Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Recibido el 1 de octubre de 2003; recibido en versión revisada el 11 de marzo de 2004; aceptado el 20 de marzo de 2004
Disponible en línea el 28 de abril de 2004
Resumen
La seguridad de un sistema de información es como una cadena. Su fuerza se ve afectada por el nudo más débil. Puesto
que no podemos alcanzar el 100% de seguridad del Sistema de Gestión de la Seguridad de la Información (SGSI), debemos
cumplir con cautela la certificación y acreditación de la seguridad de la información. En este documento, analizamos,
estudiamos los conocimientos y habilidades de evaluación necesarios para auditar los procedimientos de certificación de los
tres aspectos del SGSI: activo, amenaza y vulnerabilidad.
D 2004 Elsevier B.V. Todos los derechos reservados.
Palabras clave: Certificación; Evaluación; Marco; Sistema de Gestión de la Seguridad de la Información; Proceso Nacional de Certificación y
Acreditación de la Seguridad de la Información
Cuadro 1.2
Relación entre los elementos de control y las clases de protección con la norma
ISO/IEC 17799:2001(E) ISO/IECClase de protección
17799:2001(E)elementos de control
1. Inadecuado2 . Mínimo3 . Razonable4 . Adecuado
1. Política de seguridad × ×
2. Organización × ×
seguridad
3. Clasificación de los activos × ×
y control
4. Seguridad del personal ×
5. Física y ×
seguridad medioambiental
6. Ordenador y ×
gestión de redes
7. 7. Control de acceso ×
8. 8. Desarrollo del sistema × ×
y mantenimiento
9. 9. Continuidad de las × ×
actividades
gestión
10. Conformidad × ×
Fuente: Eloff, M.M. y J.H.P. Eloff, Sistema de gestión de la seguridad de la información: Processes and Products, SEC 2003, Security and
Privacy in the Age of Uncertainty, pp. 193 - 204, Kluwer Academic Publishers (2003).
En blanco muestra mejorar el elemento de control para los procesos y procedimientos de investigación del SGSI.
Cuadro 2.1
Política nº 11 del Comité de Telecomunicaciones y Sistemas de
Información de Seguridad Nacional de Estados U n i d o s
(NSTISSP nº 11)
Artículo Evento
1 Publicado por el Comité de Sistemas de
Información y Telecomunicaciones de Seguridad
Nacional de Estados Unidos (NSTISSC) de
conformidad con la Directiva de Seguridad
Nacional nº 42 (NSD-42) anunciada en julio de
1990.
2 Antes de anunciar el NSTISSP nº 11, el
NSTISSC anunció el NSTISSAM (Memorando
Consultivo) INFOSEC/1-99 el 3 de marzo de
1999, y el NITISSC
anunció la NSTISSI (Instrucción) nº 1000 del
Proceso Nacional de Certificación y Acreditación de
la Seguridad de la Información (NIACAP).
3 El decreto: (a) A partir del 1 de enero de 2001, la
tecnología de la información de la infraestructura de
la información se ajustará al plan de confirmación
iniciado por el Instituto Nacional de Normas y
Tecnología (NIST). (b) A p a r t i r d e l 1
d e j u l i o d e 2 0 0 2 , las normas
establecidas en (a) serán obligatorias de conformidad
con la Directiva de Decisión Presidencial nº 63
(PDD-63).
Estas publicaciones pueden obtenerse en el Centro de Recursos de
Seguridad Informática del NIST (http://www.csrc.nist.gov).
506 K.-J. Farn et al. / Computer Standards & Interfaces 26 (2004) 501-513
Fig. 2.1. Guía relacionada con el proceso de certificación y acreditación de la Ley Federal de Gestión de la Seguridad de la Información
(FISMA) de Estados Unidos.
K.-J. Farn et al. / Computer Standards & Interfaces 26 (2004) 501-513 507
Cuadro 2.2 la garantía del SGSI que van desde la defensa nacional
Proceso Nacional de Certificación y Acreditación de la Seguridad telecommu-.
de la Información (NIACAP) del Gobierno Federal de EE.UU.
Contenido de ItemProcess
1 Fase de
iniciación:
(a) Preparación
(b) Notificación e identificación de recursos
(c) Análisis, actualización y aceptación del plan de
seguridad
2 Fase de certificación de seguridad:
(a) Verificación del control de seguridad
(b) Documentación de certificación de seguridad
3 Fase de acreditación de seguridad:
(a) Decisión sobre la acreditación de seguridad
(b) Documentación de acreditación de seguridad
4 Fase de vigilancia continua:
(a) Gestión y control de la configuración
(b) Verificación continua de los controles de
seguridad
(c) Informes de situación y documentación
Basado en (a) U.S. National Security Telecommunications and
Information Systems Security Instruction (NSTISSI) No. 1000,
anunciada por el U.S. National Security Telecommunications and
Information Systems Security Committee (NSTISSC) en abril de
2000, y (b) Federal Information Security Management Act
(FISMA) anunciada en diciembre de 2002.
Fig. 2.2. Procedimiento de garantía del proceso de seguridad informática nacional de Estados Unidos.
Cuadro 2.3
Ámbito de aplicación de las normas relativas al marco de garantía de la seguridad informática [13]
Fase Diseño/Implantación Integración/Verificación Desarrollo/Transición Operación
Acérquese a
Producto [/sistema/servicio] ISO/IEC 14598 PT
ISO/IEC 15288 ISO/IEC 15288 ISO/IEC 15288 ISO/IEC 15288
ISO/IEC 15408 ISO/IEC 15408 ISO/IEC 15408 ISO/IEC 15408
Proceso ISO/IEC 21827 ISO/IEC 21827 ISO/IEC 21827 ISO/IEC 21827
ISO/IEC TR 5504 ISO/IEC TR 15504 ISO/IEC TR 15504 ISO/IEC TR 15504
ISO/IEC TR 13335 ISO/IEC TR 13335 ISO/IEC TR 13335
ISO/CEI 17799
Medio ambiente ISO 9000 ISO 9000 ISO 9000 ISO 9000
[/Organización/Personal] CISSP CISSP CISSP CISSP
Profesional certificado en seguridad de sistemas de información
(CISSP). Pruebas de penetración (PT).
510 K.-J. Farn et al. / Computer Standards & Interfaces 26 (2004) 501-513
Fig. 3.1. Flujograma y relación de los componentes de riesgo del SGSI (ISO/IEC TR 13335-1). Nota: Punto de Prestación de
Servicios (PPS).
Fig. 3.3. Alcance de los servicios de seguridad de la infraestructura de telecomunicaciones de la FAA (FTI).
K.-J. Farn et al. / Computer Standards & Interfaces 26 (2004) 501-513 513
evitar que el hardware, el software y los datos de los A la hora de tratar estos mecanismos, debe tenerse en
usuarios se vean amenazados externa e internamente. cuenta la Gestión de Riesgos. La gestión de riesgos
El ámbito puede abarcar desde el mecanismo de también incluye el equilibrio entre la vulnerabilidad y
gestión de claves hasta el complicado mecanismo de la amenaza [23].
control de acceso.
Fig. 3.6. Especificación resumida del Objetivo de Evaluación (OE) del SGSI.
Fig. 3.7. Funcionamiento del mecanismo de certificación de la seguridad de los sistemas de información.
K.-J. Farn et al. / Computer Standards & Interfaces 26 (2004) 501-513 515
de la UE, como ISO/IEC 15408, ISO/IEC 17799 e [8] NSTISSC (National Security Telecommunications and
Information System Security Committee), National
ISO/IEC 21827 (SSE-CMM). Si se aplican
Information Assurance Certification and Accreditation Process
correctamente, serán útiles para el cultivo de la (NIACAP), NSTISSC, 2000.
cultura de la seguridad digital en Taiwán. [9] F.B. Schneider, et al., Trust in Cyberspace, National
La seguridad de un sistema de información es Academy Press, Washington, EE.UU., 1999.
como una cadena. Su fuerza se ve afectada por el [10] ISO (Organización Internacional de Normalización), Informa-
nudo más débil. La descripción del curso de auditoría tion technology-Security techniques-Evaluation criteria for IT
security (All parts), ISO/IEC 15408: 1999(E), ISO, 1999.
del SGSI que se menciona aquí se basa en la Tabla [11] NIST (National Institute of Standards and Technology),
2.3 y la Fig. 3.7, con la referencia del Sistema de Secu- rity requirements for cryptographic modules, FIPS
Gestión de la Seguridad de la Información (SGSI) PUB 140- 2, NIST, 2001.
anunciado por el Registro Internacional de Auditores [12] S. Katzke, Protecting federal information systems and
Certificados (IRCA) en Gran Bretaña [24]. Esta n e t w o r k s , Presentación de la 4ª Conferencia
Internacional sobre Cri- teria Común, Estocolmo Suecia,
descripción del curso de auditoría del SGSI en la Tabla 2003 Sept. 7 - 9.
4.2 se espera que realice la auditoría de certificación [13] ISO/IEC JTC1/SC27, Information Technology-Security
del SGSI y sea la base de los conocimientos y Techniques-A Framework for IT Security Assurance (All
habilidades indispensables que requiere la auditoría Parts), ISO/IEC 15443, ISO/IEC JTC1/SC27 N3592, N3605,
del SGSI, como se ilustra en la Fig. 3.7. and N3614, 2003.
[14] FAA (Federal Aviation Administration) FTI (Telecommunica-
El gran uso de componentes comerciales para tions Infrastructure) Program Documents, http://www.faa.gov/
construir el sistema de información es inevitable. A programs/fti/main.htm..
la hora de integrar el software, el hardware, las tele- [15] ISO (Organización Internacional de Normalización), Infor-
comunicaciones y los sistemas de aplicación mation technology-guidelines for the management of IT
antiguos, nuevos y futuros, e s esencial saber cómo security-Part 1: concepts and models for IT security, ISO,
1996.
garantizar que las empresas contratantes puedan [16] NBS (National Bureau of Standards), Guideline for computer
cumplir las normas de seguridad. Por lo tanto, el security certification and accreditation, FIPS (Federal Informa-
personal de auditoría para la certificación del SGSI tion Processing Standards), PUB (Publication) vol. 102,
debe tener conocimientos y experiencia en CC, SSE- NBS, Gaithersburg, MD, USA, 1983.
CMM e ISO/IEC 17799, etc. durante la realización [17] M.D. Abrams, P.J. Brusil, Application of the common
criteria to a system: a real-world example, Computer
de la evaluación de riesgos. Security Journal 16 (2) (2000) 11 - 21.
[18] D. Herman, S. Keith, Aplicación de los criterios comunes a
un sistema: estudio de un caso, Computer Security Journal
Agradecimientos 17 (2) (2001) 21 - 28.
[19] SSE-CMM (System Security Engineering Capability Maturity
Los autores desean expresar su agradecimiento a Model), Documentos de programa, http://www.sse-cmm.org.
[20] D.J. Out, How to write useful security targets, Presentación
los revisores anónimos por sus valiosas sugerencias. de la 4ª Conferencia sobre Criterios Comunes de Información,
Estocolmo, Suecia, 2003 Sept. 7 - 9.
[21] K.-J. Farn, et al., A study on the certification of the informa-
Referencias tion security management systems, Computer Standards and
Interfaces 25 (5) (2003) 447 - 461.
[1] M.-S. Cai, D.-Z. Wang, P.-H. Wang, Liberty Times (28 de [22] ISO/IEC JTC1/SC27, Information technology-Security tech-
mayo de 2003) 1 (Taipei). niques-Security assessment of operational systems, ISO/IEC
[2] Y.-X. Chen, United Daily (1 de agosto de 2002) 8 (Taipei). 19791, ISO/IEC JTC1/SC27 N3596, 2003.
[3] X. Yan, Technology of Mainland China Hackers, Song-Gang [23] R.J. Ellison, et al., Survivable network system analysis: a
Computer Publication Publishes, Taipei, Taiwán, 2000. case study, IEEE Software 16 (4) (1999) 70 - 77.
[4] H.-M. Lin y H.-Z. Qin, United Daily, 21 de julio de 2002, p. 6, [24] IRCA (Registro Internacional de Auditores Certificados),
Pro- gram Documents,
Taipei and Kaohsiung's City Online Report (2002).
[5] M. Swanson, Security self-assessment guide for information http://www.irca.org/auditortrain/auditor- train_2_1.html.
technology systems, NIST SP 800-26, NIST, 2001. [25] M. Ohlin, Common criteria-related activities within Interna-
[6] NSA (Agencia de Seguridad Nacional), Information Assurance tional Standardization in JTC1/SC27, Presentación de la 4ª
Tech- nical Framework, Version 3.1, 2002, Conferencia sobre Criterios Comunes de Información,
http://www.iatf.net. Estocolmo, Suecia, 2003 Sept. 7 - 9.
[7] R. Ross, M. Swanson, Guide for the security certification and [26] S. Katzke, Los años de los criterios comunes (CC) (1993 -
2008):
accreditation of federal information systems, NIST SP 800-37,
NIST, pp. 1 - 62 (2003).
518 K.-J. Farn et al. / Computer Standards & Interfaces 26 (2004) 501-513
looking back and ahead, Presentación de la 4ª Conferencia Shu-Kuo Lin se licenció en Gestión de la
sobre Criterios Comunes de Información, Estocolmo, Suecia, Información por la Universidad Tam
2003 Sept. 7 - 9. Kang de Taiwán en 2000. Actualmente
[27] M. Ahlbin, P. Ronn, Implementation of an ISMS in the e s doctorando del Instituto de Gestión
National Tax Board of Sweden, Presentación de la 4ª de la Información de la Universidad
Conferencia sobre Criterios Comunes de Información, Nacional Chiao Tung de Hsinchu
Estocolmo, Suecia, 2003 Sept. 7 - 9. (Taiwán). Sus intereses de investigación
incluyen la s e g u r i d a d de la
Kwo-Jean Farn es vicepresidente del información y la gestión de redes.
Departamento de I+D de Taiwan Internet
Secu- rity Solutions y p r o f e s o r
asociado a tiempo parcial de la
Universidad Nacional Chiao Tung
( NCTU) de Taiwán. S e doctoró en 1982. Andrew Ren-Wei Fung obtuvo la
Durante 20 años de carrera en Tecnologías licenciatura y el máster en Gestión de la
de la Información y 10 en Seguridad de la Información en la Escuela Nacional de
Información. Preside el Proyecto Nacional Gestión de la Defensa de Taiwán en 1987
de Implementación de la Protección de y 1995, respectivamente.
Infraestructuras Críticas d e Información Actualmente es doctorando en el Instituto
en la Investigación en Informática y de Gestión de la Información de la
Comunicaciones. Universidad Nacional Chiao Tung
Laboratories/Industrial Technology Research Institute (CCL/ITRI) (NCTU) de Hsinchu (Taiwán). Sus
de Taiwán de enero de 1999 a septiembre de 2000. Trabajó en el intereses de investigación incluyen la
ITRI durante más de 18 años, hasta el verano de 2001. Tiene 9 seguridad de la información y la
patentes en el ámbito de la seguridad de la información. computación paralela.