1、 UNIN INTERNACIONAL DE TELECOMUNICACIONES UIT-T X.842 SECTOR DE NORMALIZACIN DE LAS TELECOMUNICACIONES DE LA UIT (10/2000) SERIE X: REDES DE DATOS Y COMUNICACIN ENTRE SISTEMAS ABIERTOS Seguridad Tecnologa de la informacin Tcnicas de seguridad Directrices sobre el uso y gestin de servicios a tercera
2、parte confiable Recomendacin UIT-T X.842 (Anteriormente Recomendacin del CCITT) RECOMENDACIONES UIT-T DE LA SERIE X REDES DE DATOS Y COMUNICACIN ENTRE SISTEMAS ABIERTOS REDES PBLICAS DE DATOS Servicios y facilidades X.1X.19 Interfaces X.20X.49 Transmisin, sealizacin y conmutacin X.50X.89 Aspectos de
3、 redes X.90X.149 Mantenimiento X.150X.179 Disposiciones administrativas X.180X.199 INTERCONEXIN DE SISTEMAS ABIERTOS Modelo y notacin X.200X.209 Definiciones de los servicios X.210X.219 Especificaciones de los protocolos en modo conexin X.220X.229 Especificaciones de los protocolos en modo sin conex
4、in X.230X.239 Formularios para declaraciones de conformidad de implementacin de protocolo X.240X.259 Identificacin de protocolos X.260X.269 Protocolos de seguridad X.270X.279 Objetos gestionados de capa X.280X.289 Pruebas de conformidad X.290X.299 INTERFUNCIONAMIENTO ENTRE REDES Generalidades X.300X
5、.349 Sistemas de transmisin de datos por satlite X.350X.369 Redes basadas en el protocolo Internet X.370X.399 SISTEMAS DE TRATAMIENTO DE MENSAJES X.400X.499 DIRECTORIO X.500X.599 GESTIN DE REDES DE INTERCONEXIN DE SISTEMAS ABIERTOS Y ASPECTOS DE SISTEMAS Gestin de redes X.600X.629 Eficacia X.630X.63
6、9 Calidad de servicio X.640X.649 Denominacin, direccionamiento y registro X.650X.679 Notacin de sintaxis abstracta uno X.680X.699 GESTIN DE INTERCONEXIN DE SISTEMAS ABIERTOS Marco y arquitectura de la gestin de sistemas X.700X.709 Servicio y protocolo de comunicacin de gestin X.710X.719 Estructura d
7、e la informacin de gestin X.720X.729 Funciones de gestin y funciones de arquitectura de gestin distribuida abierta X.730X.799 SEGURIDAD X.800X.849 APLICACIONES DE INTERCONEXIN DE SISTEMAS ABIERTOS Compromiso, concurrencia y recuperacin X.850X.859 Procesamiento de transacciones X.860X.879 Operaciones
8、 a distancia X.880X.899 PROCESAMIENTO DISTRIBUIDO ABIERTO X.900X.999 Para ms informacin, vase la Lista de Recomendaciones del UIT-T. Rec. UIT-T X.842 (10/2000) i NORMA INTERNACIONAL ISO/CEI TR 14516 RECOMENDACIN UIT-T X.842 TECNOLOGA DE LA INFORMACIN TCNICAS DE SEGURIDAD DIRECTRICES SOBRE EL USO Y G
9、ESTIN DE SERVICIOS A TERCERA PARTE CONFIABLE Resumen Esta Recomendacin | Informe tcnico proporciona una orientacin para el uso y gestin de los servicios a tercera parte confiable (TTP), una definicin clara de las funciones y servicios bsicos prestados, sus descripciones y finalidades, y los cometido
10、s y responsabilidades de las TTP y las entidades que utilizan sus servicios. Esta Recomendacin | Informe tcnico identifica diferentes categoras principales de servicios TTP que incluyen la identificacin de tiempo, el no repudio, la gestin de claves, la gestin de certificados, y la notara pblica elec
11、trnica. Orgenes La Recomendacin UIT-T X.842, preparada por la Comisin de Estudio 7 (1997-2000) del UIT-T, fue aprobada por la Asamblea Mundial de Normalizacin de las Telecomunicaciones (Montreal, 27 de septiembre-6 de octubre de 2000). Se publica tambin un texto idntico como Norma Internacional ISO/
12、CEI TR 14516. ii Rec. UIT-T X.842 (10/2000) PREFACIO La UIT (Unin Internacional de Telecomunicaciones) es el organismo especializado de las Naciones Unidas en el campo de las telecomunicaciones. El UIT-T (Sector de Normalizacin de las Telecomunicaciones de la UIT) es un rgano permanente de la UIT. E
13、ste rgano estudia los aspectos tcnicos, de explotacin y tarifarios y publica Recomendaciones sobre los mismos, con miras a la normalizacin de las telecomunica-ciones en el plano mundial. La Asamblea Mundial de Normalizacin de las Telecomunicaciones (AMNT), que se celebra cada cuatro aos, establece l
14、os temas que han de estudiar las Comisiones de Estudio del UIT-T, que a su vez producen Recomendaciones sobre dichos temas. La aprobacin de Recomendaciones por los Miembros del UIT-T es el objeto del procedimiento establecido en la Resolucin 1 de la AMNT. En ciertos sectores de la tecnologa de la in
15、formacin que corresponden a la esfera de competencia del UIT-T, se preparan las normas necesarias en colaboracin con la ISO y la CEI. NOTA En esta Recomendacin, la expresin “Administracin“ se utiliza para designar, en forma abreviada, tanto una administracin de telecomunicaciones como una empresa de
16、 explotacin reconocida de telecomunicaciones. PROPIEDAD INTELECTUAL La UIT seala a la atencin la posibilidad de que la utilizacin o aplicacin de la presente Recomendacin suponga el empleo de un derecho de propiedad intelectual reivindicado. La UIT no adopta ninguna posicin en cuanto a la demostracin
17、, validez o aplicabilidad de los derechos de propiedad intelectual reivindicados, ya sea por los miembros de la UIT o por terceros ajenos al proceso de elaboracin de Recomendaciones. En la fecha de aprobacin de la presente Recomendacin, la UIT no ha recibido notificacin de propiedad intelectual, pro
18、tegida por patente, que puede ser necesaria para aplicar esta Recomendacin. Sin embargo, debe sealarse a los usuarios que puede que esta informacin no se encuentre totalmente actualizada al respecto, por lo que se les insta encarecidamente a consultar la base de datos sobre patentes de la TSB. UIT 2
19、002 Es propiedad. Ninguna parte de esta publicacin puede reproducirse o utilizarse, de ninguna forma o por ningn medio, sea ste electrnico o mecnico, de fotocopia o de microfilm, sin previa autorizacin escrita por parte de la UIT. Rec. UIT-T X.842 (10/2000) iii NDICE Pgina 1 Alcance . 1 2 Referencia
20、s . 1 2.1 Recomendaciones | Normas Internacionales idnticas 1 2.2 Pares de Recomendaciones | Normas Internacionales de contenido tcnico equivalente 1 2.3 Referencias adicionales . 1 3 Definiciones 2 4 Aspectos generales 3 4.1 Bases de la garanta de seguridad y de la confianza 3 4.2 Interaccin entre
21、una TTP y las entidades que utilizan sus servicios 4 4.3 Interfuncionamiento de los servicios TTP. 6 5 Aspectos relativos a la gestin y la explotacin de una TTP 6 5.1 Aspectos legales 6 5.2 Obligaciones contractuales 7 5.3 Responsabilidades . 7 5.4 Poltica de seguridad 7 5.5 Calidad de servicio 13 5
22、.6 Aspectos ticos 13 5.7 Tasas 13 6 Interfuncionamiento 13 6.1 TTP-Usuarios 13 6.2 Usuario-usuario . 13 6.3 TTP-TTP . 14 6.4 TTP Agencia de ejecucin legal. 14 7 Principales categoras de servicios TTP . 15 7.1 Servicio de indicacin de tiempo. 15 7.2 Servicios de no repudio . 16 7.3 Servicios de gesti
23、n de claves . 16 7.4 Servicios de gestin de certificados. 18 7.5 Servicios pblicos de notara electrnica 20 7.6 Servicio de archivo digital electrnico 22 7.7 Otros servicios. 23 Anexo A Requisitos de seguridad para la gestin de las TTP. 29 Anexo B Aspectos relativos a la gestin de la CA 30 B.1 Ejempl
24、o de procedimientos del proceso de registro 30 B.2 Ejemplo de requisitos para las autoridades de certificacin 30 B.3 Poltica de certificacin y declaracin de ejecucin prctica de la certificacin (CPS) 32 Anexo C Bibliografa 34 iv Rec. UIT-T X.842 (10/2000) Introduccin La consecucin de niveles adecuado
25、s de confianza empresarial en la explotacin de sistemas IT se soporta en la disposicin de controles tcnicos y legales apropiados y prcticos. Las empresas deben tener confianza en que los sistemas IT les ofrecern ventajas positivas y en que podrn contar con que dichos sistemas soportarn compromisos c
26、omerciales y crearn oportunidades de negocio. Un intercambio de informacin entre dos entidades implica la existencia de un elemento de confianza donde, por ejemplo, el receptor supone que la identidad del emisor es realmente la del emisor, y a su vez, el emisor supone que la identidad del receptor e
27、s realmente la del receptor al que est destinada la informacin. Puede ocurrir que este “elemento de confianza implcito“ no sea suficiente y se necesite utilizar una tercera parte confiable (TTP) para facilitar el intercambio fiable de la informacin. El cometido de las TTP incluye proporcionar la seg
28、uridad de que los mensajes y transacciones comerciales y de otro tipo dignos de confianza (por ejemplo, los referentes a actividades gubernamentales) se transfieren al receptor deseado, en la ubicacin correcta, y que estos mensajes se reciben de manera exacta y oportuna en el tiempo, y que para cual
29、quier controversia comercial que pueda surgir existen mtodos apropiados que permiten la creacin y entrega de la evidencia requerida para probar lo que ha ocurrido. Los servicios prestados por las TTP pueden incluir los necesarios para la gestin de claves, gestin de certificados, soporte de identific
30、acin y autenticacin, servicio de atributo de privilegio, no repudio, servicios de indicacin de tiempo, servicios de notara publica electrnica y servicios de directorio. Las TTP pueden prestar algunos de estos servicios o todos. Una TTP ha de ser concebido, implementado y explotado para proporcionar
31、seguridad a los servicios de seguridad que presta, y satisfacer los requisitos legales y reglamentarios aplicables. Los tipos y niveles de proteccin adoptados o requeridos variarn de acuerdo con el tipo de servicio prestado y con el contexto dentro del que opera la aplicacin comercial. El objetivo d
32、e este informe tcnico es proporcionar: a) Directrices destinadas a los gestores, realizadores y personal de explotacin de las TTP, as como a la asistencia a los mismos en el uso y gestin de las TTP; y b) Directrices destinadas a entidades en relacin con los servicios prestados por las TTP, y sobre l
33、os respectivos cometidos y responsabilidades de las TTP y de las entidades que utilizan sus servicios. Son aspectos adicionales tratados en esta Recomendacin Informe tcnico los de proporcionar: a) Una visin de conjunto de la descripcin de los servicios prestados; b) Una comprensin del cometido de la
34、s TTP y sus caractersticas funcionales; c) Una base para el reconocimiento mutuo de servicios prestados por TTP diferentes; y d) Una directriz sobre el interfuncionamiento entre entitades y las TTP. ISO/IEC TR 14516:2002 (S) Rec. UIT-T X.842 (10/2000) 1 INFORME TCNICO ISO/CEI TR 14516 RECOMENDACIN U
35、IT-T X.842 TECNOLOGA DE LA INFORMACIN TCNICAS DE SEGURIDAD DIRECTRICES SOBRE EL USO Y GESTIN DE SERVICIOS A TERCERA PARTE CONFIABLE 1 Alcance Con la provisin y operacin de un servicio de tercera parte confiable (TTP, trusted third party) estn asociados algunos temas relacionados con la seguridad par
36、a lo cuales se necesitan directrices generales destinadas a ayudar a las entidades comerciales, y a los realizadores y proveedores de sistemas y servicios., etc. Incluyen las orientaciones sobre los cometidos, posiciones y relaciones de las TTP y con las entidades que utilizan los servicios TTP, los
37、 requisitos de seguridad genricos, quin debe proporcionar cada tipo de seguridad, cuales son las posibles soluciones de seguridad, y el uso y gestin operacionales de la seguridad de los servicios TTP. Esta Recomendacin Informe tcnico proporciona una directriz sobre el uso y gestin de las TTP, una de
38、finicin clara de las funciones y servicios bsicos prestados, sus descripciones y fines, y los cometidos y responsabilidades civiles de las TTP y de las entidades que utilizan sus servicios. Se destina en primer lugar a los gestores y realizadores de sistemas, a los operadores de las TTP y a los usua
39、rios de las empresas en la seleccin delos servicios TTP necesarios para exigencias concretas, su gestin, uso y despliegue operacional subsiguientes, as como al establecimiento de una poltica de seguridad dentro de una TTP. No se pretende que se utilice como base de la evaluacin formal de una TTP ni
40、para comparar diversas TTP. Este documento identifica diferentes categoras principales de los servicios TTP que incluyen: la identificacin de tiempo, el no repudio, la gestin de claves, la gestin de certificados y la notara pblica electrnica. Cada una de estas categoras principales comprende varios
41、servicios que estn lgicamente agrupados. 2 Referencias normativas 2.1 Recomendaciones | Normas Internacionales idnticas Recomendacin UIT-T X.509 (2001) | ISO/CEI 9594-8:2001, Tecnologa de la Informacin Interconexin de sistemas abiertos El directorio: Marcos para certificados de claves pblicas y de a
42、tributos. Recomendacin UIT-T X.810 (1995) | ISO/CEI 10181-1:1996, Tecnologa de la Informacin Interconexin de sistemas abiertos Marcos de seguridad para sistemas abiertos: Visin general. Recomendacin UIT-T X.813 (1996) | ISO/CEI 10181-4:1997, Tecnologa de la Informacin Interconexin de sistemas abiert
43、os Marcos de seguridad en sistemas abiertos: Marco de no rechazo. 2.2 Pares de Recomendaciones | Normas Internacionales de contenido tcnico equivalente Recomendacin CCITT X.800 (1991), Arquitectura de seguridad de la interconexin de sistemas abiertos para aplicaciones del CCITT. ISO 7498-2:1989, Inf
44、ormation processing systems Open Systems Interconnection Basic Reference Model - Part 2: Security Architecture. 2.3 Referencias adicionales ISO/CEI 9798-1:1997, Information technology - Security techniques - Entity authentication - Part 1: General. ISO/CEI 11770-1:1996, Information technology - Secu
45、rity techniques - Key management - Part 1: Framework. ISO/CEI 11770-2:1996, Information technology - Security techniques - Key management - Part 2: Mechanisms using symmetric techniques. ISO/CEI 11770-3:1999, Information technology - Security techniques - Key management - Part 3: Mechanisms using as
46、ymmetric techniques. ISO/CEI TR 13335-1:1996, Information technology - Guidelines for the management of IT Security (GMITS): Part 1 - Concepts and models of IT Security. ISO/IEC TR 14516:2002 (S) 2 Rec. UIT-T X.842 (10/2000) ISO/CEI TR 13335-2:1997, Information technology - Guidelines for the manage
47、ment of IT Security (GMITS): Part 2 - Managing and planning IT Security. ISO/CEI TR 13335-3“:1998, Information technology - Security techniques - Guidelines for the management of IT Security (GMITS): Part 3 - Techniques for the management of IT Security. ISO/CEI TR 13335-4:2000, Information technolo
48、gy - Security techniques - Guidelines for the management of IT Security (GMITS): Part 4 - Selection of Safeguards. ISO/CEI 13888-1:1997, Information technology - Security techniques - Non-repudiation - Part 1: General. ISO/CEI 13888-2:1998, Information technology - Security techniques - Non-repudiation - Part 2: Mechanisms using symmetric techniques. ISO/CEI 13888-3:1997, Information technology - Security techniques - Non-repudiation - Part 3: Mechanisms using asymmetric techniques. ISO/CEI WD 15443, Information technology - Security techniques A framework
