificación detallada, el diseño y la implementación de la seguridad de redes privadas virtuales VPN (por ejemplo, los arquitectos y diseñadores de red, los administradores de red y los agentes de seguridad de la red). - ISO/IEC 27033-6, Convergencia IP, para definir los riesgos específicos, técnicas de diseño y problemas de control para asegurar las redes de convergencia IP, es decir, aquellas con la convergencia de datos, voz y video. Es aplicable para todo el personal que participe en la planificación detallada, el diseño y la implementación de la seguridad de redes de convergencia IP (por ejemplo, los arquitectos y diseñadores de red, los administradores de red, y los agentes de seguridad de la red). - ISO/IEC 27033-7, Inalámbrica, para definir los riesgos específicos, técnicas de diseño y problemas de control de seguridad de las redes inalámbricas y de radio. Es aplicable para todo el personal que participe en la planificación detallada, el diseño y la implementación de la seguridad de redes inalámbricas y de radio (por ejemplo, los arquitectos y diseñadores de red, los administradores de red, y los agentes de seguridad de la red). Se enfatiza que ISO/IEC 27033 proporciona una guía más detallada sobre la aplicación de los controles de seguridad de red que se describen en un nivel básico estandarizado en ISO/IEC 27002. Si hubiere otras partes en el futuro, éstas serán relevantes para todo el personal que participe en la planificación detallada, el diseño y la implementación de los aspectos de la red cubiertos por estas partes (por ejemplo, los arquitectos y diseñadores de red, los administradores de red, y los agentes de seguridad de red). Cabe señalar que esta norma nacional no es una referencia o un documento normativo de los requisitos reglamentarios y legislativos de seguridad. Aunque se hace hincapié en la importancia de estas influencias, no puede identificarlas específicamente, ya que dependen del país, del tipo de negocio, etc. A menos que se indique lo contrario, a lo largo de esta parte de ISO/IEC 27033 la guía a la que se hace referencia es aplicable a las redes actuales o planificadas, pero sólo se hará referencia a ellas como redes o la red. vii
Tecnologías de la información Técnicas de seguridad Seguridad en la red Parte 1: Generalidades y conceptos 1 Objeto y campo de aplicación Esta parte de ISO/IEC 27033 proporciona una descripción de la seguridad de la red y las definiciones relacionadas. Define y describe los conceptos asociados, y proporciona orientación sobre la gestión de la seguridad de la red. (La seguridad de la red se aplica a la seguridad de los dispositivos, la seguridad de las actividades de gestión relacionadas con los dispositivos, aplicaciones/servicios y los usuarios finales, además de la seguridad de la información que se transfiere a través de los enlaces de comunicación). Tiene aplicación para cualquier persona involucrada que posee, opera o utiliza una red. Esto incluye a los altos directivos y otros administradores no técnicos o usuarios, además de los gerentes y administradores que tienen responsabilidades específicas para la seguridad de la información o seguridad de la red, el funcionamiento de la red, o que son responsables del programa general de seguridad de la organización y del desarrollo de políticas de seguridad. También es útil para cualquier persona involucrada en la planificación, diseño e implementación de los aspectos arquitectónicos de la seguridad de red. Esta parte de ISO/IEC 27033 también - proporciona orientación sobre la manera de identificar y analizar los riesgos de seguridad de red y la definición de los requisitos de seguridad de la red en base a ese análisis, - ofrece una descripción de los controles que soportan a las arquitecturas de red de seguridad técnica y a los controles técnicos relacionados, así como los controles no técnicos y los controles técnicos que son aplicables no sólo a las redes, - presenta la forma de alcanzar arquitectura técnica de seguridad de red de buena calidad, y el riesgo, el diseño y control de los aspectos asociados con los escenarios típicos de la red y las áreas tecnológicas de la red (que se tratan en detalle en las partes posteriores de ISO/IEC 27033), y - brevemente trata las cuestiones relacionadas con la aplicación y operación de los controles de seguridad de la red, y el continuo seguimiento y revisión de su implementación. En general, se ofrece una descripción de la serie ISO/IEC 27033 y una hoja de ruta para todas las demás partes. 2 Referencias normativas Los siguientes documentos de referencia son indispensables para la aplicación de este documento. Para las referencias con fecha sólo se aplica la edición citada. Para las referencias sin fecha se aplica la última edición del documento de referencia (incluyendo cualquier modificación). ISO/IEC 7498 (todas las partes), Tecnología de la información - Interconexión de sistemas abiertos - Modelo de referencia básico ISO/IEC 27000:2009, Tecnología de la información - Técnicas de seguridad Sistemas de gestión de seguridad de la información - Información general y vocabulario ISO/IEC 27001:2005, Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de seguridad de la información Requisitos 1 de 79
Documento: NTE INEN- ISO/IEC 27033 INFORMACIÓN COMPLEMENTARIA TÍTULO: TECNOLOGÍA DE LA INFORMACIÓN TÉCNICAS DE SEGURIDAD SEGURIDAD DE LA RED PARTE 1: DESCRIPCIÓN Y CONCEPTOS Código: ICS 35.040 ORIGINAL: Fecha de iniciación del estudio: REVISIÓN: La Subsecretaría de la Calidad del Ministerio de Industrias y Productividad aprobó este proyecto de norma Oficialización con el Carácter de Obligatorio por Resolución No. publicado en el Registro Oficial No. Fecha de iniciación del estudio: Fechas de consulta pública: Subcomité Técnico de: Fecha de iniciación: Integrantes del Subcomité: NOMBRES: Ing. Ing. Ing. Ing. Ing. Fecha de aprobación: INSTITUCIÓN REPRESENTADA: Dirección Ejecutiva Dirección de Metrología Dirección de Reglamentación Dirección de Normalización Dirección de Certificación y Validación Otros trámites: Esta NTE INEN-ISO XX:XX (XXXX), reemplaza a la NTE INEN XX:XX (XX) La Subsecretaría de la Calidad del Ministerio de Industrias y Productividad aprobó este proyecto de norma Oficializada como: Por Resolución No. Registro Oficial No. 80 de 79
Instituto Ecuatoriano de Normalización, INEN - Baquerizo Moreno E8-29 y Av. 6 de Diciembre Casilla 17-01-3999 - Telfs: (593 2)2 501885 al 2 501891 - Fax: (593 2) 2 567815 Dirección General: E-Mail: direccion@normalizacion.gob.ec Área Técnica de Normalización: E-Mail: normalizacion@normalizacion.gob.ec Área Técnica de Certificación: E-Mail: certificacion@normalizacion.gob.ec Área Técnica de Verificación: E-Mail: verificacion@normalizacion.gob.ec Área Técnica de Servicios Tecnológicos: E-Mail: inenlaboratorios@normalizacion.gob.ec Regional Guayas: E-Mail: inenguayas@normalizacion.gob.ec Regional Azuay: E-Mail: inencuenca@normalizacion.gob.ec Regional Chimborazo: E-Mail: inenriobamba@normalizacion.gob.ec URL: www.normalizacion.gob.ec