ATI_CAP10_EQ5_EXP_Normas

278 visualizações

Publicada em

Publicada em: Tecnologia, Negócios
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
278
No SlideShare
0
A partir de incorporações
0
Número de incorporações
2
Ações
Compartilhamentos
0
Downloads
1
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

ATI_CAP10_EQ5_EXP_Normas

  1. 1. Experiencia Educativa: Administración de Tecnologías de la Información Capitulo 10: Panorámica General sobre Normas de Seguridad de Tecnologías de la Información Catedrático: Dr. Carlos Arturo Torres Gastelú Equipo #5
  2. 2. CONTENIDO Papel de la normas en la Seguridad de los STI Conceptos básicos de normalización Subcomité ISO/IEC JTC 1/SC 27 Técnicas de Seguridad Gestión de la Seguridad de la Información Técnicas y mecanismos Actuación de CEN/ISSS Otras normas relacionadas
  3. 3. PAPEL DE LAS NORMAS EN LA SEGURIDAD DE LOS SISTEMAS DE TECNOLOGÍAS DE LA INFORMACIÓN Uno de los papeles principales que juegan las normas es la de ofrecer políticas, procedimientos, prácticas y medidas organizativas, y técnicas capaces de proteger la información y de gestionar la seguridad de los sistemas respondiendo a las amenazas existentes; capaces de garantizar dimensiones esenciales de la seguridad como la confidencialidad, la integridad, la disponibilidad y la autenticidad. • Necesidad de demostrar que se realiza una gestión competente, efectiva y continua de la seguridad en el marco de los riesgos detectados y de que se han adoptado medidas adecuadas y proporcionales a los riesgos a los que esta expuesta la organización.
  4. 4. CONCEPTOS BÁSICOS DE NORMALIZACIÓN Normas: Especificaciones técnicas, de carácter voluntario, consensuadas, elaboradas con la participación de las partes interesadas y aprobadas por un organismo reconocido. En el ámbito internacional ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional) tienen por objeto favorecer el desarrollo de la normalización en el mundo, con vista a facilitar los intercambios comerciales y las prestaciones de servicios entre los distintos países. En el ámbito europeo CEN (Cómite Europeo de Normalización) contribuye a los objetivos de la Unión Europea y del espacio económico europeo con estandares técnicos de uso voluntario.
  5. 5. SUBCOMITÉ ISO/IEC JTC 1/SC 27 TÉCNICAS DE SEGURIDAD • Normalización de métodos genericos y técnicas para la seguridad de tecnologias de la informaición. Alcance y Area de trabajo • Identificación de requisitos genéricos. • Desarrollo de técnicas y mecanismos de seguridad. • Desarrollo de guías de seguridad y documentos interpretativo. • Desarrollo de soporte a la gestión, documentación y normas. SC27
  6. 6. AEN/CTN 71/SC 27 *ESPAÑOL HITOS Creación de un cuerpo de normas UNE relativas a la seguridad de las TI. Contribución activa a la normalización internacional. Retroalimentación de la normativa nacional UNE a partir de la normativa internacional en materia. Explotación del potencial que ofrece la amplia y variada composición del SC27. Asistencia a las reuniones internacionales del SC27.
  7. 7. PANORÁMICA GENERAL DEL ISO/IEC SC27
  8. 8. GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Futuro Debe ser coherente con los principios generales de gobierno de las TI en las organizaciones. Debe ser coherente con los principios de seguridad de la OCDE. Debe ser coherente con otros sistemas de gestión. Debe ser coherente con lo previsto en las Guías ISO.
  9. 9. TÉCNICAS Y MECANISMOS Dimensiones de la seguridad Confidencialidad Integridad Autenticación
  10. 10. TÉCNICAS Y MECANISMOS CRIPTOGRÁFICOS ESPECIFICADOS POR EL SC27 Servicios de fechado electrónico (ISO/IEC 18014 Time Stamping Services). Algoritomos de cifrado simétricos, de bloqueo, de flujo y asimétricos (ISO/IEC 18033 Encryption algorithms). Funciones hash criptográficas (ISO/IEC 10118 Hash functions). Esquemas de firma digital que incorporan funcionalidades de autenticación e integridad (ISO/IEC 9796). Atenticación de entidades (ISO/IEC 9798 Entity authenticaction).
  11. 11. Técnicas criptográficas basadas en curvas elipticas (ISO/IEC 15946 Cryptographic techniques based on elliptic curves). Requisitos de modulos criptográficos. Gestión de claves (ISO/IEC 11770 Key Management). Mecanismos de no repudio (ISO/IEC 1388 Non repudiation).
  12. 12. CONFIANZA EN LOS PRODUTOS Y SISTEMAS DE TECNOLOGÍAS DE LA INFORMACIÓN Relación de los objetivos de seguridad con amenazas, políticas, supuestos y requisitos funcionales y de aseguramiento.
  13. 13. ACTUACIÓN DE CEN/ISSS CEN/ISSS centra su actividad de producción de normas en dos campos que son prioritarios para la Unión Europea y que son los relativos a: • La firma electrónica y a la protección de datos. • La privacidad. Es igualmente activo en normas relativas a provacidad y protección de datos habiendo producido una colección de documentos CWA en la materia, así como en materia de tarjetas inteligentes y lectores de las mismas (CWA 14174- 8 partes).
  14. 14. OTRAS NORMAS RELACIONADAS CON LA SEGURIDAD DE LAS TI Norma ISO 10011 “Guidelines for auditing quality systems” “Parte 1: Auditing, Parte 2: Qualification criteria for quality system auditors” y Parte 3: “Management of audit programmes”. Norma UNE EN ISO/IEC 17025 Requisitos relativos a la competencia de los laboratorios de ensayo y calibración. Norma UNE EN 45012:1998 Requisitos generales para entidades que realizan la evaluación y certificación de sistemas de calidad.
  15. 15. Norma UNE EN ISO 9001: “Sistemas de gestion de la calidad” e ISO 14001:1996 Sirven ambas de referentes en cuanto a normalización de sistemas de gestión. Norma ISO Guide 72:2001 Trata sobre los principios y orientaciones para el desarrollo de sistemas de gestión.
  16. 16. PERSPECTIVA DE EVOLUCIÓN Líneas de evolución Desarrollo y perfeccionamiento de la serie 27000 relativa a los sistemas de gestión de la seguridad de la información. Proyectos significativos en materia de medidas del SGSI (ISO/IEC 27004), de orientación para la implantación del sistema de gestión. El proyecto relativo a la gestión de riesgos (ISO/IEC 27005) se encuentra relacionado con el proyecto abordado por ISO/TMB para elaborar sus orientaciones genéricas en dicha materia.

×