REPUBLICA DE COLOMBIA
AGENDA DE CONECTIVIDAD
Camino a la sociedad del
conocimiento
Cuadernos de la Agenda
MEJORES
PRÁCTICAS Y ESTÁNDARES PARA LA IMPLEMENTACIÓN DE
TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIONES (TIC) EN EL ESTADO COLOMBIANO
C-AdC N°: 03
Políticas de Seguridad
Informática
Versión
N°: 01
Último
revisor: Agenda de Conectividad – Subdirección Técnica
Fecha
de última revisión: 15/03/2004
Gobierno
en Línea – Políticas de Seguridad Informática
Para
optimizar la seguridad de un sistema de información se deben realizar los
siguientes procesos:
1. Análisis de riesgos
El
análisis de riesgos, como su nombre lo indica, consiste en analizar el sistema
de información y su entorno para detectar todos los riesgos que amenazan su
estabilidad y su seguridad.
2. Análisis de
requerimientos y establecimiento de políticas de seguridad informática
El
análisis de requerimientos de seguridad informática consiste en estudiar la
organización, su sistema de información (y todos sus componentes) y los riesgos
que lo amenazan, y definir el nivel de seguridad informática necesario para el
adecuado funcionamiento de la organización. A partir de dicho análisis, se
define una serie de requerimientos que se deben satisfacer para alcanzar el
nivel de seguridad deseado. El proceso de análisis también debe usarse para
modelar el documento de políticas de seguridad informática, que debe reflejar
el estado óptimo de seguridad informática que desea obtener la organización, y
las políticas que se deben seguir para obtenerlo.
3. Aseguramiento de
Componentes de Datos
La
seguridad de datos busca garantizar que la información del sistema de
información esté siempre disponible (disponibilidad), que se mantenga íntegra
(integridad), y que solamente pueda ser accesada por personas autorizadas
(confidencialidad).
4. Aseguramiento de
Componentes de Software
La
seguridad de software busca optimizar los sistemas operativos y las
aplicaciones que trabajan en el sistema de información, de manera que sean
configurados de manera segura y solo permitan su utilización dentro de
parámetros de funcionamiento predefinidos y aceptados (aseguramiento), que
funcionen de manera continua y estable (disponibilidad), que ofrezcan un
servicio con un nivel de calidad aceptable (calidad del servicio), que no
permitan su utilización por personas no autorizadas (control de acceso), y que
permitan establecer las responsabilidad de uso (accountability).
5. Aseguramiento de
Componentes de Hardware
La
seguridad de software busca optimizar los componentes de hardware del sistema
de información (equipos de cómputo, periféricos, medios de almacenamiento
removibles, etc.), de manera que sean configurados de manera segura y solo
permitan su utilización dentro de parámetros de funcionamiento predefinidos y
aceptados (aseguramiento), que funcionen de manera continua y estable
(disponibilidad), que ofrezcan un servicio con un nivel de calidad aceptable
(calidad del servicio), que no permitan su utilización por personas no
autorizadas (control de acceso), y que permitan establecer las responsabilidad
de uso (accountability).
6. Aseguramiento de
Componente Humano
La
seguridad humana busca optimizar el componente humano del sistema de
información (usuarios, administradores, auditores, etc.) para que su
interacción entre ellos y con terceros sea segura, no filtre información que
pueda permitir la vulneración del sistema de información, y permita detectar
ataques de ingeniería social en su contra.
7. Aseguramiento de
Componentes de Interconectividad
La
seguridad del componente de interconectividad busca optimizar el componente de
comunicaciones del sistema de información (cableado, dispositivos de
interconexión –hubs, switches, routers, etc.-, antenas, etc.), de manera que
los canales funcionen de manera continua y estable (disponibilidad) se pueda establecer la identidad de los
participantes (autenticación), los datos transmitidos puedan ser accesados
únicamente por personas autorizadas (confidencialidad), los datos no puedan ser
modificados durante su transmisión (integridad) y se pueda establecer el origen
de toda comunicación (no repudio).
8. Aseguramiento de
Infraestructura Física
La
seguridad de la infraestructura física busca optimizar el entorno físico (las
instalaciones) en las cuales opera el sistema de información, de manera que
estas provean niveles de seguridad industrial adecuados para proteger los
componentes del sistema de información que contiene.
9. Administración de la
seguridad informática
La
administración de la seguridad informática consiste en una serie de procesos
que tienen como propósito mantener un nivel adecuado de seguridad informática
en el sistema de información a lo largo del tiempo. Los procesos no se limitan
al mantenimiento y la optimización de la seguridad informática en el presente,
sino que incluyen también procesos de planeación estratégica de seguridad
informática, que garanticen que el nivel de seguridad se mantendrá en el
futuro, y que le permitan al sistema de seguridad informática anticiparse a los
requerimientos de seguridad impuestos por el entorno, o por la organización a
la cual el sistema de información sirve.
10. Estándares
La
siguiente tabla muestra los estándares a ser adoptados:
Componente Estándar (*)
Análisis
de riesgos ISO/IEC 17799, NIST SP 800-30,
NIST SP 800-6
Análisis
de requerimientos y establecimiento de políticas de seguridad informática
ISO/IEC 17799, CSC-STD-001-83, ISO 15408, NIST SP 800-55, NIST SP 800-42, NIST
SP 800-26, NIST SP 800-18, NIST SP 800-16
Aseguramiento
de Componentes de Datos ISO/IEC 17799,
IEEE P1363, NIST SP 800-36, NIST SP 800-21, NIST SP 800-14, NIST SP 800-12
Aseguramiento
de Componentes de Software ISO/IEC
17799, NIST FIPS 73, NIST SP 800-44, NIST SP 800-41, NIST SP 800-36, NIST SP
800-14, NIST SP 800-5
Aseguramiento
de Componentes de Hardware ISO/IEC
17799, NSA/CSS Manual 130-2, NACSIM 5000, NIST SP 800-36, NIST SP 800-14
Aseguramiento
de Componente Humano ISO/IEC 17799,
NSA Security Guidelines Handbook, NIST SP 800-50, NIST SP 800-36, NIST SP
800-16, NIST SP 800-14, NSTISSI 4011, NSTISSD 500, NSTISSI 4013, NSTISSI 4014,
NSTISSI 4015, CSC-STD-002-85
Aseguramiento
de Componentes de Interconectividad ISO/IEC
17799, IEEE P1363, NIST SP 800-45, NIST SP 800-47, NIST SP 800-41, NIST SP
800-36, NIST SP 800-25, NIST SP 800-21, NIST SP 800-14, NIST SP 800-13
Aseguramiento
de Infraestructura Física ISO/IEC
17799, DoD 5220.22-M, NSA Security Guidelines Handbook, NSTISSI 7000, NIST SP 800-36, NIST SP 800-14, NIST SP
800-12
Administración
de la seguridad informática ISO/IEC
17799, ISO/IEC DTR 13335, ISO/IEC DIS 14980, NIST SP 800-64,
NIST SP
800-61, NIST SP 800-50, NIST SP 800-55, NIST SP 800-42, NIST SP 800-40, NIST SP
800-36, NIST SP 800-35, NIST SP 800-34, NIST SP 800-18, NIST SP 800-16, NIST SP
800-6, NIST SP 800-5
(*)
Los estándares mencionados se especifican brevemente a continuación:
CSC-STD-001-83
DoD Trusted Computer System Evaluation Criteria, 1983
CSC-STD-002-85
DoD Password Management Guidelines, 1985
DoD
5220.22-M National Industrial Security
Program Operating Manual, 1995
ISO/IEC 17799
Information Technology, Code of Practice for Information Security Management,
February 2001
ISO/IEC DTR
13335-1 Information technology -- Guidelines for the management of IT security
ISO/IEC 15408
Common Criteria for Information Technology Security Evaluation, August 1999
ISO/IEC DIS
14980 Information technology -- Code of practice for information security
management
NSA Security
Guidelines Handbook
NSA/CSS Manual
130-2 Media Declassification and Destruction Manual
NACSIM 5000
TEMPEST Fundamentals
NSTISSI 7000
Tempest Countermeasures for Facilities, September 1993.
NSTISSI 4011
National Training Standard for Information Systems Professionals, June 1994.
NSTISSD 500 Information Systems Security
Education, Training and Awareness, February 1993
NSTISSI 4013
National Training Standard for System Administration in Information Systems
Security, August
1997
NSTISSI 4014
National Training Standard for Information Systems Security Officers (ISSO),
August 1997
NSTISSI
4015 National Training Standard for
Systems Certifiers, December 2000
IEEE P1363 Standard Specifications For Public-Key
Cryptography, 2003
NIST FIPS 73 Guidelines for Security of Computer
Applications, 1980
NIST SP 800-64
Security Considerations in the Information System Development Life Cycle,
October 2003
NIST SP 800-61
Computer Security Incident Handling Guide
NIST SP 800-50 Building
NIST SP 800-55
Security Metrics Guide for Information Technology Systems, July 2003
NIST SP 800-47
Security Guide for Interconnecting Information Technology Systems, September
2002
NIST SP 800-45
Guidelines on Electronic Mail Security, September 2002
NIST SP 800-44
Guidelines on Securing Public Web Servers, September 2002
NIST SP 800-42
Guideline on Network Security Testing, October 2003
NIST SP 800-41
Guidelines on Firewalls and Firewall Policy, January 2002
NIST SP 800-40
Procedures for Handling Security Patches, September 2002
NIST SP 800-36
Guide to Selecting Information Security Products, October 2003
NIST SP 800-35
Guide to Information Technology Security Services, October 2003
NIST SP 800-34
Contingency Planning Guide for Information Technology Systems, June 2002
NIST SP 800-30
Risk Management Guide for Information Technology Systems, January 2002
NIST SP 800-26
Security Self-Assessment Guide for Information Technology Systems, November
2001
NIST SP 800-25
Federal Agency Use of Public Key Technology for Digital Signatures and
Authentication, October 2000
NIST SP 800-21
Guideline for Implementing Cryptography in the Federal Government, November
1999
NIST SP 800-18
Guide for Developing Security Plans for Information Technology Systems,
December 1998
NIST SP 800-16
Information Technology Security Training Requirements: A Role- and
Performance-Based Model, April 1998
NIST SP 800-14
Generally Accepted Principles and Practices for Securing Information Technology
Systems,
September 1996
NIST SP 800-13
Telecommunications Security Guidelines for Telecommunications Management
Network, October 1995
NIST SP 800-12
An Introduction to Computer Security: The NIST Handbook, October 1995
NIST SP 800-6
Automated Tools for Testing Computer System Vulnerability, December 1992
NIST SP 800-5 A Guide to the Selection of
Anti-Virus Tools and Techniques, December 1992
No hay comentarios.:
Publicar un comentario