2. capítulo 2 fundamentos de los estándares iso 27001 e iso 27002 PDF
Preview 2. capítulo 2 fundamentos de los estándares iso 27001 e iso 27002
ESCUELA POLITÉCNICA NACIONAL FACULTAD DE INGENIERÍA ELÉCTRICA Y ELECTRÓNICA DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PARA LA EMPRESA MEGADATOS S.A. EN LA CIUDAD DE QUITO, APLICANDO LAS NORMAS ISO 27001 E ISO 27002 PROYECTO PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENIERO EN ELECTRÓNICA Y TELECOMUNICACIONES FLORES ESTÉVEZ FANNY PAULINA ([email protected]) JIMÉNEZ NÚÑEZ DIANA CAROLINA ([email protected]) DIRECTOR: ING. PABLO HIDALGO ([email protected]) Quito, Agosto 2010 I DECLARACIÓN Nosotros, Fanny Paulina Flores Estévez y Diana Carolina Jiménez Núñez, declaramos bajo juramento que el trabajo aquí descrito es de nuestra autoría; que no ha sido previamente presentado para ningún grado o calificación profesional; y, que hemos consultado las referencias bibliográficas que se incluyen en este documento. A través de la presente declaración cedemos nuestros derechos de propiedad intelectual correspondientes a este trabajo, a la Escuela Politécnica Nacional, según lo establecido por la Ley de Propiedad Intelectual, por su Reglamento y por la normatividad institucional vigente. ___________________ ___________________ Fanny Flores Diana Jiménez II CERTIFICACIÓN Certifico que el presente trabajo fue desarrollado por Fanny Paulina Flores Estévez y Diana Carolina Jiménez Núñez, bajo mi supervisión. ________________________ Ing. Pablo Hidalgo DIRECTOR DE PROYECTO III AGRADECIMIENTO Agradecemos al Ingeniero Pablo Hidalgo, por su permanente colaboración en la realización del presente Proyecto de Titulación; su guía ha sido uno de los elementos fundamentales para el desarrollo y culminación exitosa del mismo. A los integrantes del Departamento de Operaciones de la Empresa Megadatos S.A., especialmente a los Ingenieros Juan Francisco Yépez y Marco Logacho, por su colaboración y excelente predisposición. A nuestros profesores, que durante toda la Carrera nos han preparado e impartido sus conocimientos, formándonos profesionalmente. Fanny Flores Diana Jiménez IV DEDICATORIA A Dios, por su inmensa generosidad y amor. A mis padres, Juan y Fanny, mis mejores amigos, las personas a quienes más admiro y quiero; me han amado incondicionalmente y han hecho de mi la persona que ahora soy. A ustedes debo mis valores y principios; gracias por sus cuidados, esfuerzo, ejemplo, confianza y dedicación. Su presencia y apoyo me han alentado a dar mi mayor esfuerzo y finalmente ver culminada una de mis metas. A mis hermanos, Juan y Evelyn, que han sido mis compañeros, amigos incondicionales, ejemplo a seguir. Gracias por su amistad, consejos y apoyo. Fanny Flores V DEDICATORIA A Dios, mi madre y mi hermano, quienes representan el pilar fundamental de mi vida y que con su amor y paciencia me han encaminado hacia la culminación de uno de mis sueños. De manera especial dedico este Proyecto de Titulación a mi Padre, quien con su bendición desde el cielo ha guiado y cuidado mis pasos. Diana Jiménez VI ÍNDICE DE CONTENIDOS DECLARACIÓN ................................................................................................................... I CERTIFICACIÓN ................................................................................................................ II AGRADECIMIENTO ......................................................................................................... III DEDICATORIA .................................................................................................................. IV CONTENIDO ...................................................................................................................... VI ÍNDICE DE FIGURAS ...................................................................................................... XII ÍNDICE DE TABLAS ...................................................................................................... XIII RESUMEN ....................................................................................................................... XIV PRESENTACIÓN ............................................................................................................. XV CONTENIDO ɪ TOMO CAPÍTULO 1 INTRODUCCIÓN A LA GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN 1.1 PRINCIPIOS GENERALES DE LA SEGURIDAD DE LA INFORMACIÓN............................... 1 1.1.1 INTRODUCCIÓN .................................................................................................................... 1 1.1.2 DEFINICIÓN DE SEGURIDAD DE LA INFORMACIÓN ................................................... 2 1.1.3 NECESIDAD DE SEGURIDAD ............................................................................................. 2 1.1.4 COMPONENTES DE LA SEGURIDAD DE LA INFORMACIÓN ...................................... 4 1.2 VULNERABILIDADES, AMENAZAS Y ATAQUES .................................................................. 4 1.2.1 DEFINICIONES ...................................................................................................................... 4 1.2.2 CLASIFICACIÓN DE LAS AMENAZAS .............................................................................. 5 1.2.2.1 Amenazas no estructuradas ...................................................................................................... 5 1.2.2.2 Amenazas estructuradas ........................................................................................................... 5 1.2.2.3 Amenazas externas ................................................................................................................... 6 1.2.2.4 Amenazas internas .................................................................................................................... 6 1.2.3 CLASIFICACIÓN DE LOS ATAQUES ................................................................................. 6 1.2.3.1 Reconocimiento ........................................................................................................................ 6 1.2.3.2 Acceso ...................................................................................................................................... 6 1.2.3.3 Negación de servicio (DoS) ...................................................................................................... 6 1.2.3.4 Gusanos, virus y troyanos ......................................................................................................... 7 1.2.4 TIPOS DE ATACANTES ........................................................................................................ 7 1.2.4.1 Hacker ...................................................................................................................................... 7 1.2.4.2 Craker....................................................................................................................................... 7 1.2.4.3 Phreaker ................................................................................................................................... 7 1.2.4.4 Spammers ................................................................................................................................. 8 1.2.4.5 Carders ..................................................................................................................................... 8 1.2.4.6 Script kiddies ............................................................................................................................ 8 1.2.4.7 Phisher ..................................................................................................................................... 8 1.3 ALTERNATIVAS CISCO PARA SEGURIDAD EN REDES ........................................................ 8 VII 1.3.1 GENERALIDADES DE LOS DISPOSITIVOS Y SISTEMAS .............................................. 8 1.3.1.1 Dispositivos y sistemas ............................................................................................................. 9 1.3.1.1.1 Cisco IOS Firewall .................................................................................................... 9 1.3.1.1.2 PIX Security Appliance .............................................................................................. 9 1.3.1.1.3 Adaptive Security Appliance (ASA) ......................................................................... 11 1.3.1.1.4 Finesse Operation System ........................................................................................ 12 1.3.1.1.5 ASA Adaptive Security Algorithm ........................................................................... 12 1.3.1.1.6 FWSM Firewall Services Module ............................................................................ 12 1.3.1.1.7 Security Device Manager (SDM) ............................................................................. 13 1.3.1.2 Licencias para aplicaciones de seguridad ............................................................................... 14 1.3.1.3 Configuración básica del PIX Security Appliance .................................................................. 14 1.3.1.3.1 Modos ...................................................................................................................... 14 1.3.1.3.2 Niveles de Seguridad................................................................................................ 15 1.3.1.3.3 Comandos básicos de configuración para PIX ......................................................... 16 1.3.1.3.4 Tiempo ..................................................................................................................... 16 1.3.1.4 Traducciones y conexiones de PIX ......................................................................................... 17 1.3.1.4.1 Network Address Translation (NAT) ....................................................................... 17 1.3.1.4.2 Port Address Translation (PAT) .............................................................................. 17 1.3.1.5 Capacidades de enrutamiento del PIX .................................................................................... 18 1.3.1.5.1 LANs Virtuales ........................................................................................................ 18 1.3.1.5.2 Enrutamiento estático y RIP ..................................................................................... 18 1.3.1.5.3 Open Shortest Path First (OSPF) ............................................................................. 18 1.3.1.5.4 Enrutamiento Multicast ............................................................................................ 19 1.3.2 IDENTIDAD Y CONFIABILIDAD ...................................................................................... 19 1.3.2.1 Terminal Access Controller Access Control System plus (TACACS+) .................................. 20 1.3.2.2 Remote Authentication Dial-In User Service (RADIUS) ....................................................... 20 1.3.2.3 TACACS+ vs. RADIUS ......................................................................................................... 21 1.3.2.4 Tecnologías de autenticación .................................................................................................. 21 1.3.2.4.1 Contraseñas Estáticas ............................................................................................... 21 1.3.2.4.2 Contraseñas de “Una Vez” y Tarjetas Token ........................................................... 22 1.3.2.4.3 Certificados digitales ................................................................................................ 22 1.3.2.5 Cisco Identity Based Networking Services (IBNS) ................................................................. 23 1.3.2.5.1 802.1x ....................................................................................................................... 24 1.3.2.5.2 Implementaciones alámbricas e inalámbricas .......................................................... 25 1.3.2.6 Network Admission Control (NAC) ........................................................................................ 25 1.3.2.6.1 Componentes ............................................................................................................ 25 1.3.2.6.2 Operación ................................................................................................................. 26 1.3.3 CISCO SECURE ACS ............................................................................................................ 27 1.3.3.1 Introducción a Cisco Secure ACS para Windows................................................................... 27 1.3.3.2 Autenticación y Bases de Datos de Usuarios .......................................................................... 28 1.3.3.3 Arquitectura ............................................................................................................................ 28 1.3.3.4 Funcionamiento de Cisco Secure ACS .................................................................................... 29 1.3.3.4.1 Usando solo la Base de Datos ACS ......................................................................... 29 1.3.3.4.2 Usando Base de Datos Windows ............................................................................. 29 1.3.3.4.3 Usando Base de Datos Externa de Usuario .............................................................. 29 1.3.3.4.4 Tarjetas Token .......................................................................................................... 29 1.3.3.4.5 Contraseñas Cambiantes de Usuario ........................................................................ 30 1.3.3.5 Configuración de RADIUS y TACACS+ con Cisco Secure ACS .......................................... 30 1.3.3.5.1 Instalación ................................................................................................................ 30 1.3.3.5.2 Configuración de TACACS+ ................................................................................... 30 1.3.3.5.3 Configuración de RADIUS ...................................................................................... 31 1.3.4 ADVANCED INSPECTION AND PREVENTION SECURITY SERVICES MODULE (AIP-SSM) 32 1.3.4.1 Generalidades ......................................................................................................................... 32 1.3.4.2 IPS vs. IDS ............................................................................................................................. 33 1.3.4.3 Configuración ......................................................................................................................... 33 1.3.5 CONFIABILIDAD E IDENTIDAD EN CAPA 3 .................................................................. 37 1.3.5.1 Proxy de Autenticación Cisco IOS Firewall ........................................................................... 37 1.3.5.1.1 Configuración del Servidor AAA ............................................................................ 38 1.3.5.1.2 Tráfico AAA hacia el Router ................................................................................... 39 1.3.5.1.3 Configuración de Proxy de Autenticación ............................................................... 39 1.3.5.2 Introducción a Componentes AAA de PIX Security Appliance .............................................. 40 V III 1.3.5.2.1 Autenticación de PIX Security Appliance ................................................................ 40 1.3.5.2.2 Autorización de PIX Security Appliance .................................................................. 41 1.3.5.2.3 Soporte de Servidor AAA ........................................................................................ 41 1.3.5.3 Configuración de AAA en PIX Security Appliance ................................................................ 42 1.3.5.3.1 Autenticación de Acceso de PIX Security Appliance ............................................... 42 1.3.5.3.2 Autenticación Interactiva de Usuario ....................................................................... 42 1.3.5.3.3 Base de Datos Local de Usuario .............................................................................. 42 1.3.5.3.4 Prompts de Autenticación y Timeouts...................................................................... 43 1.3.5.3.5 Autenticación Forzada (Cut_Through) de Proxy ..................................................... 43 1.3.5.3.6 Configuración de Autorización ................................................................................ 43 1.3.5.3.7 Configuración de Cuentas ........................................................................................ 44 1.3.6 CONFIABILIDAD E IDENTIDAD EN CAPA 2 .................................................................. 45 1.3.6.1 Relación de IBNS con 802.1x y EAP ..................................................................................... 45 1.3.6.1.1 Cómo Trabaja 802.1x ............................................................................................... 45 1.3.6.1.2 IBNS y Cisco Secure ACS ....................................................................................... 45 1.3.6.1.3 Consideraciones de Despliegue ACS ....................................................................... 46 1.3.6.1.4 Configuración de perfil RADIUS de Cisco Secure ACS ......................................... 47 1.3.6.2 Configurando Autenticación 802.1x Basada en Puerto .......................................................... 47 1.3.6.2.1 Habilitación de Autenticación 802.1x ...................................................................... 47 1.3.6.2.2 Configuración de la Comunicación entre el Switch y el Servidor RADIUS ............ 48 1.3.6.2.3 Habilitación de Re-Autenticación Periódica ............................................................ 48 1.3.7 FILTRADO EN UN ROUTER ............................................................................................... 49 1.3.7.1 Cisco IOS Firewall Context-Based Access Control (CBAC) ................................................. 49 1.3.7.1.1 Funcionamiento de CBAC ....................................................................................... 50 1.3.7.2 Configuración de Cisco IOS Firewall CBAC ......................................................................... 52 1.3.7.2.1 Comandos de configuración ..................................................................................... 53 1.3.8 FILTRADO EN UN SWITCH ................................................................................................ 57 1.3.8.1 Mitigación del ataque de desbordamiento de la tabla CAM ................................................... 57 1.3.8.2 Mitigación del ataque MAC spoofing ..................................................................................... 58 1.3.8.3 Mitigación del ataque DHCP starvation ................................................................................. 59 1.3.8.4 Mitigación del ataque VLAN hooping ................................................................................... 59 1.3.8.5 Prevención de la manipulación del Spanning-Tree protocol (STP) ........................................ 60 1.3.9 FILTRADO EN UN PIX ........................................................................................................ 61 1.3.9.1 Configuración de ACLs en un PIX ......................................................................................... 61 1.3.9.1.1 Comando ICMP ....................................................................................................... 62 1.3.9.1.2 Agrupación de objetos .............................................................................................. 62 1.3.9.1.3 Reunión de grupos de objetos .................................................................................. 62 1.3.9.2 Filtrado de códigos maliciosos ............................................................................................... 63 1.3.9.3 Configuración de políticas modulares de un dispositivo de seguridad ................................... 63 CAPÍTULO 2 FUNDAMENTOS DE LOS ESTÁNDARES ISO 27001 E ISO 27002 2.1 NORMATIVA INTERNACIONAL SOBRE SEGURIDAD DE LA INFORMACIÓN ............... 65 2.1.1 NORMAS INTERNACIONALES PUBLICADAS ............................................................... 65 2.1.2 CORRESPONDENCIA ENTRE NORMAS .......................................................................... 66 2.2 INTRODUCCIÓN A LAS NORMAS ISO 27000 ......................................................................... 67 2.2.1 ORIGEN Y DESARROLLO .................................................................................................. 67 2.2.2 OBJETIVOS Y CAMPO DE ACCIÓN ................................................................................. 67 2.2.3 BENEFICIOS ......................................................................................................................... 69 2.3 INTRODUCCIÓN A LA FAMILIA DE ESTÁNDARES ISO 27000 ........................................... 70 2.4 ESTÁNDAR INTERNACIONAL ISO/IEC 27001 ....................................................................... 73 2.4.1 INTRODUCCIÓN .................................................................................................................. 73 2.4.1.1 Terminología ......................................................................................................................... 74 2.4.2 SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN ............................... 76 2.4.2.1 Establecer el SGSI (Fase PLANIFICAR) ............................................................................... 76 IX 2.4.2.2 Implementar y operar el SGSI (Fase HACER) ....................................................................... 78 2.4.2.3 Monitorear y revisar el SGSI (Fase CONTROLAR) .............................................................. 79 2.4.2.4 Mantener y mejorar el SGSI (Fase ACTUAR) ....................................................................... 80 2.4.3 NORMATIVA........................................................................................................................ 80 2.4.3.1 Documentación de la norma ................................................................................................... 80 2.4.3.2 Responsabilidad de la Gerencia .............................................................................................. 81 2.4.3.3 Auditorías internas SGSI ........................................................................................................ 81 2.5 ESTÁNDAR INTERNACIONAL ISO/IEC 27002 ...................................................................... 82 2.5.1 OBJETIVO ............................................................................................................................. 82 2.5.2 TERMINOLOGÍA ................................................................................................................. 82 2.5.3 ESTRUCTURA ...................................................................................................................... 83 2.5.4 ESTABLECIMIENTO DE LOS REQUISITOS DE SEGURIDAD ...................................... 84 2.5.5 EVALUACIÓN DE LOS RIESGOS DE SEGURIDAD Y TRATAMIENTO ...................... 85 2.5.6 SELECCIÓN DE CONTROLES ........................................................................................... 85 2.5.7 CLÁUSULAS ........................................................................................................................ 86 2.5.7.1 Política de Seguridad .............................................................................................................. 86 2.5.7.1.1 Política de Seguridad de la Información .................................................................. 86 2.5.7.2 Organización de la Seguridad de la Información .................................................................... 87 2.5.7.2.1 Organización Interna ................................................................................................ 87 2.5.7.2.2 Partes Externas ......................................................................................................... 90 2.5.7.3 Gestión de Activos ................................................................................................................. 92 2.5.7.3.1 Responsabilidad por los Activos .............................................................................. 92 2.5.7.3.2 Clasificación de la Información ............................................................................... 94 2.5.7.4 Seguridad de los Recursos Humanos ...................................................................................... 95 2.5.7.4.1 Antes de la Contratación Laboral ............................................................................. 95 2.5.7.4.2 Durante la Vigencia del Contrato Laboral ............................................................... 96 2.5.7.4.3 Terminación o Cambio de la Contratación Laboral ................................................. 97 2.5.7.5 Seguridad Física y del Entorno ............................................................................................... 98 2.5.7.5.1 Áreas Seguras ........................................................................................................... 98 2.5.7.5.2 Seguridad de los Equipos ....................................................................................... 101 2.5.7.6 Gestión de Comunicaciones y Operaciones .......................................................................... 104 2.5.7.6.1 Procedimientos Operacionales y Responsabilidades .............................................. 104 2.5.7.6.2 Gestión de la Prestación del Servicio por Terceras Partes ..................................... 105 2.5.7.6.3 Planificación y Aceptación del Sistema ................................................................. 107 2.5.7.6.4 Protección contra Códigos Maliciosos y Móviles .................................................. 108 2.5.7.6.5 Respaldo ................................................................................................................. 109 2.5.7.6.6 Gestión de la Seguridad de las Redes ..................................................................... 109 2.5.7.6.7 Manejo de los Medios ............................................................................................ 110 2.5.7.6.8 Intercambio de la Información ............................................................................... 111 2.5.7.6.9 Servicios de Comercio Electrónico ........................................................................ 114 2.5.7.6.10 Monitoreo ............................................................................................................... 115 2.5.7.7 Control de Acceso ................................................................................................................ 117 2.5.7.7.1 Requisitos del Negocio para el Control del Acceso ............................................... 117 2.5.7.7.2 Gestión del Acceso a Usuarios ............................................................................... 118 2.5.7.7.3 Responsabilidades de los Usuarios ........................................................................ 119 2.5.7.7.4 Control de Acceso a las Redes ............................................................................... 121 2.5.7.7.5 Control de Acceso al Sistema Operativo ................................................................ 124 2.5.7.7.6 Control de Acceso a las Aplicaciones y a la Información ...................................... 126 2.5.7.7.7 Computación Móvil y Trabajo Remoto.................................................................. 127 2.5.7.8 Adquisición, Desarrollo y Mantenimiento de Sistemas de Información ............................... 128 2.5.7.8.1 Requisitos de Seguridad de los Sistemas de Información ...................................... 128 2.5.7.8.2 Procesamiento Correcto en las Aplicaciones ......................................................... 129 2.5.7.8.3 Controles Criptográficos ........................................................................................ 130 2.5.7.8.4 Seguridad de los Archivos del Sistema .................................................................. 131 2.5.7.8.5 Seguridad en los Procesos de Desarrollo y Soporte ............................................... 133 2.5.7.8.6 Gestión de la Vulnerabilidad Técnica .................................................................... 135 2.5.7.9 Gestión de los Incidentes de Seguridad de la Información ................................................... 135 2.5.7.9.1 Reporte sobre los Eventos y las Debilidades de la Seguridad de la Información ... 135 2.5.7.9.2 Gestión de los Incidentes y las Mejoras en la Seguridad de la Información .......... 136 2.5.7.10 Gestión de la Continuidad del Negocio ................................................................................ 138
Description:The list of books you might like
