Professional Documents
Culture Documents
CRITERIOS DE SEGURIDAD
Versin 2.2. (Aprobada por Sesin plenaria de la CIABSI de 24
de junio de 2004)
http://www.csi.map.es/csi/pg5c10.htm
Este documento expone los requisitos, criterios y recomendaciones relativos a la
implantacin de un conjunto proporcionado de medidas de seguirdad, tanto organizativas como
tcnicas, en el diseo, desarrollo y explotacin de las aplicaciones cuyo resultado sea utilizado
para el ejercicio de potestades.
A travs de 19 captulos se van tratando todos lo extremos necesarios para tales fines:
1.
2.
Poltica de seguridad
3.
4.
5.
6.
7.
Seguridad fsica
8.
Autenticacin
9.
Confidencialidad
10.
Integridad
11.
Disponibilidad
12.
Control de acceso
13.
14.
Firma electrnica
15.
16.
17.
18.
Plan de contingencias
19.
preciso definir qu hay que proteger y por qu. Ello nos conducir a la adopcin de nuestra
poltica de seguridad.
2. Poltica de seguridad
Es el conjunto de normas, reglas y prcticas que regulan el modo en que los bienes
que contienen informacin sensible son gestionados, protegidos y distribuidos dentro de una
organizacin. Afecta a los subestados de autenticidad, confidencialidad, integridad y
disponibilidad: mediante la restriccin de utilizacin, la prevencin de alteraciones y la
proteccin de procesos informticos.
Su plasmacin puede efectuarse a travs de la elaboracin de un Documento de
seguridad que contemple la tipificacin de los recursos protegidos (activos), los mecanismos de
control de accesos, la gestin de soportes y copias, las obligaciones del personal en
definitiva las medidas que se implanten.
7. Seguridad fsica
Establece los criterios que permiten asegurar la proteccin de ciertas reas, el control
de los permetros, de las entradas fsicas, de la implantacin de equipamientos de seguridad.
As, repasa cuestiones como la proteccin frente a instalaciones elctricas, incendios, clima,
agua, agentes qumicosAsimismo recomienda la ubicacin de equipos y terminales que
manejen informacin sensible en lugares alejados del trnsito de personal o usuarios. Aconseja
ubicar las copias de seguridad en sitios diferentes. Estos son slo unos ejemplos de entre las
cuestiones que en este campo plantean los Criterios de Seguridad.
8. Autenticacin
Se refiere a la capacidad de verificar que un usuario, convenientemente identificado,
que accede a un sistema o aplicacin es quien dice ser; o que un usuario que ha generado un
documento o informacin es quien dice ser (mediante la firma electrnica). Estamos ante la
verificacin del usuario.
Existen diferentes niveles de autenticacin en funcin de los niveles de seguridad
establecidos (baja, normal, alta, crtica). Se establecen una amplia gama de recomendaciones
para tener en cuenta en la asignacin y gestin de contraseas.
9. Confidencialidad
Es la condicin que asegura que los datos o la informacin no estn disponibles, ni se
revelen, a personas, entidades o procesos no autorizados.
Por ello, en este apartado se indican las diferentes clases de cifrado de informacin y
cules deben ser usadas preferentemente. Establecen una amplia gama de recomendaciones
para la asignacin y gestin de claves criptogrficas.
10. Integridad
Es la seguridad de que la informacin, o los datos, estn protegidos contra modificacin
o destruccin no autorizada, y certidumbre de que los datos no han cambiado desde la
creacin a la recepcin. Por ello, por ejemplo, se propone que las copias de los documentos se
efecten en soportes no reescribibles, que se utilice el atributo de slo lectura en los archivos
de informacin, que se analicen los accesos y recursos utilizados documentando qu registros
han sido accedidos por qu usuarios, que se empleen recursos como el fechado electrnico y
la firma electrnica.
En el caso concreto de la firma electrnica, su aplicacin a la integridad viene del
hecho de que est vinculada al firmante de manera nica, permite la identificacin del firmante
y est vinculada a los datos a los que se refiere, de modo que cualquier cambio ulterior es
detectable.
11. Disponibilidad
Es el grado en el que un dato est en el lugar, momento y forma en que es requerido
por el usuario autorizado. Ello tiene implicaciones en la gestin del software, en las
instalaciones fsicas (necesidad de disponer de suministro elctrico duplicado, por ejemplo), en
el control de soportes circulantes (disquetes, CDs), control de virus, etc.
Para ello es oportuno introducir mecanismos protectores como los cortafuegos, cifrar la
informacin transmitida a travs de redes, establecer procesos de gestin de redes que
faciliten estas tareas (como la segregacin de redes).
CONCEPTOS
Las definiciones estn recogidas de la Ley 59/2003, de 19 de diciembre, de firma electrnica:
*Firma electrnica: es el conjunto de datos en forma electrnica, consignados junto a otros o
asociados con ellos, que pueden ser utilizados como medio de identificacin del firmante.
*Firma electrnica avanzada: es la firma electrnica que
- permite la identificacin del firmante y detectar cualquier cambio ulterior de los datos
firmados
- est vinculada al firmante de manera nica y a los datos que se refiere
- ha sido creada por medios que el firmante puede mantener bajo su exclusivo control
*Firma electrnica reconocida: es la firma electrnica avanzada basada en un certificado
reconocido y generada mediante un dispositivo seguro de creacin de firma. Tiene validez
respecto de los datos consignados de forma electrnica.
*Documento electrnico: es el redactado en soporte electrnico que incorpore datos que
estn firmados electrnicamente. Puede ser soporte tanto de documentos pblicos como
privados.
*Prestador de servicios de certificacin: la entidad o persona fsica o jurdica que expide
certificados o presta otros servicios en relacin con la firma electrnica. Estn obligados a
formular una Declaracin de prcticas de certificacin en el marco de la ley.
*Certificado electrnico: documento firmado electrnicamente por un prestador de servicios
de certificacin, que vincula unos datos de verificacin de firma a un firmante y confirma su
identidad.
*Certificado reconocido: los certificados electrnicos expedidos por un prestador de servicios
de certificacin que cumpla los requisitos establecidos en la Ley en cuanto a la comprobacin
de la identidad y dems circunstancias de los solicitantes y a la fiabilidad y las garantas de los
servicios de certificacin que presten. Incluirn obligatoriamente una serie de elementos:
cdigo identificativo, identificacin del prestador de servicios, firma electrnica avanzada,
identificacin del firmante, perodo de validez del certificadoentre otros que indica la ley.
Los Criterios de Seguridad detallan los elementos que deben conformar el plan de
contingencias.