"Las normas ofrecen un lenguaje común de comunicación entre las empresas, la Administración y los usuarios y consumidores, establecen un equilibrio socioeconómico entre los distintos agentes que participan en las transacciones comerciales, base de cualquier economía de mercado, y son un patrón necesario de confianza entre cliente y proveedor."
AENOR
ACTIVIDAD DEL SUBCOMITÉ ISO/CEI JTC1 SC27 TÉCNICAS DE SEGURIDAD - TECNOLOGÍA DE LA INFORMACIÓN
La normalización internacional
Las normas son especificaciones técnicas, de carácter voluntario, consensuadas internacionalmente, elaboradas con la participación de las partes interesadas (fabricantes, usuarios / consumidores, laboratorios, administración, centros de investigación, etc.) y aprobadas por un organismo reconocido. Estas normas tienen el carácter de acuerdos documentados y como contenido, las especificaciones técnicas o criterios precisos para ser usados consistentemente como reglas, guías, o definiciones de características, asegurando de esta forma que los materiales, productos, procesos y servicios son apropiados para lograr el fin para el que se concibieron.
La normalización internacional contribuye a simplificar y a incrementar la fiabilidad y eficiencia de los bienes y servicios que utilizamos. Como ejemplos de amplia difusión tenemos: tarjetas de crédito, tarjetas "inteligentes", ergonomía, seguridad eléctrica, equipos ofimáticos, etc.
ISO (International Organization for Standardization) / CEI (Comisión Electrotécnica Internacional)
ISO y CEI tienen por objeto favorecer el desarrollo de la normalización en el mundo, con vistas a facilitar los intercambios comerciales y las prestaciones de servicios entre los distintos países. Los trabajos desarrollados por ISO cubren prácticamente todos los sectores de la técnica, con excepción del campo eléctrico y electrotécnico, cuya responsabilidad recae en CEI. Los miembros de ISO o CEI son los organismos que representan la normalización de un país. Tan sólo un organismo de cada país puede ser miembro de estas organizaciones. La participación en los comités técnicos de ISO/CEI puede ser como miembro bien "p" (participante) o bien "o" (observador).
AENOR, la Asociación Española de Normalización y Certificación asumió la responsabilidad internacional en ISO en 1987 y en CEI en 1995, y es, por tanto, el comité miembro que representa los intereses españoles en el campo de la normalización ante dichas organizaciones y quien distribuye los productos de ISO/CEI.
Los órganos de trabajo técnicos de ISO son los siguientes:
| Comités Técnicos (TC): su función principal es el desarrollo de las normas internacionales y su revisión, en caso de que fuera necesario. Cada TC puede, si así lo cree conveniente debido a la amplitud de su campo de actuación, establecer subcomités (SC) y/o grupos de trabajo (WG) para cubrir temas específicos. |
| Subcomités (SC): tienen las mismas atribuciones que el TC y autonomía para realizar sus trabajos, con la única obligación de mantener informado al TC de sus actividades. Existe la excepción: en ISO / CEI JTC1 de la aprobación no ha sido delegada. |
| Grupos de Trabajo (WG): se crean para trabajos específicos emprendidos por el comité/subcomité. |
Los TC o SC pueden establecer liaison, o enlace, con determinadas organizaciones con actividades afines a la normalización en sectores concretos.
Los documentos elaborados por ISO/CEI son de dos tipos:
| Norma internacional (ISO/CEI): norma elaborada por los miembros participantes en un comité técnico, subcomité o grupo de trabajo y aprobada por votación entre todos los participantes. |
| Informe Técnico (TR): documento técnico elaborado para informar sobre los progresos técnicos de un tema determinado, dar recomendaciones sobre la ejecución de un trabajo y facilitar información y datos distintos a los que generalmente están contenidos en una norma. |
Subcomité ISO/IEC JTC 1/SC 27 Técnicas de Seguridad - Tecnología de la Información
El Subcomité ISO/IEC JTC 1/SC 27 Técnicas de Seguridad - Tecnología de la Información tiene por alcance y área de trabajo la normalización de métodos genéricos y técnicas para seguridad de TI.
La actividad del SC27 se enmarca en la concepción de la Seguridad de la Tecnología de la Información como pieza fundamental para garantizar la confianza de individuos e instituciones en la sociedad de la información. Los principios y técnicas comúnmente aceptadas de la Seguridad de Tecnología de la Información, sirven de cimiento y punto de referencia para la elaboración y el cumplimiento de las normativas. Dado el carácter de utilización extensiva e intensiva de los Sistemas de Información en la "aldea global", los principios y técnicas de la Seguridad, necesariamente deben gozar de un consenso lo más amplio posible, lo que nos remite a que tengan una dimensión internacional, dotándoles así de una mayor eficacia.
La actividad del SC 27 incluye:
| La identificación de requisitos genéricos (incluyendo requisitos metodológicos) de los servicios de seguridad para los sistemas de TI. |
| El desarrollo de técnicas y mecanismos de seguridad (incluyendo los procedimientos de registro y las relaciones de los componentes de seguridad). |
| El desarrollo de guías de seguridad (ejemplos, documentos interpretativos, análisis de riesgos). |
| El desarrollo del soporte a la gestión, documentación y normas (ejemplo, terminología y criterios de evaluación). |
| La normalización de algoritmos criptográficos para los servicios de integridad, autenticación y no repudio. adicionalmente, incluye la normalización de algoritmos criptográficos de los servicios de confidencialidad para ser utilizados conforme a las políticas internacionalmente aceptadas. |
Queda excluida de su actividad la inclusión de mecanismos en las aplicaciones, es decir, la normalización de cómo insertar los mecanismos de seguridad en las diversas aplicaciones (este aspecto queda a discreción de los desarrolladores).
Como información adicional, se señala que el alcance de la actividad del SC 27 incluye la normalización de algoritmos criptográficos para servicios de autenticación, integridad y no repudio. También incluye la normalización de algoritmos criptográficos para la utilización de servicios de confidencialidad de acuerdo con las políticas internacionalmente aceptadas.
El SC27 se estructura en tres Grupos de trabajo que se citan a continuación con sus términos de referencia:
WG1: requisitos, servicios de seguridad y guías.
| Identificar los requisitos de los componentes de aplicaciones y sistemas |
| Desarrollar normas para los servicios de seguridad (ejemplo, autenticación, control de acceso, integridad, confidencialidad, gestión y auditoría) utilizando técnicas y mecanismos desarrollados por el WG2. |
| Desarrollar soporte interpretativo de documentos (ejemplo, guías de seguridad, glosarios, análisis de riesgos). |
WG2: mecanismos y técnicas de seguridad.
| Mecanismos relacionados con la autenticación, control de acceso, confidencialidad, no repudio, gestión de claves e integridad de datos. |
| Técnicas criptográficas o no criptográficas. |
WG3: criterios de evaluación de la seguridad.
| Normas para evaluar y certificar la seguridad de los sistemas, componentes y productos de TI. Esto incluye la consideración de redes de ordenadores, sistemas distribuidos, servicios de aplicación asociados, etc. |
- Pueden distinguirse tres aspectos:
| criterios de evaluación, |
| metodología para la aplicación de los criterios, |
| procedimiento administrativo para la evaluación, certificación y esquemas de acreditación. |
El consenso internacional se obtiene mediante la participación en el SC27 de los siguientes Países miembro P (con voto): Alemania (DIN),Australia (SAA), Bélgica (NNI), Brasil (ABNT), Canadá (SCC), China (CSBTS/CESI), Dinamarca (DS), España (AENOR), Estados Unidos (ANSI), Finlandia (SFS), Francia (AFNOR), Holanda (NNI), Italia (UNINFO), Japón (JISC), Corea, Rep. de (KNITQ), Noruega (NSF), Polonia (PKN), Reino Unido (BSI), Rusia (Federación) (GOST R), Suecia (ITS), Suiza (SNV). (Total: 21). Y de los Países miembro O (observadores): Austria (ON), Eslovaquia (UNMS), Indonesia (DSN), Irlanda (NSAI), Israel (SLL), Nueva Zelanda (SANZ), Portugal (IPQ), República Checa (COSMT), Rumania (IRS), Sudáfrica (SABS), Tailandia (TISI). (Total: 11).
Actividad del SC27 en España
En lo relativo a la actuación de los expertos del SC27 en nuestro país cabe destacar, entre la actividad habitual, los siguientes aspectos:
| Reunión del SC27 en Madrid del 19 al 23 de abril |
En la semana del 19 al 23 de abril de 1999 se celebrará, en Madrid, por primera vez en España una reunión internacional de expertos del Subcomité ISO/IEC JTC 1/SC 27. Dicha reunión se realizará en el marco de la Organización Internacional de Normalización (ISO Intenational Organtization for Standardization) ante la que AENOR representa los intereses españoles en el campo de la normalización.
Esta reunión cuenta con el apoyo de las organizaciones miembro del Subcomité Técnico de Normalización español SC27 y dentro de ellas son patrocinadores AENOR, la Fábrica Nacional de Moneda y Timbre (FNMT) donde tendrán lugar las reuniones, la Agencia de Protección de Datos de la Comunidad de Madrid, Banco Santander, Dimasoft, Unión Fenosa y el Ministerio de Administraciones Públicas.
| Propuesta de un ‘New work item proposal’ sobre fechado electrónico |
Los expertos del SC27 en nuestro país han propuesto el desarrollo de una nueva línea de trabajo relativa al fechado electrónico (time-stamping) encaminada a la elaboración de un informe técnico (TR) que tiene por título ‘Guidelines on the use and management of Time Stamping Services (GUMTSS)’. El punto de partida de esta propuesta se encuentra en el proyecto PKITS (Public Key Infrastructure with Time-Stamping Authority) del Programa de I+DT de la Unión Europea INFOSEC - Security of Telecommunications and Information Systems - ETS II - European Trusted Services, en el que participan el Ministerio de Administraciones Públicas, la Fábrica Nacional de Moneda y Timbre, Correos y Telégrafos y la Universidad Politécnica de Cataluña.
ISO/CEI JTC 1/SC 27. NORMAS INTERNACIONALES VIGENTES (IS) (septiembre 1998)
Grupo WG1: REQUISITOS, SERVICIOS DE SEGURIDAD Y GUÍAS
Norma Internacional |
FECHA |
TITULO |
ISO/IEC TR 13335: 13335-1 13335-2 13335-3 |
1996 1997 1998 |
Guías para la gestión de la seguridad en
TI
-Parte 1: Conceptos y modelos para la seguridad de TI
-Parte 2: Gestión y planificación de la seguridad de TI
-Parte 3: Técnicas para la gestión de la seguridad de TI
|
ISO/IEC DIS 14980 |
Código de práctica para la gestión de la
seguridad de la información "Code of practice for information security management" |
Grupo WG2: MECANISMOS Y TÉCNICAS DE SEGURIDAD
Norma Internacional |
FECHA |
TITULO |
ISO 8372 |
1987 |
Proceso de Información, modos de
operación para un algoritmo de cifrado de bloques de 64-bits. " Information processing, modes of operation for a 64-bit block cipher algorithm". |
ISO 9160 |
1988 |
Proceso de Información, Cifrado de datos,
requisitos de interoperabilidad de la capa física. " Information processing, Data encipherment, Physical layer interoperability requirements". |
ISO/IEC 9796 |
1991 |
Esquemas de firma digital revelando el
mensaje. " Digital signature schemes giving message recovery". |
ISO/IEC 9796-2 |
1997 |
- Parte 2: Mecanismos que utilizan una
función hash. "- Part 2: Mechanisms using a hash function". |
|
1994 |
Mecanismos de integridad de datos que
utilizan una función de comprobación criptográfica empleando un algoritmo de cifrado de
bloques. " Data integrity mechanism using a cryptographic check function employing a block cipher algorithm". |
|
Códigos de autenticación de mensajes, Parte 1: Mecanismos que utilizan cifrado de bloques. " Message authentication codes, Part 1: Mechanisms using a block cipher". |
|
ISO/IEC 9798: 9798-1 9798-2
DIS 9798-3 (2nd edition)
9798-4
DIS 9798-5 |
1997 1994
1997
1995 |
Autenticación de entidades
("Entity authentication")
-Parte 2: Mecanismos que utilizan algoritmos de cifrado
-Parte 3: Mecanismos que utilizan técnicas de firma
-Parte 4: Mecanismos que utilizan una función de
-Parte 5: Mecanismos que utilizan técnicas de
|
ISO/IEC DIS 9979 |
Procedimiento para el registro de
algoritmos criptográficos "Procedures for the registration of cryptographic algorithms" |
|
ISO/IEC 10116 |
1997 |
Modos de operación para un algoritmo de
cifrado de bloques de n-bits. "Modes of operation for an n-bit block cipher algorithm" |
ISO/IEC 10118: 10118-1 10118-2
10118-3 DIS 10118-4 |
1994 1994
1998 |
Funciones Hash
("Hash-functions") -Parte 1: General ("-Part 1:General") -Parte 2: Funciones Hash que utilizan un algoritmo de
-Parte 3: Funciones Hash dedicadas
-Parte 4: Funciones Hash que utilizan aritmética modular
|
ISO/IEC 11770: 11770-1 11770-2 DIS 11770-3 |
1996 1996 |
Gestión de Claves ("Key
Management") -Parte 1: Marco conceptual ("-Part 1:Framework") -Parte 2: Mecanismos que utilizan técnicas simétricas
-Parte 3: Mecanismos que utilizan técnicas asimétricas
|
ISO/IEC 13888: 13888-1 13888-2 13888-3 |
1997 1998 1997 |
No repudio
("Non-repudiation") -Parte 1: General ("-Part 1:General") -Parte 2: Mecanismos que utilizan técnicas simétricas
-Parte 3: Mecanismos que utilizan técnicas asimétricas
|
ISO/IEC DIS 14888: 14888-1 14888-2 14888-3 |
Firma digital con apéndice
-Parte 1: General ("-Part 1:General") -Parte 2: Mecanismos basados en identidades
-Parte 3: Mecanismos basados en certificados
|
Grupo WG3: CRITERIOS DE EVALUACIÓN DE LA SEGURIDAD
Norma Internacional |
FECHA |
TITULO |
ISO/IEC DIS 15408: 15408-1 15408-2 15408-3 |
Criterio de evaluación de la seguridad de
TI
-Parte 1: Introducción y modelo general
-Parte 2: Requisitos funcionales de seguridad
-Parte 3: ANEXOS ("-Part 3: Annexes") |
DIS: Borrador de Norma Internacional
TR: Informe Técnico
Referencias web:
ISO: http://www.iso.ch/
AENOR: http://www.aenor.es
ISO/CEI JTC 1/SC 27: http://www.iso.ch/meme/JTC1SC27.html
Lista de normas vigentes del ISO/CEI JTC1/SC27: http://www.iso.ch/liste/JTC1SC27.html
Más información sobre la reunión en Madrid del SC27: http://www.dimasoft.es/ctn71sc27
ISO/CEI JTC 1/SC 27
