Archivo de la categoría: Buenas Prácticas

XAdES/CAdES ETSI Plugtest

Albalia Interactiva participa una vez más en el juego de pruebas de interoperabilidad XAdES de ETSI (European Telecommunications Standards Institute). Solo dos entidades españolas participan en esta edición de febrero de 2009 frente a las 10 que se inscribieron hace un año.

Existe un informe en el que se recogen los principales resultados del evento de septiembre de 2008. Como se puede comprobar, el nivel de las entidades participantes es muy alto, y entre ellas, Albalia Interactiva obtiene un elevado grado de interoperabilidad e interpretación del estándar. Ver nota de prensa de ETSI.

Las nuevas pruebas se desarrollarán del 16 al 27 de febrero de 2009 y el último dia para inscribirse es el 6 de febrero de 2009.

En esta ocasión, nosotros testaremos nuestras soluciones Backtrust desarrolladas para .net, ya que en la anterior edición probamos bastante exhaustivamente las desarrolladas para entornos java.

Dado el pequeño número de inscritos (la mitad de otras ediciones) las diferentes pruebas deberían desarrollarse con bastante celeridad. Sin embargo, veo que el entorno de pruebas se ha rediseñado por completo y que bastantes de los inscritos figuran por primera vez, por lo que quizá los primeros días serán de «ajuste» entre los participantes.

Seminario Administración Electrónica

2 respuestas

Con el título e-Administración y el subtítulo e-Government Atenea Interactiva organiza un seminario el próximo 25 de Febrero de 2009 en Madrid (Instituto de Postgrado UAX, Avda. Comandante Franco, 10 Bis). Tiene un coste de 300 euros + IVA.

Intervenimos como ponentes Santi Casas, Fernando Pino y yo mismo.

Este es el programa previsto (PDF):

9:00-9:30 Acreditación y Entrega de la documentación

9:30-10:15 Obligaciones para las administraciones públicas derivadas del nuevo marco normativo de e-administración y contratación pública

Resumen de legislación. Ley 11/2007, Ley 30/2007, Orden EHA 962/2007, Orden PRE 2971/2007

10:15-11:00 Identidad Digital y DNIe

La identidad digital en Internet
El DNIe y la firma electrónica
Servicios de validación de certificados
Aceptación de Certificados de otros países
Dispositivos seguros de creación de firma

11: 00-11:30 Coffee-Break

11:30-12:15 Implementación del Perfil del Contratante

Requisitos a cumplir. Artículo 42 de la Ley de 30/2007
Prueba y Seguridad de Fehaciencia: Time Stamping

12:15 13:00 Facturación electrónica en el sector público

Formatos y Firmas
Plataformas
Gestión de la recepción de facturas

13:00-13:45 Claves para Transformar procesos administrativos e implementar procesos telemáticos

Beneficios de la implementación de los procesos telemáticos
Formularios electrónicos: soluciones y formatos

13:45-14:15 Notificaciones fehacientes por vía telemática

SMS y Correo electrónico certificados

14: 15-15:30 Comida: Cocktail Buffet

15:30-16:15 La Compulsa electrónica y la Digitalización Certificada

La Compulsa electrónica por las Administraciones Públicas.
Copia de documentos electrónicos. Digitalización Certificada

16:15-17:00 Archivo de Constancias Electrónicas y Carpeta Ciudadana

Elementos de Seguridad a tener en cuenta en la configuración
Restricciones de utilización y acceso
Riesgos de alteración o pérdida de datos e informaciones.
La carpeta ciudadana: Expedición de certificaciones

17:00-17:45 Registro Telemático

Flujo de documentos. Conservación y registro de entradas
Distribución de copias electrónicas a los distintos usuarios
Visor de los documentos, firmas electrónicas, validaciones y sellados de tiempo

17:45-18:30 Interoperabilidad entre Administraciones publicas

Multidimensionalidad de la interoperabilidad
Ámbito preferente de aplicación: Criterios y formatos

18:30-19:00 Coloquio y conclusiones

Creo que es un evento de interés para administraciones públicas, ya que trata tanto la forma de resolver los principales retos de la administración electrónica como los de la contratación pública.

Inscripción y más información en Atenea Interactiva.

Grupo «Evidencias Electrónicas» en LinkedIn

3 respuestas

He creado un grupo en «Linked In«especializado en «Evidencias Electrónicas«. Es el paso hacia las Redes Sociales del Foro de las Evidencias Electrónicas.

The meeting point of spanish attorneys, judges,coroners, policemen, technologists, forensic examiners, records managers and other practitioners interested in advancing and improving electronic evidencies management and the development of laws aligned with the needs of Information Society.

No es sino la reformulación de las ideas del Foro.

Este Grupo pretende aunar los intereses de los técnicos y de los juristas, contribuyendo a que los desarrollos legislativos que se acometan en relación con las nuevas tecnologías se ponderen en la protección de los derechos de los ciudadanos y de las empresas, tal como corresponde al imperio de la ley, pero teniendo en cuenta los múltiples detalles técnicos de los que depende su aplicabilidad.

Diversos comités creados con el apoyo de los participantes llevarán a cabo propuestas concretas que elevar a los poderes públicos. Aspectos como la Firma Electrónica, la factura electrónica, el voto electrónico, la protección de la propiedad intelectual, los ilícitos tecnológicos, los ataques tecnológicos y la protección ante ellos,…

Proyecto Binum. Firma electrónica combinada RSA y curvas elípticas

2 respuestas

En Albalia hemos creado un laboratorio de productos y servicios relacionado con la Sociedad de las Información que desarrolla mecanismos probatorios en torno a los documentos electrónicos, sistemas de notificación y publicación fehaciente y otras iniciativas avanzadas.

Cuando identificamos ciertos riesgos en el uso de algoritmos concretos de hash y de criptografía asimétrica nos planteamos la conveniencia de utilizar sistemas duales que garantizaran que si se producen colisiones respecto de un algoritmo se mantenga otro en el que la colisión respecto al mismo documento sea virtualmente imposible.

Uno de los resultados de esta iniciativa es el Proyecto Binum.

Binum es un proyecto de I+D+i realizado en cooperación por Idoneum Electronic Identity y Albalia Interactiva y con la colaboración de la Universitat de les Illes Balears que tiene por objeto la creación de un criptosistema PKI de firma electrónica que combina los algoritmos criptográficos RSA y de curvas elípticas.

Las tareas realizadas en el año 2008 para este proyecto han sido cofinanciadas por el Ministerio de Industria, Turismo y Comercio, dentro del Plan Nacional de Investigación Científica, Desarrollo e Innovación Tecnológica 2008-2011 (con referencia TSI-020100-2008-681).

El objeto del proyecto Binum es crear la tecnología suficiente para poder realizar implementaciones de sistemas PKI lo más seguras posibles llevando el estado del arte un poco más allá mediante al uso combinado de los algoritmos RSA y de curvas elípticas.

Para ello son necesarios principalmente los elementos que se detallan a continuación:

Estudio y propuesta de modificación de especificaciones, estándares y protocolos para la inclusión de esta novedad, que permita una evolución de los sistemas usados en la actualidad a esta nueva tecnología.
Realización de una aplicación que demuestre dichos conceptos.
El desarrollo de un dispositivo seguro de creación de firma, compatible con la definición que de éste hace la ley 59/2003, de 19 de diciembre, de firma electrónica, y el desarrollo técnico de estas características en la especificación CEN CWA 14169.
El desarrollo del middleware necesario para poder interactuar con el dispositivo seguro de creación de firma desde aplicaciones ejecutadas en ordenadores personales y demás sistemas.

Caja Navarra organiza el “1er CANpeonato Mario Kart”

1 respuesta

La verdad es que la capacidad de innovación de Caja Navarra en Redes Sociales no deja de asombrarme. Verdaderamente, ha definido el significado de Banca 2.0 no solo en el ámbito tecnológico sino también en el social.

Caja Navarra pone en marcha el ‘1º Canpeonato Mario Kart’ que se celebrará en 32 oficinas Cancha de nueve autonomías. El campeonato tiene un primer premio de 18.000 euros y siete finalistas obtendrán un premio de 1.000 euros cada uno. Se trata del premio de mayor dotación económica de videojuegos a nivel nacional.

Lo he leido en el Blog El Rincon de ASADAPI.

Videoblog Plan-E

5 respuestas

Estoy encantado de que José Luis Rodríguez Zapatero en primera persona haya creado este videoblog para explicar como se va a atacar la crisis. El Plan Español para el Estímulo de la Economía y el Empleo (que los ingenieros hubiéramos denominado Plan E4, pero que otro tipo de asesores han dejado en «Plan E» ) es un medio directo de conectar con los ciudadanos y demuestra la importancia que el Presidente otorga a Internet como medio de comunicación (sin despreciar el resto).

El video del Presidente es muy sencillo, como corresponde a un primer mensaje, pero demuestra su implicación con el problema.

Al margen de que habrá quien quiera criticarlo (aduciendo que precisamente existen otros canales, algunos más «oficiales»), no se puede negar la inmediatez del medio (que impregna el propio video, lo que me parece una de las mayores aportaciones, y que invito a conservar evitando futuras «ediciones profesionales»).

Aquí, «menos es más». Animo al presidente a seguir añadiendo comentarios periódicamente, desde la frescura que da una cierta improvisación y el entorno en el que se elabora (su propio despacho).

El segundo intercalar

2 respuestas

Reloj de la Puerta del Sol Ya hice una breve mención a los segundos intercalares en un artículo que preparé hace unos meses.

Sin embargo el tema se hace más de actualidad porque precisamente hoy se dan las circunstancias por las que es preciso insertar un segundo intercalar en el último minuto del año. La última vez que fue necesario incluir un segundo intercalar al finalizar el año fue en 2005.

En general, los segundos intercalares pueden ser positivos o negativos según sea preciso añadir o restar segundos respecto a los actuales patrones atómicos referenciados a UTC (Tiempo Universal Coordinado) para mantener el sincronismo con la rotación de la tierra que se puede acelerar o frenar ligeramente por diversos motivos a lo largo del tiempo.

Esto produce la curiosa circunstancia de que un minuto cada muchos meses pueda tener 59 segundos (esta circunstancia todavía no se ha dado) o 61 (lo que ha sucedido 24 veces desde 1972).

Para los sistemas de representación digital del tiempo (entre los que se incluyen los de timestamping) esto implica que el último minuto de 2008 verá moverse el segundero desde 00 hasta 60, antes de pasar de nuevo a 00 . Dicho así no parece muy llamativo, pero hay que recordar que normalmente el paso es de 59 a 00 al incrementar el minutero.

Los sistemas que no puedan representar el valor 60 en segundero, deberían el valor 59 durante dos segundos. Aunque lo más frecuente será que olvidemos el segundo intercalar en nuestros relojes y asumamos que el error se diluye en la deriva habitual que afecta a la mayoría de relojes.

El segundo intercalar ha tenido poca incidencia en el pasado en las retransmisiones desde la Puerta del Sol de Madrid, desde la que anuncia el cambio de año, pero este año, los maestros relojeros que gestionan el reloj protagonista, han mencionado la circunstancia, que será tratada debidamente. Sin embargo, dado que la hora oficial de España es GMT +1, la aplicación del segundo intercalar se llevará a cabo en la transición de las 00:59:59 a las 01:00:00.

A pesar del protagonismo del Reloj de la Puerta del Sol, no hay que olvidar que el patrón de referencia horaria de España se gestiona en el Real Observatorio de la Armada en Cádiz, en su Departamento de Hora.

Las horas marcadas por los GPS no se ajustan en su fuente, por lo que las aplicaciones informáticas que hagan uso de la referencia temporal GPS deben tener en cuenta que el decalaje aumentará. La información de corrección por segundos intercalares contenidas en los datos sobre UTC de la subtrama 4, página 18 del mensaje de navegación transmitida por los satélites cambiará, de forma que antes del segundo intercalar indicará GPS – UTC = +14s y tras el, GPS – UTC = +15s .

Normas relativas a la seguridad

Deja un comentario

El Centro Criptológico Nacional es uno de los organismos más relevantes en lo que se refiere a la difusión de los conceptos de seguridad en España.

De su página web extraigo esta interesante lista de normas técnicas de seguridad:

[ISO-11770-3:2008]

ISO/IEC 11770-3:2008, Information technology — Security techniques — Key management — Part 3: Mechanisms using asymmetric techniques, 2008.

[ISO-27005:2008]

ISO/IEC 27005:2008, Information technology — Security techniques — Information security risk management, 2008.

[UNE-71504:2008]

UNE 71504:2008 – Metodología de análisis y gestión de riesgos de los sistemas de información, 2008.

[CCN-STIC-401:2007]

Guías Generales: Glosario y Abreviaturas. Centro Criptológico Nacional, Guía STIC 401 2007.

[ITIL:2007]

ITIL V3 Glossary, 30 May 2007

[NIST-SP800-38D:2007]

Recommendation for Block Cipher Modes of Operation: Galois/Counter, NIST Special Publication 800-38D, Nov 2007.

[NIST-SP800-57:2007]

Recommendation for Key Management – Part 1: General, NIST Special Publication 800-57, March 2007.

[NIST-SP800-94:2007]

Guide to Intrusion Detection and Prevention Systems (IDPS) NIST Special Publication 800-94, February 2007.

[ISO-11568-4:2007]

ISO 11568-4:2007, Banking — Key management (retail) — Part 4: Asymmetric cryptosystems — Key management and life cycle, 2007.

[ISO-21827:2007]

ISO/IEC 21827:2002, Information technology — Systems Security Engineering — Capability Maturity Model (SSE-CMM), 2007.

[RFC4949:2007]

RFC4949, Internet Security Glossary, Version 2, August 2007Each entry is preceded by a character — I, N, O, or D — enclosed in parentheses, to indicate the type of definition (as is explained further in Section 3):

«I» for a RECOMMENDED term or definition of Internet origin.
«N» if RECOMMENDED but not of Internet origin.
«O» for a term or definition that is NOT recommended for use in IDOCs but is something that authors of Internet documents should know about.
«D» for a term or definition that is deprecated and SHOULD NOT be used in Internet documents.

.see url:http://www.ietf.org/rfc/rfc4949

[UNE-ISO-27001_es:2007]

UNE-ISO/IEC 27001:2007, Tecnología de la información – Técnicas de seguridad – Sistemas de Gestión de la Seguridad de la Información (SGSI) – Especificaciones (ISO/IEC 27001:2005), 2007.

[BS25999-1:2006]

Business continuity management – Part 1: Code of practice. British Standard BS 25999-1:2006.

[CC:2006]

Common Criteria for Information Technology Security Evaluation, version 3.1, revision 1, September 2006.

Part 1 – Introduction and general model
Part 2 – Security functional requirements
Part 3 – Security assurance requirements

Also published as [ISO/IEC 15408].

[CCN-STIC-001:2006]

Políticas: Seguridad de las TIC en la Administración. Centro Criptológico Nacional, Guía STIC 001, 2006.

[CCN-STIC-002:2006]

Políticas: Definición de Criptología Nacional. Centro Criptológico Nacional, Guía STIC 002, 2006.

[CCN-STIC-003:2006]

Políticas: Uso Cifradores Certificados. Centro Criptológico Nacional, Guía STIC 003, 2006.

[CCN-STIC-103:2006]

Procedimientos: Catálogo de Productos con Certificación Criptológica Centro Criptológico Nacional, Guía STIC 103, 2006.

[CCN-STIC-150:2006]

Procedimientos: Evaluación y Clasificación Tempest de Cifradores con Certificación Criptológica. Centro Criptológico Nacional, Guía STIC 150 2006.

[CCN-STIC-151:2006]

Procedimientos: Evaluacin y Clasificacin Tempest de Equipos. Centro Criptológico Nacional, Guía STIC 151 2006.

[CCN-STIC-152:2006]

Procedimientos: Evaluacin y Clasificacin Zoning de Locales. Centro Criptológico Nacional, Guía STIC 152 2006.

[CCN-STIC-201:2006]

Normas: Organización y Gestión STIC. Centro Criptológico Nacional, Guía STIC 201 2006.

[CCN-STIC-202:2006]

Normas: Estructura y Contenido DRS. Centro Criptológico Nacional, Guía STIC 202 2006.

[CCN-STIC-203:2006]

Normas: Estructura y Contenido POS. Centro Criptológico Nacional, Guía STIC 203 2006.

[CCN-STIC-204:2006]

Normas: CO-DRS-POS Formulario Centro Criptológico Nacional, Guía STIC 204 2006.

[CCN-STIC-207:2006]

Normas: Estructura y Contenido del Concepto de Operación de Seguridad (COS). Centro Criptológico Nacional, Guía STIC 207 2006.

[CCN-STIC-301:2006]

Instrucciones Técnicas: Requisitos STIC. Centro Criptológico Nacional, Guía STIC 301 2006.

[CCN-STIC-302:2006]

Instrucciones Técnicas: Interconexión de CIS. Centro Criptológico Nacional, Guía STIC 302 2006.

[CCN-STIC-303:2006]

Instrucciones Técnicas: Inspección STIC. Centro Criptológico Nacional, Guía STIC 303 2006.

[CCN-STIC-400:2006]

Guías Generales: Manual de Seguridad de las TIC. Centro Criptológico Nacional, Guía STIC 400 2006.

[CCN-STIC-403:2006]

Guías Generales: Gestión de Incidentes de Seguridad. Centro Criptológico Nacional, Guía STIC 403 2006.

[CCN-STIC-404:2006]

Guías Generales: Control de Soportes Informáticos. Centro Criptológico Nacional, Guía STIC 404 2006.

[CCN-STIC-405:2006]

Guías Generales: Algoritmos y Parmetros de Firma Electrnica Centro Criptológico Nacional, Guía STIC 405 2006.

[CCN-STIC-406:2006]

Guías Generales: Seguridad de Redes Inalámbricas. Centro Criptológico Nacional, Guía STIC 406 2006.

[CCN-STIC-407:2006]

Guías Generales: Seguridad de Telefonía Móvil. Centro Criptológico Nacional, Guía STIC 407 2006.

[CCN-STIC-408:2006]

Guías Generales: Seguridad Perimetral – Cortafuegos. Centro Criptológico Nacional, Guía STIC 408 2006.

[CCN-STIC-414:2006]

Guías Generales: Seguridad en Voz sobre IP. Centro Criptológico Nacional, Guía STIC 414 2006.

[CCN-STIC-430:2006]

Guías Generales: Herramientas de Seguridad. Centro Criptológico Nacional, Guía STIC 430 2006.

[CCN-STIC-431:2006]

Guías Generales: Herramientas de Análisis de Vulnerabilidades. Centro Criptológico Nacional, Guía STIC 431 2006.

[CCN-STIC-432:2006]

Guías Generales: Seguridad Perimetral – Detección de Intrusos. Centro Criptológico Nacional, Guía STIC 432 2006.

[CCN-STIC-435:2006]

Guías Generales: Herramientas de Monitorización de Tráfico en Red. Centro Criptológico Nacional, Guía STIC 435 2006.

[CCN-STIC-512:2006]

Guías para Entornos Windows: Gestin de Actualizaciones de Seguridad en Sistemas Windows. Centro Criptológico Nacional, Guía STIC 512 2006.

[CCN-STIC-611:2006]

Guías para otros entornos: Configuración Segura (SuSE Linux). Centro Criptológico Nacional, Guía STIC 611 2006.

[CCN-STIC-612:2006]

Guías para otros entornos: Configuración Segura (Debian). Centro Criptológico Nacional, Guía STIC 612 2006.

[CCN-STIC-614:2006]

Guías para otros entornos: Configuración Segura (RedHat Enterprise AS 4 y Fedora). Centro Criptológico Nacional, Guía STIC 614 2006.

[CCN-STIC-641:2006]

Guías para otros entornos: Plantilla configuracin segura Routers CISCO. Centro Criptológico Nacional, Guía STIC 641 2006.

[CCN-STIC-642:2006]

Guías para otros entornos: Configuracin Segura (Switches Enterasys). Centro Criptológico Nacional, Guía STIC 642 2006.

[CCN-STIC-671:2006]

Guías para otros entornos: Configuracin Segura (Servidor Web Apache). Centro Criptológico Nacional, Guía STIC 671 2006.

[CCN-STIC-903:2006]

Informes Técnicos: kk Centro Criptológico Nacional, Guía STIC 903 2006.

[CCN-STIC-951:2006]

Informes Técnicos: kk Centro Criptológico Nacional, Guía STIC 951 2006.

[CCN-STIC-952:2006]

Informes Técnicos: kk Centro Criptológico Nacional, Guía STIC 952 2006.

[CEM:2006]

Common Evaluation Methodology, version 3.1, revision 1, September 2006. Also published as [ISO/IEC 18405].

[CNSS-4009:2006]

NATIONAL INFORMATION ASSURANCE (IA) GLOSSARY. Committee on National Security Systems. CNSS Instruction No. 4009. Revised June 2006.

[COBIT:2006]

CobiT – Control Objectives, Management Guidelines, Maturity Models. IT Gobernance Institute. Version 4.0, 2006.

[FIPS-200:2006]

FIPS 200, Minimum Security Requirements for Federal Information and Information Systems, March 2006.

[NIST7298:2006]

NIST IR 7298 Glossary of Key Information Security Terms, April 25, 2006.

[NIST-SP800-53:2006]

Recommended Security Controls for Federal Information Systems, NIST Special Publication 800-53, December 2006.

[NIST-SP800-88:2006]

Guidelines for Media Sanitization, NIST Special Publication 800-88, September 2006.

[NIST-SP800-100:2006]

Information Security Handbook: A Guide for Managers, NIST Special Publication 800-100, October 2006.

[ISO-11770-4:2006]

ISO/IEC 11770-4:2006, Information technology — Security techniques — Key management — Part 4: Mechanisms based on weak secrets, 2006.

[ISO-14888-3:2006]

ISO/IEC 14888-3:2006, Information technology — Security techniques — Digital signatures with appendix — Part 3: Discrete logarithm based mechanisms, 2006.

[ISO-18028-1:2006]

ISO/IEC 18028-1:2006, Information technology — Security techniques — IT network security — Part 1: Network security management, 2006.

[ISO-18028-2:2006]

ISO/IEC 18028-2:2006, Information technology — Security techniques — IT network security — Part 1: Network security architecture, 2006.

[ISO-18028-5:2006]

ISO/IEC 18028-5:2006, Information technology — Security techniques — IT network security — Part 5: Securing communications across networks using virtual private networks, 2006.

[ISO-18033-2:2006]

ISO/IEC 18033-2:2006, Information technology — Security techniques — Encryption algorithms — Part 2: Asymmetric ciphers 2006.

[ISO-18043:2006]

ISO/IEC 18043:2006, Information technology — Security techniques — Selection, deployment and operations of intrusion detection systems. 2006.

[ISO-19790:2006]

ISO/IEC 19790:2006, Information technology — Security techniques — Security requirements for cryptographic modules. 2006.

[CCN-STIC-101:2005]

Procedimientos: Procedimiento de Acreditacin Nacional. Centro Criptológico Nacional, Guía STIC 101, 2005.

[EBIOS:2005]

EBIOS – Expression des Besoins et Identification des Objectifs de Sécurité

[NIST-SP800-38B:2005]

Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, NIST Special Publication 800-38B, May 2005.

[NIST-SP800-77:2005]

Guide to IPsec VPNs NIST Special Publication 800-77, December 2005.

[NIST-SP800-83:2005]

Guide to Malware Incident Prevention and Handling, NIST Special Publication 800-83, November 2005.

[ISO-11568:2005]

ISO 11568-1:2005, Banking — Key management (retail) — Part 1: Principles, 2005.

[ISO-11568-2:2005]

ISO 11568-2:2005, Banking — Key management (retail) — Part 2: Symmetric ciphers, their key management and life cycle, 2005.

[ISO-15443-1:2005]

ISO/IEC TR 15443:2005, Information technology — Security techniques — A framework for IT security assurance — Part 1: Overview and framework, 2005.

[ISO-17799:2005]

ISO/IEC 17799:2005, Information technology — Code of practice for information security management, 2005.

[ISO-18028-3:2005]

ISO/IEC 18028-3:2005, Information technology — Security techniques — IT network security — Part 3: Securing communications between networks using security gateways , 2005.

[ISO-18028-4:2005]

ISO/IEC 18028-4:2005, Information technology — Security techniques — IT network security — Part 4: Securing remote access, 2005.

[ISO-18031:2005]

ISO/IEC 18031:2005, Information technology — Security techniques — Random bit generation, 2005.

[ISO-18033-1:2005]

ISO/IEC 18033-1:2005, Information technology — Security techniques — Encryption algorithms — Part 1: General, 2005.

[ISO-18033-3:2005]

ISO/IEC 18033-3:2005, Information technology — Security techniques — Encryption algorithms — Part 3: Block ciphers 2005.

[ISO-18033-4:2005]

ISO/IEC 18033-4:2005, Information technology — Security techniques — Encryption algorithms — Part 3: Stream ciphers 2005.

[ISO-27001:2005]

ISO/IEC 27001:2005, Information technology — Security techniques — Information security management systems — Requirements, 2005.

[H.235:2005]

ITU-T H.235, Implementors Guide for H.235 V3: Security and encryption for H-series (H.323 and other H.245- based) multimedia terminals. (5 August 2005).

[X.509:2005]

ITU-T X.509, ISI/IEC 9594-8, Information technology – Open Systems Interconnection – The Directory: Public-key and attribute certificate frameworks. 08/2005.

[Magerit-v2:2005]

Ministerio de Administraciones Públicas, Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, MAP, versión 2.0, 2005.

[UNE-Guide73_es:2005]

Gestión del riesgo — Vocabulario — Directrices para la utilización en las normas, 2005.

[FIPS-199:2004]

FIPS PUB 199, Standards for Security Categorization of Federal Information and Information Systems, February 2004..

[NIST-SP800-27:2004]

Engineering Principles for Information Technology Security (A Baseline for Achieving Security), NIST Special Publication 800-27 Rev. A, June 2004.

[NIST-SP800-37:2004]

Guide for the Security Certification and Accreditation of Federal Information Systems, NIST Special Publication 800-37, May 2004.

[NIST-SP800-38C:2004]

Recommendation for Block Cipher Modes of Operation: the CCM Mode for Authentication and Confidentiality, NIST Special Publication 800-38C, May 2004.

[NIST-SP800-60V2:2004]

Volume II: Appendixes to Guide for Mapping Types of Information and Information Systems to Security Categories, NIST Special Publication 800-60, June 2004.

[NIST-SP800-61:2004]

Computer Security Incident Handling Guide, NIST Special Publication 800-61, January 2004.

[ISO-9798-5:2004]

ISO/IEC 9798-5:2004, Information technology — Security techniques — Entity authentication — Part 5: Mechanisms using zero-knowledge techniques, 2004.

[ISO-10118-3:2004]

ISO/IEC 10118-3:2004 Information technology — Security techniques — Hash-functions — Part 3: Dedicated hash-functions, 2004.

[ISO-13335-1:2004]

ISO/IEC 13335-1:2004, Information technology — Security techniques — Management of information and communications technology security — Part 1: Concepts and models for information and communications technology security management, 2004.

[ISO-13888-1:2004]

ISO/IEC 13888-1:2004, IT security techniques — Non-repudiation — Part 1: General, 2004.

[ISO-15946-4:2004]

ISO/IEC 15946-4:2004 Information technology — Security techniques — Cryptographic techniques based on elliptic curves — Part 4: Digital signatures giving message recovery, 2004.

[ISO-18044:2004]

ISO/IEC TR 18044:2004, Information technology — Security techniques — Information security incident management, 2004.

[UNE-71502:2004]

UNE 71502:2004, Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI), 2004.

[CRAMM:2003]

CCTA Risk Analysis and Management Method (CRAMM), Version 5.0, 2003.

[NIST-SP800-55:2003]

Security Metrics Guide for Information Technology Systems, NIST Special Publication 800-55, July 2003.

[ISO-15782-1:2003]

ISO 15782-1:2003, Certificate management for financial services — Part 1: Public key certificates, 2003.

[X.805:2003]

ITU-T X.805, Security architecture for systems providing end-to-end communications, (10/03).

[Ley-59:2003]

Ley 59/2003, de 19 de diciembre, de firma electrónica.

[Octave:2003]

C. Alberts and A. Dorofee, Managing information Security Risks. The OCTAVE Approach, Addison Wesley, 2003.

[TDIR:2003]

Texas Department of Information Resources, Practices for Protecting Information Resources Assets, Revised September 2003.

[NIST-SP800-34:2002]

Contingency Planning Guide for Information Technology Systems, NIST Special Publication 800-34, June 2002.

[ISO-Guide73:2002]

Risk management — Vocabulary — Guidelines for use in standards, 2002.

[ISO-8825-1:2002]

ISO/IEC 8825-1:2002, Information technology — ASN.1 encoding rules: Specification of Basic Encoding Rules (BER), Canonical Encoding Rules (CER) and Distinguished Encoding Rules (DER), 2002.

[ISO-9796-2:2002]

ISO/IEC 9796-2:2002, Information technology — Security techniques — Digital signature schemes giving message recovery — Part 2: Integer factorization based mechanisms, 2002.

[ISO-14516:2002]

ISO/IEC TR 14516:2002, Information technology — Security techniques — Guidelines for the use and management of Trusted Third Party services, 2002.

[ISO-15816:2002]

ISO/IEC 15816:2002, Information technology — Security techniques — Security information objects for access control, 2002.

[ISO-15939:2002]

ISO/IEC 15939:2002, Software engineering — Software measurement process, 2002.

[ISO-15945:2002]

ISO/IEC 15945:2002, Information technology — Security techniques — Specification of TTP services to support the application of digital signatures, 2002.

[ISO-15946-1:2002]

ISO/IEC 15946-1:2002, Information technology — Security techniques — Cryptographic techniques based on elliptic curves — Part 1: General, 2002.

[ISO-15946-2:2002]

ISO/IEC 15946-2:2002, Information technology — Security techniques — Cryptographic techniques based on elliptic curves — Part 2: Digital signatures, 2002.

[ISO-15946-3:2002]

ISO/IEC 15946-3:2002, Information technology — Security techniques — Cryptographic techniques based on elliptic curves — Part 3: Key establishment, 2002.

[ISO-15947:2002]

ISO/IEC TR 15947:2002, Information technology — Security techniques — IT intrusion detection framework, 2002.

[ISO-18014-1:2002]

ISO/IEC IS 18014-2:2002, Information technology — Security techniques — Time-stamping services — Part 1: Framework 2002.

[ISO-18014-2:2002]

ISO/IEC IS 18014-2:2002, Information technology — Security techniques — Time-stamping services — Part 2: Mechanisms producing independent tokens 2002.

[H.530:2002]

ITU-H H.530, Symmetric security procedures for H.323 mobility in H.510. (03/02).

[FIPS-140-2:2001]

FIPS 140-2, Security Requirements for Cryptographic Modules, May 2001.

[NIST-SP800-33:2001]

Underlying Technical Models for Information Technology Security, NIST Special Publication 800-33, December 2001.

[NIST-SP800-38A:2001]

Recommendation for Block Cipher Modes of Operation – Methods and Techniques, NIST Special Publication 800-38A, Dec 2001.

[ISO-15292:2001]

ISO/IEC 15292:2001, Information technology – Security techniques – Protection Profile registration procedures, 2001.

[CIAO:2000]

Critical Infrastructure Assurance Office, Practices for Securing Critical Information Assets, January 2000.

[FIPS-186-2:2000]

FIPS 186-2, Digital Signature Standard (DSS), January, 2000.

[ISO-9000_es:2000]

Sistemas de gestión de la calidad — Conceptos y vocabulario, 2000.

[ISO-10118-1:2000]

ISO/IEC 10118-1:2000, Information technology — Security techniques — Hash-functions — Part 1: General, 2000.

[ISO-13335-4:2000]

ISO/IEC 13335-4:2000, Information technology — Guidelines for the management of IT Security — Part 4: Selection of safeguards, 2000.

[Directive-1999/93/EC:1999]

Directive 1999/93/EC of the European Parliament and the Council of 13 December 1999 on a Community framework for electronic signatures.

[FIPS-43-3:1999]

FIPS 43-3, Data Encryption Standard (DES), October 1999 (withdrawn May 19, 2005).

[ISO-8732:1999]

ISO 8732:1988/Cor 1:1999, Banking – Key management (wholesale), 1999.

[ISO-9797-1:1999]

ISO/IEC 9797-1:1999, Information technology — Security techniques — Message Authentication Codes (MACs) — Part 1: Mechanisms using a block cipher, 1999.

[ISO-2382-8:1998]

ISO/IEC 2382-8:1998, Information technology — Vocabulary — Part 8: Security, 1998.

[ISO-14888-1:1998]

ISO/IEC 14888-1:1998, Information technology — Security techniques — Digital signatures with appendix — Part 1: General, 1998.

[CESID:1997]

Centro Superior de Información de la Defensa, Glosario de Términos de Criptología, Ministerio de Defensa, 3ª edición, 1997.

[ISO-9798-1:1997]

ISO/IEC 9798-1:1997, Information technology — Security techniques — Entity authentication — Part 1: General, 1997.

[Magerit:1997]

Ministerio de Administraciones Públicas, Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, MAP, versión 1.0, 1997.

[Ribagorda:1997]

A. Ribagorda, Glosario de Términos de Seguridad de las T.I., Ediciones CODA, 1997.

[ISO-10181-1:1996]

ISO/IEC 10181-1:1996, ITU-T X.810, Information technology – Open Systems Interconnection – Security frameworks for open systems: Overview, 1996.

[ISO-10181-2:1996]

ISO/IEC 10181-2:1996, ITU-T X.811, Information technology — Open Systems Interconnection — Security frameworks for open systems: Authentication framework, 1996.

[ISO-11770-1:1996]

ISO/IEC 11770-1:1996, Information technology — Security techniques — Key management — Part 1: Framework, 1996.

[ISO-11770-2:1996]

ISO/IEC 11770-2:1996, Information technology — Security techniques — Key management — Part 2: Mechanisms using symmetric techniques, 1996.

[X.790:1995]

ITU-T X.790, X.790 Trouble management function for ITU-T applications. (11/95).

[X.810:1995]

ITU-T X.810, ISO/IEC 10181-1:1996, Information technology – Open Systems Interconnection – Security frameworks for open systems: Overview. (11/95).

[IRM-5239-8:1995]

IRM-5239-08A, U.S. Marine Corps, Compuer Security Procedures, 1995.

[ITSEM:1993]

ITSEM – Information Technology Security Evaluation Manual. Commission of the European Communities. 1993.

[ITSEC:1991]

ITSEC – Information Technology Security Evaluation Criteria – Harmonized Criteria of France, Germany, the Netherlands, and the United Kingdom, Version 1.1, Published by Dept. of Trade and Industry, London, 1991.

[ISO-7498-2:1989]

ISO 7498-2:1989, ITU-T X.800, Information processing systems — Open Systems Interconnection — Basic Reference Model — Part 2: Security Architecture, 1989.

[TCSEC:1985]

TCSEC – Trusted Computer Systems Evaluation Criteria, DoD 5200.28-STD, Department of Defense, United States of America, 1985

[FIPS-81:1980]

FIPS 81, DES Modes of Operation, December 1980 (withdrawn May 19, 2005).

[BLP:1976]

Bell, D. E. and LaPadula, L. J., Secure Computer Systems: Unified Exposition and Multics Interpretation, MTR-2997 Rev. 1, MITRE Corp., Bedford, Mass., March 1976.

Core Component Technical Specification (CCTS)

1 respuesta

La piedra angular de las actividades de estandarización de Naciones Unidas en UN/CEFACT (Centre for Trade Facilitation and Electronic Business) son las especificaciones Core Component Technical Specification (CCTS). Los «Core Components» («componentes esenciales» o «componentes de base») son bloques constructivos independientes de la tecnología y neutros desde el punto de vista sintáctico que se utilizan para la modelización de datos.

En la actualidad estos bloques constructivos son también la base del estándar ISO 15000-5.

Entre las ventajas de usar CCTS se encuentran la posibilidad de reutilización de datos a través de diferentes tipos de documentos, mejor interoperabilidad de las soluciones que manejan documentos empresariales o de la administración pública y consistencia a través de diferentes estándares sectoriales.

En mi opinión, el siguiente paso en la evolución de facturae (que a finales de 2009 debería continuar la convergencia hacia los estándares internacionales) debe ser la adopción de CCTS en la definición de casi todos los elementos constructivos de la factura.

En la propia web de UNECE está disponible el documento UN/CEFACT: Core Components Technical Specification Version 2.01 (fechado el 15 de noviembre de 2003 y con 113 páginas). También existe una versión más actualizada, fechada el 16 de abril de 2007, propuesta como estándar y hecha pública para su segunda revisión, que se identifica como CCTS versión 3.0.

De la propia página del estándar ISO se obtiene información relevante sobre el uso de CCTS:

ISO/TS 15000-5:2005 can be employed wherever business information is being shared or exchanged amongst and between enterprises, governmental agencies, and/or other organisations in an open and worldwide environment.

ISO/TS 15000-5:2005 will form the basis for standards development work of business analysts,business users and information technology specialists supplying the content of and implementing applications that will employ the UN/CEFACT Core Component Library(CCL). The Core Component Library will be stored in a UN/CEFACT repository and identified in an ebXML compliant registry.

Due to the evolving nature of the UN/CEFACT Core Component Library, ISO/TS 15000-5:2005 includes material that focuses on the business community doing further discovery and analysis work. Some of the contents of ISO/TS 15000-5:2005 are not typical of this type of technical document. However, they are critical for successful adoption and standardization in this area to move forward.

Todo es electrónico

Identidad digital, Cartera IDUE, Firma electrónica, Archivo digital, blockchain, Medios de pago, eBanca, administración de justicia. administración pública, Seguridad Jurídica Preventiva Digital

Archivo de la categoría: Buenas Prácticas

XAdES/CAdES ETSI Plugtest

Seminario Administración Electrónica

Proyecto Binum. Firma electrónica combinada RSA y curvas elípticas

Caja Navarra organiza el “1er CANpeonato Mario Kart”

Videoblog Plan-E

El segundo intercalar

Normas relativas a la seguridad

Core Component Technical Specification (CCTS)