Usuario:MichaelAlx/Estándares de ciberseguridad

De Wikipedia, la enciclopedia libre

Los estándares de ciberseguridad [1]​ son técnicas generalmente establecidas en materiales publicados que intentan proteger el entorno cibernético de un usuario u organización. [2]​ Este entorno incluye a los propios usuarios, redes, dispositivos, todo el software, procesos, información en almacenamiento o tránsito, aplicaciones, servicios y sistemas que pueden conectarse directa o indirectamente a las redes.

El principal objetivo es reducir los riesgos, incluyendo prevención o mitigación de ciberataques. Estos materiales publicados consisten en colecciones de herramientas, políticas, conceptos de seguridad, salvaguardas de seguridad, guías, enfoques de gestión de riesgos, acciones, capacitación, mejores prácticas, aseguramiento y tecnologías.

Historia[editar]

Los estándares de ciberseguridad han existido durante varias décadas, los usuarios y proveedores han colaborado en muchos foros nacionales e internaciones para lograr capacidades, políticas y prácticas que generalmente surgen del trabajo en el consorcio de Stanford para la investigación sobre la seguridad y política de la información en la década de 1990. [3]

Un estudio de adopción del marco de seguridad de EE.UU. De 2016 informo que el 70% de las organizaciones encuestadas consideraban el Marco de ciber seguridad de NIST como la mejor practica mas popular para la seguridad informática de la Tecnología de la información (TI), pero muchos señalan que requiere una inversión significativa.[4]

Estándares[editar]

Las subsecciones de abajo detallan los estándares mas comunes.

ISO/IEC 27001 y 27002[editar]

ISO/IEC 27001, Parte de la creciente familia de estándares ISO / IEC 27000, es un estándar del sistema de gestión de seguridad de la información (SGSI), cuya última versión fue publicada en octubre de 2013 por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC).Su nombre completo es ISO / IEC 27001: 2013 - Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de seguridad de la información - Requisitos.

ISO / IEC 27001 especifica formalmente un sistema de gestión destinado a brindar seguridad de la información bajo control explícito de gestión.

ISO / IEC 27001 especifica formalmente un sistema de gestión destinado a brindar seguridad de la información bajo control explícito de gestión. ISO / IEC 27002 incorpora principalmente la parte 1 del estándar de buenas prácticas de gestión de seguridad BS 7799. Las últimas versiones de BS 7799 es BS 7799-3. Por lo tanto, a veces ISO / IEC 27002 se conoce como ISO 17799 o BS 7799 parte 1 y a veces se refiere a parte 1 y parte 7. BS 7799 parte 1 proporciona un esquema o guía de buenas prácticas para la gestión de la seguridad cibernética; mientras que BS 7799 parte 2 e ISO / IEC 27001 son normativas y por lo tanto proporcionan un marco para la certificación. ISO / IEC 27002 es una guía de alto nivel para la ciberseguridad. Es más beneficioso como guía explicativa para la gestión de una organización para obtener la certificación de la norma ISO / IEC 27001. La certificación obtenida dura tres años. Dependiendo de la organización de auditoría, ninguna o algunas auditorías intermedias pueden llevarse a cabo durante los tres años.

ISO / IEC 27001 (ISMS) reemplaza BS 7799 parte 2, pero dado que es compatible con versiones anteriores, cualquier organización que trabaje hacia BS 7799 parte 2 puede pasar fácilmente al proceso de certificación ISO / IEC 27001. También hay una auditoría de transición disponible para facilitar una vez que una organización tiene la certificación BS 7799 parte 2 para que la organización obtenga la certificación ISO / IEC 27001. ISO/IEC 27002 ISO / IEC 27002 proporciona recomendaciones de mejores prácticas sobre gestión de seguridad de la información para uso de los responsables de iniciar, implementar o mantener la seguridad de la información sistemas de gestión (SIGS). Establece los sistemas de seguridad de la información necesarios para implementar los objetivos de control ISO / IEC 27002. Sin ISO / IEC 27001, los objetivos de control de ISO / IEC 27002 son ineficaces. Los objetivos de los controles ISO / IEC 27002 están incorporados en ISO 27001 en el Anexo A.

ISO / IEC 21827 (SSE-CMM - ISO / IEC 21827) es un estándar internacional basado en el modelo de madurez de capacidad de ingeniería de seguridad de sistemas (SSE-CMM) que puede medir la madurez de los objetivos de los controles ISO.

NERC[editar]

Un intento inicial para crear para crear estándares de seguridad de la información para la industria de la energía eléctrica fue creado por NERC en 2003 y fue conocido como NERC CSS (Cyber Security Standards) Después de las pautas de CSS, NERC evolucionó y mejoró esos requisitos. El estándar de seguridad NERC moderno más ampliamente reconocido es NERC 1300, que es una modificación / actualización de NERC 1200. La versión más nueva de NERC 1300 se llama CIP-002-3 a CIP-009-3 (CIP = Protección de infraestructura crítica). Estas normas se utilizan para asegurar sistemas eléctricos a granel, aunque NERC ha creado normas dentro de otras áreas. Los estándares del sistema eléctrico a granel también brindan administración de seguridad de la red y al mismo tiempo respaldan los procesos industriales de mejores prácticas.

NIST[editar]

  1. El Marco de Seguridad Cibernética del NIST (NIST CSF) "proporciona una taxonomía de alto nivel de resultados de seguridad cibernética y una metodología para evaluar y gestionar esos resultados". Su objetivo es ayudar a las organizaciones del sector privado que brindan infraestructura crítica con orientación sobre cómo protegerla, junto con protecciones relevantes para la privacidad y las libertades civiles . [5]
  2. La publicación especial 800-12 proporciona una visión general amplia de las áreas de control y seguridad informática. También enfatiza la importancia de los controles de seguridad y las formas de implementarlos. Inicialmente, este documento estaba dirigido al gobierno federal, aunque la mayoría de las prácticas en este documento también se pueden aplicar al sector privado. Específicamente, fue escrito para aquellas personas en el gobierno federal responsables del manejo de sistemas sensibles.
  3. La publicación especial 800-14 describe los principios de seguridad comunes que son utilizados. Proporciona una descripción de alto nivel de lo que debe incorporarse dentro de una política de seguridad informática. Describe qué se puede hacer para mejorar la seguridad existente y cómo desarrollar una nueva práctica de seguridad. Ocho principios y catorce prácticas se describen en este documento.
  4. La publicación especial 800-26 proporciona consejos sobre cómo administrar la seguridad de TI. Reemplazado por NIST SP 800-53 rev3. Este documento enfatiza la importancia de las autoevaluaciones, así como las evaluaciones de riesgos.
  5. La publicación especial 800-37, actualizada en 2010, ofrece un nuevo enfoque de riesgos: "Guía para aplicar el marco de gestión de riesgos a los sistemas de información federales".
  6. La publicación especial 800-53 rev4, "Controles de seguridad y privacidad para organizaciones y sistemas de información federales", publicada en abril de 2013 actualizada para incluir actualizaciones al 15 de enero de 2014, aborda específicamente los 194 controles de seguridad que se aplican a un sistema para hacerlo " más seguro".
  7. La publicación especial 800-63-3, "Pautas de identidad digital", publicada en junio de 2017, actualizada para incluir actualizaciones a partir del 1 de diciembre de 2017, proporciona pautas para implementar servicios de identidad digital, incluidas pruebas de identidad, registro y autenticación de usuarios.
  8. La publicación especial 800-82, Revisión 2, "Guía para la seguridad del sistema de control industrial (ICS)", revisada en mayo de 2015, describe cómo asegurar múltiples tipos de sistemas de control industrial contra ataques cibernéticos al tiempo que considera los requisitos de rendimiento, confiabilidad y seguridad específicos de ICS.

ISO 15408[editar]

Este estándar desarrolla lo que se llama los " Criterios comunes ". Permite que muchos productos diferentes de software y hardware se integren y prueben de forma segura.

ANSI/ISA 62443 (Anteriormente ISA-99)[editar]

ANSI / ISA 62443 es una serie de normas, informes técnicos e información relacionada que definen los procedimientos para implementar sistemas de automatización y control industrial (IACS) seguros.

Estos documentos se denominaron originalmente como estándares ANSI / ISA-99 o ISA99, ya que fueron creados por la Sociedad Internacional de Automatización (ISA) y se publicaron públicamente como documentos del Instituto Nacional Estadounidense de Estándares (ANSI) . En 2010, fueron renumerados para ser la serie ANSI / ISA-62443 .

ISA99 sigue siendo el nombre del Comité de Seguridad del Sistema de Control y Automatización Industrial de la ISA. Desde 2002, el comité ha estado desarrollando una serie de normas e informes técnicos de varias partes sobre el tema de la seguridad de IACS. Estos productos de trabajo se envían a la aprobación de ISA y luego se publican bajo ANSI. También se envían a IEC como entrada a la serie IEC 62443 de normas internacionales siguiendo el proceso de desarrollo de normas IEC.

The numbering and organization of ISA62443 work products into categories.
Productos de trabajo ISA62443 planificados y publicados para IACS Security.

Todo ISA-62443 estándares y los informes técnicos están organizados a cuatro categorías generales llamaron Generales, Políticas y Procedimientos, Sistema y Componente.[6]

  1. El primero (superior) la categoría incluye información fundacional como conceptos, modelos y terminología.
  2. La segunda categoría de productos de trabajo apunta el Dueño de Ventaja. Estos dirigen varios aspectos de crear y manteniendo un eficaz IACS programa de seguridad.
  3. La tercera categoría incluye productos de trabajo que describe guiaje de diseño del sistema y requisitos para la integración segura de sistemas de control. Núcleo en este es la zona y conduit modelo de diseño.
  4. La cuarta categoría incluye productos de trabajo que describe el desarrollo de producto concreto y requisitos técnicos de productos de sistema del control.


Programa de evaluación de la conformidad del ISA Security Compliance Institute (ISCI)[editar]

Establecido en 2007, el International Security Compliance Institute (ISCI) creó el primer esquema de evaluación de la conformidad (comúnmente conocido como esquema de certificación) para los estándares ANSI / ISA 62443. Este programa certifica la automatización, los sistemas de control y los dispositivos IOT comerciales listos para usar (COTS), abordando la seguridad de la cadena de suministro de los sistemas de control. Los procesos de desarrollo ISCI incluyen políticas de mantenimiento para garantizar que las certificaciones ISASecure permanezcan alineadas con los estándares IEC 62443 a medida que evolucionan. Si bien los estándares ANSI / ISA 62443 están diseñados para abordar horizontalmente los requisitos técnicos de ciberseguridad de una sección transversal de industrias, los grupos de trabajo de ISASecure han incluido expertos en la materia de industrias de procesos tradicionales y proveedores de sistemas de gestión de edificios y propietarios de activos. El esquema ISASecure requiere que todos los productos se prueben adecuadamente durante el proceso de desarrollo del proveedor de conformidad con ANSI / ISA 62443-4-1. exida de los Estados Unidos fue el primer organismo de certificación acreditado para el esquema ISASecure por el American National Standards Institute (ANSI) seguido por el Control Systems Security Center - Certification Laboratory (CSSC-CL) acreditado por la Junta de Acreditación de Japón (JAB) y TÜV Rheinland acreditado por Deutsche Akkreditierungsstelle (DAkkS). Cinco organismos de certificación adicionales están siendo acreditados en 2019, incluido TUV SUD.

Ofertas de certificación ISCI[editar]

Hay dos certificaciones de productos COTS disponibles bajo la marca ISASecure®: ISASecure-CSA (Component Security Assurance) que certifica los productos de automatización según las normas de seguridad informática IEC 62443-4-1 / IEC 62443-4-2 e ISASecure-SSA (System Security Assurance), Certificación de sistemas según la norma IEC 62443-3-3. Una tercera certificación, SDLA (Secure Development Lifecycle Assurance) está disponible de ISCI que certifica a las organizaciones de desarrollo de sistemas de automatización según el estándar de seguridad cibernética IEC 62443-4-1.

ISO 17065 y acreditación mundial[editar]

El esquema de evaluación de conformidad ISASecure 62443 es un programa ISO 17065 cuyos laboratorios (organismos de certificación o CB) están acreditados independientemente por ANSI / ANAB, JAB, DAkkS, el Consejo de Acreditación de Singapur, y otros organismos de acreditación (AB) globales ISO 17011.

Los laboratorios de certificación también deben cumplir con los requisitos de acreditación de laboratorio ISO 17025 para garantizar la aplicación consistente de los requisitos de certificación y las herramientas reconocidas. Mediante acuerdos de reconocimiento mutuo (ARM) con la IAF, ILAC y otros, la acreditación de los laboratorios ISASecure por parte de los organismos de acreditación ISA 17011 garantiza que los certificados emitidos por cualquiera de los laboratorios ISASecure sean reconocidos a nivel mundial.

IEC 62443[editar]

Los estándares de seguridad cibernética IEC-62443 son estándares de múltiples industrias que enumeran métodos y técnicas de protección de seguridad cibernética. Estos documentos son el resultado del proceso de creación de normas IEC donde las propuestas ANSI / ISA-62443 y otras aportaciones se envían a los comités de los países donde se realiza la revisión y se envían comentarios sobre los cambios. Los comentarios son revisados por varios comités IEC 62443 donde se discuten los comentarios y los cambios se realizan según lo acordado. Muchos miembros de los comités IEC son las mismas personas de los comités ISA S99. Hasta la fecha, se han utilizado los conceptos fundamentales de los documentos ANSI / ISA 62443 originales.

Programas de certificación IEC 62443[editar]

ILos esquemas de certificación IEC 62443 también han sido establecidos por varios organismos de certificación globales. Cada uno ha definido su propio esquema basado en los estándares y procedimientos referenciados que describen sus métodos de prueba, política de auditoría de vigilancia, políticas de documentación pública y otros aspectos específicos de su programa. Varios CB reconocidos a nivel mundial ofrecen programas de certificación de ciberseguridad para las normas IEC 62443, entre los que se incluyen exida, SGS-TÜV Saar, TÜV Nord, TÜV Rheinland, TÜV Sud, UL y CertX. En el mercado de sistemas de automatización, la mayoría de las certificaciones de ciberseguridad han sido realizadas por exida.[7]

Acreditación y reconocimiento global[editar]

Se ha establecido una infraestructura global para garantizar una evaluación consistente según estos estándares. Las organizaciones de terceros imparciales llamadas Organismos de Certificación (CB) están acreditadas para operar ISO / IEC 17065 e ISO / IEC 17025. Los organismos de certificación están acreditados para realizar el trabajo de auditoría, evaluación y prueba por un organismo de acreditación (AB). A menudo hay un AB nacional en cada país. Estos AB operan según los requisitos de ISO / IEC 17011, un estándar que contiene los requisitos para la competencia, consistencia e imparcialidad de los organismos de acreditación al acreditar organismos de evaluación de la conformidad. Los AB son miembros del Foro Internacional de Acreditación (IAF) para el trabajo en sistemas de gestión, productos, servicios y acreditación de personal o la Cooperación Internacional de Acreditación de Laboratorios (ILAC) para la acreditación de laboratorios. Un Acuerdo de Reconocimiento Multilateral (MLA) entre AB garantizará el reconocimiento global de los CB acreditados.

Ve también[editar]

Notas[editar]

  1. «Guidelines for Smart Grid Cyber Security». National Institute of Standards and Technology. 1 de agosto de 2010. Consultado el 30 de marzo de 2014. 
  2. http://www.itu.int/ITU-T/recommendations/rec.aspx?rec=9136
  3. http://fsi.stanford.edu/research/consortium_for_research_on_information_security_and_policy
  4. «NIST Cybersecurity Framework Adoption Hampered By Costs, Survey Finds». Consultado el 2 de agosto de 2016. 
  5. «NIST Cybersecurity Framework». Consultado el 2 de agosto de 2016. 
  6. More information about the activities and plans of the ISA99 committee is available on the committee Wiki site ()
  7. https://www.isasecure.org/en-US/End-Users/Certified-Components

Referencias[editar]

  1. ^ Department of Homeland Security, A Comparison of Cyber Security Standards Developed by the Oil and Gas Segment. (November 5, 2004)
  2. ^ Guttman, M., Swanson, M., National Institute of Standards and Technology; Technology Administration; U.S. Department of Commerce., Generally Accepted Principles and Practices for Securing Information Technology Systems (800-14). (September 1996)
  3. ^ National Institute of Standards and Technology; Technology Administration; U.S. Department of Commerce., An Introduction to Computer Security: The NIST Handbook, Special Publication 800-12.
  4. ^ Swanson, M., National Institute of Standards and Technology; Technology Administration; U.S. Department of Commerce., Security Self-Assessment Guide for Information Technology Systems (800-26).
  5. ^ Grassi, P.; Garcia, M.; Fenton, J.;National Institute of Standards and Technology; U.S. Department of Commerce., Digital Identity Guidelines (800-63-3).
  6. ^ Stouffer, K.; Pillitteri, V.; Lightman, S.; Abrams, M.; Hahn, A.; National Institute of Standards and Technology; U.S. Department of Commerce., Guide to Industrial Control Systems (ICS) Security (800-82).
  7. ^ The North American Electric Reliability Council (NERC). http://www.nerc.com. Retrieved November 12, 2005.
  8. ^ Federal Financial Institutions Examination Council (FFIEC). https://www.ffiec.gov. Retrieved April 18, 2018.

Enlaces externos[editar]

[[Categoría:Estándares de seguridad informática]]

Obtenido de «https://es.wikipedia.org/w/index.php?title=Usuario:MichaelAlx/Estándares_de_ciberseguridad&oldid=126012794»