Universidad Autónoma De Nuevo León

Facultad de Ingenieria Mecanica y Electrica

Seguridad de la Información

Actividad 2:
Resumen Estándares y Certificaciones

Docente: Ing. José Luis Torres Garza

Nombre: Hugo Daniel Cano Bañuelos

Matricula: 0797415

Hora: V4 – V6 (martes)
Aula: 4207

San Nicolás de los Garza, Nuevo León

Marzo de 2017.
 ESTANDARES DE SEGURIDAD

Los estándares de seguridad son una herramienta que apoya la gestión de la seguridad
informática, ya que los ambientes cada vez más complejos requieren de modelos que administren
las tecnologías de manera integral, sin embargo, existen distintos modelos aplicables en la
administración de la seguridad.

Podemos considerar los estándares de seguridad existen al menos 3 razones que justifican su
desarrollo e implementación:

• Suministrar normas de seguridad a los fabricantes de productos: los estándares permiten

establecer una serie de orientaciones para el desarrollo de nuevos productos.

• Definir métricas de evaluación, de certificación y de acreditación, aplicadas tanto a

procesos como a técnicas de gestión y al desarrollo y comercialización de productos y
servicios.

• Transmitir la confianza necesaria a los usuarios y consumidores: así, por una parte, los
usuarios pueden comprar sus requerimientos específicos de seguridad frente a lo
establecido en distintos estándares para poder determinar cuál es el nivel de seguridad
que necesitan y, en consecuencia, que características o atributos deberían exigir a los
productos o servicios que vayan a adquirir.

La certificación es el proceso que permite determinar la capacidad de un determinado producto

para proteger la información de acuerdo a unos criterios establecidos.

Mediante el proceso de certificación se puede confirmar de forma independientemente la validez

de los resultados y conclusiones de la evaluación previa, y si esta evaluación se ha llevado a cabo
de acuerdo con el procedimiento establecido.

De acuerdo con algunos expertos se pueden distinguir cuatro tipos de certificaciones:

  Certificación de la Seguridad de las Tecnologías de la Información.

  Certificación de la Seguridad Criptológica.
 Certificación de la Seguridad Física.

 Certificación de la Seguridad de Emanaciones Radioeléctricas (según la normativa
TEMPEST).

ORGANISMOS RESPONSABLES DE LA ESTANDARIZACION

Los principales organismos responsables de la elaboración de estándares a nivel internacional son,

por una parte, la Comisión Electrotécnica Internacional (IEC), responsable de la elaboración de
normas sobre electrotécnica y electrónica, y por otra parte, la Organización Internacional de
Normalización (ISO), responsable de la estandarización en el resto de los sectores de actividad.
Tanto la ISO como la IEC comparten la responsabilidad de la elaboración de normas relativas a las
Tecnologías de la Información y la Comunicación (TICs).

Los documentos elaborados por ISO/IEC son, principalmente, de dos tipos:

Página 1
 • Norma Internacional (ISO/IEC): norma elaborada por los miembros participantes en un
comité técnico, subcomité o grupo de trabajo y aprobada por votación entre todos los
participantes.

• Informe Técnico (TR): documento técnico elaborado para informar sobre los progresos
técnicos de un tema determinado, dar recomendaciones sobre la ejecución de un trabajo
y facilitar información y datos distintos a los que generalmente están contenidos en una
norma.

Standards Trusted Computer Security Evaluation Criteria. TCSEC.

El Departamento de Defensa de los Estados Unidos por los años 80’s (1983-1985) publica una serie
de documentos denominados Serie Arco iris (Rainbow Series).. Se definen siete conjuntos de
criterios de evaluación denominados clases (D, C1, C2, B1, B2, B3 y A1). Cada clase de criterios
cubre cuatro aspectos de la evaluación: política de seguridad, imputabilidad, aseguramiento y
documentación. Los criterios correspondientes a estas cuatro áreas van ganando en detalle de una
clase a otra, constituyendo una jerarquía en la que D es el nivel más bajo y A1 él más elevado.
Todas las clases incluyen requisitos tanto de funcionalidad como de confianza.

 Nivel D (Protección mínima): Sin seguridad, está reservada para sistemas que han sido
evaluados y no cumplen con ninguna especificación de seguridad.

 Nivel C1 (Protección Discrecional): Se requiere identificación de usuarios que permite el
acceso a distinta información. Cada usuario puede manejar su información privada y se hace la
distinción entre los usuarios y el administrador del sistema, quien tiene control total de
acceso.

 Nivel C2 (Protección de Acceso Controlado): Este nivel fue diseñado para solucionar las
debilidades del C1. Cuenta con características adicionales que crean un ambiente de acceso
controlado. Se debe llevar una auditoria de accesos e intentos fallidos de acceso a objetos.
Tiene la capacidad de restringir aún más el que los usuarios ejecuten ciertos comandos o
tengan acceso a ciertos archivos, permitir o denegar datos a usuarios en concreto, con base no
sólo en los permisos, sino también en los niveles de autorización.

 Nivel B1 (Seguridad Etiquetada): Soporta seguridad multinivel, como la secreta y ultra
secreta. Se establece que el dueño del archivo no puede modificar los permisos de un objeto
que está bajo control de acceso obligatorio. A cada objeto del sistema (usuario, dato, etc.) se
le asigna una etiqueta, con un nivel de seguridad jerárquico (alto secreto, secreto, reservado,
etc.) y con unas categorías (contabilidad, nóminas, ventas, etc.). Cada usuario que accede a un
objeto debe poseer un permiso expreso para hacerlo y viceversa. Es decir que cada usuario
tiene sus objetos asociados. También se establecen controles para limitar la propagación de
derecho de accesos a los distintos objetos.

 Nivel B2 (Protección Estructurada): La Protección Estructurada es la primera que empieza a
referirse al problema de un objeto a un nivel más elevado de seguridad en comunicación con
otro objeto a un nivel inferior. Así, un disco rígido será etiquetado por almacenar archivos que

Página 2
 son accedidos por distintos usuarios. El sistema es capaz de alertar a los usuarios si sus
condiciones de accesibilidad y seguridad son modificadas; y el administrador es el encargado
de fijar los canales de almacenamiento y ancho de banda a utilizar por los demás usuarios.

 Nivel B3 (Dominios de seguridad): Este nivel requiere que la Terminal del usuario se conecte
al sistema por medio de una conexión segura. Además, cada usuario tiene asignado los lugares
y objetos a los que puede acceder. Existe un monitor de referencia que recibe las peticiones
de acceso de cada usuario y las permite o las deniega según las políticas de acceso que se
hayan definido.

 Nivel A1 (Protección verificada): Es el nivel más elevado, incluye un proceso de diseño, control
y verificación, mediante métodos formales (matemáticos) para asegurar todos los procesos
que realiza un usuario sobre el sistema. Para llegar a este nivel de seguridad, todos los
componentes de los niveles inferiores deben incluirse. El diseño requiere ser verificado de
forma matemática y también se deben realizar análisis de canales encubiertos y de
distribución confiable. El software y el hardware son protegidos para evitar infiltraciones ante
traslados o movimientos del equipamiento.

FEDERAL CRITERIA

Se trata de una evolución de TCSEC presentada en 1992.

FISCAM: FEDERAL INFORMATION SYSTEMS CONTROL AUDIT MANUAL

Estándar de auditoría y control de la seguridad de los sistemas de información federales

desarrollado de la oficina de contabilidad general de Estados Unidos.

NIST SP 800

Estándar para la certificación de sistemas basados en las tecnologías de información, que ha sido
desarrollado por el NIST (National institute for standards and technology, Instituto nacional de
estándares y tecnología), un organismo que depende del departamento de comercio de Estados
Unidos.

ESTANDARES INTERNACIONALES

Los principales estándares relacionados con la seguridad de la información y la certificación de los

productos tecnológicos han sido desarrollados por la ISO y el IEC. Seguidamente se presenta una
relación de los estándares más conocidos a nivel internacional:

• ISO/IEC 13335: (Directrices para la gestión de la seguridad), es un estándar que define un

marco de referencia para las técnicas de gestión de riesgos y los criterios de selección de
medidas de seguridad o salvaguardas en los sistemas y redes informáticas.

• ISO/IEC 15408: Criterios comunes para la evaluación de determinados productos de

seguridad, facilitando de este modo el proceso de certificación de los niveles y servicios de
seguridad que pueden proporcionar estos productos.

Página 3
 • ISM3: (Modelo de madurez de la gestión de la seguridad de la información), nuevo
estándar que se estructura en distintos “niveles de madurez” para facilitar su implantación
progresiva en las organizaciones.

• COBIT: requerimientos de seguridad establecidos por la ISACA (Asociación para el control

y la auditoria de los sistemas de información.

ISO/IEC 15408: COMMON CRITERIA

ISO/IEC 15408 es el estándar que define una serie de criterios de evaluación unificados y
ampliamente aceptados a nivel internacional para poder evaluar la seguridad de los productos
tecnológicos, conocidos como criterios comunes. Este estándar surge como el resultado de una
laboriosa e intensa negociación entre países para obtener un acuerdo de reconocimiento mutuo
de las certificaciones de seguridad de productos tecnológicos, llevada a cabo por un grupo de 14
países entre los que figura España.

En este estándar se definen los siguientes conceptos aplicados a la seguridad de los productos:

• Perfil de protección: es el conjunto de requisitos de seguridad que cumple unas

necesidades específicas y que es independiente de la implementación. Se corresponde,
por lo tanto, con los requisitos de los usuarios del producto o sistemas.

• Declaración de seguridad: conjunto de requisitos y especificaciones de seguridad de un

producto o sistema informático que será utilizado como punto de partida para su
evaluación.

• Objeto a evaluar: producto o sistema informático, con su documentación de usuario y

administrador asociada, que se somete a una evaluación y cuyas características de
seguridad se describen de forma especifica en una declaración de seguridad.

En el estándar ISO/IEC 15408 se establece una organización jerárquica de los requisitos de

seguridad de los distintos productos y sistemas:

• Los elementos representan la expresión de mas bajo nivel de un requisito de seguridad

que es indivisible y que puede verificarse en la evaluación.

• Los componentes están formados por los requisitos de seguridad que constituyen el
conjunto más pequeño que puede seleccionarse para su inclusión en un paquete.

• Las familias son agrupaciones de componentes que comparten objetivos de seguridad

pero que pueden diferir en el énfasis o nivel de exigencia.

• Las clases son, a su vez, agrupaciones de familias que comparten un enfoque común,
difiriendo en la cobertura de los objetivos de seguridad. Asi podríamos citar distintos
ejemplos de clases de requisitos de seguridad funcional (utilizando la propia terminología
recogida en el estándar):

• Auditoria: FAU.
• Comunicaciones: FCO.

Página 4
 • Utilización de Recursos: FRU.
• Privacidad: FPR.
• Gestión de la seguridad: FMT.

CERTIFICACIÓN

PROCEDIMIENTO POR EL CUAL UNA TERCERA PARTE ASEGURA POR ESCRITO QUE UN PRODUCTO,
PROCESO O SERVICIO ES CONFORME CON LOS REQUISITOS ESPECIFICADOS

El proceso de certificación consta de dos grandes etapas:

 La Consultoría: Un equipo de consultores con experiencia en la norma ayuda a la


organización a cumplir con los requisitos de certificación: Políticas de seguridad,
procedimientos, selección e implantación de controles, etc. En esta etapa será necesario
determinar las acciones correctivas (que eliminan la causa de las no conformidades en la
implantación, operación y uso del SGSI) y las acciones preventivas (que permiten eliminar
la causa de no conformidades potenciales, previniendo su ocurrencia).

 La Auditoría: Un organismo acreditado, en cada país, se encarga de revisar los distintos
procesos y procedimientos de gestión de seguridad exigidos por la norma, así como de
revisar la implantación de los distintos controles seleccionados. Una de las instituciones de
referencia a nivel internacional en auditoria de los Sistemas de Información es ISACA
(Information Systems Audit and Control Association – Asociación para el Control y la
Auditoria de los Sistemas de Información).

Fuente Bibliográfica.

http://tecnologia-entu-blog.blogspot.mx/2010/02/estandarizacion-y-certificacion-en.html

http://redyseguridad.fi-p.unam.mx/proyectos/seguridad/Estandares.php

Página 5