PDF de programación - Adecuándose a la norma ISO/IEC 1799 mediante software libre

Adecuándose a la norma ISO/IEC 1799 mediante

software libre *

Jose Fernando Carvajal Vión

Grupo de Interés en Seguridad de ATI (ATI-GISI)

<[email protected]>

Javier Fernández-Sanguino Peña

Grupo de Interés en Seguridad de ATI (ATI-GISI)

<[email protected]>

28 de octubre de 2002

Resumen

Este artículo muestra la forma de adecuar a la norma ISO/IEC 17999 un
sistema de información implementado en un servidor cuyo software de sistema
operativo se basa en alguna alternativa de software Libre y código abierto.
La utilización de una distribución Debian GNU/Linux sirve como base a la
que añadir las utilidades y paquetes necesarios para conseguir el objetivo.

Índice

1. Introducción

2. Objetivo y Asunciones

3. Cumplimiento de la Norma ISO/IEC 17799 en GNU/Linux

4. Conclusiones

5. Referencias

6. Referencias de herramientas

7. Referencias Generales

1

2

4

4

5

7

11

*Copyright (c) 2002 Jose Fernando Carvajal y Javier Fernández-Sanguino. Se otorga permiso
para copiar, distribuir y/o modificar este documento bajo los términos de la Licencia de Documen-
tación Libre GNU, Versión 1.1 o cualquier otra versión posterior publicada por la Free Software
Foundation. Puede consultar una copia de la licencia en: http://www.gnu.org/copyleft/fdl.html

1

1.

Introducción

De forma general para mantener la seguridad de los activos de información se

deben preservar las características siguientes [1].

1. Confidencialidad: sólo el personal o equipos autorizados pueden acceder a la

información.

2.

Integridad: la información y sus métodos de proceso son exactos y completos.

3. Disponibilidad: los usuarios autorizados tienen acceso a la información y a sus

activos asociados cuando se requieran.

La implantación de la seguridad de la información, en la medida de lo posible, se
consigue mediante un conjunto adecuado controles, que pueden ser políticas, prácti-
cas, procedimientos, estructuras organizativas y funciones software. Estas medidas
de control sirven para asegurar que se cumplen los objetivos específicos de seguridad
de la Organización.

En el campo normativo voluntario de la gestión de la seguridad de las TI existen

actualmente, como más relevantes, las normas siguientes:

La norma ISO/IEC 17799 [2] que ofrece las recomendaciones para realizar la
gestión de la seguridad de la información, las versión española de esta norma
es la UNE 717799 [116].

La norma multiparte ISO/IEC 13335 [117,118,119,120,121] conocidas como
las GMITS donde se recogen las etapas del ciclo de gestión de la seguridad
proporcionando orientaciones organizativas y técnicas, la versión española de
esta norma multiparte es la UNE 71501 IN [122,123,124].

Generalmente cada Organización en base a los riesgos a que esté expuesta y los
aspectos intrínsecos de su funcionamiento, define e implanta un Sistema propio
para realizar de forma estructurada, sistemática y metódica la gestión de la
seguridad de TI. Para algunas organizaciones puede ser orientativa la norma
Británica BS-7799-2 [3], la cual fija requisitos para establecer, implementar y
mantener un Sistema de gestión de la seguridad de los sistemas de información
(ISMS: Information Systems Management System).

Aquellas organizaciones que quieran ser conformes a la norma BS-7799-2 deberán
cumplir estrictamente los requisitos según se indican en su texto. Dada la riqueza de
variantes presentes en el mundo real, para algunas organizaciones la norma resulta
meramente orientativa.

Algunas empresas podrán considerar importante la adecuación a una norma para
obtener la certificación correspondiente porque su proceso de negocio (o clientes)
lo demanden. Sin embargo, aunque ésto pueda ser el caso para otras normas ISO
(como la ISO 9000) no lo es tanto para la norma ISO/IEC 17799. ¿Por qué, entonces,
puede ser necesario adecuarse a una norma como el ISO/IEC 17799? La utilización

2

de una norma de seguridad permite cerciorarse de que se cubren todos los aspectos de
seguridad que debe abordar una organización, desde la especificación de una política
de seguridad a la definición de necesidades de seguridad física o de recuperación de
desastres. Claramente, una organización puede abogar por definir su política de
seguridad y realizar su implementación sin seguir ninguna norma. El beneficio de
utilizar una norma es el de acceder al conocimiento de expertos reflejado en una
guía accesible a cualquier responsable de seguridad.

2. Objetivo y Asunciones

Nuestro objetivo es realizar una identificación de aquellos puntos de la norma
ISO/IEC 17799 que pueden ser cumplidos por toda instalación de un servidor basado
en Debian GNU/Linux, por tanto nos dirigimos a la implementación de los controles
de seguridad según las necesidades de la organización o partes de ésta indicando que
herramientas pueden utilizarse para implementar cada control concreto. Algunas
de las herramientas (la gran mayoría como se verá) estarán proporcionadas como
software libre dentro del software que forma parte de la distribución mientras que
otras, también software libre, habrán de ser obtenidas de otras fuentes e instaladas
en éste.

En este artículo supondremos en todo momento la existencia de unas necesidades
de seguridad identificadas, evaluadas y establecidas dentro de una organización o
empresa conforme a sus necesidades.

No obstante, para pequeñas y medianas empresas (PYMES), se podrían im-
plementar las medidas de seguridad dictadas por la Norma ISO/IEC 17799 en sus
servidores utilizando un sistema operativo Debian GNU/Linux 3.0 woody como refe-
rencia [4] y configurándolo con las herramientas y utilidades necesarias. Adecuándolo
así a las medidas de control dictadas por ésta que permitan cubrir razonablemente
los requisitos de seguridad específicos para cada caso.

Tomamos la versión estable de Debian como referencia por que es, a nuestro
juicio, la que mejor se adapta a la filosofía del software libre [5] (también llamado
en algunos casos código abierto [6]). Ejemplos de instalación de servidores puede
consultarse por toda la Red Internet.

Como marco de referencia debemos presuponer que nos encontramos dentro de
una organización o empresa con una política de seguridad definida o que al menos
toma como base el código de buenas prácticas [2]. Esto nos permite obviar la parte
organizativa de la norma y centrarnos en la parte de implementación técnica de la
misma; intentando en todo momento equiparar las especificaciones de la norma en
su aspecto operativo y no en el organizativo.

La idea central es, pues, determinar en qué puntos un sistema operativo GNU/Linux

dotado de los programas de utilidad adecuadas puede llegar a cumplir y ser certifi-
cado en la norma. No se debe considerar una cortapisa el hecho de que, actualmente,
ninguna de las distintas distribuciones del sistema operativo GNU/Linux se hayen
certificadas en el ámbito de la seguridad. Uno de estos estándares bien podría ser el
conocido como Common Criteria). En este análisis no se va a incidir en los aspec-

3

tos que pueda cubrir el sistema operativo GNU/Linux con respecto a los elementos
de los Perfiles de Protección de Sistemas Operativos de dicho estándar (perfiles de
protección que, por otro lado, aún están en fase de borrador).

En el análisis de la norma se marcará como Política aquellos controles que no
puedan limitarse a una aplicación software concreta y que por el contrario deben
implementarse como un conjunto de medidas software y/o medidas organizativas.
En algunos de estos puntos podrán indicarse las referencias a los documentos y/o
HowTos (documentos descriptivos de la utilización de algún elemento en software,
a veces traducido como Comos) adecuados al caso y que pueden ser utilizados para
crear los procedimientos organizativos que permitan cumplir ese control.

En cuanto al hardware del servidor mencionar que partimos del supuesto de un
criterio de selección basado en las especificaciones actuales de hardware que pueden
encontrarse en un PC de altas prestaciones del mercado de consumo cuyo rango de
precio se encuentre dentro del coste aceptable para una pequeña empresa. Eviden-
temente, algunos de los controles contemplados en la norma se han de implementar
mediante mecanismos físicos. La discusión de los mecanismos físicos de protección
de los recursos salen fuera del ámbito de este trabajo.

3. Cumplimiento de la Norma ISO/IEC 17799 en

GNU/Linux

En la tabla adjunta se relacionan los objetivos de control y los controles con
marcado carácter operativo que pueden ser proporcionados bien por el núcleo del
sistema operativo (Linux) o bien por los programas de utilidad adecuados. Por es-
te motivo los puntos especificados en los apartados 3.1.1 a 8.1 se han obviado ya
que entendemos que todos ellos deberían estar implementados mediante los procedi-
mientos adecuados según el código de buenas prácticas [2] y ser realizados mediante
procesos manuales o más o menos automatizados. Como ejemplo de este tipo de
proceso podríamos usar el punto 6.3.1 Notificación de Incidentes de Seguridad en
el que parte del mismo puede ser implementado mediante un sistema de detección
de integridad como tripwire [8], un sistema de detección de intrusos como Snort [9],
un sistema de análisis de ficheros como logcheck [125] un servicio de comunicación
vía mail o GSM/SMS.

La tabla muestra la información recogida en el análisis realizado de forma con-
junta a este trabajo. En aquellos elementos de control que disponen de herramientas
de software libre para su implementación. No se ha hecho distinción de las herra-
mientas proporcionadas dentro de la distribución Debian GNU/Linux (la mayoría)
y las que no lo están. Esto es así porque, debido al ritmo de crecimiento de la distri-
bución (actualmente consta de más de 3 Gbs de software, la versión anterior ofrecía
más de 2 Gbs de sofware libre) es más que probable que aquellas herramientas de
s