Borrador para discusin - 08/11/20041 de 4Cor|s|r lrle(seclo(|a| de Po|il|cas v 0esl|r de |a lrlo(rac|r pa(a |a Adr|r|sl(ac|r Puo||ca Gobierno en Lnea Polticas de Seguridad Informtica Paraoptimizarlaseguridaddeunsistemadeinformacinsedebenrealizarlossiguientes procesos: 1. Anlisis de riesgos El anlisis de riesgos, como su nombre lo indica, consiste en analizar el sistema de informaciny su entorno para detectar todos los riesgos que amenazan su estabilidad y su seguridad. 2. Anlisis de requerimientos y establecimiento de polticas de seguridad informtica Elanlisisderequerimientosdeseguridadinformticaconsisteenestudiarlaorganizacin,su sistema de informacin (y todos sus componentes) y los riesgos que lo amenazan, y definir el nivel de seguridad informtica necesario para el adecuado funcionamiento de la organizacin. A partir de dicho anlisis, se define una serie de requerimientos que se deben satisfacer para alcanzar el nivel de seguridad deseado. El proceso de anlisis tambin debe usarse para modelar el documento de polticas de seguridad informtica, que debe reflejar el estado ptimo de seguridad informtica que desea obtener la organizacin, y las polticas que se deben seguir para obtenerlo. 3. Aseguramiento de Componentes de Datos La seguridad de datos busca garantizar que la informacin del sistema de informacin est siempre disponible(disponibilidad),quesemantengantegra(integridad),yquesolamentepuedaser accesada por personas autorizadas (confidencialidad). 4. Aseguramiento de Componentes de Software Laseguridaddesoftwarebuscaoptimizarlossistemasoperativosylasaplicacionesquetrabajan en el sistema de informacin, de manera que sean configurados de manera segura y solo permitan suutilizacindentrodeparmetrosdefuncionamientopredefinidosyaceptados(aseguramiento), que funcionen de manera continua y estable (disponibilidad), que ofrezcan un servicio con un nivel decalidadaceptable(calidaddelservicio),quenopermitansuutilizacinporpersonasno autorizadas(controldeacceso),yquepermitanestablecerlasresponsabilidaddeuso (accountability). 5. Aseguramiento de Componentes de Hardware Laseguridaddesoftwarebuscaoptimizarloscomponentesdehardwaredelsistemade informacin(equiposdecmputo,perifricos,mediosdealmacenamientoremovibles,etc.),de maneraqueseanconfiguradosdemaneraseguraysolopermitansuutilizacindentrode parmetrosdefuncionamientopredefinidosyaceptados(aseguramiento),quefuncionende maneracontinuayestable(disponibilidad),queofrezcanunservicioconunniveldecalidad aceptable (calidad del servicio), que no permitan su utilizacin por personas no autorizadas (control de acceso), y que permitan establecer las responsabilidad de uso (accountability). 6. Aseguramiento de Componente Humano Laseguridadhumanabuscaoptimizarelcomponentehumanodelsistemadeinformacin (usuarios,administradores,auditores,etc.)paraquesuinteraccinentreellosycontercerossea Borrador para discusin - 08/11/20042 de 4Cor|s|r lrle(seclo(|a| de Po|il|cas v 0esl|r de |a lrlo(rac|r pa(a |a Adr|r|sl(ac|r Puo||ca segura,nofiltreinformacinquepuedapermitirlavulneracindelsistemadeinformacin,y permita detectar ataques de ingeniera social en su contra. 7. Aseguramiento de Componentes de Interconectividad Laseguridaddelcomponentedeinterconectividadbuscaoptimizarelcomponentede comunicacionesdelsistemadeinformacin(cableado,dispositivosdeinterconexinhubs, switches, routers, etc.-, antenas, etc.), de manera que los canales funcionen de manera continua y estable(disponibilidad)sepuedaestablecerlaidentidaddelosparticipantes(autenticacin),los datos transmitidos puedan ser accesados nicamente por personas autorizadas (confidencialidad), los datosno puedan ser modificados durante sutransmisin (integridad)y se pueda establecer el origen de toda comunicacin (no repudio). 8. Aseguramiento de Infraestructura Fsica La seguridad de la infraestructura fsica busca optimizar el entorno fsico (las instalaciones) en las cualesoperaelsistemadeinformacin,demaneraqueestasproveannivelesdeseguridad industrial adecuados para proteger los componentes del sistema de informacin que contiene. 9. Administracin de la seguridad informtica La administracin dela seguridad informtica consiste en una serie de procesos que tienen como propsito mantener un niveladecuado de seguridadinformtica enel sistema de informacin a lo largodeltiempo.Losprocesosnoselimitanalmantenimientoylaoptimizacindelaseguridad informticaenelpresente,sinoqueincluyentambinprocesosdeplaneacinestratgicade seguridad informtica, que garanticen que el nivel de seguridad se mantendr en el futuro, y que le permitanalsistemadeseguridadinformticaanticiparsealosrequerimientosdeseguridad impuestos por el entorno, o por la organizacin a la cual el sistema de informacin sirve. 10. Estndares La siguiente tabla muestra los estndares a ser adoptados: ComponenteEstndar (*) Anlisis de riesgosISO/IEC 17799, NIST SP 800-30, NIST SP 800-6 Anlisis de requerimientos y establecimiento de polticas de seguridad informtica ISO/IEC 17799, CSC-STD-001-83, ISO 15408, NIST SP 800-55, NIST SP 800-42, NIST SP 800-26, NIST SP 800-18, NIST SP 800-16 Aseguramiento de Componentes de Datos ISO/IEC 17799, IEEE P1363, NIST SP 800-36, NIST SP 800-21, NIST SP 800-14, NIST SP 800-12 Aseguramiento de Componentes de Software ISO/IEC 17799, NIST FIPS 73, NIST SP 800-44, NIST SP 800-41, NIST SP 800-36, NIST SP 800-14, NIST SP 800-5 Aseguramiento de Componentes de Hardware ISO/IEC 17799, NSA/CSS Manual 130-2, NACSIM 5000, NIST SP 800-36, NIST SP 800-14 Aseguramiento de Componente Humano ISO/IEC 17799, NSA Security Guidelines Handbook, NIST SP 800-50, NIST SP 800-36, NIST SP 800-16, NIST SP 800-14, NSTISSI 4011, NSTISSD 500, NSTISSI 4013, NSTISSI 4014, NSTISSI 4015, CSC-STD-002-85 Aseguramiento de Componentes de Interconectividad ISO/IEC 17799, IEEE P1363, NIST SP 800-45, NIST SP 800-47, NIST SP 800-41, NIST SP 800-36, NIST SP 800-25, NIST SP 800-21, NIST SP 800-14, NIST SP 800-13 Aseguramiento de Infraestructura Fsica ISO/IEC 17799, DoD 5220.22-M, NSA Security Guidelines Handbook, NSTISSI7000, NIST SP 800-36, NIST SP 800-14, NIST SP 800-12 Administracin de la seguridad informtica ISO/IEC 17799, ISO/IEC DTR 13335, ISO/IEC DIS 14980, NIST SP 800-64, NIST SP 800-61, NIST SP 800-50, NIST SP 800-55, NIST SP 800-42, NIST SP 800-40, NIST SP 800-36, NIST SP 800-35, NIST SP 800-34, NIST SP 800-18, NIST SP 800-16, NIST SP 800-6, NIST SP 800-5 Borrador para discusin - 08/11/20043 de 4Cor|s|r lrle(seclo(|a| de Po|il|cas v 0esl|r de |a lrlo(rac|r pa(a |a Adr|r|sl(ac|r Puo||ca (*) Los estndares mencionados se especifican brevemente a continuacin: CSC-STD-001-83DoD Trusted Computer System Evaluation Criteria, 1983 CSC-STD-002-85DoD Password Management Guidelines, 1985 DoD 5220.22-M National Industrial Security Program Operating Manual, 1995 ISO/IEC 17799 Information Technology, Code of Practice for Information Security Management, February 2001 ISO/IEC DTR 13335-1 Information technology -- Guidelines for the management of IT security ISO/IEC 15408Common Criteria for Information Technology Security Evaluation, August 1999 ISO/IEC DIS 14980 Information technology -- Code of practice for information security management NSA Security Guidelines Handbook NSA/CSS Manual 130-2 Media Declassification and Destruction Manual NACSIM 5000 TEMPEST FundamentalsNSTISSI 7000Tempest Countermeasures for Facilities, September 1993. NSTISSI 4011 National Training Standard for Information Systems Professionals, June 1994. NSTISSD 500Information Systems Security Education, Training and Awareness, February 1993 NSTISSI 4013 National Training Standard for System Administration in Information Systems Security, August1997NSTISSI 4014National Training Standard for Information Systems Security Officers (ISSO), August 1997 NSTISSI 4015National Training Standard for Systems Certifiers, December 2000 IEEE P1363 Standard Specifications For Public-Key Cryptography, 2003NIST FIPS 73Guidelines for Security of Computer Applications, 1980 NIST SP 800-64 Security Considerations in the Information System Development Life Cycle, October 2003 NIST SP 800-61 Computer Security Incident Handling Guide NIST SP 800-50 Building an Information Technology Security Awareness and Training Program, October 2003 NIST SP 800-55 Security Metrics Guide for Information Technology Systems, July 2003 NIST SP 800-47 Security Guide for Interconnecting Information Technology Systems, September 2002 NIST SP 800-45 Guidelines on Electronic Mail Security, September 2002 NIST SP 800-44 Guidelines on Securing Public Web Servers, September 2002 NIST SP 800-42 Guideline on Network Security Testing, October 2003 NIST SP 800-41 Guidelines on Firewalls and Firewall Policy, January 2002 NIST SP 800-40 Procedures for Handling Security Patches, September 2002 NIST SP 800-36 Guide to Selecting Information Security Products, October 2003NIST SP 800-35 Guide to Information Technology Security Services, October 2003NIST SP 800-34 Contingency Planning Guide for Information Technology Systems, June 2002 NIST SP 800-30 Risk Management Guide for Information Technology Systems, January 2002 NIST SP 800-26 Security Self-Assessment Guide for Information Technology Systems, November 2001NIST SP 800-25 Federal Agency Use of Public Key Technology for Digital Signatures and Authentication, October 2000 NIST SP 800-21Guideline for Implementing Cryptography in the Federal Government, November 1999 NIST SP 800-18Guide for Developing Security Plans for Information Technology Systems, December 1998 NIST SP 800-16Information Technology Security Training Requirements: A Role- and Performance-Based Model, April 1998 NIST SP 800-14Generally Accepted Principles and Practices for Securing Information Technology Systems,September 1996 NIST SP 800-13Telecommunications Security Guidelines for Telecommunications Management Network, October 1995 NIST SP 800-12An Introduction to Computer Security: The NIST Handbook, October 1995 NIST SP 800-6Automated Tools for Testing Computer System Vulnerability, December 1992 NIST SP 800-5A Guide to the Selection of Anti-Virus Tools and Techniques, December 1992 11. Dnde obtener los estndares Todos los estndares se pueden obtener de manera gratuita de sitios Web en la Internet, excepto los estndares de la ISO/IEC que slo pueden ser bajados al comprarlos en el sitio Web de la ISO. Si alguna de las direcciones no lo lleva al estndar buscado, realice una bsqueda en algn motor de bsqueda como Google (www.google.com) con la referencia del estndar. Estndares del DoD/CSC: http://www.radium.ncsc.mil/tpep/library/rainbow/ http://www.dss.mil/isec/nispom_0195.htm Borrador para discusin - 08/11/20044 de 4Cor|s|r lrle(seclo(|a| de Po|il|cas v 0esl|r de |a lrlo(rac|r pa(a |a Adr|r|sl(ac|r Puo||ca Estndares de la ISO/IEC http://www.iso.org Estndares de la NSTISSC http://www.nstissc.gov/html/library.html Estndares de la NSA http://www.politrix.org/foia/nsa/ Estndares del NIST http://csrc.nist.gov/publications/ Estndares de la IEEE http://grouper.ieee.org/groups/1363/