Redacción de un perfil de protección (PP)
Transcripción
Redacción de un perfil de protección (PP)
PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d’information Sous-direction des opérations Bureau conseil MEJORES PRÁCTICAS PARA LA GESTIÓN DE LOS RIESGOS DE SSI Utilización de los resultados del método EBIOS® para redactar una perfil de protección Versión del 21 de marzo de 2003 51 boulevard de La Tour-Maubourg - 75700 PARIS 07 SP – Tel. 01 71 75 84 15 - Fax 01 71 75 84 00 Documento editado por la oficina de consultoría de la DCSSI ¿Qué es un perfil de protección? Un perfil de protección (PP), tal como lo define la norma ISO 15408 –criterios comunes para la evaluación de la seguridad de las tecnologías de la información–, es "un conjunto de requerimientos de seguridad válidos para una categoría de TOE, independiente de su implementación, que satisface necesidades específicas de usuarios" (el TOE – Target Of Evaluation es el objeto de evaluación, es decir, el sistema evaluado). Se trata de un documento cuyo contenido se encuentra normalizado, que puede servir de pliego de condiciones al que es conveniente responder mediante un objetivo de seguridad. Este objetivo propondrá una cobertura justificada de los requerimientos de seguridad formalizados en el PP. Fuera del contexto de la evaluación de producto (evaluación certificada por la DCSSI), es posible redactar pliegos de condiciones de SSI en forma de PP, básicamente con el fin de utilizar un esquema de trabajo y una terminología reconocidos. También es posible utilizar este esquema de trabajo para sistemas de información particulares, aunque la norma sólo menciona su uso para productos de seguridad con especificaciones genéricas. ¿Cuáles son las ventajas del método EBIOS para la redacción de un PP? Un PP debe estar completo y ser perfectamente coherente. Su redacción requiere, por lo tanto, un riguroso trabajo, pero la norma no propone ningún método para realizarlo. EBIOS permite contar con todos los elementos necesarios para la redacción de un PP, garantizando, al mismo tiempo, su coherencia. Además ofrece varias ventajas: - la pertinencia de los objetivos de objetivos de seguridad que cubren las amenazas (para el producto, el SI o el organismo), hipótesis y normas de política de seguridad, así como requerimientos de seguridad; la justificación de los objetivos y requerimientos de seguridad mediante la apreciación de los riesgos SSI; la exhaustividad del estudio gracias a su procedimiento estructurado; la implicación de las partes involucradas (dirección, diseñador del proyecto y director de proyecto, usuarios…), cuando se trata de un SI particular. ¿Cómo redactar un PP utilizando EBIOS? Una solución eficaz para redactar un PP consiste en: - realizar un estudio EBIOS sobre el perímetro delimitado por el PP, extraer los datos necesarios del estudio (una gran parte del estudio), redactar la introducción (identificación del PP y perspectiva de conjunto), reorganizar los objetivos de seguridad (que deberán clasificarse según su alcance), reorganizar los requerimientos de seguridad (que deberán clasificarse según su alcance). Página 2 de 3 Documento editado por la oficina de consultoría de la DCSSI Para ello pueden utilizarse los siguientes datos: EBIOS Perfil de protección Estudio del contexto Introducción Estudio del organismo Estudio del sistema objetivo Determinación del objeto del estudio Expresión de las necesidades de seguridad Realización de las fichas de necesidades Descripción del TOE Entornos de seguridad del TOE Hipótesis Amenazas Políticas de seguridad organizacionales Síntesis de las necesidades de seguridad Determinación del modo de explotación Estudio de las amenazas Estudio de los orígenes de las amenazas Estudio de las vulnerabilidades Determinación de las amenazas Objetivos de seguridad Objetivos de seguridad para el TOE Objetivos de seguridad para el entorno Requerimientos de seguridad de las TI Requerimientos funcionales del TOE Requerimientos de aseguramiento del TOE Identificación de los objetivos de seguridad Confrontación de las amenazas con las necesidades Determinación de los objetivos de seguridad Determinación de los niveles de seguridad Determinación de los requerimientos de seguridad Requerimientos para el entorno de las TI Fundamentos Fundamentos de los objetivos de seguridad Fundamentos de los requerimientos de seguridad Determinación de los requerimientos funcionales Determinación de los requerimientos de aseguramiento (Para mayor información, escribir a: [email protected]) Página 3 de 3
Documentos relacionados
¿Para qué sirve EBIOS? - FusionForge de l`ADULLACT
EBIOS® favorece la actualización permanente de los
análisis de riesgos efectuados y la coherencia global
de la SSI.
Efectivamente, el estudio específico de un sistema
puede basarse en el estudio gl...