ESTANDARES DE SEGURIDAD PARA INFORMATICA

Esta norma proporciona principios de gua y buenas prcticas basadas en la norma ISO/IEC 27002 para la gestin de seguridad de la informacin y aplicada a sistemas de control de procesos en entornos industriales de suministro de la energa. El objetivo de esta norma es extender el conjunto de normas ISO/ IEC 27000 para el dominio de los sistemas de control de procesos y la tecnologa de automatizacin, permitiendo de este modo que la industria de la energa pueda poner en prctica un sistema de gestin de informacin de seguridad. Adems es una funcin en la que se deben evaluar y administrar los riesgos, basndose en polticas y estndares que cubran las necesidades de la empresa, en materia de seguridad. Este documento se encuentra estructurado en cinco polticas generales de seguridad para usuarios de informtica, con sus respectivos estndares que consideran los siguientes puntos: SEGURIDAD ORGANIZACIONAL: Dentro de este, se establece el marco formal de seguridad que debe sustentar la empresa, integrando el recurso humano con la tecnologa, denotando responsabilidades y actividades complementarias como respuesta ante situaciones a la seguridad. SEGURIDAD LOGICA: Identifica los limites minimos que se deben cumplir en cuanto a permetros de seguridad, de forma que se puedan establecer controles en el manejo de equipos, transferencia de informacin y control de los accesos a las distintas reas con base en la importancia de los activos. SEGURIDAD LEGAL: Integra los requerimientos de seguridad que deben cumplir todos los funcionarios, asociados y usuarios de la red institucional bajo la reglamentacin de la normativa interna de la empresa.

ESTANDARES DE SEGURIDAD

ISO/IEC 27000: Son estndares de seguridad publicados por la organizacin internacional para la estandarizacin (ISO) y la comisin electrotcnica Internacional (IEC). La serie contiene las mejores prcticas recomendadas en seguridad de la informacin para desarrollar, implementar y mantener especificaciones para los sistemas de gestin de la seguridad de la informacin. Es el organismo encargado de promover el desarrollo de normas internacionales de fabricacin, comercio y comunicacin para todas las ramas industriales a excepcin de la elctrica y la electrnica. Su funcin principal es la de buscar la estandarizacin de normas de productos y seguridad para las empresas u organizaciones a nivel internacional.

X 805 DE UIT-T: Estudia los aspectos tcnicos, de explotacin y tarifarios y publica recomendaciones sobre los mismos, con miras a la normalizacin de las telecomunicaciones en el plano mundial. En ciertos sectores de la tecnologa de la informacin que corresponden a la esfera de competencia del UIT-T se preparan las normas necesarias en colaboracin con la ISO y la CEI.

TCSEC ( ORANGE BOOK) Fue de gran importancia porque sirvi como pilar para la creacin de common criteria. Al dividirse en niveles el orange book pretende dar un incentivo para que las empresas de menos nivel puedan mejorar y alcanzar mejora en sus productos. Para el desarrollo de aplicaciones se recomienda tener un nivel de confianza de seguridad por lo menos de nivel B1. El hardware debe estar ubicado en un entorno fsico seguro y usuarios de todo tipo, no deben revelar contraseas o claves. ITSEC (WHITE BOOK): Las tecnologas de la informacin Criterios de Evaluacin de Seguridad (ITSEC) es un conjunto estructurado de criterios para la evaluacin de la seguridad informtica dentro de los productos y sistemas. El ITSEC fue publicado por primera vez en mayo de 1990, Francia, Alemania, los Pases

Bajos y el Reino Unido, basada en el trabajo existente en sus respectivos pases. Tras una amplia revisin internacional, Versin 1.2 fue publicada posteriormente en junio de 1991 por la Comisin de las Comunidades Europeas para el uso operativo dentro de esquemas de evaluacin y certificacin. Desde el lanzamiento de la ITSEC en 1990, una serie de otros pases europeos han puesto de acuerdo para reconocer la validez de las evaluaciones ITSEC. El ITSEC ha sido sustituido en gran medida por el Common Criteria, que proporciona niveles de evaluacin igualmente definidos y aplica el objetivo del concepto de evaluacin y el documento de Declaracin de Seguridad.

El producto o sistema que est siendo evaluado , llamado el objetivo de la evaluacin, se sometieron a un examen detallado de sus caractersticas de seguridad que culminaron en las pruebas funcionales y la penetracin completa e informada. El grado de examen depende del nivel de confianza deseado en el objetivo . Para proporcionar diferentes niveles de confianza , el ITSEC define los niveles de evaluacin, denota E0 travs E6. Niveles ms altos de evaluacin implican ms extenso examen y comprobacin de la meta . A diferencia de los criterios anteriores , en particular la TCSEC desarrollado por el establecimiento de defensa de EE.UU. , la ITSEC no requera objetivos evaluados para contienen caractersticas tcnicas especficas con el fin de lograr un nivel de aseguramiento en particular. Por ejemplo , un objetivo ITSEC podra proporcionar funciones de autenticacin o la integridad sin proporcionar confidencialidad o disponibilidad . Caractersticas de seguridad de un objetivo determinado se documentaron en un documento de Declaracin de Seguridad , cuyo contenido tena que ser evaluados y aprobados antes de la meta en s fue evaluado . Cada evaluacin ITSEC se bas exclusivamente en la verificacin de las caractersticas de seguridad identificadas en la Declaracin de Seguridad .