C

1
Cómo contribuye la certificación a la seguridad
de la (tecnología de la) información7 de
Noviembre del 2.000
Grupo de Seguridad de ATI
Jornadas de Riesgos, Seguridad y Confianza para
el Negocio Electrónico
Fco. López Crespo ATI-EOI
2

• Certificación de las Tecnología de la
  Información.
• Antecedente El Acuerdo de Reconocimiento Mutuo
  de las evaluaciones y los certificados.
• El Arreglo sobre el reconocimiento de los
  certificados de criterios comunes en el campo de
  la seguridad de la tecnología de la información.
• Ejemplo de aplicación La certificación para la
  firma electrónica. PSC y Dispositivos
• El Proyecto de Esquema Nacional de Evaluación y
  Certificación de la Seguridad de los Sistemas de
  Información.

3

• CERTIFICAR
• Asegurar, afirmar, dar por cierta alguna cosa
  (DRAE).
• Declarar cierta una cosa particularmente,
  hacerlo así un funcionario con autoridad para
  ello, en un documento oficial (María Moliner).

4
MEDIO
MENSAJE

MEDIO

MENSAJE
firma
PSC
firma

Creación de firma
5

• La confianza se construye con tres clases de
  certificaciones
• El documento electrónico y su creador no pueden
  asociarse por si mismos
• gt certificación de la autenticación.
• Garantizar el éxito de la invocación del
  documento electrónico.
• gt certificación para la integridad,
• disponibilidad y confidencialidad
• ACID se desenvuelve en el seno de las
  organizaciones
• gt certificación de los servicios

6

• Criterios para las certificaciones
• tecnología de la información, en base a
  evaluaciones realizadas con los criterios
  ITSEC/ITSEM y más recientemente con los Criterios
  Comunes, ISO 15408.
• los servicios de información, en base a la norma
  BS 7799.
• autenticación e integridad de las transacciones
  electrónicas y de su archivo, EESSI.

7

• Por evaluación se entiende el examen detallado,
  efectuado por un organismo acreditado, de los
  aspectos de seguridad de un sistema informático
  (TOE), a fin de comprobar qué requisitos de
  seguridad cumple y hasta qué nivel de fortaleza.
• Realizadas por Instalaciones de evaluación,
  acreditadas conforme a la norma EN 450001 o la
  directriz ISO 25 o establecida en virtud de
  instrumento legislativo, si demuestra el
  cumplimiento de requisitos equivalentes a dichas
  normas.

8

• Por certificación de la seguridad de la
  tecnología de la información se entiende la
  confirmación del resultado de una evaluación,
  bajo los criterios correctamente aplicados.
• El Organismo de certificación o validación ha de
  estar acreditado conforme a la norma EN 45011 o
  con la directriz ISO 65 o establecida mediante
  instrumento legal si demuestra cumplimiento de
  requisitos equivalentes a dichas normas.

9

• Tipos de evaluación
• Autoevaluación del fabricante o proveedor.
• Pruebas de aceptación, realizadas por el usuario.
• Evaluación indirecta (existencia de otro sistema
  ya evaluado y de arquitectura común).
• Pruebas de aceptación efectuadas por terceros,
  sin requisitos formales .
• Evaluación formal por parte de un laboratorio
  acreditado.

10
NIVELES DE EVALUACIÓN
C1 C2 B1 B2 B3 A1
ITSEC, Trusted Computer Systems Evaluation
Criteria, Orange Book ITSEC Assurance Level
Definitions (Niveles E) y
Common Criteria ISO 15408 Assurance Level
Definitions (Niveles EAL)
11

• VENTAJAS DEL RECONOCIMIENTO DE CERTIFICADOS.
• Eliminar la necesidad de múltiples evaluaciones y
  certificaciones nacionales, lo que abarata costes
  y reduce los plazos.
• Apoyar su extensión global, más allá del Proyecto
  de Criterios Comunes, a través de la creación de
  un estándar internacional (promoviéndose lo que
  ya es una realidad, la norma ISO 15408).

12
CERTIFICADOS
13

• DIRECCIONES DE INTERÉS
• MAP http//www.map.es/csi/pg3400.htm
• NIST (CC) http//csrc.nist.gov/cc
• ESSI http//www.ict.etsi.fr/eessi-intro.htm

14

• MIEMBROS DEL ARREGLO
• Alemania
• Australia
• Canadá
• España
• Estados Unidos
• Finlandia
• Francia
• Grecia
• Italia
• Noruega
• Nueva Zelanda
• Países Bajos
• Reino Unido

15

• FUNCIONES
• Seguimiento e interpretación de los Criterios
  Comunes.
• Desarrollo metodológico
• Dirigir las evaluaciones en la sombra.
• Mantener registros de productos y perfiles de
  protección
• Promover la realización de los perfiles de
  protección.
• Difusión y promoción

16
Esquema Nacional de Evaluación y Certificación
de la Seguridad de los Sistemas de Información
Establece la estructura y procedimientos para la
evaluación y certificación de la seguridad de
productos y sistemas de información Beneficios
generales de la certificación Los usuarios de
TI pueden seleccionar las salvaguardas con
fundamento riguroso. Mejora la competitividad
de la empresa e industria. Tendencia de los
países más avanzados a mayor dependencia de TI,
mayor demanda de protección certificada no basta
la mera declaración de seguridad.
17
Componentes del Esquema Nacional de Evaluación y
Certificación de la Seguridad de los Sistemas de
Información
- Administración del Esquema - Oficina Nacional
de Seguridad, que emite los certificados y
acredita los laboratorios de evaluación -
Laboratorios de evaluación