Suscríbete a DeepL Pro para poder traducir archivos de mayor tamaño.

Más información disponible en www.DeepL.com/pro.

Computer Standards & Interfaces 26 (2004) 501 - 513

www.elsevier.com/locate/csi

Estudio sobre la evaluación del sistema de gestión de la seguridad

de la información: activos, amenazas y vulnerabilidad
Kwo-Jean Farna,b, *, Shu-Kuo Lina , Andrew Ren-Wei Funga,c
a Instituto de Gestión de la Información, Universidad Nacional Chiao-Tung, 1001 Ta Hsueh Road, Hsinchu 300, Taiwán, ROC
b Internet Security Solutions International Co., Taiwán, ROC
c DCGS de Comunicaciones, Electrónica e Información (J-6), Ministerio de Defensa Nacional, Taiwán, ROC

Recibido el 1 de octubre de 2003; recibido en versión revisada el 11 de marzo de 2004; aceptado el 20 de marzo de 2004
Disponible en línea el 28 de abril de 2004

Resumen

La seguridad de un sistema de información es como una cadena. Su fuerza se ve afectada por el nudo más débil. Puesto
que no podemos alcanzar el 100% de seguridad del Sistema de Gestión de la Seguridad de la Información (SGSI), debemos
cumplir con cautela la certificación y acreditación de la seguridad de la información. En este documento, analizamos,
estudiamos los conocimientos y habilidades de evaluación necesarios para auditar los procedimientos de certificación de los
tres aspectos del SGSI: activo, amenaza y vulnerabilidad.
D 2004 Elsevier B.V. Todos los derechos reservados.

Palabras clave: Certificación; Evaluación; Marco; Sistema de Gestión de la Seguridad de la Información; Proceso Nacional de Certificación y
Acreditación de la Seguridad de la Información

1. Introducción de Banyet Soft Labs en China podría robar y obtener

El Yuan Ejecutivo de la República de China
(Taiwán, ROC) es la unidad administrativa más alta
del país. El Jefe del Yuan Ejecutivo es como un
primer ministro en Francia. El ''Comité de Iniciativa
Nacional de Información y Comunicación'' (NICI)
del Yuan Ejecutivo está promoviendo todas las tareas
relacionadas con la seguridad de la información. Se
ha informado de que el NICI ha prohibido al
gobierno y a las instituciones educativas el uso del
software ''Fluxay''. En el caso de ''Fluxay'', un
* Autor correspondiente. Instituto de Gestión de la
Información, Universidad Nacional Chiao-Tung, 1001 Ta Hsueh
Road, Hsinchu 300, Taiwán, ROC. Tel: +886-3-5712301; fax:
+886-3-5723792.
Dirección de correo electrónico: kuo@iim.nctu.edu.tw (K.-J.
Farn).
información de los usuarios finales de vuelta a China,
lo que causa problemas de seguridad [1]. El diseño de
''Fluxay'' es muy eficiente; utiliza el método de
ataque por diccionario, detectando el puerto
2049(NFS), el puerto 137(NET- BIOS), el puerto
80(WWW), el puerto 79(FINGER), el puerto
43(WHOIS), el puerto 25(SMTP), el puerto 21(FTP
Control), etc. hasta que encuentra la contraseña
correcta, y entonces intrusiona el ordenador
automáticamente. En otras palabras, ''Fluxay'' puede
clasificarse como ''ametralladora automática'' en las
armas tradicionales, similar al ''arma digital'' para el
sistema UNIX de la Tabla 1.1 No hay pruebas claras
de que ''Fluxay'' realmente vaya a buscar la
información de los usuarios finales al sitio web
designado. El 1 de agosto de 2002, el United Daily
Newspaper [2] publicó el titular ''Hackers in China
Attacking, NICI gave Warning''. Noticias similares
0920-5489/$ - see front matter D 2004 Elsevier B.V. Todos los derechos
reservados. doi:10.1016/j.csi.2004.03.012
502 K.-J. Farn et al. / Computer Standards & Interfaces 26 (2004) 501-513

Cuadro 1.1 de seguridad tan seguros como el servicio de la

Evento de investigación sobre la explosión nuclear en la compañía eléctrica, la compañía de agua y las
India en mayo de 1998 Artículo Suceso telecomunicaciones''.
1 En mayo de 1998, un chaval estadounidense de 15 años,
apodado ''t3k-9'', estaba extremadamente enfadado,
posiblemente por razones humanitarias o porque se
lamentaba de la ''pobreza de los pueblos pobres del
Tercer Mundo'' u otras razones desconocidas.
2 t3k-9 se conectó al buscador Infoseek, conectó con ''.in
atomic'' y encontró Bhabha Atomic Research
Center (BARC) de la India; hizo clic en BARC y atacó
con ''John Ripper DES Encryption Cracker'', y en 45 s
t3k-9 se encontró convertido en un usuario legítimo de
BARC.
3 Pocos días después, t3k-9 publicó todo el archivo de
contraseñas (de unos 800 usuarios legítimos) en el canal
de hackers. BARC sufrió cientos de ataques de hackers.

son los siguientes: La Sra. Hsia, portavoz del Partido

de la Coalición de Taiwán, dio una rueda de prensa en
la que indicó que muchos hackers de China
continental habían entrado en sitios web de Taiwán,
como el Foro de Concienciación de Taiwán en e l
sitio web del Partido del Té de Taiwán. A partir del
registro del host, se descubrió que el origen del
hacker podía r a s t r e a r s e hasta el sitio web
del Ayuntamiento de Kaohsiung, Taiwán. Los
incidentes anteriores son en realidad trucos de los
crackers para atacar indirectamente a los usuarios
finales. Desde 1995, estos grupos de hackers han
proporcionado en sus sitios web instrucciones chinas
para buscar los puntos débiles de los usuarios finales
y utilizar las trampillas para romper los sistemas
[3,4]. En Taiwán, mucha gente no ha adquirido el
hábito de una codificación segura de acuerdo con las
normas de la tecnología de seguridad de la
información. Utilizando el ''Fluxay'' y otros
programas de utilidad, entre el 5 y el 10% de los
sitios web de Taiwán sufren intrusiones y los
usuarios no son conscientes de ello.
Se estimó que hay unos 15 fallos en cada 1000
líneas de programa de codificación. Así, en el Win-
dows 2000, que tiene unas 500.000.000.000 líneas de
código, debería haber 750.000 fallos. En enero de
2002, el presidente de Microsoft, Bill Gates, anunció:
''La seguridad y la privacidad de todos los productos
de software son mucho más importantes que
cualquier otra función nueva''. Más tarde, en febrero
de 2002, Microsoft envió a 7.000 programadores de
sistemas a una formación especial sobre seguridad.
La empresa declaró abiertamente: ''El
establecimiento de una guerra de sistemas de
información confidencial'', ''afirmando'' hacer todo lo
posible para proporcionar productos de información
 K.-J. Farn et al. / Computer Standards & 3,
En el futuro, las herramientas de utilidad como
Interfaces 26 (2004)en
basándonos pionero NIACAP503de
501-513
el proyecto
''Fluxay'' seguirán causando problemas de seguridad EE.UU., analizamos el marco del SGSI. Por último,
como en el caso de ''t3k-9'' (Tabla 1.1) en el mundo proponemos algunos conocimientos necesarios
digital. Por eso, la Agencia de Seguridad Nacional
(NSA) insistió en que la auditoría del Sistema de
Gestión de la Seguridad de la Información (SGSI)
debe realizarse en un entorno informático
tecnológicamente seguro [5-9].
En 2003, el NICI había exigido la certificación
para cualquier SGSI. Nuestro gobierno no ha
establecido la autoevaluación del SGSI como el
gobierno estadounidense [5]. El 28 de noviembre de
2000, el Comité de Seguridad, Privacidad e
Infraestructuras Críticas del Instituto Nacional de
Estándares y Tecnología (NIST) propuso un Marco
Federal de Evaluación de la Seguridad de las
Tecnologías de la Información (FITSAF). En el
FITSAF, hay cinco niveles de SGSI [5]. Si el nivel
de SGSI en el FITSAF es inferior a 3, hay más
posibilidades de intrusión por parte de los hackers.
Aunque el registro de auditoría esté completo o
supere la certificación BS 7799-2:2002, el sistema
sigue siendo vulnerable [5-9]. Si nuestro gobierno
también puede hacer la autoevaluación basada en la
autoevaluación de la seguridad, Guide for
Information Technology Systems, NIST SP 800-26,
FITSAF y realizar el Gap Analysis de la seguridad
tecnológica de los sistemas de información, los
resultados serían más valiosos. En 1999 se publicó
formalmente la norma internacional Common
Criteria (CC) para la evaluación de la seguridad de
los productos y sistemas de información. Sin
embargo, con la creciente diversidad de amenazas,
además de la solución en el lado de la ingeniería, se
requiere el establecimiento de una formación
educativa completa, la verificación y validación de
la prueba de penetración, la evaluación de la
seguridad de la certificación y la acreditación, que
son también los objetivos de nivel 4 o nivel 5 en
FITSAF. Especialmente, el 31 de julio de 2002,
cuando NICI emitió la advertencia, tienen que
contar con el ''Test de Penetración'' y la auditoría del
SGSI. De hecho, cómo prevenir estos ataques se
convierte en una piedra angular del establecimiento
del SGSI.
En mayo de 2003, los Comités Técnicos (CT) 11
de la Federación Internacional para el Tratamiento
de la Información (IFIP) celebraron una convención
anual. Los elementos de control y las clases de
protección, así como sus relaciones, se propusieron
como en la Tabla 1.2 [10]. En la Sección 2,
presentamos la guía del Proceso Nacional de
Certificación y Acreditación del Aseguramiento de
la Información de EE.UU. (NIACAP); en la Sección
 504 K.-J. Farn et al. / Computer Standards & Interfaces 26 (2004) 501-513

Cuadro 1.2
Relación entre los elementos de control y las clases de protección con la norma
ISO/IEC 17799:2001(E) ISO/IECClase de protección
17799:2001(E)elementos de control
1. Inadecuado2 . Mínimo3 . Razonable4 . Adecuado
1. Política de seguridad × ×
2. Organización × ×
seguridad
3. Clasificación de los activos × ×
y control
4. Seguridad del personal ×
5. Física y ×
seguridad medioambiental
6. Ordenador y ×
gestión de redes
7. 7. Control de acceso ×
8. 8. Desarrollo del sistema × ×
y mantenimiento
9. 9. Continuidad de las × ×
actividades
gestión
10. Conformidad × ×
Fuente: Eloff, M.M. y J.H.P. Eloff, Sistema de gestión de la seguridad de la información: Processes and Products, SEC 2003, Security and
Privacy in the Age of Uncertainty, pp. 193 - 204, Kluwer Academic Publishers (2003).
En blanco muestra mejorar el elemento de control para los procesos y procedimientos de investigación del SGSI.

y habilidades para la auditoría del SGSI, y sacar operaciones financieras,

algunas conclusiones.

2. Breve presentación del NIACAP estadounidense

El 5 de diciembre de 1990, el Consejo Nacional de

Investigación de Estados Unidos publicó el informe
''Computers at Risk (CAR): Safe Computing in the
Information Age''. Como se indica en la conclusión del
informe [9], los individuos, las entidades
empresariales y los organismos gubernamentales se
encuentran bajo la influencia de largo alcance
impuesta por el sistema de información, ya que la era
global de la información se aproxima sin
restricciones de tiempo y distancia. Como resultado,
los seres humanos tendrán que aceptar el sistema de
información como parte de su vida cotidiana y
depender del continuo avance del sistema de
información. Por ejemplo, el creciente uso de los
sistemas de información no sólo ha cambiado
radicalmente las estructuras organizativas y los
procedimientos operativos, sino que también ha
modificado los métodos de interacción dentro de las
organizaciones. Los procedimientos operativos
existentes dejarían de funcionar y no podrían
restablecer los procedimientos de trabajo anteriores si
el sistema de información funciona mal. El mal
funcionamiento del sistema de información afectará a
las compañías aéreas, al comercio de valores y a las
 K.-J. Farn et al. / Computer Standards & Interfaces 26 (2004) 501-513 505
Por un lado, los servicios médicos y los sistemas de
transporte rápido tienen una enorme influencia en la
seguridad pública, lo que justifica la importancia de
la fiabilidad. Por otra parte, los seres humanos se
benefician de su uso de

Cuadro 2.1
Política nº 11 del Comité de Telecomunicaciones y Sistemas de
Información de Seguridad Nacional de Estados U n i d o s
(NSTISSP nº 11)
Artículo Evento
1 Publicado por el Comité de Sistemas de
Información y Telecomunicaciones de Seguridad
Nacional de Estados Unidos (NSTISSC) de
conformidad con la Directiva de Seguridad
Nacional nº 42 (NSD-42) anunciada en julio de
1990.
2 Antes de anunciar el NSTISSP nº 11, el
NSTISSC anunció el NSTISSAM (Memorando
Consultivo) INFOSEC/1-99 el 3 de marzo de
1999, y el NITISSC
anunció la NSTISSI (Instrucción) nº 1000 del
Proceso Nacional de Certificación y Acreditación de
la Seguridad de la Información (NIACAP).
3 El decreto: (a) A partir del 1 de enero de 2001, la
tecnología de la información de la infraestructura de
la información se ajustará al plan de confirmación
iniciado por el Instituto Nacional de Normas y
Tecnología (NIST). (b) A p a r t i r d e l 1
d e j u l i o d e 2 0 0 2 , las normas
establecidas en (a) serán obligatorias de conformidad
con la Directiva de Decisión Presidencial nº 63
(PDD-63).
Estas publicaciones pueden obtenerse en el Centro de Recursos de
Seguridad Informática del NIST (http://www.csrc.nist.gov).
506 K.-J. Farn et al. / Computer Standards & Interfaces 26 (2004) 501-513
la información. Sin embargo, el sistema de
información dista mucho de ser satisfactorio con
respecto al requisito de seguridad. Irónicamente,
ningún sistema de información puede tolerar los
mínimos defectos o ataques en el momento en que
los servicios públicos, las actividades empresariales y
las personas dependen en gran medida de las
tecnologías de la información menos fiables.
CAR impone una influencia inmediata y de gran
alcance. Basándose en CAR, el Presidente de los
EE.UU. ordenó la implantación de la seguridad de
los sistemas de información como objetivo nacional,
a cargo del Instituto Nacional de Normas y
Tecnología (NIST), responsable de las ''Normas y
orientaciones''. En estrecha colaboración con la
Organización Internacional de Normalización (ISO),
el NIST ha anunciado casi 30 Normas Federales de
Procesamiento de la Información (FIPS),
Orientaciones sobre la Seguridad de los Sistemas de
Información, Orientaciones sobre Planificación y
Gestión de Riesgos en los últimos 10 años. ISO
anunció el CC como el estándar internacional con
respecto a la acreditación de seguridad de la
tecnología de la información de los
productos/sistemas de información en el cambio de
bicentenario (15 de diciembre de 1999) [10],
Fig. 2.1. Guía relacionada con el proceso de certificación y acreditación de la Ley Federal de Gestión de la Seguridad de la Información
(FISMA) de Estados Unidos.
y ha solicitado al gobierno federal estadounidense
que audite internamente el sistema de seguridad y
administración de la información de acuerdo con las
directrices del NIST anunciadas en los últimos 10
años. El sistema de seguridad y administración de la
información se dividió en cinco niveles de acuerdo
con la madurez y la integración de capacidades. La
certificación y acreditación eran esenciales a partir
del tercer nivel. En julio de 2000, el Comité Nacional
de Seguridad de las Telecomunicaciones y los
Sistemas de Información de Estados Unidos
(NSTISSC) anunció los decretos que figuran en la
Tabla 2.1 y solicitó a todos los organismos que
ejecutaran las tareas relacionadas con la certificación
y acreditación técnicas de la información.
Basado en CC y la PUB (Publicación) 140-2
[11] del Federal Information Processing Standard
(FIPS) proclamado el 25 de mayo de 2001, el NIST
anunció el 28 de octubre de 2002 el plan de
certificación y acreditación de tecnologías de la
información que figura en la Tabla 2.1, que se debatirá
públicamente y se aplicará en la primavera de este
año. Los documentos de orientación se muestran en la
Fig.
2.1 [12] cuyo contenido figura en la Tabla 2.2 [5-14].
Fig.
 K.-J. Farn et al. / Computer Standards & Interfaces 26 (2004) 501-513 507

Cuadro 2.2 la garantía del SGSI que van desde la defensa nacional
Proceso Nacional de Certificación y Acreditación de la Seguridad telecommu-.
de la Información (NIACAP) del Gobierno Federal de EE.UU.
Contenido de ItemProcess
1 Fase de
iniciación:
(a) Preparación
(b) Notificación e identificación de recursos
(c) Análisis, actualización y aceptación del plan de
seguridad
2 Fase de certificación de seguridad:
(a) Verificación del control de seguridad
(b) Documentación de certificación de seguridad
3 Fase de acreditación de seguridad:
(a) Decisión sobre la acreditación de seguridad
(b) Documentación de acreditación de seguridad
4 Fase de vigilancia continua:
(a) Gestión y control de la configuración
(b) Verificación continua de los controles de
seguridad
(c) Informes de situación y documentación
Basado en (a) U.S. National Security Telecommunications and
Information Systems Security Instruction (NSTISSI) No. 1000,
anunciada por el U.S. National Security Telecommunications and
Information Systems Security Committee (NSTISSC) en abril de
2000, y (b) Federal Information Security Management Act
(FISMA) anunciada en diciembre de 2002.

2.2 ilustra la relación entre la Publicación Especial

800-37 del NIST [7] y otras publicaciones especiales
que apoyan el proceso C&A. Estas publicaciones
pueden obtenerse en el Centro de Recursos de
Seguridad Informática del NIST
(http://www.csrc.nist.gov). El proceso de C&A se
muestra en la Tabla 2.3 con el contenido del proceso
mostrado en la Fig. 2.2.
Según el documento que EE.UU. ha anunciado,
NIACAP realiza la certificación de producto
(/sistema/servicio) hacia el proceso de seguridad de
la información a través de CC 2.1 y FIPS PUB 140-
2. También trabaja en la certificación hacia sistemas
de tecnología de la información sobre la base de
ISO/IEC 17799. También trabaja en la certificación
de los sistemas de tecnología de la información sobre
la base de la norma ISO/IEC 17799. La etapa de
certificación es responsable de si la gestión del riesgo
residual, aceptada por estos tres procesos de
certificación, es razonable [7].

3. Evaluación del SGSI

La reducción de riesgos es el objetivo del

mecanismo de protección del SGSI, como se muestra
en la Fig. 3.1 [15]. Con el fin de lograr el SGSI, ya en
1998, NIACAP inició un proyecto piloto, que logró
 508 K.-J. Farn et al. / Computer Standardsla
& Interfaces
reducción 26 de
(2004) 501-513
la posibilidad
de vulnerabilidad, y la
nicación, para financiar infraestructuras, etc., como
se muestra en la Fig. 2.2. El cuadro 3.1 ilustra las reducción de la probabilidad de exposición de los
entradas y salidas de cada etapa. La infraestructura activos del SGSI, construimos un SGSI sólido.
de telecomunicaciones de Estados Unidos es un
buen ejemplo. La Administración Federal de
Aviación (FAA) se fundó en 1958 y se incorporó al
Departamento de Transporte (DoT) en 1967. El 21
de febrero de 1996, la FAA, de acuerdo con las
Directrices para la Certificación y Acreditación de
la Seguridad Informática elaboradas por el NIST el
29 de septiembre de 1983, anunció los requisitos de
la FAA en materia de sistemas automáticos de
información y funciones de seguridad de las
comunicaciones, y también exigió la garantía de la
información, tal como se describe en la Fig. 3.2. En
mayo de 1998, la FAA desarrolló la garantía de
formación de la Infraestructura de
Telecomunicaciones de la FAA (FTI) para la
propia FAA, tal y como se describe en la Fig. 3.2 y
el alcance de los Servicios de Seguridad de la FTI
descritos en la Fig. 3.3. En septiembre de 2000, la
versión 1 de las directrices de seguridad de la FTI
incorporó los conceptos de Servicio de Seguridad
Básico y Servicio de Seguridad Mejorado y el
modelo de evaluación SGSI ISO/IEC 21827, que
combina tanto el CC como el Modelo de Madurez
de la Capacidad de Ingeniería de Seguridad del
Sistema (SSE-CMM) [5-19].
Basándose en las relaciones entre el activo, la
amenaza y la vulnerabilidad mostradas en la Fig.
3.1, CC ha propuesto la relación de los objetivos de
seguridad para el TOE (Target of Evaluation) y los
requisitos funcionales de seguridad en la Fig. 3.4.
Los requisitos funcionales de seguridad y los
requisitos de garantía de seguridad pueden
proporcionar las protecciones adecuadas para la
vulnerabilidad y la amenaza del SGSI. En cuanto al
entorno operativo, el CC puede, bajo ciertas
premisas, cumplir con el requisito de protección de
las políticas de seguridad de la organización
[10,12,20], y combina los requisitos de control de
activos de información en BS 7799-2:2002 [21],
propusimos el marco del SGSI en la Fig. 3.5, y la
especificación del TOE en la Fig. 3.6. Enfatizamos
respectivamente la gestión de la debilidad de la
operación de los activos de información, la gestión
de la configuración de la debilidad de las amenazas
del sistema de información. También hacemos
hincapié en la precisión de la función de la
debilidad de la vulnerabilidad de la información.
Las partes principales de la especificación del
resumen TOE se ilustran en la Fig. 3.6. Basándonos
en el CC y a través de un mecanismo de protección
adecuado, la reducción de las amenazas del SGSI,
 K.-J. Farn et al. / Computer Standards & Interfaces 26 (2004) 501-513 509

Fig. 2.2. Procedimiento de garantía del proceso de seguridad informática nacional de Estados Unidos.

El propósito de NIACAP es alcanzar el objetivo mación garantizando su disponibilidad, integridad,

d e Aseguramiento de la Información: Operaciones autenticación, confidencialidad y no repudio.
de Información (IO) que protejan y defiendan la Esto incluye la restauración
información y la infor-

Cuadro 2.3
Ámbito de aplicación de las normas relativas al marco de garantía de la seguridad informática [13]
Fase Diseño/Implantación Integración/Verificación Desarrollo/Transición Operación
Acérquese a
Producto [/sistema/servicio] ISO/IEC 14598 PT
ISO/IEC 15288 ISO/IEC 15288 ISO/IEC 15288 ISO/IEC 15288
ISO/IEC 15408 ISO/IEC 15408 ISO/IEC 15408 ISO/IEC 15408
Proceso ISO/IEC 21827 ISO/IEC 21827 ISO/IEC 21827 ISO/IEC 21827
ISO/IEC TR 5504 ISO/IEC TR 15504 ISO/IEC TR 15504 ISO/IEC TR 15504
ISO/IEC TR 13335 ISO/IEC TR 13335 ISO/IEC TR 13335
ISO/CEI 17799
Medio ambiente ISO 9000 ISO 9000 ISO 9000 ISO 9000
[/Organización/Personal] CISSP CISSP CISSP CISSP
Profesional certificado en seguridad de sistemas de información
(CISSP). Pruebas de penetración (PT).
 510 K.-J. Farn et al. / Computer Standards & Interfaces 26 (2004) 501-513

Fig. 3.1. Flujograma y relación de los componentes de riesgo del SGSI (ISO/IEC TR 13335-1). Nota: Punto de Prestación de
Servicios (PPS).

de los sistemas de información mediante la objetivo de evaluación (TOE) de la tecnología de la

incorporación de capacidades de protección, información y el objetivo de seguridad del entorno en
detección y reacción. Debido al riesgo de desarrollo, como se muestra en la Fig. 3.4. NIACAP
vulnerabilidad, amenaza de exposición a debilidades incorpora la certifi- cación del sistema de gestión de
existente en el ciclo de vida de la información y de la seguridad de la información
los sistemas de información, CC [22] de la norma BS 7799-2:2002, como se indica en
2.1 puede proporcionar el requisito de certificación de la Fig. 3.5 y la Fig. 3.6, y es probable que establezca
el proceso de evaluación de la integridad de las TI y
el mecanismo de certificación de la gestión de la
Cuadro 3.1
Descripción del ciclo de vida de los Criterios Comunes para los seguridad de los sistemas de información, como se
Sistemas de Información ilustra en la Fig. 3.7.
Etapa del ciclo de Acción de trabajo adicional CC
vida del sistema de (Nota: ISO/IEC 15408 también
información significa CC)
Análisis de requisitos (a) PP (Perfil de protección) 4. Conclusión
(b) APE (Assurance PP
Evaluation)Diseño (fase de definición) (a) ST (Security Con el rápido desarrollo de la tecnología de la
Target) información, los ordenadores personales, las
(b) ASE (Assurance ST Evaluation) telecomunicaciones y la tecnología de la información, la
sociedad de la información se ha convertido en una de las
industrias más dinámicas del mundo.
Desarrollo (a) TOE (Target of Evaluation) Internet permite acceder a la información desde
(Fase de
verificación) (b) Garantía de gestión de la
cualquier lugar y en cualquier momento. Aunque la
configuración mayoría de la gente adquiere la información
(c) Garantía de entrega y legalmente, algunos piratas informáticos han
revolución intentado saltarse la laguna de seguridad y atacar los
sistemas informáticos. El ataque puede provenir de
Verificar ( fase de verificación) a) Garantía de las pruebas (b) Garantía de evaluación de la
(b) Garantía de evaluación de la vulnerabilidad
vulnerabilidad
Criterios Comunes (CC): Criterios comunes para la evaluación de la
Confirmar (Fase de validación) (a) Entregado y Revolución
seguridad de la tecnología d e la información.
Garantía
(b) Archivo de texto de orientación
Garantía de funcionamiento y mantenimiento (a) Garantía de apoyo
al ciclo de vida
(Fase de acreditación)
 K.-J. Farn et al. / Computer Standards & Interfaces 26 (2004) 501-513 511
ya sea a organizaciones externas o internas. El
ataque puede ser de denegación de servicio (DoS) o
dañar gravemente todo el sistema. El concepto de
seguridad de la información se ha convertido en un
gran problema para todo el mundo.
El objetivo del SGSI es garantizar la
recopilación legal de recursos de información y
proporcionar un funcionamiento completo e
ininterrumpido del sistema de información, incluso
en caso de intrusión. El diseño, la implantación y el
funcionamiento del SGSI deben pre
512 K.-J. Farn et al. / Computer Standards & Interfaces 26 (2004) 501-513

Fig. 3.2. Arquitectura funcional de la Infraestructura de Telecomunicaciones de la FAA (FTI).

Fig. 3.3. Alcance de los servicios de seguridad de la infraestructura de telecomunicaciones de la FAA (FTI).
 K.-J. Farn et al. / Computer Standards & Interfaces 26 (2004) 501-513 513

Fig. 3.4. Relación entre objetivos y requisitos de seguridad.

evitar que el hardware, el software y los datos de los
usuarios se vean amenazados externa e internamente.
El ámbito puede abarcar desde el mecanismo de
gestión de claves hasta el complicado mecanismo de
control de acceso.
A la hora de tratar estos mecanismos, debe tenerse en
cuenta la Gestión de Riesgos. La gestión de riesgos
también incluye el equilibrio entre la vulnerabilidad y
la amenaza [23].

Fig. 3.5. Marco del Sistema de Gestión de la Seguridad de la Información (SGSI).

514 K.-J. Farn et al. / Computer Standards & Interfaces 26 (2004) 501-513

Fig. 3.6. Especificación resumida del Objetivo de Evaluación (OE) del SGSI.

Fig. 3.7. Funcionamiento del mecanismo de certificación de la seguridad de los sistemas de información.
 K.-J. Farn et al. / Computer Standards & Interfaces 26 (2004) 501-513
Cuadro 4.1
Se han anunciado las listas de ISO/IEC JTC1/SC27 WG3
(Evaluación de la seguridad) y se está trabajando en planes
1. ISO/IEC 15292 (2001-12-15): Procedimientos
de registro de perfiles de protección.
2. ISO/IEC 15408 (1999-12-01): Criterios de
evaluación de la seguridad informática.
3. ISO/IEC TR 15443 (PDTR): Marco para la
Garantía de la Seguridad de las TI.
4. ISO/IEC TR 15446 (PDTR): Guía para la producción
de Perfiles de Protección y Objetivos de Seguridad (Guía PPST).
5. ISO 18045 (WD): Metodología para la
evaluación de la seguridad informática (CEM).
6. ISO/IEC 19790 (WD): Requisitos de seguridad
para módulos criptográficos .
7. ISO/IEC 19791 (WD): Evaluación de la
seguridad de los sistemas operativos.
8. ISO/IEC 19792 (WD): Marco para la evaluación y
comprobación de la seguridad de la tecnología biométrica
(SETBIT).
9. ISO/IEC 21827 (2002-10-01): Systems Security
Engineering-Capability Maturity Model (SSE-CMM).
Proteger la seguridad de los activos de
información se considera un acuerdo común entre los
países civilizados modernos y el cultivo
indispensable de países, sociedades y ciudadanos
democráticos. Sin embargo, la naturaleza humana no
siempre es buena, y es habitual que sus guardianes se
inmiscuyan en la seguridad del activo. La gestión de
la seguridad de la información no sólo está
relacionada con la ''seguridad pública'', sino que
también tiene en cuenta los niveles de la organización,
los intrusos malintencionados y los ladrones dentro
de la empresa.
consideración. En comparación con el medio
ambiente man-
sistema de gestión de la seguridad y el saneamiento
de la industria, su certificación es mucho más difícil.
Es necesario estudiar y debatir a fondo las cuestiones
relativas a la certificación de los sistemas de gestión
de la seguridad de la información.
La Organización Internacional de Normalización
(ISO) contaba con el apoyo de la Organización
Alemana de Normalización desde 1983. Se separó
del Grupo de Trabajo de Cifrado de Datos de la ISO
n.º 97.
Comité Técnico (CT) y se convirtió en el vigésimo
único Subcomité (SC). Se denomina formalmente
Técnicas Criptográficas de Datos de
ISO/TC97/SC20, y comienza con la formulación de
la normalización internacional de la tecnología de
seguridad de la información. En 1989, la ISO y la
515
ISO/IECJTC/SC27. A partir de 1990,
ISO/IECJTC/SC27
comenzó a establecer la normalización internacional
de la certificación de la seguridad de la información.
El 15 de noviembre de 1999, proclamó la norma
ISO/IEC 15408 como paradigma de la evaluación de
la seguridad informática. También anunció la
ISO/IEC 17799 como guía para establecer un sistema
de gestión de la seguridad de la información el 1 de
diciembre de 2000. En el Cuadro 4.1 se enumeran las
normas pertinentes que se h a n anunciado y en las
que se ha trabajado. ISO/IEC 19791 es la norma de
evaluación de la seguridad del entorno operativo,
como se muestra en la Fig. 3.4 [25-27]. En este
documento, proponemos el mecanismo de
certificación de la seguridad de los sistemas de
información que se indica en la Fig. 3.7, con la
esperanza de cumplir el objetivo de la norma
ISO/IEC 1 9 7 9 1 .
En la década de 1990, las civilizaciones del
planeta han experimentado grandes cambios, se ha
acordado y normalizado la gestión de la calidad, el
medio ambiente y el saneamiento de la seguridad
industrial. Al mismo tiempo, la normalización
nacional ha afectado al desarrollo económico de
muchos países, así como a la forma de gestión de las
organizaciones. La obediencia de las normas ISO de
calidad y medio ambiente es la mejor prueba de ello.
Las normas ISO relacionadas con la seguridad de la
información han sido sucesivamente an-
Cuadro 4.2
Descripción del curso de auditoría del SGSI
El curso ISO/IEC TR 13335 (todas las
partes)dar lecciones debería ser ISO/IEC 21827
contiene normas, leyes 3. ISO/IEC 17799 (CNS 17799)
y reglamentos.
4. BS 7799-2: 2002 (CNS 17800)
5. ISO 19011
6. ISO/IEC 15408 (todas las partes)
7. ISO/IEC TR 15504 (todas las
partes)
8. ISO 13491 (todas las partes)
9. Leyes relacionadas con la
seguridad de la información (.. .,
Ley de Firma Electrónica, Ley
de Supervisión de la Protección
de las Comunicaciones, Ley de
Información Pública et al.)
Comisión Electrotécnica Internacional (CEI) cooperan
para crear el Subcomité de Técnicas de Seguridad (ST)
de la Tecnología de la Información ( TI) de la ISO.
 516
Duración mínima del K.-J. Farn
curso56 h et al. / Computer Standards & Interfaces 26 (2004) 501-513
Tareas de ejercicio1 . Todos los días al menos una vez.
2. Un grupo contiene
cinco personas.
3. Un breve debate
d e 60 min.
PruebasCada vez 2 h, en total 4 h.La
cantidad de curso .12- 20 (2 instructores)
2. 6 - 10 (1 instructor)
 K.-J. Farn et al. / Computer Standards & Interfaces 26 (2004) 501-513
de la UE, como ISO/IEC 15408, ISO/IEC 17799 e
ISO/IEC 21827 (SSE-CMM). Si se aplican
correctamente, serán útiles para el cultivo de la
cultura de la seguridad digital en Taiwán.
La seguridad de un sistema de información es
como una cadena. Su fuerza se ve afectada por el
nudo más débil. La descripción del curso de auditoría
del SGSI que se menciona aquí se basa en la Tabla
2.3 y la Fig. 3.7, con la referencia del Sistema de
Gestión de la Seguridad de la Información (SGSI)
anunciado por el Registro Internacional de Auditores
Certificados (IRCA) en Gran Bretaña [24]. Esta
descripción del curso de auditoría del SGSI en la Tabla
4.2 se espera que realice la auditoría de certificación
del SGSI y sea la base de los conocimientos y
habilidades indispensables que requiere la auditoría
del SGSI, como se ilustra en la Fig. 3.7.
El gran uso de componentes comerciales para
construir el sistema de información es inevitable. A
la hora de integrar el software, el hardware, las tele-
comunicaciones y los sistemas de aplicación
antiguos, nuevos y futuros, e s esencial saber cómo
garantizar que las empresas contratantes puedan
cumplir las normas de seguridad. Por lo tanto, el
personal de auditoría para la certificación del SGSI
debe tener conocimientos y experiencia en CC, SSE-
CMM e ISO/IEC 17799, etc. durante la realización
de la evaluación de riesgos.
Agradecimientos
Los autores desean expresar su agradecimiento a
los revisores anónimos por sus valiosas sugerencias.
Referencias
[1] M.-S. Cai, D.-Z. Wang, P.-H. Wang, Liberty Times (28 de
mayo de 2003) 1 (Taipei).
[2] Y.-X. Chen, United Daily (1 de agosto de 2002) 8 (Taipei).
[3] X. Yan, Technology of Mainland China Hackers, Song-Gang
Computer Publication Publishes, Taipei, Taiwán, 2000.
[4] H.-M. Lin y H.-Z. Qin, United Daily, 21 de julio de 2002, p. 6,
Taipei and Kaohsiung's City Online Report (2002).
[5] M. Swanson, Security self-assessment guide for information
technology systems, NIST SP 800-26, NIST, 2001.
[6] NSA (Agencia de Seguridad Nacional), Information Assurance
Tech- nical Framework, Version 3.1, 2002,
http://www.iatf.net.
[7] R. Ross, M. Swanson, Guide for the security certification and
accreditation of federal information systems, NIST SP 800-37,
NIST, pp. 1 - 62 (2003).
517
[8] NSTISSC (National Security Telecommunications and
Information System Security Committee), National
Information Assurance Certification and Accreditation Process
(NIACAP), NSTISSC, 2000.
[9] F.B. Schneider, et al., Trust in Cyberspace, National
Academy Press, Washington, EE.UU., 1999.
[10] ISO (Organización Internacional de Normalización), Informa-
tion technology-Security techniques-Evaluation criteria for IT
security (All parts), ISO/IEC 15408: 1999(E), ISO, 1999.
[11] NIST (National Institute of Standards and Technology),
Secu- rity requirements for cryptographic modules, FIPS
PUB 140- 2, NIST, 2001.
[12] S. Katzke, Protecting federal information systems and
n e t w o r k s , Presentación de la 4ª Conferencia
Internacional sobre Cri- teria Común, Estocolmo Suecia,
2003 Sept. 7 - 9.
[13] ISO/IEC JTC1/SC27, Information Technology-Security
Techniques-A Framework for IT Security Assurance (All
Parts), ISO/IEC 15443, ISO/IEC JTC1/SC27 N3592, N3605,
and N3614, 2003.
[14] FAA (Federal Aviation Administration) FTI (Telecommunica-
tions Infrastructure) Program Documents, http://www.faa.gov/
programs/fti/main.htm..
[15] ISO (Organización Internacional de Normalización), Infor-
mation technology-guidelines for the management of IT
security-Part 1: concepts and models for IT security, ISO,
1996.
[16] NBS (National Bureau of Standards), Guideline for computer
security certification and accreditation, FIPS (Federal Informa-
tion Processing Standards), PUB (Publication) vol. 102,
NBS, Gaithersburg, MD, USA, 1983.
[17] M.D. Abrams, P.J. Brusil, Application of the common
criteria to a system: a real-world example, Computer
Security Journal 16 (2) (2000) 11 - 21.
[18] D. Herman, S. Keith, Aplicación de los criterios comunes a
un sistema: estudio de un caso, Computer Security Journal
17 (2) (2001) 21 - 28.
[19] SSE-CMM (System Security Engineering Capability Maturity
Model), Documentos de programa, http://www.sse-cmm.org.
[20] D.J. Out, How to write useful security targets, Presentación
de la 4ª Conferencia sobre Criterios Comunes de Información,
Estocolmo, Suecia, 2003 Sept. 7 - 9.
[21] K.-J. Farn, et al., A study on the certification of the informa-
tion security management systems, Computer Standards and
Interfaces 25 (5) (2003) 447 - 461.
[22] ISO/IEC JTC1/SC27, Information technology-Security tech-
niques-Security assessment of operational systems, ISO/IEC
19791, ISO/IEC JTC1/SC27 N3596, 2003.
[23] R.J. Ellison, et al., Survivable network system analysis: a
case study, IEEE Software 16 (4) (1999) 70 - 77.
[24] IRCA (Registro Internacional de Auditores Certificados),
Pro- gram Documents,
http://www.irca.org/auditortrain/auditor- train_2_1.html.
[25] M. Ohlin, Common criteria-related activities within Interna-
tional Standardization in JTC1/SC27, Presentación de la 4ª
Conferencia sobre Criterios Comunes de Información,
Estocolmo, Suecia, 2003 Sept. 7 - 9.
[26] S. Katzke, Los años de los criterios comunes (CC) (1993 -
2008):
 518 K.-J. Farn et al. / Computer Standards & Interfaces 26 (2004) 501-513

looking back and ahead, Presentación de la 4ª Conferencia Shu-Kuo Lin se licenció en Gestión de la
sobre Criterios Comunes de Información, Estocolmo, Suecia, Información por la Universidad Tam
2003 Sept. 7 - 9. Kang de Taiwán en 2000. Actualmente
[27] M. Ahlbin, P. Ronn, Implementation of an ISMS in the e s doctorando del Instituto de Gestión
National Tax Board of Sweden, Presentación de la 4ª de la Información de la Universidad
Conferencia sobre Criterios Comunes de Información, Nacional Chiao Tung de Hsinchu
Estocolmo, Suecia, 2003 Sept. 7 - 9. (Taiwán). Sus intereses de investigación
incluyen la s e g u r i d a d de la
Kwo-Jean Farn es vicepresidente del información y la gestión de redes.
Departamento de I+D de Taiwan Internet
Secu- rity Solutions y p r o f e s o r
asociado a tiempo parcial de la
Universidad Nacional Chiao Tung
( NCTU) de Taiwán. S e doctoró en 1982. Andrew Ren-Wei Fung obtuvo la
Durante 20 años de carrera en Tecnologías licenciatura y el máster en Gestión de la
de la Información y 10 en Seguridad de la Información en la Escuela Nacional de
Información. Preside el Proyecto Nacional Gestión de la Defensa de Taiwán en 1987
de Implementación de la Protección de y 1995, respectivamente.
Infraestructuras Críticas d e Información Actualmente es doctorando en el Instituto
en la Investigación en Informática y de Gestión de la Información de la
Comunicaciones. Universidad Nacional Chiao Tung
Laboratories/Industrial Technology Research Institute (CCL/ITRI) (NCTU) de Hsinchu (Taiwán). Sus
de Taiwán de enero de 1999 a septiembre de 2000. Trabajó en el intereses de investigación incluyen la
ITRI durante más de 18 años, hasta el verano de 2001. Tiene 9 seguridad de la información y la
patentes en el ámbito de la seguridad de la información. computación paralela.