Tuesday, April 24, 2012

Manual de Protección IT Básica - IT Baseline Protection Manual - IT-Grundschutz

La seguridad en los sistemas y estructuras IT es un tema de relevante importancia que concierne no solo a las organizaciones gubernamentales y privadas, también a nosotros mismos.

Estamos en la era de la información, donde los datos se han convertido en un activo de valor apreciable. muchos procesos empresariales de vital importancia son controlados digitálmente. Además, la cantidad de información confidencial que es almacenada, manipulada y transmitida a través de redes o diferentes canales de comunicación es cada día mayor.

BSI

La Oficina Federal Alemana para la seguridad de las tecnologías de la Información (BSI - Bundesamt für Sicherheit in der Informationstechnik) es un organismo independiente y neutral que se encarga de las cuestiones relacionadas con seguridad informática. Fue fundada en Bonn (Alemania) en 1991 como entidad gubernamental con un presupuesto anual de aproximadamente € 65 millones y al rededor de 500 empleados.
La BSI ofrece numerosas herramientas disponibles para lograr un nivel adecuado de seguridad, como las normas básicas requeridas para gestionar la seguridad de la información, el Manual de referencia de protección IT, GSTOOL y la certificación ISO 27001 basada en la norma "IT-Grundschutz", la cual incluye un examen de gestión de seguridad de la información, así como especificaciones de las medidas de seguridad.
Las principales actividades de Investigación del BSI son:
  • Seguridad en Internet
  • Campañas de sensibilización para promover la seguridad IT
  • Asegurar el gobierno en Línea
  • Protección de líneabase IT
  • Certificación y acreditación (incluyendo CC)
  • Criptografía, la biometría
  • Monitorear seguridad
  • Protección de infraestructuras críticas
  • Colaboraciones nacionales e internacionales

Manual básico de Protección IT del BSI

Esta es la publicación más conocida del BSI, fue publicado por primera vez en 1994 y describe con gran nivel de detalle diferentes temas relacionados con la gestión de seguridad de la información, ademas de medidas aplicables en diferentes áreas, no solo relacionadas con tecnología, también en la estructura organizacional, personal e infraestructura física de las organizaciones.
Varios capítulos de este manual fueron actualizados y reestructurados en el año 2005, de donde han resultado dos tomos separados: Los Estándares de seguridad del BSI y el catalogo de IT Grundschutz. Los catalogos Se compone de varios capitulos genéricos de recomendaciones para el establecimiento de un proceso de aplicación de IT de seguridad y recomendaciones técnicas detalladas para alcanzar el necesario nivel de seguridad de TI en dominio específico.
El catalogo IT-Grundschutz proporciona un método sencillo para que las organizaciones puedan implementar La norma SGSI (Sistema de Gestión de Seguridad de la Información). Se compone de dos manuales genéricos de recomendaciones de seguridad IT, los cuales son útiles al establecer procesos de implementación de seguridad IT, y recomendaciones técnicas detalladas para alcanzar un nivel de seguridad adecuado en un dominio específico.
El catalogo IT Grundschutz propone consta de los siguientes pasos en el proceso de implementación de un sistema de seguridad IT:
  • Inicio del proceso
  • Definición de los objetivos de seguridad según el entorno empresarial
  • Establecimiento de una estructura organizativa de seguridad
  • Provisión de recursos y presupuesto necesario
  • Creación del concepto de seguridad a nivel de la organización
  • Análisis de la infraestructura IT
  • Evaluación de los requisitos de protección
  • Planificación, Modelado y diseño del esquema de seguridad
  • Verificación del modelo y el diseño implementado
  • Análisis complementario de Seguridad
  • Aplicación física y realización
  • Mantenimiento, seguimiento y mejora del proceso
  • TI-Grundschutz Certificación (opcional)

Los Catalogos IT Grundschutz

Tienen una estructura modular y contienen secciones independientes para establecer una estructura de seguridad, así mismo, recomendaciones y medidas de seguridad para casos específicos. Describe también las amenazas principales que afectan a una organización y algunas medidas de protección. Así, las organizaciones pueden centrarse en los módulos que sean de interés según su área.
Los módulos del Catálogo de TI-Grundschutz se actualiza y amplía regularmente, teniendo en cuenta los últimos adelantos técnicos en cuanto a Sistemas IT se refiere. Se publican como un conjunto de hojas sueltas, en DVD y también en Internet. Link here



Idea: Existe riesgos similares en muchos sistemas de información, así que se utiliza el principio de reutilización de los catálogos ya predefinidos con medidas de evaluación para los componentes IT similares. Los procesos de aplicación utilizan los siguientes elementos básicos de construcción :
  • Reutilización
  • Capacidad de adaptación
  • Extensibilidad
BSI 100-1: SGSI
Sistemas de Gestión de Seguridad de la Información dirigida a el are directiva, es Compatible con la norma ISO 27001 y cumple con las estrategias y recomendaciones de ISO 13335 y 17799 (27002)
BSI 100-2: Metodologia
Imagen cuadro (Diapositiva 12)
Análisis de la estructura IT:
  • ¿Qué dispositivos hay en mi sistema de Informacion?
  • ¿Cuáles son las dependencias entre estod dispositivos?
  • ¿Como se relaciona Informacion?
Se define el ámbito de aplicación para la creación del concepto de seguridad, y su relacion en la totalidad la infraestructura, personas y componentes técnicos que hacen parte de la organización.
Se analiza el desempeño y las funciones en una aplicación particular. Por ejemplo, el procesamiento de la información o la utilización de recursos informáticos.
El analisis de la forma en que se relaciona la información incluye: * La estructura IT de toda la organización * La estructura IT de cada una de las áreas individuales (por ejemplo, el departamento de redes) o las aplicaciones informáticas (por ejemplo, el sistema de información del personal) * Los procesos de negocio
Subtareas del Análisis Estructural:
* El registro de los procesos de negocio, aplicaciones y la información relacionada
* Creación o actualización la topología de red
* Evaluación de los sistemas IT
* Encuesta de sistemas de TI
* Creación y adaptacion de espacios seguros
* Reducción de la complejidad formando pequeños grupos de evaluación
Requisitos de protección:
Evaluación de los requisitos de confidencialidad, integridad y disponibilidad (Normal - alto - muy alto)
la necesidad de protección no suele ser fácilmente cuantificable, por lo tanto está limitada a tres categorías:
  • "Normal": Los efectos de los daños son limitados y manejables.
  • "Alto": Los efectos de daño pueden ser ser sustanciales.
  • "Muy alto": Los efectos y alcance de daño puede ser amenazante y catastróficos para la existencia de la organización
Pasos de los Requisitos de protección

  • Definición de las categorías Requisitos de protección
  • Solicitudes, incluyendo sus datos Sistemas de TI
  • Enlaces de comunicación
  • Aulas de informática
  • el uso de escenarios típicos de los daños
  • Documentación de los resultados

Requisitos de protección de los sistemas IT
* Principio Máximo: En un sistema de TI pueden ejecutar múltiples aplicaciones. En esencia se determina el daño con la más grave y el Impacto de las necesidades de protección del sistema de TI.
Efecto acumulativo: Causada por la acumulación de varios (por ejemplo, más pequeño) un daño mayor daño total general. Los requisitos de protección del sistema de TI
aumenta en consecuencia.
Distribución de efecto: Una aplicación transfiere su exigencia de una alta protección no se basa en un sistema de TI, ya que ejecuta en este sistema de TI sólo pequeñas partes de la aplicación de TI.
Con un diseño de sistema redundante es las necesidades de protección de los componentes individuales inferiores a los requisitos de protección de la aplicación en general.

Comprobación de seguridad básica:
- Objetivo de comparación

- Posible implementación de todas las medidas

Comparación real de las medidas Realizadas con las medidas Recomendadas para proceder a su implementación:

Estado de la aplicación de medidas
  • <Sí> La medida se aplica plena y eficazmente.
  • <Indispensable> hay otras medidas o La amenaza no existe.
  • <parcialmente> La medida está parcialmente implementado.
  • <No> La medida no se aplica.

Medidas
A: medidas esenciales
A + B: medidas más importantes
A + B + C: las medidas pertinentes
Z: medidas adicionales

W: Conocimiento

Comprobación de seguridad básica:
- Deben compararse
- Posible implementación de todas las medidas
análisis complementario de seguridad:
- Del mismo modo detallado análisis de riesgo
- A diferencia de otros métodos: "Peligros" como una combinación de Amenazas y vulnerabilidades

Norma: BSI 100-3 Análisis de riesgos basados en los catalogos de IT Grundschutz
1. Preparación de Amenaza de resumen
2. Identificación de los adicionales Peligros
3. Evaluación de riesgos
4. Medidas para la selección y tratamiento de los riesgos
5. Consolidación del Concepto de seguridad

El tratamiento de los riesgos
Transferir
Monitoreo... pag 30

Herramienta de línea de base de TI de Protección
Apoyo para 
• Aplicación de un análisis de GS

• Generación de informes
• Certificación
Costo:
• alrededor de € 900 para la versión de usuario único,
• Versión de prueba gratuita por 30 días


La certificación ISO 27001 con las bases IT GS

sobre la base de la protección basal TI
ISO 27001 + Protección de lineabase


Fases de certificación de la norma ISO 27001 -

Inicialización
• Certificación de la aplicación
• Autoridad para llevar a cabo una auditoría
• Si es necesario. Coordinación de la Red de Información

Realización de la auditoría
• Revisión de la documentación
• Preparación de las actividades de auditoría en el sitio
• Llevar a cabo auditorías de los locales

Re-certificación de la Auditoría
• la ejecución de las actividades de auditoría en el sitio

Revisión de las auditorías
• Elaboración de informes de auditoría
• Revisión

IT de referencia la certificación de protección desde el año 2006

Una certificación de las partidas del balance ...

incluye tanto una revisión del SGSI y el hormigón
Las medidas de seguridad sobre la base de la protección de referencia de TI,
siempre incluye una certificación oficial de la ISO a la norma ISO 27001,
Sin embargo, debido a los aspectos técnicos, además, examinados
mucho más significativa que una pura certificación ISO.
Autorizado por los auditores BSI ...
cumplir todos los requisitos que la ISO es para los auditores de un SGSI (ISO 27006)

Certificado de Protección de línea de base
Nivel de Entrada: Auditor Certificado, medidas indispensables (A)

Nivel Avanzado: Auditor Certificado, Medidas importantes  (A + B)
Certificado: Medidas relevantes (A + B + C), pruebas delSGSI despues de ISO 27001

¿Por qué certificarce?

Optimización de los procesos internos
  • funcionamiento ordenado de TI efectivo
  • a medio plazo ahorro de costes
Nivel de seguridad de TI se puede medir

Aumentar el atractivo para los clientes y socios de negocios con requisitos de alta seguridad
Los empleados y la gestión se identifican con Los objetivos de TI de seguridad y se sienten orgullosos de nuestros logros

Página 44
Las experiencias con la certificación
La certificación es adecuado para las pequeñas empresas, tales como
adecuado para grandes centros de datos!
La aplicación de la protección básica de TI: 6 - 12 meses
Los gastos del auditor: 15 - 30 días

Factores de éxito:
  • Apoyo a la gestión
  • La comprensión, la cooperación y la activa El apoyo de la TI y los gerentes de telecomunicaciones
  • agrupación coherente
  • Herramienta de Apoyo

Página 45
Licencia de Auditor ISO 27001
La licencia es el punto de partida del Auditor y es  válida por 5 años.
De formación anual sobre la reunión libre de los auditores
Una extensión de la validez
es una nueva aplicación
posible
descargarse del sitio web: www.bsi.bund.de/gshb/zert/auditoren/lizensierungsschema.htm

Guia de Segurida IT

• Información básica para PYMEs
• Las medidas de fracaso (50)
• Listas de comprobación

La protección básica GSTOOL
• Formación de la metodología
• Auto-estudio
• cada 4 horas

El proceso de seguridad de TI que ella propone-Grundschutz consta de los siguientes pasos:
R.A. Fases método apropiado para

La identificación de riesgos: Cada módulo de TI-Grundschutz contiene una lista de las amenazas típicas. Las amenazas también se clasifican en 5 catálogos de amenazas. Identificación de las amenazas adicionales se lleva a cabo durante el análisis de riesgo suplementario.

La caracterización del riesgo es el resultado de la evaluación de las necesidades de protección. Para este propósito, las categorías de protección requisito se definen y escenarios posibles daños son asignados a estas categorías de protección requisito. Una caracterización del riesgo que se den más en el análisis de riesgo complementaria, cuando los riesgos se caracteriza con la ayuda de la decisión de asignar de la forma de manejar

El análisis de riesgos: Para cada amenaza, contenida en un módulo, una descripción detallada de la rosca se proporciona.

La evaluación del riesgo: Una evaluación de la exposición se realiza dentro de la evaluación de los requisitos de protección con la ayuda de escenarios de daños. Por las amenazas identificadas en el marco de un análisis de riesgo adicional, la evaluación de la exposición se lleva a cabo durante la fase de la evaluación de las amenazas.

R.M. Fases método apropiado para la evaluación de riesgos:

El tratamiento de riesgos: Los catálogos de dispositivos de seguridad recomendados. Descripción detallada de las garantías asignadas a cada módulo de TI Grundschutz. Asignación de las salvaguardias a las amenazas consideradas (cruzar las tablas de referencia).

Aceptación del riesgo: El análisis de riesgos basado en TI-Grundschutz ", amenazas de manipulación" en la Parte C.
Fuentes:
https://www.bsi.bund.de/ContentBSI/grundschutz/intl/intl.html
http://rm-inv.enisa.europa.eu/methods_tools/m_it_grundschutz.html
http://de.wikipedia.org/wiki/IT-Grundschutz

Informacion Adicional

Si tienes información adicional sobre este tema, tus comentarios o links de referencia serán bienvenidos.

No comments: