stringtranslate.com

Normas de seguridad de la información

Los estándares de seguridad de la información (también estándares de seguridad cibernética [1] ) son técnicas generalmente descritas en materiales publicados que intentan proteger el entorno cibernético de un usuario u organización. [2] Este entorno incluye a los propios usuarios, redes, dispositivos, todo el software, procesos, información almacenada o en tránsito, aplicaciones, servicios y sistemas que pueden conectarse directa o indirectamente a las redes.

El objetivo principal es reducir los riesgos, incluida la prevención o mitigación de los ciberataques . Estos materiales publicados incluyen herramientas, políticas, conceptos de seguridad, medidas de seguridad, directrices, enfoques de gestión de riesgos, acciones, formación, mejores prácticas, garantías y tecnologías.

Historia

Los estándares de ciberseguridad existen desde hace varias décadas, ya que los usuarios y proveedores han colaborado en muchos foros nacionales e internacionales para implementar las capacidades, políticas y prácticas necesarias, generalmente a partir del trabajo del Consorcio de Stanford para la Investigación sobre Seguridad de la Información y Políticas en la década de 1990. [3]

Un estudio de adopción del marco de seguridad de EE. UU. de 2016 informó que el 70% de las organizaciones encuestadas utilizan el Marco de Ciberseguridad del NIST como la mejor práctica más popular para la seguridad informática de la tecnología de la información (TI), pero muchas señalan que requiere una inversión significativa. [4] Las operaciones transfronterizas de exfiltración cibernética por parte de las agencias de aplicación de la ley para contrarrestar las actividades delictivas internacionales en la red oscura plantean cuestiones jurisdiccionales complejas que, hasta cierto punto, siguen sin respuesta. [5] [6] Las tensiones entre los esfuerzos de aplicación de la ley nacionales para realizar operaciones transfronterizas de exfiltración cibernética y la jurisdicción internacional probablemente seguirán proporcionando normas de ciberseguridad mejoradas. [5] [7]

Normas internacionales

Las subsecciones siguientes detallan los estándares internacionales relacionados con la ciberseguridad.

ISO/IEC 27001 y 27002

La norma ISO/IEC 27001, parte de la creciente familia de normas ISO/IEC 27000 , es una norma de sistemas de gestión de seguridad de la información (SGSI), cuya última revisión fue publicada en octubre de 2022 por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC). Su nombre completo es ISO/IEC 27001:2022 – Seguridad de la información, ciberseguridad y protección de la privacidad - Sistemas de gestión de seguridad de la información - Requisitos .

La norma ISO/IEC 27001 ha sido adoptada de forma idéntica a la EN ISO/IEC 27001 por CEN y CENELEC. [8]

La norma ISO/IEC 27001 especifica formalmente un sistema de gestión para poner la seguridad de la información bajo un control de gestión explícito.

La norma ISO/IEC 27002 incorpora la parte 1 de la norma BS 7799 sobre buenas prácticas de gestión de la seguridad. La última versión de la norma BS 7799 es la BS 7799-3. A veces, se hace referencia a la norma ISO/IEC 27002 como ISO 17799 o BS 7799 parte 1, y a veces se hace referencia a la parte 1 y a la parte 7. La parte 1 de la norma BS 7799 proporciona un esquema o una guía de buenas prácticas para la gestión de la ciberseguridad, mientras que la parte 2 de la norma BS 7799 y la norma ISO/IEC 27001 son normativas y proporcionan un marco para la certificación. La norma ISO/IEC 27002 es una guía de alto nivel sobre ciberseguridad. Resulta más beneficioso como orientación explicativa para la gestión de una organización obtener la certificación según la norma ISO/IEC 27001. La certificación, una vez obtenida, dura tres años. Es posible que no se realicen auditorías o que se realicen algunas auditorías intermedias durante los tres años, según la organización auditora.

La norma ISO/IEC 27001 (SGSI) sustituye a la norma BS 7799 parte 2, pero como es compatible con versiones anteriores, cualquier organización que esté trabajando para obtener la norma BS 7799 parte 2 puede realizar fácilmente la transición al proceso de certificación ISO/IEC 27001. También está disponible una auditoría de transición para facilitar que una organización, una vez que esté certificada según la norma BS 7799 parte 2, obtenga la certificación ISO/IEC 27001. La norma ISO/IEC 27002 ofrece recomendaciones sobre las mejores prácticas en materia de gestión de la seguridad de la información para los responsables de iniciar, implementar o mantener sistemas de gestión de la seguridad de la información (SGSI). Establece los sistemas de seguridad de la información necesarios para implementar los objetivos de control de la norma ISO/IEC 27002. Sin la norma ISO/IEC 27001, los objetivos de control de la norma ISO/IEC 27002 son ineficaces. En el Anexo A, los objetivos de control de la norma ISO/IEC 27002 se incorporan a la norma ISO 27001.

ISO/IEC 21827 (SSE-CMM – ISO/IEC 21827) es un estándar internacional basado en el Modelo de madurez de la capacidad de ingeniería de seguridad de sistemas (SSE-CMM) que puede medir la madurez de los objetivos de control ISO.

ISO/IEC 15408

Este estándar desarrolla lo que se denomina “ Criterios Comunes ”, que permite integrar y probar de forma segura muchos productos de software y hardware diferentes.

IEC/ISA 62443

Las normas de ciberseguridad IEC/ISA 62443 definen procesos, técnicas y requisitos para los sistemas de automatización y control industrial (IACS). Los documentos de esta serie se desarrollan a través de una relación de colaboración entre el comité ISA99 y el IEC TC65 WG10, aplicando el proceso de creación de normas IEC en el que todos los comités nacionales involucrados acuerdan una norma común.

Todas las normas e informes técnicos IEC 62443 están organizados en cuatro categorías generales: General , Políticas y procedimientos , Sistema y Componente .

  1. La primera categoría incluye información fundamental como conceptos, modelos y terminología.
  2. La segunda categoría de productos de trabajo está dirigida al propietario del activo y aborda diversos aspectos de la creación y el mantenimiento de un programa de seguridad del IACS eficaz.
  3. La tercera categoría incluye productos de trabajo que describen las pautas y requisitos de diseño del sistema para la integración segura de los sistemas de control. El núcleo de esto es el modelo de zona, conducto y diseño.
  4. La cuarta categoría incluye productos de trabajo que describen el desarrollo de productos específicos y los requisitos técnicos de los productos del sistema de control.

ISO/SAE 21434

La norma ISO/SAE 21434 «Vehículos de carretera: ingeniería de ciberseguridad» es una norma de ciberseguridad desarrollada conjuntamente por los grupos de trabajo de ISO y SAE . Propone medidas de ciberseguridad para el ciclo de vida de desarrollo de los vehículos de carretera. La norma se publicó en agosto de 2021. [9]

La norma está relacionada con la normativa de la Unión Europea (UE) sobre ciberseguridad que se está desarrollando actualmente. En coordinación con la UE, la CEPE está creando una certificación de "Sistema de gestión de la ciberseguridad" (CSMS) obligatoria para la homologación de vehículos . La ISO/SAE 21434 es una norma técnica para el desarrollo de automóviles que puede demostrar el cumplimiento de esas normativas.

Un derivado de esto es el trabajo del WP29 de la CEPE , que proporciona regulaciones para la ciberseguridad de los vehículos y las actualizaciones de software. [10]

ETSI EN 303 645

La norma ETSI EN 303 645 proporciona un conjunto de requisitos básicos para la seguridad en dispositivos de Internet de las cosas (IoT) de consumo. Contiene controles técnicos y políticas organizativas para desarrolladores y fabricantes de dispositivos de consumo conectados a Internet. La norma se publicó en junio de 2020 [11] y está destinada a complementar otras normas más específicas. Dado que muchos dispositivos de IoT de consumo manejan información de identificación personal (PII) , la implementación de la norma ayuda a cumplir con el Reglamento General de Protección de Datos (GDPR) de la UE en la UE. [12]

Las disposiciones de ciberseguridad en esta norma europea son:

  1. No existen contraseñas universales predeterminadas
  2. Implementar un medio para gestionar los informes de vulnerabilidades
  3. Mantenga el software actualizado
  4. Almacene de forma segura parámetros de seguridad confidenciales
  5. Comunicarse de forma segura
  6. Minimizar las superficies de ataque expuestas
  7. Garantizar la integridad del software
  8. Asegúrese de que los datos personales estén seguros
  9. Haga que los sistemas sean resistentes a las interrupciones
  10. Examinar los datos de telemetría del sistema
  11. Facilitar a los usuarios la eliminación de datos de usuario
  12. Facilite la instalación y el mantenimiento de los dispositivos
  13. Validar datos de entrada

La evaluación de la conformidad de estos requisitos básicos se realiza a través de la norma TS 103 701, que permite la autocertificación o la certificación por parte de otro grupo. [13]

Normas nacionales

Las subsecciones siguientes detallan los estándares y marcos nacionales relacionados con la ciberseguridad.

Centro Nacional de Investigación Científica

En 2003, el NERC creó un primer intento de crear estándares de seguridad de la información para la industria de la energía eléctrica, conocido como NERC CSS (Cyber ​​Security Standards). [14] Después de las directrices CSS, el NERC desarrolló y mejoró esos requisitos. El estándar de seguridad NERC moderno más reconocido es el NERC 1300, una modificación/actualización del NERC 1200. La versión más reciente del NERC 1300 se denomina CIP-002-3 a CIP-009-3 (CIP=Critical Infrastructure Protection). Estos estándares protegen los sistemas eléctricos masivos, aunque el NERC ha creado estándares en otras áreas. Los estándares de sistemas eléctricos masivos también proporcionan administración de seguridad de red al tiempo que respaldan los procesos de mejores prácticas de la industria. [1]

Instituto Nacional de Estándares y Tecnología (NIST)

  1. El Marco de Ciberseguridad del NIST (NIST CSF) "ofrece una taxonomía de alto nivel de los resultados de la ciberseguridad y una metodología para evaluar y gestionar esos resultados". Su objetivo es ayudar a las organizaciones del sector privado que proporcionan infraestructura crítica con orientación sobre cómo protegerla, junto con protecciones relevantes para la privacidad y las libertades civiles . [15]
  2. La publicación especial 800-12 ofrece una amplia descripción general de las áreas de seguridad y control informático. También destaca la importancia de los controles de seguridad y las formas de implementarlos. Inicialmente, este documento estaba dirigido al gobierno federal, aunque la mayoría de las prácticas que se describen en él también se pueden aplicar al sector privado. En concreto, fue escrito para aquellos en el gobierno federal responsables de manejar sistemas sensibles. [2]
  3. La publicación especial 800-14 describe los principios de seguridad comunes que se utilizan. Proporciona una descripción de alto nivel de lo que se debe incorporar en una política de seguridad informática. Describe lo que se puede hacer para mejorar la seguridad existente y cómo desarrollar una nueva práctica de seguridad. En este documento se describen ocho principios y catorce prácticas. [3]
  4. La publicación especial 800-26 ofrece asesoramiento sobre cómo gestionar la seguridad informática (reemplazada por la NIST SP 800-53 rev3). Este documento destaca la importancia de las autoevaluaciones y las evaluaciones de riesgos. [4]
  5. La publicación especial 800-37, actualizada en 2010, ofrece un nuevo enfoque de riesgo: "Guía para la aplicación del marco de gestión de riesgos a los sistemas de información federales"
  6. La publicación especial 800-53 rev4, "Controles de seguridad y privacidad para sistemas y organizaciones de información federales", publicada en abril de 2013, actualizada para incluir actualizaciones al 15 de enero de 2014, aborda específicamente los 194 controles de seguridad que se aplican a un sistema para hacerlo "más seguro".
  7. La publicación especial 800-63-3, "Directrices de identidad digital", publicada en junio de 2017, actualizada para incluir actualizaciones al 1 de diciembre de 2017, proporciona directrices para implementar servicios de identidad digital, incluida la verificación de identidad, el registro y la autenticación de usuarios. [5]
  8. La Publicación Especial 800-82, Revisión 2, "Guía para la seguridad de los sistemas de control industrial (ICS)", revisada en mayo de 2015, describe cómo proteger múltiples tipos de sistemas de control industrial contra ataques cibernéticos, teniendo en cuenta al mismo tiempo los requisitos de rendimiento, confiabilidad y seguridad específicos de los ICS. [6]

Norma FIPS 140

La serie 140 de Estándares Federales de Procesamiento de Información ( FIPS ) son estándares de seguridad informática del gobierno de los EE. UU. que especifican los requisitos para los módulos de criptografía . Tanto FIPS 140-2 como FIPS 140-3 se aceptan como vigentes y activos.

Fundamentos cibernéticos del NCSC

Cyber ​​Essentials es un programa de garantía de la información del gobierno del Reino Unido administrado por el Centro Nacional de Seguridad Cibernética (NCSC) . Incentiva a las organizaciones a adoptar buenas prácticas en materia de seguridad de la información. Cyber ​​Essentials también incluye un marco de garantía y un conjunto simple de controles de seguridad para proteger la información de las amenazas provenientes de Internet.

Ocho esenciales

El Centro Australiano de Seguridad Cibernética ha desarrollado estrategias de mitigación priorizadas, en forma de Estrategias para Mitigar Incidentes de Seguridad Cibernética, para ayudar a las organizaciones a protegerse contra diversas amenazas cibernéticas. La más eficaz de estas estrategias de mitigación se denomina Ocho Esenciales. [16]

Protección de la información de BSI IT

Las normas de la Oficina Federal de Seguridad de la Información ( Bundesamt für Sicherheit in der Informationstechnik , abreviado como BSI) son un componente elemental de la metodología de protección de la línea base de TI ( IT - Grundschutz ). Contienen recomendaciones sobre métodos, procesos y procedimientos, enfoques y medidas para diversos aspectos de la seguridad de la información. Los usuarios de autoridades públicas, empresas, fabricantes o proveedores de servicios pueden utilizar las normas BSI para hacer que sus procesos comerciales y datos sean más seguros. [17]

Normas específicas de la industria

Las subsecciones siguientes detallan los estándares y marcos de ciberseguridad relacionados con industrias específicas.

PCI DSS

El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) es un estándar de seguridad de la información para organizaciones que manejan tarjetas de crédito de marca de las principales redes de tarjetas. El Estándar PCI es obligatorio para las marcas de tarjetas, pero lo administra el Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago. El estándar fue creado para aumentar los controles en torno a los datos de los titulares de tarjetas con el fin de reducir el fraude con tarjetas de crédito.

UL 2900

UL 2900 es una serie de normas publicadas por UL . Las normas incluyen requisitos generales de ciberseguridad (UL 2900-1), así como requisitos específicos para productos médicos (UL 2900-2-1), sistemas industriales (UL 2900-2-2) y sistemas de señalización de seguridad y protección de la vida (UL 2900-2-3).

La norma UL 2900 exige que los fabricantes describan y documenten la superficie de ataque de las tecnologías utilizadas en sus productos. Requiere un modelado de amenazas basado en el uso previsto y el entorno de implementación. La norma exige medidas de seguridad eficaces que protejan los datos confidenciales (personales) y otros activos, como los datos de comando y control. También exige que se hayan eliminado las vulnerabilidades de seguridad en el software, que se hayan seguido los principios de seguridad, como la defensa en profundidad, y que se haya verificado la seguridad del software mediante pruebas de penetración.

Organizaciones que producen normas

La Organización Internacional de Normalización (ISO) es una organización de normalización internacional organizada como un consorcio de instituciones nacionales de normalización de 167 países, coordinadas a través de una secretaría en Ginebra, Suiza. ISO es el mayor desarrollador de normas internacionales del mundo. La Comisión Electrotécnica Internacional (IEC) es una organización de normalización internacional que se ocupa de la electrotecnología y coopera estrechamente con ISO. ISO/IEC 15443: "Tecnología de la información - Técnicas de seguridad - Un marco para el aseguramiento de la seguridad de TI", ISO/IEC 27002 : "Tecnología de la información - Técnicas de seguridad - Código de práctica para la gestión de la seguridad de la información", ISO/IEC 20000 : "Tecnología de la información - Gestión de servicios", e ISO/IEC 27001 : "Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de la seguridad de la información - Requisitos" son de particular interés para los profesionales de la seguridad de la información.

El Instituto Nacional de Estándares y Tecnología de los Estados Unidos (NIST) es una agencia federal no regulatoria dentro del Departamento de Comercio de los Estados Unidos . La División de Seguridad Informática del NIST desarrolla estándares, métricas, pruebas y programas de validación, y publica estándares y pautas para aumentar la planificación, implementación, gestión y operación segura de TI. El NIST también es el custodio de las publicaciones del Estándar Federal de Procesamiento de Información (FIPS) de los Estados Unidos.

Internet Society es una sociedad de miembros profesionales con más de 100 organizaciones y más de 20.000 miembros individuales en más de 180 países. Proporciona liderazgo para abordar cuestiones que afectan al futuro de Internet y es la sede organizativa de los grupos responsables de los estándares de infraestructura de Internet, incluidos el Grupo de trabajo de ingeniería de Internet (IETF) y el Consejo de arquitectura de Internet (IAB). La ISOC alberga las solicitudes de comentarios (RFC), incluidas las Normas oficiales del protocolo de Internet y el Manual de seguridad de sitios RFC-2196 .

El Instituto de Profesionales de Seguridad de la Información (IISP) es un organismo independiente, sin fines de lucro, dirigido por sus miembros, cuyo principal objetivo es promover la profesionalidad de los profesionales de la seguridad de la información y, por ende, la profesionalidad de la industria. El instituto desarrolló el Marco de habilidades del IISP. Este marco describe la gama de competencias que los profesionales de la seguridad de la información y la garantía de la información esperan para desempeñar sus funciones de manera eficaz. Fue desarrollado a través de la colaboración entre organizaciones del sector público y privado, académicos de renombre mundial y líderes de seguridad. [18]

Las normas BSI 100-1 a 100-4 de la Oficina Federal Alemana de Seguridad de la Información ( Bundesamt für Sicherheit in der Informationstechnik (BSI) ) son un conjunto de recomendaciones que incluyen "métodos, procesos, procedimientos, enfoques y medidas relacionados con la seguridad de la información". [19] La norma BSI 100-2, Metodología IT-Grundschutz, describe cómo se puede implementar y operar la gestión de la seguridad de la información. La norma incluye una guía específica, los Catálogos de Protección de Línea Base de TI (Catálogos IT-Grundschutz). Antes de 2005, los catálogos se conocían anteriormente como " Manual de Protección de Línea Base de TI ". Los Catálogos son documentos útiles para detectar y combatir los puntos débiles relevantes para la seguridad en el entorno de TI (clúster de TI). A septiembre de 2013, la colección abarca más de 4.400 páginas con la introducción y los catálogos. El enfoque IT-Grundschutz está alineado con la familia ISO/IEC 2700x.

El Instituto Europeo de Normas de Telecomunicaciones estandarizó un catálogo de indicadores de seguridad de la información encabezado por el Grupo de Especificación Industrial (ISG) ISI.

Véase también

Notas

  1. ^ "Directrices para la ciberseguridad de las redes inteligentes" (PDF) . Instituto Nacional de Normas y Tecnología . Septiembre de 2014. doi :10.6028/NIST.IR.7628r1 . Consultado el 28 de noviembre de 2023 .
  2. ^ "Base de datos de recomendaciones UIT-T".
  3. ^ "FSI - Consorcio para la Investigación sobre Seguridad de la Información y Políticas".
  4. ^ "La adopción del marco de ciberseguridad del NIST se ve obstaculizada por los costos, según una encuesta". 30 de marzo de 2016. Consultado el 2 de agosto de 2016 .
  5. ^ ab Ghappour, Ahmed (1 de enero de 2017). "Tallin, piratería informática y derecho internacional consuetudinario". AJIL Unbound . 111 : 224–228. doi : 10.1017/aju.2017.59 .
  6. ^ Ghappour, Ahmed (1 de abril de 2017). "Buscando lugares desconocidos: jurisdicción policial en la red oscura". Stanford Law Review . 69 (4): 1075.
  7. ^ Ghappour, Ahmed (2017). "Buscando lugares desconocidos: jurisdicción policial en la red oscura". Stanford Law Review . 69 (4).
  8. ^ "Estándares de seguridad de la información". Genorma.com . Estándares Genorma, CEN y CENELEC.
  9. ^ ISO/SAE 21434:2021 Vehículos de carretera: ingeniería de ciberseguridad
  10. ^ "Reglamento de las Naciones Unidas sobre ciberseguridad y actualizaciones de software para allanar el camino para la implantación masiva de vehículos conectados | CEPE". unece.org .
  11. ^ Anuncio de ETSI
  12. ^ ETSI EN 303 645 V2.1.0
  13. ^ "ETSI TS 103 701 Ciberseguridad para la Internet de las cosas para el consumidor: evaluación de la conformidad de los requisitos básicos" (PDF) . ETSI .
  14. ^ Symantec Control Compliance Suite – Normativa NERC y FERC Archivado el 22 de octubre de 2016 en Wayback Machine Subsección: Historial de las normas NERC
  15. ^ "Marco de ciberseguridad del NIST". NIST . 12 de noviembre de 2013 . Consultado el 2 de agosto de 2016 .
  16. ^ "Modelo de madurez de los ocho elementos esenciales". Centro Australiano de Seguridad Cibernética . Consultado el 29 de septiembre de 2022 . El texto fue copiado de esta fuente, que está disponible bajo una Licencia Creative Commons Atribución 4.0 Internacional.
  17. ^ "BSI - Protección de los derechos de propiedad intelectual". BSI (en alemán). Archivado desde el original el 2013-09-30 . Consultado el 2021-03-26 .
  18. ^ "Marco de habilidades del IISP". Archivado desde el original el 15 de marzo de 2014. Consultado el 27 de abril de 2014 .
  19. ^ "BSI-Standards". BSI. Archivado desde el original el 3 de diciembre de 2013. Consultado el 29 de noviembre de 2013 .

Referencias

  1. ^ Departamento de Seguridad Nacional, Comparación de los estándares de seguridad cibernética desarrollados por el sector del petróleo y el gas (5 de noviembre de 2004)
  2. ^ Guttman, M., Swanson, M., Instituto Nacional de Normas y Tecnología; Administración de Tecnología; Departamento de Comercio de los EE. UU., Principios y prácticas generalmente aceptados para proteger los sistemas de tecnología de la información (800–14). (septiembre de 1996)
  3. ^ Instituto Nacional de Estándares y Tecnología; Administración de Tecnología; Departamento de Comercio de EE. UU., Introducción a la seguridad informática: el manual del NIST, publicación especial 800-12.
  4. ^ Swanson, M., Instituto Nacional de Estándares y Tecnología; Administración de Tecnología; Departamento de Comercio de EE. UU., Guía de autoevaluación de seguridad para sistemas de tecnología de la información (800–26).
  5. ^ Grassi, P.; Garcia, M.; Fenton, J.; Instituto Nacional de Estándares y Tecnología; Departamento de Comercio de EE. UU., Directrices de identidad digital (800-63-3).
  6. ^ Stouffer, K.; Pillitteri, V.; Lightman, S.; Abrams, M.; Hahn, A.; Instituto Nacional de Normas y Tecnología; Departamento de Comercio de EE. UU., Guía de seguridad de los sistemas de control industrial (ICS) (800–82).
  7. ^ Consejo de Confiabilidad Eléctrica de América del Norte (NERC). http://www.nerc.com. Recuperado el 12 de noviembre de 2005.
  8. ^ Consejo de Examen de Instituciones Financieras Federales (FFIEC). https://www.ffiec.gov. Consultado el 18 de abril de 2018.

Enlaces externos