La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Jornadas de Riesgos, Seguridad y Confianza para el Negocio Electrónico

Presentaciones similares


Presentación del tema: "Jornadas de Riesgos, Seguridad y Confianza para el Negocio Electrónico"— Transcripción de la presentación:

1 Jornadas de Riesgos, Seguridad y Confianza para el Negocio Electrónico
Grupo de Seguridad de ATI Jornadas de Riesgos, Seguridad y Confianza para el Negocio Electrónico Cómo contribuye la certificación a la seguridad de la (tecnología de la) información 7 de Noviembre del 2.000 Fco. López Crespo ATI-EOI

2 Certificación de las Tecnología de la Información.
Antecedente: El Acuerdo de Reconocimiento Mutuo de las evaluaciones y los certificados. El Arreglo sobre el reconocimiento de los certificados de criterios comunes en el campo de la seguridad de la tecnología de la información. Ejemplo de aplicación: La certificación para la firma electrónica. PSC y Dispositivos El Proyecto de Esquema Nacional de Evaluación y Certificación de la Seguridad de los Sistemas de Información.

3 CERTIFICAR: Asegurar, afirmar, dar por cierta alguna cosa (DRAE). Declarar cierta una cosa; particularmente, hacerlo así un funcionario con autoridad para ello, en un documento oficial (María Moliner).

4 + + + firma firma Creación de firma MEDIO MENSAJE MEDIO MENSAJE PSC
En relación con los sistemas de información, tres tipos de certificación de la seguridad: Tecnología de la información Servicios Autenticación firma + Creación de firma

5 La confianza se construye con tres clases de certificaciones:
El documento electrónico y su creador no pueden asociarse por si mismos => certificación de la autenticación. Garantizar el éxito de la invocación del documento electrónico. => certificación para la integridad, disponibilidad y confidencialidad ACID se desenvuelve en el seno de las organizaciones => certificación de los servicios

6 Criterios para las certificaciones:
tecnología de la información, en base a evaluaciones realizadas con los criterios ITSEC/ITSEM y más recientemente con los Criterios Comunes, ISO los servicios de información, en base a la norma BS 7799. autenticación e integridad de las transacciones electrónicas y de su archivo, EESSI.

7 Por evaluación se entiende el examen detallado, efectuado por un organismo acreditado, de los aspectos de seguridad de un sistema informático (TOE), a fin de comprobar qué requisitos de seguridad cumple y hasta qué nivel de fortaleza. Realizadas por Instalaciones de evaluación, acreditadas conforme a la norma EN o la directriz ISO 25 o establecida en virtud de instrumento legislativo, si demuestra el cumplimiento de requisitos equivalentes a dichas normas.

8 Por certificación de la seguridad de la tecnología de la información se entiende la confirmación del resultado de una evaluación, bajo los criterios correctamente aplicados. El Organismo de certificación o validación ha de estar acreditado conforme a la norma EN o con la directriz ISO 65 o establecida mediante instrumento legal si demuestra cumplimiento de requisitos equivalentes a dichas normas.

9 Tipos de evaluación: Autoevaluación del fabricante o proveedor. Pruebas de aceptación, realizadas por el usuario. Evaluación indirecta (existencia de otro sistema ya evaluado y de arquitectura común). Pruebas de aceptación efectuadas por terceros, sin requisitos formales . Evaluación formal por parte de un laboratorio acreditado.

10 NIVELES DE EVALUACIÓN C1 C2 B1 B2 B3 A1
ITSEC, Trusted Computer Systems Evaluation Criteria, “Orange Book” ITSEC Assurance Level Definitions (Niveles E) y Common Criteria ISO Assurance Level Definitions (Niveles EAL)

11 VENTAJAS DEL RECONOCIMIENTO DE CERTIFICADOS.
Eliminar la necesidad de múltiples evaluaciones y certificaciones nacionales, lo que abarata costes y reduce los plazos. Apoyar su extensión global, más allá del Proyecto de Criterios Comunes, a través de la creación de un estándar internacional (promoviéndose lo que ya es una realidad, la norma ISO 15408).

12 CERTIFICADOS

13 DIRECCIONES DE INTERÉS:
MAP NIST (CC) ESSI :

14 MIEMBROS DEL ARREGLO: Alemania Australia Canadá España Estados Unidos Finlandia Francia Grecia Italia Noruega Nueva Zelanda Países Bajos Reino Unido

15 FUNCIONES: Seguimiento e interpretación de los Criterios Comunes. Desarrollo metodológico Dirigir las evaluaciones “en la sombra”. Mantener registros de productos y perfiles de protección Promover la realización de los perfiles de protección. Difusión y promoción

16 Esquema Nacional de Evaluación y Certificación
de la Seguridad de los Sistemas de Información Establece la estructura y procedimientos para la evaluación y certificación de la seguridad de productos y sistemas de información Beneficios generales de la certificación: Los usuarios de TI pueden seleccionar las salvaguardas con fundamento riguroso. Mejora la competitividad de la empresa e industria. Tendencia de los países más avanzados: a mayor dependencia de TI, mayor demanda de protección certificada; no basta la mera declaración de seguridad. Cumplimiento de legislación, creciente en materia de seguridad: - RD 263/1996 - Reglamento para protección de datos de carácter personal - RD Ley de firma electrónica - Directiva sobre transporte terrestre

17 Componentes del Esquema Nacional de Evaluación y
Certificación de la Seguridad de los Sistemas de Información - Administración del Esquema - Oficina Nacional de Seguridad, que emite los certificados y acredita los laboratorios de evaluación - Laboratorios de evaluación


Descargar ppt "Jornadas de Riesgos, Seguridad y Confianza para el Negocio Electrónico"

Presentaciones similares


Anuncios Google