Jornadas de Riesgos, Seguridad y Confianza para el Negocio Electrónico

Slides:



Advertisements
Presentaciones similares
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
Advertisements

Ministerio de Comercio, Industria y Turismo Dirección de Regulación TALLER REGIONAL SOBRE LOS ASUNTOS DE ACTUALIDAD DERIVADOS DE LA APLICACIÓN DEL ACUERDO.
Taller sobre los diferentes Enfoques de la Evaluación de la Conformidad Ginebra 16 y 17 de Marzo de 2006.
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
Legalidad de los sistemas de clave pública Juan Carlos M. Coll Profesor de Economía Aplicada Universidad de Málaga
¿ PREGUNTAS DE NUESTRO TEMARIO ?. 1.- ¿ ES NECESARIO ESTAR CERTIFICADO EN ALGUNA NORMA O MODELO ?
INTERPRETACIÓN DE NORMAS ISO
TEMA: Beneficios Del Operador Económico Autorizado
Auditoria en Informatica Lic. Enrique Hernandez H.
AUDITORIA DE SISTEMAS Conceptos introductorios
Segunda Jornada Nacional de Seguridad Informática ACIS 2002
La auditoría de los sistemas de información abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos.
Facultad: Administración y Negocios
Desde la seguridad de la información hasta los Sistemas de Riesgo, Continuidad y Cumplimiento - Integración SGSI - Governance & Compliance.
Tendencias de la Educación Superior M.A. Esmeralda Villela Patricia Judith Reyna Baños Carné: Gulyhelmy Patricia Ovando Chim Carné:
Lic. Ma. Isabel Reyes Sánchez
PLANEACION DEL SISTEMA
Tres niveles de la calidad
OHSAS 18001: 2007 Sistemas de gestión de la seguridad y salud en el trabajo Agustín SÁNCHEZ-TOLEDO LEDESMA Gerente de Seguridad y Salud en el Trabajo.
SISTEMAS DE GESTION DE CALIDAD ISO 9000:2000
Certificados de Profesionalidad
¿Para qué ISO 17025? Ser reconocido como competente en la realización de ensayos específicos. La satisfacción de los clientes y mayor confianza en los.
Modernizando la Administración y la empresa
Tecnologías de información en la estrategia de negocio Unidad V
AUDITORIAS DE SEGURIDAD
AUDITORIAS RESUMEN DE ASPECTOS RELEVANTE EN LA GESTION BASADO EN EL REFERENCIAL ISO 9001:2008.
¡Bienvenido al curso AUDITORES 17020:2012!
es el organismo designado por la Administración para establecer y mantener el sistema de acreditación a nivel nacional, de acuerdo a normas internacionales,
Beneficios de la Utilización de Sistemas de Gestión de Calidad dentro del Marco Gubernamental ISO 9000 en el PMG MBA Luis Domingo López Díaz Especialista.
SISTEMAS DE GESTION Y HERRAMIENTAS DE CALIDAD
CONTROL Y GARANTÍA DE CALIDAD DE LOS DATOS
Estándares para el manejo de datos e información Liliana Bonilla Alfredo Bustamante Raudel valencia.
¿Qué son y para que sirven los certificados digitales?
Foro Nacional de Certificación y Firma Electrónica Ing. Karola Guerrero FUNDAMENTOS Y NORMATIVA LEGAL DE CERTIFICACIÓN.
SISTEMA DE GESTIÓN AMBIENTAL (SGA), ISO y 14001
Sistemas de Gestión Ambiental (SGA)
Mauricio Rodríguez Andrés Felipe Matías Julieta Sánchez Maritza Reales Ingrid Parra Tecnólogo en Gestión Administrativa Ficha: SENA Centro de Industria.
SEGURIDAD DE LA INFORMACIÓN
Andrés Felipe Matías Julieta Sánchez Maritza Reales Ingrid Parra Mauricio Rodríguez Tecnólogo en Gestión Administrativa Ficha: SENA Centro de Industria.
Andrés Felipe Matías Julieta Sánchez Maritza Reales Ingrid Parra Mauricio Rodríguez Tecnólogo en Gestión Administrativa Ficha: SENA Centro de Industria.
Oportunidades para el IIE de la acreditación de los laboratorios de pruebas. Presenta: M. en C. Higinio Acoltzi Acoltzi abril de 2008 DIA DE LA CALIDAD.
Programa de Auditoría Interna
PLANEACION DEL SISTEMA
AUDITORIAS EN SISTEMA DE GESTION INTEGRADA
Universidad Nacional Autónoma de Honduras
Dirección y mejora de procesos
La protección de datos en el sector salud en México Lina Ornelas Núñez Directora General de Clasificación y Datos Personales IFAI 14 de noviembre de 2008.
Competencias Laborales
 
Reunión GTIDEE Madrid /25 1 Antonio F. Rodríguez RD 4/2010 ENI.
ANTECEDENTES ISO Fundada en países miembros.
La gestión de los servicios de tecnología informática (GSTI) es un enfoque integrado basado en procesos que alinea la prestación de servicios de TI con.
DISEÑO CURRICULAR Presentado por: Cesar Augusto Sáenz María Alejandra Hernández 1.contenidos curriculares de competencia.
AUDITORIA TECNOLOGIAS DE INFORMACION - COBIT
las clases de auditorias existentes
INTRODUCCIÓN.
Primer enunciado de textoSegundo enunciado de textoÚltimo enunciado de texto.
Auditoria Computacional
AUDITORÍAS MEDIOAMBIENTALES
ANGIE PAOLA SOLANO CASTIBLANCO DAR SOPORTE A LOS PROCESOS NORMAS ISO DOC. JOHANA LÓPEZ CHAVEZ SENA 2010.
Normas iso Importancia de las normas Las normas nacen para que las empresas se rijan por unos principios de organización y para que den estabilidad.
Proveedores Autorizados de Certificación y Documentos Digitales.
INTEGRANTES: Alejandro Campos María José Duque Alexis Pavón Juan Sani Mireya Toapanta AUDITORÍA AMBIENTAL MAYO 2014.
Contenido ¿Qué es la Normalización? Objetivos de la Normalización Que Productos se Normalizan Que son Normas Certificación de Productos Sistemas de Calidad.
Reglamentaciones sobre los dispositivos médicos en Canadá; Desafíos clave e iniciativas internacionales.
“Como INEN garantizamos la calidad de los productos en el mercado, y la satisfacción del consumo en los ecuatorianos.” Ing. César Díaz.
PLAN DE ACCIÓN PARA ASEGURAR LA INOCUIDAD DE LOS ALIMENTOS EN CANADÁ.
Iniciativa para profesionalizar la gestión de plagas en Europa a través de la certificación Michel Tulkens Dirección Estrategía CEPA.
ISO
Transcripción de la presentación:

Jornadas de Riesgos, Seguridad y Confianza para el Negocio Electrónico Grupo de Seguridad de ATI Jornadas de Riesgos, Seguridad y Confianza para el Negocio Electrónico Cómo contribuye la certificación a la seguridad de la (tecnología de la) información 7 de Noviembre del 2.000 Fco. López Crespo ATI-EOI

Certificación de las Tecnología de la Información. Antecedente: El Acuerdo de Reconocimiento Mutuo de las evaluaciones y los certificados. El Arreglo sobre el reconocimiento de los certificados de criterios comunes en el campo de la seguridad de la tecnología de la información. Ejemplo de aplicación: La certificación para la firma electrónica. PSC y Dispositivos El Proyecto de Esquema Nacional de Evaluación y Certificación de la Seguridad de los Sistemas de Información.

CERTIFICAR: Asegurar, afirmar, dar por cierta alguna cosa (DRAE). Declarar cierta una cosa; particularmente, hacerlo así un funcionario con autoridad para ello, en un documento oficial (María Moliner).

+ + + firma firma Creación de firma MEDIO MENSAJE MEDIO MENSAJE PSC En relación con los sistemas de información, tres tipos de certificación de la seguridad: Tecnología de la información Servicios Autenticación firma + Creación de firma

La confianza se construye con tres clases de certificaciones: El documento electrónico y su creador no pueden asociarse por si mismos => certificación de la autenticación. Garantizar el éxito de la invocación del documento electrónico. => certificación para la integridad, disponibilidad y confidencialidad ACID se desenvuelve en el seno de las organizaciones => certificación de los servicios

Criterios para las certificaciones: tecnología de la información, en base a evaluaciones realizadas con los criterios ITSEC/ITSEM y más recientemente con los Criterios Comunes, ISO 15408. los servicios de información, en base a la norma BS 7799. autenticación e integridad de las transacciones electrónicas y de su archivo, EESSI.

Por evaluación se entiende el examen detallado, efectuado por un organismo acreditado, de los aspectos de seguridad de un sistema informático (TOE), a fin de comprobar qué requisitos de seguridad cumple y hasta qué nivel de fortaleza. Realizadas por Instalaciones de evaluación, acreditadas conforme a la norma EN 450001 o la directriz ISO 25 o establecida en virtud de instrumento legislativo, si demuestra el cumplimiento de requisitos equivalentes a dichas normas.

Por certificación de la seguridad de la tecnología de la información se entiende la confirmación del resultado de una evaluación, bajo los criterios correctamente aplicados. El Organismo de certificación o validación ha de estar acreditado conforme a la norma EN 45011 o con la directriz ISO 65 o establecida mediante instrumento legal si demuestra cumplimiento de requisitos equivalentes a dichas normas.

Tipos de evaluación: Autoevaluación del fabricante o proveedor. Pruebas de aceptación, realizadas por el usuario. Evaluación indirecta (existencia de otro sistema ya evaluado y de arquitectura común). Pruebas de aceptación efectuadas por terceros, sin requisitos formales . Evaluación formal por parte de un laboratorio acreditado.

NIVELES DE EVALUACIÓN C1 C2 B1 B2 B3 A1 ITSEC, Trusted Computer Systems Evaluation Criteria, “Orange Book” ITSEC Assurance Level Definitions (Niveles E) y Common Criteria ISO 15408 Assurance Level Definitions (Niveles EAL)

VENTAJAS DEL RECONOCIMIENTO DE CERTIFICADOS. Eliminar la necesidad de múltiples evaluaciones y certificaciones nacionales, lo que abarata costes y reduce los plazos. Apoyar su extensión global, más allá del Proyecto de Criterios Comunes, a través de la creación de un estándar internacional (promoviéndose lo que ya es una realidad, la norma ISO 15408).

CERTIFICADOS

DIRECCIONES DE INTERÉS: MAP http://www.map.es/csi/pg3400.htm NIST (CC) http://csrc.nist.gov/cc ESSI : http://www.ict.etsi.fr/eessi-intro.htm

MIEMBROS DEL ARREGLO: Alemania Australia Canadá España Estados Unidos Finlandia Francia Grecia Italia Noruega Nueva Zelanda Países Bajos Reino Unido

FUNCIONES: Seguimiento e interpretación de los Criterios Comunes. Desarrollo metodológico Dirigir las evaluaciones “en la sombra”. Mantener registros de productos y perfiles de protección Promover la realización de los perfiles de protección. Difusión y promoción

Esquema Nacional de Evaluación y Certificación de la Seguridad de los Sistemas de Información Establece la estructura y procedimientos para la evaluación y certificación de la seguridad de productos y sistemas de información Beneficios generales de la certificación: Los usuarios de TI pueden seleccionar las salvaguardas con fundamento riguroso. Mejora la competitividad de la empresa e industria. Tendencia de los países más avanzados: a mayor dependencia de TI, mayor demanda de protección certificada; no basta la mera declaración de seguridad. Cumplimiento de legislación, creciente en materia de seguridad: - RD 263/1996 - Reglamento para protección de datos de carácter personal - RD Ley de firma electrónica - Directiva sobre transporte terrestre

Componentes del Esquema Nacional de Evaluación y Certificación de la Seguridad de los Sistemas de Información - Administración del Esquema - Oficina Nacional de Seguridad, que emite los certificados y acredita los laboratorios de evaluación - Laboratorios de evaluación

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2024 SlidePlayer.es Inc. All rights reserved.