Archivo de la categoría: Conformidad normativa

XAdES/CAdES ETSI Plugtest

12 respuestas

Plug Test LogoAlbalia Interactiva participa una vez más en el juego de pruebas de interoperabilidad XAdES de ETSI (European Telecommunications Standards Institute). Solo dos entidades españolas participan en esta edición de febrero de 2009 frente a las 10 que se inscribieron hace un año.

Existe un informe en el que se recogen los principales resultados del evento de septiembre de 2008. Como se puede comprobar, el nivel de las entidades participantes es muy alto, y entre ellas, Albalia Interactiva obtiene un elevado grado de interoperabilidad e interpretación del estándar. Ver nota de prensa de ETSI.

Las nuevas pruebas se desarrollarán del 16 al 27 de febrero de  2009 y el último dia para inscribirse es el 6 de febrero de 2009.

En esta ocasión, nosotros testaremos nuestras soluciones Backtrust desarrolladas para .net, ya que en la anterior edición probamos bastante exhaustivamente las desarrolladas para entornos java.

Dado el pequeño número de inscritos (la mitad de otras ediciones) las diferentes pruebas deberían desarrollarse con bastante celeridad. Sin embargo, veo que el entorno de pruebas se ha rediseñado por completo y que bastantes de los inscritos figuran por primera vez, por lo que quizá los primeros días serán de «ajuste» entre los participantes.

BS 10008 Valor probatorio y admisibilidad legal de la información electrónica

1 respuesta

Esta disponible la versión 2008 del Bristh Standard BS 10008 «Evidential weight and legal admissibility of electronic information», cuyo título me he permitido traducir como «Valor probatorio y admisibilidad legal de la información electrónica».

Ya hice una breve referencia a esta norma hace unos años.

Este estándar contiene los requesitos de de implementación de los sistemas de gestión de la información electrónica. Incluye los relativos al almacenamiento y transferencia de la información y hace referencia a aspectos relacionados con la autenticidad y la integridad de la información como una evidencia electrónica de las acciones gestionadas por los sistemas.

Aunque es interesante como referencia, no olvidemos que el contexto jurídico anglosajón y el continental (en el que se integra España) son diferentes.

Seminario Administración Electrónica

2 respuestas

egoverment1Con el título e-Administración y el subtítulo e-Government Atenea Interactiva organiza un seminario el próximo 25 de Febrero de 2009 en Madrid (Instituto de Postgrado UAX,  Avda. Comandante Franco, 10 Bis). Tiene un coste de 300 euros + IVA.

Intervenimos como ponentes Santi Casas, Fernando Pino y yo mismo.

Este es el programa previsto (PDF):

9:00-9:30 Acreditación y Entrega de la documentación

9:30-10:15 Obligaciones para las administraciones públicas derivadas del nuevo marco normativo de e-administración y contratación pública

  • Resumen de legislación. Ley 11/2007, Ley 30/2007, Orden EHA 962/2007, Orden PRE 2971/2007

10:15-11:00 Identidad Digital y DNIe

  • La identidad digital en Internet
  • El DNIe y la firma electrónica
  • Servicios de validación de certificados
  • Aceptación de Certificados de otros países
  • Dispositivos seguros de creación de firma

11: 00-11:30 Coffee-Break

11:30-12:15 Implementación del Perfil del Contratante

  • Requisitos a cumplir. Artículo 42 de la Ley de 30/2007
  • Prueba y Seguridad de Fehaciencia: Time Stamping

12:15 13:00 Facturación electrónica en el sector público

  • Formatos y Firmas
  • Plataformas
  • Gestión de la recepción de facturas

13:00-13:45 Claves para Transformar procesos administrativos e implementar procesos telemáticos

  • Beneficios de la implementación de los procesos telemáticos
  • Formularios electrónicos: soluciones y formatos

13:45-14:15 Notificaciones fehacientes por vía telemática

  • SMS y Correo electrónico certificados

14: 15-15:30 Comida: Cocktail Buffet

15:30-16:15 La Compulsa electrónica y la Digitalización Certificada

  • La Compulsa electrónica por las Administraciones Públicas.
  • Copia de documentos electrónicos. Digitalización Certificada

16:15-17:00 Archivo de Constancias Electrónicas y Carpeta Ciudadana

  • Elementos de Seguridad a tener en cuenta en la configuración
  • Restricciones de utilización y acceso
  • Riesgos de alteración o pérdida de datos e informaciones.
  • La carpeta ciudadana: Expedición de certificaciones

17:00-17:45 Registro Telemático

  • Flujo de documentos. Conservación y registro de entradas
  • Distribución de copias electrónicas a los distintos usuarios
  • Visor de los documentos, firmas electrónicas, validaciones y sellados de tiempo

17:45-18:30 Interoperabilidad entre Administraciones publicas

  • Multidimensionalidad de la interoperabilidad
  • Ámbito preferente de aplicación: Criterios y formatos

18:30-19:00 Coloquio y conclusiones

Creo que es un evento de interés para administraciones públicas, ya que trata tanto la forma de resolver los principales retos de la administración electrónica como los de la contratación pública.

Inscripción y más información en Atenea Interactiva.

Clase en el Master en Negocio y Derecho de las Telecomunicaciones

2 respuestas

El próximo miércoles 4 de febrero de 2009 intervengo en el Master en Negocio y Derecho de las Telecomunicaciones Internet y Audiovisual que organizan el despacho Cremades Calvo – Sotelo, el Consejo General del Notariado y el Centro Universitario Villanueva.

Mi intervención se centrará en la Firma Electrónica y la Factura Electrónica.

Master en Negocio y Derecho de las Telecomunicaciones, Internet y Audiovisual,

Este programa Master nació en 1.996 –fue pionero de esta especialidad- como Master en Derecho de las Telecomunicaciones. Desde entonces ya se han formado más de 300 titulados de diversas nacionalidades (España, Alemania, Italia, Austria, Brasil, Venezuela, México, Argentina, Chile, Perú, Panamá, El Salvador, Colombia, Guatemala, Uruguay y Estados Unidos) que han ido ocupando puestos significativos en el sector y en la Administración.

El MNDTIA está dirigido a licenciados y profesionales del Derecho con aspiración a especializarse en el mercado de las telecomunicaciones, Internet y en el sector audiovisual, así como ingenieros, profesionales del sector de las telecomunicaciones, empresas de tecnologías de la información, fabricantes de equipos y componentes, agencias de información y productoras de televisión, cine y video, administraciones públicas, empresas de consultoría, entidades financieras, etc., y, especialmente, a presidentes, consejeros delegados, directores generales, directores comerciales, directores de marketing, directores de planificación, directores de desarrollo estratégico, directores de ventas y directores de comunicación.

Los alumnos que cursen con aprovechamiento este Master serán capaces de analizar y resolver problemas relacionados con el Negocio y con el Derecho de las Telecomunicaciones en los sectores de las Telecomunicaciones, de Internet, o del Sector Audiovisual.

La gran mayoría de los Despachos colectivos de abogados han establecido departamentos de Derecho de las Nuevas Tecnologías de la Información y de las Comunicaciones (TIC´s) y, como las empresas de los sectores analizados, necesitan profesionales de alta especialización que posean una sólida formación y práctica en los aspectos jurídicos, técnicos, mercantiles y de negocio de las telecomunicaciones, Internet y lo audiovisual.

La metodología de este programa se basa en una enseñanza teórica instrumentada a través de las exposiciones de los profesores, apoyadas siempre con casos prácticos reales y completándose con conferencias de los aspectos más avanzados del sector de las TIC´s.

Grupo «Evidencias Electrónicas» en LinkedIn

3 respuestas

He creado un grupo en «Linked In«especializado en «Evidencias Electrónicas«. Es el paso hacia las Redes Sociales del Foro de las Evidencias Electrónicas.

The meeting point of spanish attorneys, judges,coroners, policemen, technologists, forensic examiners, records managers and other practitioners interested in advancing and improving electronic evidencies management and the development of laws aligned with the needs of Information Society.

No es sino la reformulación de las ideas del Foro.

Este Grupo pretende aunar los intereses de los técnicos y de los juristas, contribuyendo a que los desarrollos legislativos que se acometan en relación con las nuevas tecnologías se ponderen en la protección de los derechos de los ciudadanos y de las empresas, tal como corresponde al imperio de la ley, pero teniendo en cuenta los múltiples detalles técnicos de los que depende su aplicabilidad.

Diversos comités creados con el apoyo de los participantes llevarán a cabo propuestas concretas que elevar a los poderes públicos. Aspectos como la Firma Electrónica, la factura electrónica, el voto electrónico, la protección de la propiedad intelectual, los ilícitos tecnológicos, los ataques tecnológicos y la protección ante ellos,…

El segundo intercalar

2 respuestas

Reloj de la Puerta del SolYa hice una breve mención a los segundos intercalares en un artículo que preparé hace unos meses.

Sin embargo el tema se hace más de actualidad porque precisamente hoy se dan las circunstancias por las que es preciso insertar un segundo intercalar en el último minuto del año. La última vez que fue necesario incluir un segundo intercalar al finalizar el año fue en 2005.

En general, los segundos intercalares pueden ser positivos o negativos según sea preciso añadir o restar segundos respecto a los actuales patrones atómicos referenciados a UTC (Tiempo Universal Coordinado) para mantener el sincronismo con la rotación de la tierra que se puede acelerar o frenar ligeramente por diversos motivos a lo largo del tiempo.

Esto produce la curiosa circunstancia de que un minuto cada muchos meses pueda tener 59 segundos (esta circunstancia todavía no se ha dado) o 61 (lo que ha sucedido 24 veces desde 1972).

Para los sistemas de representación digital del tiempo (entre los que se incluyen los de timestamping) esto implica que el último minuto de 2008 verá moverse el segundero desde 00 hasta 60, antes de pasar de nuevo a 00 . Dicho así no parece muy llamativo, pero hay que recordar que normalmente el paso es de 59 a 00 al incrementar el minutero.

Los sistemas que no puedan representar el valor 60 en segundero, deberían el valor 59 durante dos segundos. Aunque lo más frecuente será que olvidemos el segundo intercalar en nuestros relojes y asumamos que el error se diluye en la deriva habitual que afecta a la mayoría de relojes.

El segundo intercalar ha tenido poca incidencia en el pasado en las retransmisiones desde la Puerta del Sol de Madrid, desde la que anuncia el cambio de año, pero este año, los maestros relojeros que gestionan el reloj protagonista, han mencionado la circunstancia, que será tratada debidamente. Sin embargo, dado que la hora oficial de España es GMT +1, la aplicación del segundo intercalar se llevará a cabo en la transición de las 00:59:59 a las 01:00:00.

A pesar del protagonismo del Reloj de la Puerta del Sol, no hay que olvidar que el patrón de referencia horaria de España se gestiona en el Real Observatorio de la Armada en Cádiz, en su Departamento de Hora.

Las horas marcadas por los GPS no se ajustan en su fuente, por lo que las aplicaciones informáticas que hagan uso de la referencia temporal GPS deben tener en cuenta que el decalaje aumentará. La información de corrección por segundos intercalares contenidas en los datos sobre UTC de la subtrama 4, página 18 del mensaje de navegación transmitida por los satélites cambiará, de forma  que antes del segundo intercalar indicará GPS – UTC = +14s y tras el,  GPS – UTC = +15s .

facturae 4.0

4 respuestas

La orden PRE 2971/2007 define el formato XML que se utilizará para emitir facturas electrónicas a organismos públicos y está siendo adoptado de forma generalizada también en la facturación entre empresas privadas.

La propia norma prevé la evolución del formato:

Disposición final segunda. Evolución del formato de la factura electrónica.

El formato de la factura electrónica establecido en el anexo se adecuará, transcurrido dos años desde la entrada en vigor de la presente orden, al formato UBL (Universal Business Language) o, en su caso, al formato que establezcan los organismos de normalización de la Unión Europea CEN (Comité Europeo de Normalización) o CENELEC (Comité Europeo de Normalización Electrotécnica), de forma que se permita la interoperabilidad de las facturas emitidas por cualquiera de los Estados miembros de la Unión Europea.

Suponemos que si la versión actual del formato es la 3.1 tras heredar la secuencia de numeración de versiones de su predecesor CCI-AEAT, la próxima versión será la 4.0

Para lograr definir a tiempo el formato de la manera más completa (y no es tarea fácil) hay que ir pensando ya cual es el verdadero significado de esta disposición final segunda.

En primer lugar, se trata de acabar con la idea de que España es una isla tecnológica y legislativa, sin renunciar a los principios que de forma tan fructífera han conducido hasta el actual nivel de adopción de la factura electrónica en España. En particular la idea de contar con un estándar sencillo y libre de royalties.

En segundo lugar, hay un trabajo en curso en diversas organizaciones que debe tenerse en cuenta al tomar la decisión:

En tercer lugar, ya se han analizado las necesidades específicas de algunos sectores para incorporarlas en facturae 3.2 (sector eléctrico, sector turístico,…) lo cual también debería tenerse en cuenta en la siguiente versión.

Como ya indiqué hace unos días, para mi, el primer paso que hay que dar en la convergencia hacia los estándares europeos es la adopción de los Core Components como base semántica de la construcción del modelo de referencia, abandonando la secuencia constructiva del Real Decreto 1496/2003, que fue el origen del formato actual.

Este enfoque semántico es el que se está siguiendo en CEN BII para facilitar la adopción de cualquier norma que concrete a nivel sintáctico las necesidades afloradas por los expertos en los debates específicos que tratan sobre la interoperabilidad en el marco conceptual.

Y además ya existe un documento de base elaborado por CEN en el marco del grupo de trabajo de factura electrónica (primera fase) con el que se puede empezar a trabajar: CWA 15575/2006.

Normas relativas a la seguridad

Deja un comentario

El Centro Criptológico Nacional es uno de los organismos más relevantes en lo que se refiere a la difusión de los conceptos de seguridad en España.

De su página web extraigo esta interesante lista de normas técnicas de seguridad:

[ISO-11770-3:2008]

ISO/IEC 11770-3:2008, Information technology — Security techniques — Key management — Part 3: Mechanisms using asymmetric techniques, 2008.

[ISO-27005:2008]

ISO/IEC 27005:2008, Information technology — Security techniques — Information security risk management, 2008.

[UNE-71504:2008]

UNE 71504:2008 – Metodología de análisis y gestión de riesgos de los sistemas de información, 2008.

[CCN-STIC-401:2007]

Guías Generales: Glosario y Abreviaturas. Centro Criptológico Nacional, Guía STIC 401 2007.

[ITIL:2007]

ITIL V3 Glossary, 30 May 2007

[NIST-SP800-38D:2007]

Recommendation for Block Cipher Modes of Operation: Galois/Counter, NIST Special Publication 800-38D, Nov 2007.

[NIST-SP800-57:2007]

Recommendation for Key Management – Part 1: General, NIST Special Publication 800-57, March 2007.

[NIST-SP800-94:2007]

Guide to Intrusion Detection and Prevention Systems (IDPS) NIST Special Publication 800-94, February 2007.

[ISO-11568-4:2007]

ISO 11568-4:2007, Banking — Key management (retail) — Part 4: Asymmetric cryptosystems — Key management and life cycle, 2007.

[ISO-21827:2007]

ISO/IEC 21827:2002, Information technology — Systems Security Engineering — Capability Maturity Model (SSE-CMM), 2007.

[RFC4949:2007]

RFC4949, Internet Security Glossary, Version 2, August 2007Each entry is preceded by a character — I, N, O, or D — enclosed in parentheses, to indicate the type of definition (as is explained further in Section 3):

  • «I» for a RECOMMENDED term or definition of Internet origin.
  • «N» if RECOMMENDED but not of Internet origin.
  • «O» for a term or definition that is NOT recommended for use in IDOCs but is something that authors of Internet documents should know about.
  • «D» for a term or definition that is deprecated and SHOULD NOT be used in Internet documents.

.see url:http://www.ietf.org/rfc/rfc4949

[UNE-ISO-27001_es:2007]

UNE-ISO/IEC 27001:2007, Tecnología de la información – Técnicas de seguridad – Sistemas de Gestión de la Seguridad de la Información (SGSI) – Especificaciones (ISO/IEC 27001:2005), 2007.

[BS25999-1:2006]

Business continuity management – Part 1: Code of practice. British Standard BS 25999-1:2006.

[CC:2006]

Common Criteria for Information Technology Security Evaluation, version 3.1, revision 1, September 2006.

  • Part 1 – Introduction and general model
  • Part 2 – Security functional requirements
  • Part 3 – Security assurance requirements

Also published as [ISO/IEC 15408].

[CCN-STIC-001:2006]

Políticas: Seguridad de las TIC en la Administración. Centro Criptológico Nacional, Guía STIC 001, 2006.

[CCN-STIC-002:2006]

Políticas: Definición de Criptología Nacional. Centro Criptológico Nacional, Guía STIC 002, 2006.

[CCN-STIC-003:2006]

Políticas: Uso Cifradores Certificados. Centro Criptológico Nacional, Guía STIC 003, 2006.

[CCN-STIC-103:2006]

Procedimientos: Catálogo de Productos con Certificación Criptológica Centro Criptológico Nacional, Guía STIC 103, 2006.

[CCN-STIC-150:2006]

Procedimientos: Evaluación y Clasificación Tempest de Cifradores con Certificación Criptológica. Centro Criptológico Nacional, Guía STIC 150 2006.

[CCN-STIC-151:2006]

Procedimientos: Evaluacin y Clasificacin Tempest de Equipos. Centro Criptológico Nacional, Guía STIC 151 2006.

[CCN-STIC-152:2006]

Procedimientos: Evaluacin y Clasificacin Zoning de Locales. Centro Criptológico Nacional, Guía STIC 152 2006.

[CCN-STIC-201:2006]

Normas: Organización y Gestión STIC. Centro Criptológico Nacional, Guía STIC 201 2006.

[CCN-STIC-202:2006]

Normas: Estructura y Contenido DRS. Centro Criptológico Nacional, Guía STIC 202 2006.

[CCN-STIC-203:2006]

Normas: Estructura y Contenido POS. Centro Criptológico Nacional, Guía STIC 203 2006.

[CCN-STIC-204:2006]

Normas: CO-DRS-POS Formulario Centro Criptológico Nacional, Guía STIC 204 2006.

[CCN-STIC-207:2006]

Normas: Estructura y Contenido del Concepto de Operación de Seguridad (COS). Centro Criptológico Nacional, Guía STIC 207 2006.

[CCN-STIC-301:2006]

Instrucciones Técnicas: Requisitos STIC. Centro Criptológico Nacional, Guía STIC 301 2006.

[CCN-STIC-302:2006]

Instrucciones Técnicas: Interconexión de CIS. Centro Criptológico Nacional, Guía STIC 302 2006.

[CCN-STIC-303:2006]

Instrucciones Técnicas: Inspección STIC. Centro Criptológico Nacional, Guía STIC 303 2006.

[CCN-STIC-400:2006]

Guías Generales: Manual de Seguridad de las TIC. Centro Criptológico Nacional, Guía STIC 400 2006.

[CCN-STIC-403:2006]

Guías Generales: Gestión de Incidentes de Seguridad. Centro Criptológico Nacional, Guía STIC 403 2006.

[CCN-STIC-404:2006]

Guías Generales: Control de Soportes Informáticos. Centro Criptológico Nacional, Guía STIC 404 2006.

[CCN-STIC-405:2006]

Guías Generales: Algoritmos y Parmetros de Firma Electrnica Centro Criptológico Nacional, Guía STIC 405 2006.

[CCN-STIC-406:2006]

Guías Generales: Seguridad de Redes Inalámbricas. Centro Criptológico Nacional, Guía STIC 406 2006.

[CCN-STIC-407:2006]

Guías Generales: Seguridad de Telefonía Móvil. Centro Criptológico Nacional, Guía STIC 407 2006.

[CCN-STIC-408:2006]

Guías Generales: Seguridad Perimetral – Cortafuegos. Centro Criptológico Nacional, Guía STIC 408 2006.

[CCN-STIC-414:2006]

Guías Generales: Seguridad en Voz sobre IP. Centro Criptológico Nacional, Guía STIC 414 2006.

[CCN-STIC-430:2006]

Guías Generales: Herramientas de Seguridad. Centro Criptológico Nacional, Guía STIC 430 2006.

[CCN-STIC-431:2006]

Guías Generales: Herramientas de Análisis de Vulnerabilidades. Centro Criptológico Nacional, Guía STIC 431 2006.

[CCN-STIC-432:2006]

Guías Generales: Seguridad Perimetral – Detección de Intrusos. Centro Criptológico Nacional, Guía STIC 432 2006.

[CCN-STIC-435:2006]

Guías Generales: Herramientas de Monitorización de Tráfico en Red. Centro Criptológico Nacional, Guía STIC 435 2006.

[CCN-STIC-512:2006]

Guías para Entornos Windows: Gestin de Actualizaciones de Seguridad en Sistemas Windows. Centro Criptológico Nacional, Guía STIC 512 2006.

[CCN-STIC-611:2006]

Guías para otros entornos: Configuración Segura (SuSE Linux). Centro Criptológico Nacional, Guía STIC 611 2006.

[CCN-STIC-612:2006]

Guías para otros entornos: Configuración Segura (Debian). Centro Criptológico Nacional, Guía STIC 612 2006.

[CCN-STIC-614:2006]

Guías para otros entornos: Configuración Segura (RedHat Enterprise AS 4 y Fedora). Centro Criptológico Nacional, Guía STIC 614 2006.

[CCN-STIC-641:2006]

Guías para otros entornos: Plantilla configuracin segura Routers CISCO. Centro Criptológico Nacional, Guía STIC 641 2006.

[CCN-STIC-642:2006]

Guías para otros entornos: Configuracin Segura (Switches Enterasys). Centro Criptológico Nacional, Guía STIC 642 2006.

[CCN-STIC-671:2006]

Guías para otros entornos: Configuracin Segura (Servidor Web Apache). Centro Criptológico Nacional, Guía STIC 671 2006.

[CCN-STIC-903:2006]

Informes Técnicos: kk Centro Criptológico Nacional, Guía STIC 903 2006.

[CCN-STIC-951:2006]

Informes Técnicos: kk Centro Criptológico Nacional, Guía STIC 951 2006.

[CCN-STIC-952:2006]

Informes Técnicos: kk Centro Criptológico Nacional, Guía STIC 952 2006.

[CEM:2006]

Common Evaluation Methodology, version 3.1, revision 1, September 2006. Also published as [ISO/IEC 18405].

[CNSS-4009:2006]

NATIONAL INFORMATION ASSURANCE (IA) GLOSSARY. Committee on National Security Systems. CNSS Instruction No. 4009. Revised June 2006.

[COBIT:2006]

CobiT – Control Objectives, Management Guidelines, Maturity Models. IT Gobernance Institute. Version 4.0, 2006.

[FIPS-200:2006]

FIPS 200, Minimum Security Requirements for Federal Information and Information Systems, March 2006.

[NIST7298:2006]

NIST IR 7298 Glossary of Key Information Security Terms, April 25, 2006.

[NIST-SP800-53:2006]

Recommended Security Controls for Federal Information Systems, NIST Special Publication 800-53, December 2006.

[NIST-SP800-88:2006]

Guidelines for Media Sanitization, NIST Special Publication 800-88, September 2006.

[NIST-SP800-100:2006]

Information Security Handbook: A Guide for Managers, NIST Special Publication 800-100, October 2006.

[ISO-11770-4:2006]

ISO/IEC 11770-4:2006, Information technology — Security techniques — Key management — Part 4: Mechanisms based on weak secrets, 2006.

[ISO-14888-3:2006]

ISO/IEC 14888-3:2006, Information technology — Security techniques — Digital signatures with appendix — Part 3: Discrete logarithm based mechanisms, 2006.

[ISO-18028-1:2006]

ISO/IEC 18028-1:2006, Information technology — Security techniques — IT network security — Part 1: Network security management, 2006.

[ISO-18028-2:2006]

ISO/IEC 18028-2:2006, Information technology — Security techniques — IT network security — Part 1: Network security architecture, 2006.

[ISO-18028-5:2006]

ISO/IEC 18028-5:2006, Information technology — Security techniques — IT network security — Part 5: Securing communications across networks using virtual private networks, 2006.

[ISO-18033-2:2006]

ISO/IEC 18033-2:2006, Information technology — Security techniques — Encryption algorithms — Part 2: Asymmetric ciphers 2006.

[ISO-18043:2006]

ISO/IEC 18043:2006, Information technology — Security techniques — Selection, deployment and operations of intrusion detection systems. 2006.

[ISO-19790:2006]

ISO/IEC 19790:2006, Information technology — Security techniques — Security requirements for cryptographic modules. 2006.

[CCN-STIC-101:2005]

Procedimientos: Procedimiento de Acreditacin Nacional. Centro Criptológico Nacional, Guía STIC 101, 2005.

[EBIOS:2005]

EBIOS – Expression des Besoins et Identification des Objectifs de Sécurité

[NIST-SP800-38B:2005]

Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication, NIST Special Publication 800-38B, May 2005.

[NIST-SP800-77:2005]

Guide to IPsec VPNs NIST Special Publication 800-77, December 2005.

[NIST-SP800-83:2005]

Guide to Malware Incident Prevention and Handling, NIST Special Publication 800-83, November 2005.

[ISO-11568:2005]

ISO 11568-1:2005, Banking — Key management (retail) — Part 1: Principles, 2005.

[ISO-11568-2:2005]

ISO 11568-2:2005, Banking — Key management (retail) — Part 2: Symmetric ciphers, their key management and life cycle, 2005.

[ISO-15443-1:2005]

ISO/IEC TR 15443:2005, Information technology — Security techniques — A framework for IT security assurance — Part 1: Overview and framework, 2005.

[ISO-17799:2005]

ISO/IEC 17799:2005, Information technology — Code of practice for information security management, 2005.

[ISO-18028-3:2005]

ISO/IEC 18028-3:2005, Information technology — Security techniques — IT network security — Part 3: Securing communications between networks using security gateways , 2005.

[ISO-18028-4:2005]

ISO/IEC 18028-4:2005, Information technology — Security techniques — IT network security — Part 4: Securing remote access, 2005.

[ISO-18031:2005]

ISO/IEC 18031:2005, Information technology — Security techniques — Random bit generation, 2005.

[ISO-18033-1:2005]

ISO/IEC 18033-1:2005, Information technology — Security techniques — Encryption algorithms — Part 1: General, 2005.

[ISO-18033-3:2005]

ISO/IEC 18033-3:2005, Information technology — Security techniques — Encryption algorithms — Part 3: Block ciphers 2005.

[ISO-18033-4:2005]

ISO/IEC 18033-4:2005, Information technology — Security techniques — Encryption algorithms — Part 3: Stream ciphers 2005.

[ISO-27001:2005]

ISO/IEC 27001:2005, Information technology — Security techniques — Information security management systems — Requirements, 2005.

[H.235:2005]

ITU-T H.235, Implementors Guide for H.235 V3: Security and encryption for H-series (H.323 and other H.245- based) multimedia terminals. (5 August 2005).

[X.509:2005]

ITU-T X.509, ISI/IEC 9594-8, Information technology – Open Systems Interconnection – The Directory: Public-key and attribute certificate frameworks. 08/2005.

[Magerit-v2:2005]

Ministerio de Administraciones Públicas, Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, MAP, versión 2.0, 2005.

[UNE-Guide73_es:2005]

Gestión del riesgo — Vocabulario — Directrices para la utilización en las normas, 2005.

[FIPS-199:2004]

FIPS PUB 199, Standards for Security Categorization of Federal Information and Information Systems, February 2004..

[NIST-SP800-27:2004]

Engineering Principles for Information Technology Security (A Baseline for Achieving Security), NIST Special Publication 800-27 Rev. A, June 2004.

[NIST-SP800-37:2004]

Guide for the Security Certification and Accreditation of Federal Information Systems, NIST Special Publication 800-37, May 2004.

[NIST-SP800-38C:2004]

Recommendation for Block Cipher Modes of Operation: the CCM Mode for Authentication and Confidentiality, NIST Special Publication 800-38C, May 2004.

[NIST-SP800-60V2:2004]

Volume II: Appendixes to Guide for Mapping Types of Information and Information Systems to Security Categories, NIST Special Publication 800-60, June 2004.

[NIST-SP800-61:2004]

Computer Security Incident Handling Guide, NIST Special Publication 800-61, January 2004.

[ISO-9798-5:2004]

ISO/IEC 9798-5:2004, Information technology — Security techniques — Entity authentication — Part 5: Mechanisms using zero-knowledge techniques, 2004.

[ISO-10118-3:2004]

ISO/IEC 10118-3:2004 Information technology — Security techniques — Hash-functions — Part 3: Dedicated hash-functions, 2004.

[ISO-13335-1:2004]

ISO/IEC 13335-1:2004, Information technology — Security techniques — Management of information and communications technology security — Part 1: Concepts and models for information and communications technology security management, 2004.

[ISO-13888-1:2004]

ISO/IEC 13888-1:2004, IT security techniques — Non-repudiation — Part 1: General, 2004.

[ISO-15946-4:2004]

ISO/IEC 15946-4:2004 Information technology — Security techniques — Cryptographic techniques based on elliptic curves — Part 4: Digital signatures giving message recovery, 2004.

[ISO-18044:2004]

ISO/IEC TR 18044:2004, Information technology — Security techniques — Information security incident management, 2004.

[UNE-71502:2004]

UNE 71502:2004, Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI), 2004.

[CRAMM:2003]

CCTA Risk Analysis and Management Method (CRAMM), Version 5.0, 2003.

[NIST-SP800-55:2003]

Security Metrics Guide for Information Technology Systems, NIST Special Publication 800-55, July 2003.

[ISO-15782-1:2003]

ISO 15782-1:2003, Certificate management for financial services — Part 1: Public key certificates, 2003.

[X.805:2003]

ITU-T X.805, Security architecture for systems providing end-to-end communications, (10/03).

[Ley-59:2003]

Ley 59/2003, de 19 de diciembre, de firma electrónica.

[Octave:2003]

C. Alberts and A. Dorofee, Managing information Security Risks. The OCTAVE Approach, Addison Wesley, 2003.

[TDIR:2003]

Texas Department of Information Resources, Practices for Protecting Information Resources Assets, Revised September 2003.

[NIST-SP800-34:2002]

Contingency Planning Guide for Information Technology Systems, NIST Special Publication 800-34, June 2002.

[ISO-Guide73:2002]

Risk management — Vocabulary — Guidelines for use in standards, 2002.

[ISO-8825-1:2002]

ISO/IEC 8825-1:2002, Information technology — ASN.1 encoding rules: Specification of Basic Encoding Rules (BER), Canonical Encoding Rules (CER) and Distinguished Encoding Rules (DER), 2002.

[ISO-9796-2:2002]

ISO/IEC 9796-2:2002, Information technology — Security techniques — Digital signature schemes giving message recovery — Part 2: Integer factorization based mechanisms, 2002.

[ISO-14516:2002]

ISO/IEC TR 14516:2002, Information technology — Security techniques — Guidelines for the use and management of Trusted Third Party services, 2002.

[ISO-15816:2002]

ISO/IEC 15816:2002, Information technology — Security techniques — Security information objects for access control, 2002.

[ISO-15939:2002]

ISO/IEC 15939:2002, Software engineering — Software measurement process, 2002.

[ISO-15945:2002]

ISO/IEC 15945:2002, Information technology — Security techniques — Specification of TTP services to support the application of digital signatures, 2002.

[ISO-15946-1:2002]

ISO/IEC 15946-1:2002, Information technology — Security techniques — Cryptographic techniques based on elliptic curves — Part 1: General, 2002.

[ISO-15946-2:2002]

ISO/IEC 15946-2:2002, Information technology — Security techniques — Cryptographic techniques based on elliptic curves — Part 2: Digital signatures, 2002.

[ISO-15946-3:2002]

ISO/IEC 15946-3:2002, Information technology — Security techniques — Cryptographic techniques based on elliptic curves — Part 3: Key establishment, 2002.

[ISO-15947:2002]

ISO/IEC TR 15947:2002, Information technology — Security techniques — IT intrusion detection framework, 2002.

[ISO-18014-1:2002]

ISO/IEC IS 18014-2:2002, Information technology — Security techniques — Time-stamping services — Part 1: Framework 2002.

[ISO-18014-2:2002]

ISO/IEC IS 18014-2:2002, Information technology — Security techniques — Time-stamping services — Part 2: Mechanisms producing independent tokens 2002.

[H.530:2002]

ITU-H H.530, Symmetric security procedures for H.323 mobility in H.510. (03/02).

[FIPS-140-2:2001]

FIPS 140-2, Security Requirements for Cryptographic Modules, May 2001.

[NIST-SP800-33:2001]

Underlying Technical Models for Information Technology Security, NIST Special Publication 800-33, December 2001.

[NIST-SP800-38A:2001]

Recommendation for Block Cipher Modes of Operation – Methods and Techniques, NIST Special Publication 800-38A, Dec 2001.

[ISO-15292:2001]

ISO/IEC 15292:2001, Information technology – Security techniques – Protection Profile registration procedures, 2001.

[CIAO:2000]

Critical Infrastructure Assurance Office, Practices for Securing Critical Information Assets, January 2000.

[FIPS-186-2:2000]

FIPS 186-2, Digital Signature Standard (DSS), January, 2000.

[ISO-9000_es:2000]

Sistemas de gestión de la calidad — Conceptos y vocabulario, 2000.

[ISO-10118-1:2000]

ISO/IEC 10118-1:2000, Information technology — Security techniques — Hash-functions — Part 1: General, 2000.

[ISO-13335-4:2000]

ISO/IEC 13335-4:2000, Information technology — Guidelines for the management of IT Security — Part 4: Selection of safeguards, 2000.

[Directive-1999/93/EC:1999]

Directive 1999/93/EC of the European Parliament and the Council of 13 December 1999 on a Community framework for electronic signatures.

[FIPS-43-3:1999]

FIPS 43-3, Data Encryption Standard (DES), October 1999 (withdrawn May 19, 2005).

[ISO-8732:1999]

ISO 8732:1988/Cor 1:1999, Banking – Key management (wholesale), 1999.

[ISO-9797-1:1999]

ISO/IEC 9797-1:1999, Information technology — Security techniques — Message Authentication Codes (MACs) — Part 1: Mechanisms using a block cipher, 1999.

[ISO-2382-8:1998]

ISO/IEC 2382-8:1998, Information technology — Vocabulary — Part 8: Security, 1998.

[ISO-14888-1:1998]

ISO/IEC 14888-1:1998, Information technology — Security techniques — Digital signatures with appendix — Part 1: General, 1998.

[CESID:1997]

Centro Superior de Información de la Defensa, Glosario de Términos de Criptología, Ministerio de Defensa, 3ª edición, 1997.

[ISO-9798-1:1997]

ISO/IEC 9798-1:1997, Information technology — Security techniques — Entity authentication — Part 1: General, 1997.

[Magerit:1997]

Ministerio de Administraciones Públicas, Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, MAP, versión 1.0, 1997.

[Ribagorda:1997]

A. Ribagorda, Glosario de Términos de Seguridad de las T.I., Ediciones CODA, 1997.

[ISO-10181-1:1996]

ISO/IEC 10181-1:1996, ITU-T X.810, Information technology – Open Systems Interconnection – Security frameworks for open systems: Overview, 1996.

[ISO-10181-2:1996]

ISO/IEC 10181-2:1996, ITU-T X.811, Information technology — Open Systems Interconnection — Security frameworks for open systems: Authentication framework, 1996.

[ISO-11770-1:1996]

ISO/IEC 11770-1:1996, Information technology — Security techniques — Key management — Part 1: Framework, 1996.

[ISO-11770-2:1996]

ISO/IEC 11770-2:1996, Information technology — Security techniques — Key management — Part 2: Mechanisms using symmetric techniques, 1996.

[X.790:1995]

ITU-T X.790, X.790 Trouble management function for ITU-T applications. (11/95).

[X.810:1995]

ITU-T X.810, ISO/IEC 10181-1:1996, Information technology – Open Systems Interconnection – Security frameworks for open systems: Overview. (11/95).

[IRM-5239-8:1995]

IRM-5239-08A, U.S. Marine Corps, Compuer Security Procedures, 1995.

[ITSEM:1993]

ITSEM – Information Technology Security Evaluation Manual. Commission of the European Communities. 1993.

[ITSEC:1991]

ITSEC – Information Technology Security Evaluation Criteria – Harmonized Criteria of France, Germany, the Netherlands, and the United Kingdom, Version 1.1, Published by Dept. of Trade and Industry, London, 1991.

[ISO-7498-2:1989]

ISO 7498-2:1989, ITU-T X.800, Information processing systems — Open Systems Interconnection — Basic Reference Model — Part 2: Security Architecture, 1989.

[TCSEC:1985]

TCSEC – Trusted Computer Systems Evaluation Criteria, DoD 5200.28-STD, Department of Defense, United States of America, 1985

[FIPS-81:1980]

FIPS 81, DES Modes of Operation, December 1980 (withdrawn May 19, 2005).

[BLP:1976]

Bell, D. E. and LaPadula, L. J., Secure Computer Systems: Unified Exposition and Multics Interpretation, MTR-2997 Rev. 1, MITRE Corp., Bedford, Mass., March 1976.

Core Component Technical Specification (CCTS)

1 respuesta

La piedra angular de las actividades de estandarización de Naciones Unidas en  UN/CEFACT (Centre for Trade Facilitation and Electronic Business) son las especificaciones Core Component Technical Specification (CCTS). Los «Core Components»  («componentes esenciales» o «componentes de base») son bloques constructivos independientes de la tecnología y neutros desde el punto de vista sintáctico  que se utilizan para la modelización de datos.

En la actualidad estos bloques constructivos son también la base del estándar ISO 15000-5.

Entre las ventajas de usar CCTS se encuentran la posibilidad de reutilización de datos a través de diferentes tipos de documentos, mejor interoperabilidad de las soluciones que manejan documentos empresariales o de la administración pública y consistencia a través de diferentes estándares sectoriales.

En mi opinión, el siguiente paso en la evolución de facturae (que a finales de 2009 debería continuar la convergencia hacia los estándares internacionales) debe ser la adopción de CCTS en la definición de casi todos los elementos constructivos de la factura.

En la propia web de UNECE está disponible el documento UN/CEFACT: Core Components Technical Specification Version 2.01 (fechado el 15 de noviembre de 2003 y con 113 páginas). También existe una versión más actualizada, fechada el 16 de abril de 2007, propuesta como estándar y hecha pública para su segunda revisión, que se identifica como CCTS versión 3.0.

De la propia página del estándar ISO se obtiene información relevante sobre el uso de CCTS:

ISO/TS 15000-5:2005 can be employed wherever business information is being shared or exchanged amongst and between enterprises, governmental agencies, and/or other organisations in an open and worldwide environment.

ISO/TS 15000-5:2005 will form the basis for standards development work of business analysts,business users and information technology specialists supplying the content of and implementing applications that will employ the UN/CEFACT Core Component Library(CCL). The Core Component Library will be stored in a UN/CEFACT repository and identified in an ebXML compliant registry.

Due to the evolving nature of the UN/CEFACT Core Component Library, ISO/TS 15000-5:2005 includes material that focuses on the business community doing further discovery and analysis work. Some of the contents of ISO/TS 15000-5:2005 are not typical of this type of technical document. However, they are critical for successful adoption and standardization in this area to move forward.

Publicacion fehaciente en el «Perfil del Contratante»

4 respuestas

En los foros de el Economista se inicia un diálogo entre «aibapas» y «Experto Derecho Editores» que centra los aspectos principales del problema a que da lugar la aplicación de la Ley 30/2007 de Contratos del sector público.

En el artículo 42 de la Ley de Contratos del Sector Público se habla del Perfil de Contratante, a través del cual los organismos públicos deberán publicar en Internet la información contractual del órgano de contratación.

En el propio artículo se hace referencia a la necesidad de «acreditar fehacientemente el momento de inicio de la difusión pública de la información que se incluya en el mismo».

Dispone el art. 42.3 de la Ley 30/2007, de 30 de octubre, de Contratos del Sector Público (EDL 2007/175022):

“3.- El sistema informático que soporte el perfil del contratante deberá contar con un dispositivo que permita acreditar fehacientemente el momento de inicio de la difusión pública de la información que se incluya en el mismo”.

Este párrafo se incardina dentro del art. 42: “Perfil del contratante” y, como indica expresamente el párrafo 1º del artículo, hace referencia los requisitos que se imponen a la Administración o entes del Sector Público contratantes para informar de su actividad contractual vía las páginas Web institucionales.

Por su naturaleza, estamos ante un supuesto en el que el término fehaciente se especializa por el carácter electrónico del medio de comunicación, y tiene como objeto el garantizar a los licitadores y ciudadanos en general los plazos que disponen para el ejercicio de determinados derechos; así, el artículo 37.6 de la Ley prevé un plazo de diez días hábiles contados a partir del siguiente al que se notifique o publique el acto impugnado para interponer el recurso especial en materia de contratación, o el 135.4, respecto de la adjudicación provisional de los contratos, que impone un plazo de quince días hábiles mínimo para elevar las adjudicaciones provisionales a definitivas contados desde el siguiente a aquél en que se publique aquélla en un diario oficial o en el perfil del contratante del órgano de contratación.

Tratándose de la acreditación de la fehaciencia de anuncios efectuados por medios telemáticos, habrá que acudir para interpretar qué se entiende por fehaciente a la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos (EDL 2007/41808):

La Ley 11/2007, en su art. 6.2, letra i), eleva al rango de derecho el de los ciudadanos “a la garantía de la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas”. Desde esta perspectiva, fehaciencia es el derecho, que no debe quedar al arbitrio de la Administración o Ente Público, de que la información, en este caso fecha de publicación la Web, en el perfil del contratante, es veraz e inmodificable por el contratante. Para el desarrollo de este derecho, la Ley 11/2007 prevé las siguientes obligaciones por la Administración o Ente contratante:

1º .- El establecimiento de una Sede Electrónica, con los requisitos del art. 10 de la Ley , especialmente en su párrafo 2º que obliga al titular de la sede electrónica sobre la integridad, veracidad y actualización de la información.

2º .- El uso por la Administración o Ente contratante de sistemas de firma electrónica para la actuación administrativa automatizada , con los requisitos exigidos por el artículo 18 que, a su vez, remite a la legislación específica sobre firma electrónica avanzada.

3º.- El equivalente, aunque sea referido de las comunicaciones bilaterales de la Administración o Ente con el particular, del art. 27. 3 de la Ley 11/2007 cuando señala, sobre las comunicaciones electrónicas, que Las comunicaciones a través de medios electrónicos serán válidas siempre que exista constancia de la transmisión y recepción, de sus fechas, del contenido íntegro de las comunicaciones y se identifique fidedignamente al remitente y al destinatario de las mismas.

En resumen, a los efectos del art. 42.3, la acreditación fehaciente le corresponde a la Administración o Ente Público contratante, siendo la fehaciencia a estos efectos que se haga por medios de firma electrónica avanzada, dónde consta fecha, hora y huella digital de la notificación en el perfil del contratante dentro de la Web, de acuerdo con las obligaciones que se impone a la Administración o Ente del Sector Público por la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos.

Sin embargo hay algunos aspectos que, en mi opinión siguen sin estar claros en la respuesta, y que deben ser resueltos en las implementaciones.

En primer lugar la fehaciencia implica la existencia de un mecanismo creible, fidedigno, incuestionable. Algo que como terceros de confianza se atribuye a la actuación de notarios, jueces, secretarios judiciales y funcionarios en el ejercicio de sus atribuciones. Por regla general determina un mecanismo probatorio independiente del ente que precisa la fehaciencia (para evitar que se produzca la colisión de suponer ser «juez y parte» en el procedimiento de que se trate).

La firma electrónica, por sí misma, solo aporta fehaciencia (elevada pero no incuestionable) respecto a la identidad del firmante (al menos sobre la atribuibilidad de la firma al firmante) y presupone su «voluntad de firmar», pero no garantiza aspectos como la efectiva publicación o su fecha.

Si a la firma electrónica le añadimos un timestamping (en la modalidad de firma ES-T) añadimos la fehaciencia de que el documento firmado electrónicamente existía con anteriodad a la fecha y hora indicada en el fechado electrónico, pero no su publicación.

El mecanismo fehaciente de publicación en el perfil del contratante de más valor es un servicio de terceros que obtenga el documento de la sede electrónica del organismo contratante (en la correspondiente sección del perfil del contratante) y genere sobre el un sello de tiempo. El sello de tiempo debería estar disponible junto al documento publicado en el perfil del contratante, y junto a ellos un enlace al tercero de confianza electrónico en el que sea posible obtener el documento original junto con los detalles (metadatos) de su publicación.

Si el servicio es de alta calidad, comprobará además que el documento referenciado no se ha retirado de la sede electrónica y ha permanecido disponible durante el tiempo marcado hasta su prescripción, y reflejará cualquier incidencia al respecto en el ámbito de los metadatos asociados al documento.

Una via alternativa con un alto grado de presunción (aunque capacidad probatoria inferior) es la publicación en un Boletin Oficial o en un periódico de tirada adecuada en el ámbito en el que sea precisa la fehaciencia (nacional, local o autonómica).

Algunos de los servicios de terceros son los de Contratación del Estado, en el ámbito público o los de Albalia Interactiva (a través de su plataforma EADTrust) en el ámbito privado.