ISO/IEC TR 15443-2:2005 Tecnología de la información - Técnicas de seguridad - Un marco para garantizar la seguridad de TI - Parte 2: Métodos de garantía
1.1 Propósito Esta parte de ISO/IEC TR 15443 proporciona una colección de métodos de aseguramiento que incluyen aquellos que no son exclusivos de la seguridad de las TIC, siempre que contribuyan a la seguridad general de las TIC. Ofrece una visión general de su finalidad y describe sus características, aspectos de referencia y normalización. En principio, la garantía de seguridad de las TIC resultante es la garantía del producto, sistema o servicio en funcionamiento. El aseguramiento resultante es, por tanto, la suma de los incrementos de aseguramiento obtenidos por cada uno de los métodos de aseguramiento aplicados al producto, sistema o servicio durante las etapas de su ciclo de vida. El gran número de métodos de garantía disponibles hace necesaria una orientación sobre qué método aplicar a un campo de TIC determinado para obtener una garantía reconocida. Cada elemento de la colección presentada en esta parte de ISO/IEC TR 15443 se clasifica de manera general utilizando los conceptos y términos de aseguramiento básicos desarrollados en ISO/IEC TR 15443-1. Utilizando esta categorización, esta parte de ISO/IEC TR 15443 guía al profesional de TIC en la selección y posible combinación de los métodos de aseguramiento adecuados para un determinado producto, sistema o servicio de seguridad de TIC y su entorno específico. 1.2 Campo de aplicación Esta parte de ISO/IEC TR 15443 proporciona orientación de forma resumida y general. Es conveniente obtener de la colección presentada un conjunto reducido de métodos aplicables para elegir, excluyendo métodos inapropiados. Los resúmenes son informativos para proporcionar los conceptos básicos que faciliten la comprensión del análisis sin requerir los estándares fuente. Los usuarios previstos de esta parte de ISO/IEC TR 15443 incluyen los siguientes: 1. adquirente (un individuo u organización que adquiere o adquiere un sistema, producto de software o servicio de software de un proveedor); 2. evaluador (un individuo u organización que realiza una evaluación; un evaluador puede, por ejemplo, ser un laboratorio de pruebas, el departamento de calidad de una organización de desarrollo de software, una organización gubernamental o un usuario); 3. desarrollador (un individuo u organización que realiza actividades de desarrollo, incluido el análisis, diseño y prueba de requisitos hasta la aceptación durante el proceso del ciclo de vida del software); 4. mantenedor (un individuo u organización que realiza actividades de mantenimiento); 5. proveedor (un individuo u organización que celebra un contrato con el adquirente para el suministro de un sistema, producto de software o servicio de software según los términos del contrato) al validar la calidad del software en una prueba de calificación; 6. usuario (un individuo u organización que utiliza el producto de software para realizar una función específica) al evaluar la calidad del producto de software en la prueba de aceptación; 7. oficial o departamento de seguridad (un individuo u organización que realiza un examen sistemático del producto de software o servicios de software) al evaluar la calidad del software en la prueba de calificación. 1.3 Limitaciones Esta parte de ISO/IEC TR 15443 proporciona orientación únicamente a modo de descripción general. ISO/IEC TR 15443-3 proporciona orientación para perfeccionar esta elección y lograr una mejor resolución de los requisitos de aseguramiento, permitiendo una revisión de sus propiedades comparables y sinérgicas. La infraestructura regulatoria para respaldar la verificación de un enfoque de aseguramiento y el personal para realizar la verificación está fuera del alcance de esta parte de ISO/IEC TR 15443.
ISO/IEC TR 15443-2:2005 Historia
2012ISO/IEC TR 15443-2:2012 Tecnología de la información - Técnicas de seguridad - Marco de garantía de seguridad - Parte 2: Análisis
2005ISO/IEC TR 15443-2:2005 Tecnología de la información - Técnicas de seguridad - Un marco para garantizar la seguridad de TI - Parte 2: Métodos de garantía