- Criterios de Evaluación de Seguridad en Tecnologías de la Información
-
Los Criterios de Evaluación de Seguridad en Tecnologías de la Información (CESTI), también conocidos por sus siglas en inglés ITSEC (Information Technology Security Evaluation Criteria), son un conjunto de criterios para evaluar la seguridad informática de productos y sistemas.
Los CESTI fueron publicados en mayo de 1990 por la RFA, Francia, los Países Bajos y el Reino Unido, basándose en trabajos anteriores existentes en las naciones mencionadas. A partir de la profunda revisión internacional a que fueron sometidos, la Comisión Europea publicó la versión 1.2 en junio de 1991, para su uso operativo en los esquemas de evaluación y certificación.
El producto o sistema sometido a evaluación, denominado objetivo de evaluación (OE) es sometido a un examen detallado de sus características de seguridad, que culmina con extensas pruebas de funcionamiento y tests de penetración. El grado de examen depende del nivel de confianza deseado para el OE. Para proporcionar diferentes grados de confianza, los CESTI definen los llamados niveles de evaluación, desde E0 a E6. Los niveles más altos de evaluación exigen exámenes y tests más detallados del OE.
A diferencia de criterios preexistentes (en particular los TCSEC desarrollados por el Departamento de Defensa de los Estados Unidos), los CESTI no requieren que los OE contengan características técnicas específicas para alcanzar un determinado nivel de confianza. Por ejemplo, un OE puede ofrecer características de autentificación o integridad sin proporcionar medidas de confidencialidad o disponibilidad. Las especificaciones de seguridad de un OE dado deben estar detalladas en el documento Objetivo de seguridad, cuyo contenido debe ser evaluado y aprobado antes de someter el OE a examen. Las evaluaciones basadas en los CESTI únicamente verifican las características de seguridad descritas en el mencionado documento.
A partir de la publicación de los CESTI en 1990, varios países europeos han acordado reconocer la validez de los tests CESTI. Hoy en día los CESTI han sido reemplazados en su mayor parte por los Criterios Comunes, que proporcionan niveles de evaluación definidos de manera similar, y también implementan los conceptos de objetivo de evaluación y el documento Objetivo de seguridad.
Referencias
Information Technology Security Evaluation Criteria (ITSEC): Preliminary Harmonised Criteria. Documento COM(90) 314, Versión 1.2. Comisión Europea. junio de 1991. http://www.ssi.gouv.fr/site_documents/ITSEC/ITSEC-uk.pdf. Consultado el 2006-06-02.
Categorías:- Certificaciones de seguridad informática
- Seguridad de la Información
Wikimedia foundation. 2010.