Title: C
1Cómo contribuye la certificación a la seguridad
de la (tecnología de la) información7 de
Noviembre del 2.000
Grupo de Seguridad de ATI
Jornadas de Riesgos, Seguridad y Confianza para
el Negocio Electrónico
Fco. López Crespo ATI-EOI
2 - Certificación de las Tecnología de la
Información. - Antecedente El Acuerdo de Reconocimiento Mutuo
de las evaluaciones y los certificados. - El Arreglo sobre el reconocimiento de los
certificados de criterios comunes en el campo de
la seguridad de la tecnología de la información. - Ejemplo de aplicación La certificación para la
firma electrónica. PSC y Dispositivos - El Proyecto de Esquema Nacional de Evaluación y
Certificación de la Seguridad de los Sistemas de
Información.
3- CERTIFICAR
- Asegurar, afirmar, dar por cierta alguna cosa
(DRAE). - Declarar cierta una cosa particularmente,
hacerlo así un funcionario con autoridad para
ello, en un documento oficial (María Moliner).
4MEDIO
MENSAJE
MEDIO
MENSAJE
firma
PSC
firma
Creación de firma
5- La confianza se construye con tres clases de
certificaciones - El documento electrónico y su creador no pueden
asociarse por si mismos - gt certificación de la autenticación.
- Garantizar el éxito de la invocación del
documento electrónico. - gt certificación para la integridad,
- disponibilidad y confidencialidad
- ACID se desenvuelve en el seno de las
organizaciones - gt certificación de los servicios
6- Criterios para las certificaciones
- tecnología de la información, en base a
evaluaciones realizadas con los criterios
ITSEC/ITSEM y más recientemente con los Criterios
Comunes, ISO 15408. - los servicios de información, en base a la norma
BS 7799. - autenticación e integridad de las transacciones
electrónicas y de su archivo, EESSI.
7- Por evaluación se entiende el examen detallado,
efectuado por un organismo acreditado, de los
aspectos de seguridad de un sistema informático
(TOE), a fin de comprobar qué requisitos de
seguridad cumple y hasta qué nivel de fortaleza. - Realizadas por Instalaciones de evaluación,
acreditadas conforme a la norma EN 450001 o la
directriz ISO 25 o establecida en virtud de
instrumento legislativo, si demuestra el
cumplimiento de requisitos equivalentes a dichas
normas.
8- Por certificación de la seguridad de la
tecnología de la información se entiende la
confirmación del resultado de una evaluación,
bajo los criterios correctamente aplicados. - El Organismo de certificación o validación ha de
estar acreditado conforme a la norma EN 45011 o
con la directriz ISO 65 o establecida mediante
instrumento legal si demuestra cumplimiento de
requisitos equivalentes a dichas normas.
9- Tipos de evaluación
- Autoevaluación del fabricante o proveedor.
- Pruebas de aceptación, realizadas por el usuario.
- Evaluación indirecta (existencia de otro sistema
ya evaluado y de arquitectura común). - Pruebas de aceptación efectuadas por terceros,
sin requisitos formales . - Evaluación formal por parte de un laboratorio
acreditado.
10NIVELES DE EVALUACIÓN
C1 C2 B1 B2 B3 A1
ITSEC, Trusted Computer Systems Evaluation
Criteria, Orange Book ITSEC Assurance Level
Definitions (Niveles E) y
Common Criteria ISO 15408 Assurance Level
Definitions (Niveles EAL)
11- VENTAJAS DEL RECONOCIMIENTO DE CERTIFICADOS.
- Eliminar la necesidad de múltiples evaluaciones y
certificaciones nacionales, lo que abarata costes
y reduce los plazos. - Apoyar su extensión global, más allá del Proyecto
de Criterios Comunes, a través de la creación de
un estándar internacional (promoviéndose lo que
ya es una realidad, la norma ISO 15408).
12CERTIFICADOS
13- DIRECCIONES DE INTERÉS
- MAP http//www.map.es/csi/pg3400.htm
- NIST (CC) http//csrc.nist.gov/cc
- ESSI http//www.ict.etsi.fr/eessi-intro.htm
14- MIEMBROS DEL ARREGLO
- Alemania
- Australia
- Canadá
- España
- Estados Unidos
- Finlandia
- Francia
- Grecia
- Italia
- Noruega
- Nueva Zelanda
- Países Bajos
- Reino Unido
15- FUNCIONES
- Seguimiento e interpretación de los Criterios
Comunes. - Desarrollo metodológico
- Dirigir las evaluaciones en la sombra.
- Mantener registros de productos y perfiles de
protección - Promover la realización de los perfiles de
protección. - Difusión y promoción
16Esquema Nacional de Evaluación y Certificación
de la Seguridad de los Sistemas de Información
Establece la estructura y procedimientos para la
evaluación y certificación de la seguridad de
productos y sistemas de información Beneficios
generales de la certificación Los usuarios de
TI pueden seleccionar las salvaguardas con
fundamento riguroso. Mejora la competitividad
de la empresa e industria. Tendencia de los
países más avanzados a mayor dependencia de TI,
mayor demanda de protección certificada no basta
la mera declaración de seguridad.
17Componentes del Esquema Nacional de Evaluación y
Certificación de la Seguridad de los Sistemas de
Información
- Administración del Esquema - Oficina Nacional
de Seguridad, que emite los certificados y
acredita los laboratorios de evaluación -
Laboratorios de evaluación