Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Presentacion NORMA ISO15408

    Cargado por

    Lingua Idiomas Udabol
    1K vistas21 páginas

    Derechos de autor

    © Attribution Non-Commercial (BY-NC)

    Formatos disponibles

    PPTX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Descargue como PPTX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    1K vistas21 páginas

    Presentacion NORMA ISO15408

    Cargado por

    Lingua Idiomas Udabol

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Descargue como PPTX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 21

    Maestría en Seguridad de Tecnologías de la Información

    NORMA ISO “15408”

    DESARROLLO DE APLICACIONES
    Módulo: Seguridad en Desarrollo de Aplicaciones

    Docente: Lic. José Marcial Flores Guerrero

    Maestrantes: Cindy Baez Orozco


    Jorge Bryan Arraya Zavala
    Samir Hoyos Calsina

    2011
    NORMAS INTERNACIONALES

    Seguridad de las aplicaciones y


    Tecnologías de la Información
    ISO - 15408
    INTRODUCCION
    Common Criteria (en adelante CC) con un total de más de 600 páginas
    entre las 3 normas nos plantea una magnitud de información en estudio
    bastante grande.

    El origen de los Criterios Comunes podemos encontrarlo en los criterios


    usados por diferentes países para la evaluación de la seguridad de los
    productos software desarrollados. Los CC combinan criterios de los:

    - TCSEC (del inglés Trusted Computer System Evaluation Criteria)


    frecuentemente conocido como llamado “Libro Naranja” y usados por el
    Departamento de Defensa de EE.UU.

    - ITSEC (del inglés Information Technology Security Evaluation Criteria)


    comúnmente conocido como “Libro Blanco” y utilizados en Europa.

    - CTCPEC (del inglés Canadian Trusted Computer Product Evaluation


    Criteria) utilizados en Canadá.
    INTRODUCCION
    El principal objetivo es poner de acuerdo a clientes, desarrolladores y
    testers sobre qué requisitos de seguridad cumple un determinado
    producto.

    En 1999 los Criterios Comunes en su versión 2.0 fueron adoptados


    por la International Organization for Standardization (ISO)
    como estándar internacional. En la actualidad los CC se encuentran
    estandarizados bajo la serie de normas ISO/IEC 15408 (ISO 15408-
    1,2005), (ISO 15408-2,2008) y (ISO 15408-3,200
    INTRODUCCION
    ¿Cómo se Organiza?
    Bajo las normas ISO 15408-1, ISO 15408-2 e ISO 15408-3 equivalentes a las
    Common Criteria.

    La primera parte de la norma es una introducción y modelo general


    donde se exponen los principales conceptos de esta familia así como las
    bases para la unificación de criterios en la evaluación de seguridad del
    software.

    La segunda parte es un catálogo de componentes que contienen requisitos


    funcionales que se han mostrado eficaces en el cumplimiento de los
    objetivos de seguridad de un PP o un ST.

    La tercera parte expone los componentes que contienen requisitos de


    seguridad para los TOEs. A su vez, esta norma expone los niveles de
    evaluación de seguridad (EALs).
    DESARROLLO
    1. Introducción y modelo general; define conceptos generales y
    principios de evaluación de la seguridad TI y presenta un modelo
    General de Evaluación. (Nivel de Aseguramiento EAL 1-7)

    2. Seguridad de requisitos funcionales; establece un conjunto de


    componentes funcionales como una manera normal de expresar los
    requisitos funcionales por el TOE. (Target of Evaluation)

    3. Requisitos de la convicción de la seguridad; establece un conjunto de


    componentes de la convicción como una manera normal de expresar
    los requisitos de la convicción por el TOE.
    DESARROLLO
    • El múltiple standard ISO/IES 15408 define criterios, que por historia y
    continuidad se refieren a los Criterios Comunes (CC), se usan como base
    para la evaluación de la seguridad de productos y sistemas TI.

    • El CC permitirá equivalencia entre los resultados de la evaluación de la


    seguridad independientes.
    Provee un conjunto de requerimientos para las funciones de seguridad
    de productos y sistemas TI y para las medidas de seguridad aplicadas a
    ellos
    durante la evaluación.
    DESARROLLO
    • El CC es útil como una guía para el desarrollo de productos o sistemas
    con funciones de seguridad de TI y para la obtención de productos
    comerciales y sistemas con funciones altamente complejas y de gran
    confiabilidad.
    Durante la evaluación, un producto o sistema de TI es conocido como un
    Target of Evaluation (TOE).

    • El CC dirige sobre la protección de la información desde el


    descubrimiento de lo no autorización, modificación, o pérdida y uso de
    la misma.

    • CC debido a que ciertos temas que lo envuelven en técnicas altamente


    especializadas o porque no se consideran dentro del alcance de la
    seguridad de las TI, están fuera del alcance del CC. Alguno de estos
    son:
    PROPOSITO
    • CONSUMIDORES: El CC juega un rol importante en
    técnicas de apoyo para la selección de los requisitos de
    seguridad TI y para expresar sus necesidades
    organizacionales. El CC es escrito para asegurar que la
    evaluación satisfaga las necesidades de los consumidores,
    este es el propósito fundamental y la justificación para el
    proceso de evaluación. Los consumidores pueden usar los
    resultados de evaluaciones para ayudar a decidir si un
    producto evaluado o sistema satisface sus necesidades
    de la seguridad.
    PROPOSITO
    • EVALUADORES: El CC contiene criterios para ser usados por
    evaluadores cuando forma juicios sobre la conformidad del TOE sobre
    sus requisitos de la seguridad. El CC describe el conjunto de acciones
    generales que el evaluador llevara a cabo y las funciones de la seguridad
    que ejecutaran estas acciones. Note que el CC no especifica
    procedimientos para llevar esas acciones.

    • OTROS: mientras se orienta el CC hacia especificación y


    evaluación de las propiedades de seguridad TI de TOE, también seria útil
    como material de referencia a otras partes con un interés en la seguridad
    TI o responsabilidad.
    AMBITO DE LA SEGURIDAD
    • Ambiente físico que identifica todo aspecto de la operación del
    ambiente, pertinente a la seguridad del TOE, incluso conocimiento físico
    y personal de la seguridad.

    • Los recursos requieren protección por el TOE, al que requisitos de


    seguridad o políticas se aplicarán; éste incluirá recursos que se refieren
    directamente, tal como archivos y banco de datos, así como recursos que
    están sujetas indirectamente a requisitos de la seguridad, tal como
    credenciales de autorización t aplicación TI.

    • El TOE propone que dirigiría el tipo de producto y el uso deseado de él.


    Investigación de las políticas de seguridad, amenazas y riesgos deben
    permitir ;
    METODOLOGIA DEL COMMON CRITERIA
    • DESARROLLO: El CC no asigna ninguna metodología del
    desarrollo específico o del modelo ciclo de vida. Es esencial que los
    requisitos de la seguridad lo impusieran en el desarrollo TI sea eficaz en
    contribuir con los objetivos de la seguridad de consumidores. A menos
    que se establezcan requisitos satisfactorios al principio del desarrollo del
    proceso, el producto final resultante, sin embargo, puede no reunir los
    objetivos de sus consumidores anticipados. Los requisitos del CC es que
    debe haber suficientes representaciones del diseño, donde se requiera;
    ISO 15408
    CRITERIOS DE EVALUACION DE SEGURIDAD PARA TI
    • Esta basado en el “criterio común” para evaluar productos de TI y sistemas.

    • La función de “criterio común” es una norma para medir la seguridad y


    confiabilidad asociada con un producto.

    • El objetivo es prevenir el acceso no autorizado, modificación o pérdida de uso,


    similar a confidencialidad, integridad y disponibilidad.

    • Fue publicado en 1999 por un consorcio de EE.UU y la ISO Europea, y fue


    autorizado al ISO como ISO/IEC
    15408
    ISO 15408
    • Los usuarios pueden usar la norma para determinar si una aplicación o sistema
    cumple con sus requerimientos.

    • Los diseñadores usan la norma como una guía para diseñar y construir un
    producto.

    • Los evaluadores usan la norma para probar los productos y determinar que
    funcionalidad esta incluida.

    • Pueden evaluarse usando el “criterio común” incluso los sistemas operativos,


    redes, sistemas distribuidos y aplicaciones.
    ISO 15408
    Las 11 clases son:

    • Auditoria de Seguridad
    • Identificación y Autenticación
    • Utilización de los recursos
    • Soporte de Criptografía
    • Administración de Seguridad
    • Control de Acceso
    • Comunicación
    • Privacidad
    • Rutas Seguras (Canales)
    • Protección de datos del Usuario
    • Protección de Funciones de Seguridad.
    ISO 15408
    Los 8 requisitos de confiabilidad son:

    • Administración de la configuración
    • Documentación de los procedimientos
    • Valoración de la vulnerabilidad
    • Entrega y Operación
    • Apoyo al ciclo de vida
    • Mantención de la confiabilidad
    • Desarrollo
    • Pruebas
    NIVELES DE ASEGURAMIENTO (EAL)
    Proporcionan una escala ascendente que permite un balance del nivel de
    seguridad y el costo asociado a lograr dicho nivel. Este se divide en los siguientes
    Niveles de Aseguramiento:

    EAL-1: FUNCIONALMENTE PROBADO: Aplicable en escenarios donde se


    requiera algún nivel de confianza en el correcto funcionamiento del sistema, pero
    no se consideren serias las amenazas a la seguridad.

    EAL-2: ESTRUCTURALMENTE PROBADO: Requiere la cooperación del


    desarrollador para la entrega de información de diseño. Aplicable en situaciones
    donde desarrolladores o usuarios requieren un nivel bajo a moderado de
    seguridad independientemente determinada, cuando no es posible contar con el
    registro completo del diseño.

    EAL-3: METODICAMENTE PROBADO Y CHEQUEADO: Aplicable en los


    casos en que los usuarios o desarrolladores requieren un nivel moderado de
    seguridad independientemente determinada, además de una investigación
    acuciosa del TOE y de su desarrollo, sin reingeniería sustancial.
    NIVELES DE ASEGURAMIENTO (EAL)
    EAL-4: METODICAMENTE DISEÑADO, PROBADO Y REVISADO:
    Nivel de seguridad más alto alcanzable con factibilidad económica de adaptar
    líneas de productos existentes. Aplicable en circunstancias en que se requiere un
    nivel de seguridad moderado a alto, determinado en forma independiente, en
    productos convencionales que necesiten costos de reingeniería específicos de
    seguridad.

    EAL-5: SEMIFORMALMENTE DISEÑADO Y PROBADO: Aplicable cuando


    desarrolladores o usuarios requieren un alto nivel de seguridad
    independientemente determinada, en un desarrollo planificado que demanda
    una aproximación de diseño rigurosa, pero sin incurrir en costos no razonables
    atribuibles a técnicas de seguridad especializadas.

    EAL-6: DISEÑO SEMIFORMALMENTE VERIFICADO Y PROBADO:


    Orientado a generar TOEs de seguridad para proteger recursos de alto valor, ante
    riesgos significativos. Aplicable al desarrollo de productos de seguridad para su
    aplicación en situaciones de alto riesgo, donde el valor de los recursos protegidos
    justifica al costo adicional.
    NIVELES DE ASEGURAMIENTO (EAL)
    EAL-7: DISEÑO FORMALMENTE VERIFICADO Y
    PROBADO: Aplicable al desarrollo de TOEs de seguridad
    para su aplicación en ambientes de riesgo extremo y/o
    cuando el alto valor del recurso protegido justifica el elevado
    costo.
    ISO/IEC IS 15408 Criterios Comunes para la evaluación de la
    seguridad de las tecnologías de la información

    También podría gustarte