La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Cómo contribuye la certificación a la seguridad de la (tecnología de la) información 7 de Noviembre del 2.000 Grupo de Seguridad de ATI Jornadas de Riesgos,

Presentaciones similares


Presentación del tema: "Cómo contribuye la certificación a la seguridad de la (tecnología de la) información 7 de Noviembre del 2.000 Grupo de Seguridad de ATI Jornadas de Riesgos,"— Transcripción de la presentación:

1 Cómo contribuye la certificación a la seguridad de la (tecnología de la) información 7 de Noviembre del Grupo de Seguridad de ATI Jornadas de Riesgos, Seguridad y Confianza para el Negocio Electrónico Fco. López CrespoATI-EOI

2 Certificación de las Tecnología de la Información. Antecedente: El Acuerdo de Reconocimiento Mutuo de las evaluaciones y los certificados. El Arreglo sobre el reconocimiento de los certificados de criterios comunes en el campo de la seguridad de la tecnología de la información. Ejemplo de aplicación: La certificación para la firma electrónica. PSC y Dispositivos El Proyecto de Esquema Nacional de Evaluación y Certificación de la Seguridad de los Sistemas de Información.

3 CERTIFICAR: –Asegurar, afirmar, dar por cierta alguna cosa (DRAE). –Declarar cierta una cosa; particularmente, hacerlo así un funcionario con autoridad para ello, en un documento oficial (María Moliner).

4 firma MEDIO MENSAJE MEDIO PSC + firma MENSAJE Creación de firma + +

5 La confianza se construye con tres clases de certificaciones: 1El documento electrónico y su creador no pueden asociarse por si mismos => certificación de la autenticación. 2Garantizar el éxito de la invocación del documento electrónico. => certificación para la integridad, disponibilidad y confidencialidad 3ACID se desenvuelve en el seno de las organizaciones => certificación de los servicios

6 –Criterios para las certificaciones: tecnología de la información, en base a evaluaciones realizadas con los criterios ITSEC/ITSEM y más recientemente con los Criterios Comunes, ISO los servicios de información, en base a la norma BS autenticación e integridad de las transacciones electrónicas y de su archivo, EESSI.

7 Por evaluación se entiende el examen detallado, efectuado por un organismo acreditado, de los aspectos de seguridad de un sistema informático (TOE), a fin de comprobar qué requisitos de seguridad cumple y hasta qué nivel de fortaleza. Realizadas por Instalaciones de evaluación, acreditadas conforme a la norma EN o la directriz ISO 25 o establecida en virtud de instrumento legislativo, si demuestra el cumplimiento de requisitos equivalentes a dichas normas.

8 Por certificación de la seguridad de la tecnología de la información se entiende la confirmación del resultado de una evaluación, bajo los criterios correctamente aplicados. El Organismo de certificación o validación ha de estar acreditado conforme a la norma EN o con la directriz ISO 65 o establecida mediante instrumento legal si demuestra cumplimiento de requisitos equivalentes a dichas normas.

9 –Tipos de evaluación: Autoevaluación del fabricante o proveedor. Pruebas de aceptación, realizadas por el usuario. Evaluación indirecta (existencia de otro sistema ya evaluado y de arquitectura común). Pruebas de aceptación efectuadas por terceros, sin requisitos formales. Evaluación formal por parte de un laboratorio acreditado.

10 ITSEC, Trusted Computer Systems Evaluation Criteria, Orange Book ITSEC Assurance Level Definitions (Niveles E) y Common Criteria ISO Assurance Level Definitions (Niveles EAL) NIVELES DE EVALUACIÓN C1 C2 B1 B2 B3 A1

11 VENTAJAS DEL RECONOCIMIENTO DE CERTIFICADOS. Eliminar la necesidad de múltiples evaluaciones y certificaciones nacionales, lo que abarata costes y reduce los plazos. Apoyar su extensión global, más allá del Proyecto de Criterios Comunes, a través de la creación de un estándar internacional (promoviéndose lo que ya es una realidad, la norma ISO 15408).

12 CERTIFICADOS

13 DIRECCIONES DE INTERÉS: MAP NIST (CC) ESSI :

14 MIEMBROS DEL ARREGLO: Alemania Australia Canadá España Estados Unidos Finlandia Francia Grecia Italia Noruega Nueva Zelanda Países Bajos Reino Unido

15 FUNCIONES: Seguimiento e interpretación de los Criterios Comunes. Desarrollo metodológico Dirigir las evaluaciones en la sombra. Mantener registros de productos y perfiles de protección Promover la realización de los perfiles de protección. Difusión y promoción

16 Establece la estructura y procedimientos para la evaluación y certificación de la seguridad de productos y sistemas de información Beneficios generales de la certificación: Los usuarios de TI pueden seleccionar las salvaguardas con fundamento riguroso. Mejora la competitividad de la empresa e industria. Tendencia de los países más avanzados: a mayor dependencia de TI, mayor demanda de protección certificada; no basta la mera declaración de seguridad. Esquema Nacional de Evaluación y Certificación de la Seguridad de los Sistemas de Información

17 - Administración del Esquema - Oficina Nacional de Seguridad, que emite los certificados y acredita los laboratorios de evaluación - Laboratorios de evaluación Componentes del Esquema Nacional de Evaluación y Certificación de la Seguridad de los Sistemas de Información


Descargar ppt "Cómo contribuye la certificación a la seguridad de la (tecnología de la) información 7 de Noviembre del 2.000 Grupo de Seguridad de ATI Jornadas de Riesgos,"

Presentaciones similares


Anuncios Google