NTE INEN-ISO/IEC Primera edición

(1)

NORMA TÉCNICA

ECUATORIANA

NTE INEN-ISO/IEC 19678

Primera edición

TECNOLOGÍAS DE LA INFORMACIÓN – DIRECTRICES PARA LA PROTECCIÓN DEL BIOS (ISO/IEC 19678:2015, IDT)

INFORMATION TECHNOLOGY — BIOS PROTECTION GUIDELINES (ISO/IEC 19678:2015, IDT)

__________________________________________

Correspondencia:

Esta Norma Técnica Ecuatoriana es una traducción idéntica de la Norma Internacional ISO/IEC 19678:2015

ICS: 35.080 17

Páginas

(2)

2017-XXX i

Prólogo nacional

Esta Norma Técnica Ecuatoriana NTE INEN-ISO/IEC 19678, es una traducción idéntica de la Norma Internacional ISO/IEC 19678:2015, Information technology — BIOS protection guidelines.

El comité nacional responsable de la adopción idéntica de esta Norma Internacional y de su traducción es el Comité Técnico de Normalización “Tecnologías de la Información”.

Para propósitos de esta Norma Técnica Ecuatoriana, se han hecho los siguientes cambios editoriales:

a) Las palabras “esta Norma Internacional” han sido reemplazadas por “esta norma nacional”.

b) Se conservan los acrónimos en inglés para brindar orientación a los usuarios.

A continuación, se enlista el documento normativo internacional que se referencia en la Norma Internacional ISO/IEC 19678:2015 y los documentos normativos nacionales correspondientes:

Documento Normativo Internacional Documento Normativo Nacional

FIPS 186-4, Digital Signature Standard.

July 2013 No existe documento nacional correspondiente

NIST SP 800-89, Recommendation for Obtaining Assurances for Digital Signature Applications. November 2006.

No existe documento nacional correspondiente

NIST SP 800-131A, Transitions:

Recommendation for Transitioning the Use of Cryptographic Algorithms and Key Lengths. January 2011

No existe documento nacional correspondiente

(3)

2017-XXX ii

Índice Página

Prólogo ... iii

Introducción ...iv

1 Objeto y campo de aplicación ...1

2 Conformidad ...1

3 Referencias normativas ...1

4 Términos y definiciones ...2

5 Símbolos (y términos abreviados) ...3

6 Antecedentes ...4

6.1 Sistema BIOS ...4

6.2 Funciones del sistema BIOS en el proceso de arranque ...5

6.3 Actualización del sistema BIOS ...8

6.4 Importancia de la integridad del BIOS ...9

6.5 Amenazas al sistema BIOS ...9

7 Mitigación de Amenazas ... 10

Bibliografía ... 16

(4)

2017-XXX iii

Prólogo

ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional) forman el sistema especializado para la normalización mundial. Los organismos nacionales miembros de ISO e IEC participan en el desarrollo de las Normas Internacionales por medio de comités técnicos establecidos por la organización respectiva, para atender campos particulares de la actividad técnica. Los comités técnicos de ISO e IEC colaboran en campos de interés mutuo.

Otras organizaciones internacionales, públicas y privadas, en colaboración con ISO e IEC, también participan en el trabajo. En el campo de la tecnología de la información, ISO e IEC han establecido un comité conjunto ISO/IEC JTC 1.

Las Normas Internacionales son redactadas de conformidad con las reglas establecidas en la Parte 2 de las Directivas ISO/IEC.

La tarea principal del comité técnico conjunto es preparar Normas Internacionales. Los Proyectos de Normas Internacionales adoptados por el Comité Técnico Conjunto se envían a los organismos nacionales para votación. La publicación como Norma Internacional requiere la aprobación por al menos el 75 % de los organismos miembros con derecho a voto.

Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan ser objeto de derechos de patente. ISO e IEC no asumen la responsabilidad por la identificación de cualquiera o todos los derechos de patente.

Nota: El ITTF proporcionará el número de documento necesario más abajo

ISO/IEC 19678 fue preparada por el NIST SP 800-147, Directrices de Protección de la BIOS del Instituto Nacional de Estándares y Tecnología de los Estados Unidos. El NIST SP 800-147 fue reformado de acuerdo con la Parte 2 de las Directivas ISO/IEC, manteniendo al mismo tiempo el contenido técnico de la publicación del NIST (disponible en http://csrc.nist.gov/publications/nistpubs/800-147/NIST-SP800-147-Abril2011.pdf). La norma resultante fue adoptada bajo un "procedimiento acelerado" especial, por el Comité Técnico Conjunto ISO/IEC JTC 1, Tecnologías de la información, en paralelo con su aprobación por los organismos nacionales de ISO e IEC.

(5)

2017-XXX iv

Introducción

Las computadoras modernas confían en el sistema fundamental firmware, comúnmente conocido como el Sistema Básico de entrada y salida (BIOS), para facilitar el proceso de inicialización del hardware y el control de la transición al sistema operativo. El BIOS normalmente se desarrolla tanto por fabricantes de equipos originales (OEM) como por proveedores independientes de BIOS, y es distribuido a los usuarios finales por fabricantes de tarjetas madre o computadoras. Los fabricantes frecuentemente actualizan el firmware del sistema para corregir errores, corregir vulnerabilidades y dar soporte a nuevo hardware. Esta norma nacional proporciona los requisitos de seguridad y orientación para prevenir la modificación no autorizada del firmware BIOS en los sistemas del cliente del PC.

La modificación no autorizada del firmware BIOS por un software malicioso constituye una amenaza significativa, debido a la posición única y privilegiada del BIOS dentro de la arquitectura del PC. Una modificación maliciosa del BIOS podría ser parte de un ataque sofisticado y dirigido contra una organización, ya sea una denegación permanente del servicio (si el BIOS está corrompido) o una presencia persistente de malware (si el BIOS se implanta con malware). Pasar de implementaciones de BIOS convencionales a implementaciones basadas en la Interfaz de Firmware Extensible Unificada (UEFI) puede hacer que sea más fácil para el malware dirigirse al BIOS de forma generalizada, ya que estas implementaciones del BIOS se basan en una especificación común.

Esta norma nacional se centra en sistemas de escritorio y portátiles x86 y x64 actuales y futuros, aunque los controles y procedimientos podrían aplicarse potencialmente a cualquier diseño del sistema. Del mismo modo, aunque la guía está orientada hacia plataformas de clase empresarial, se espera que las tecnologías necesarias migren a sistemas de la categoría de consumidor a lo largo del tiempo. Los requisitos de seguridad no intentan impedir la instalación de BIOS no auténticos a través de la cadena de suministro, mediante el reemplazo físico del chip del BIOS, o mediante procedimientos de actualización local segura.

El público objetivo de esta norma nacional incluye proveedores de BIOS y plataforma, y profesionales de seguridad del sistema de información quienes son responsables de gestionar la seguridad de las plataformas terminales, los procesos de arranque seguro y los módulos de seguridad del hardware. El material también puede ser de utilidad cuando se desarrollan estrategias y despliegues de adquisición en toda la empresa.

El material en esta norma nacional está orientada técnicamente, y se supone que los lectores tienen al menos un entendimiento básico de la seguridad del sistema y de la red. La norma nacional proporciona información básica para ayudar a estos lectores a comprender los temas que se discuten. Se recomienda a los lectores que aprovechen otros recursos (incluidos los enumerados en esta norma nacional) para obtener información más detallada.

(6)

2017-XXX 1

Tecnologías de la información – Directrices para la Protección del BIOS

1 Objeto y campo de aplicación

Esta norma nacional proporciona los requisitos y directrices para prevenir la modificación no autorizada del firmware Sistema Básico de Entrada y Salida (BIOS) en los sistemas del PC cliente.

La modificación no autorizada del firmware BIOS por software malicioso, constituye una amenaza significativa debido a la posición única y privilegiada del BIOS dentro de la arquitectura del PC.

Una modificación maliciosa del BIOS podría ser parte de un ataque sofisticado y dirigido contra una organización, ya sea una denegación permanente del servicio (si el BIOS está corrompido) o una presencia persistente del malware (si el malware se implanta en el BIOS ).

Como se utiliza en esta publicación, el término BIOS se refiere al BIOS convencional, el BIOS de la Interfaz de Firmware Extensible (EFI) y el BIOS de la Interfaz de Firmware Extensible Unificada (UEFI). Esta norma nacional se aplica al firmware del sistema BIOS (por ejemplo, el BIOS convencional o el BIOS UEFI) almacenados en la memoria flash del sistema, de los sistemas informáticos, incluidas las partes que se pueden formatear como la Option ROM. Sin embargo, no se aplica a las Option ROMs, a los controladores UEFI y al firmware almacenado en otro lugar en un sistema informático.

El subcapítulo 7.2 proporciona a los proveedores de plataforma los requisitos para un proceso de actualización segura del BIOS. Además, el subcapítulo 7.3 proporciona directrices para la gestión del BIOS en un entorno operativo.

Si bien, esta norma nacional se centra en las plataformas de clientes x86 y x64 actuales y futuras, los controles y procedimientos son independientes de cualquier diseño particular del sistema.

(7)

INFORMACIÓN COMPLEMENTARIA

Documento:

NTE INEN- ISO/IEC 19678

TÍTULO: TECNOLOGÍAS DE LA INFORMACIÓN –

DIRECTRICES PARA LA PROTECCIÓN DEL BIOS (ISO/IEC 19678:2015, IDT)

Código ICS:

35.080

ORIGINAL:

Fecha de iniciación del estudio:

2017-03-21

REVISIÓN:

La Subsecretaría de la Calidad del Ministerio de Industrias y Productividad aprobó este proyecto de norma

Oficialización con el Carácter de por Resolución No.

publicado en el Registro Oficial No.

Fecha de iniciación del estudio:

Fechas de consulta pública:

Comité Técnico de: Tecnologías de la información Fecha de iniciación: 2017-04-06

Integrantes del Comité:

Fecha de aprobación: 2017-04-06

NOMBRES: INSTITUCIÓN REPRESENTADA:

Ing. Oswaldo Rivera (Presidente)

MINISTERIO DE TELECOMUNICACIONES Y DE LA SOCIEDAD DE LA INFORMACIÓN – MINTEL

Ing. Luis Fernando Paredes INSTITUTO ECUATORIANO DE PROPIEDAD INTELECTUAL – IEPI

Ing. Fabian Noboa Vinueza MINISTERIO DEL INTERIOR

Ing. Fernanda Betancourt DIRECCIÓN NACIONAL DE REGISTRO DE DATOS PÚBLICOS – DINARDAP

Ing. Hugo Rosero INEN – DIRECCIÓN DE METROLOGÍA

Tlgo. Germán Pantoja TELCORP

Ing. Diego Noboa AGENCIA DE REGULACIÓN Y CONTROL DE

LAS TELECOMUNICACIONES – ARCOTEL

Ing. Franklin Álvarez AGENCIA DE REGULACIÓN Y CONTROL DE

LAS TELECOMUNICACIONES – ARCOTEL

Ing. Nelson Ilbay SECREATRÍA NACIONAL DE LA

ADMINISTRACIÓN PÚBLICA – SNAP

Ing. Galo Navarrete MINISTERIOS CORDINADOR DE

SEGURIDAD – MICS

Ing. Giovanni Moreno YACHAY E.P.

Ing. Juan Pablo Aliaga ISACA

Ing. Jennyffer Cisneros (Secretaria Técnica) INEN – DIRECCIÓN DE NORMALIZACIÓN

Otros trámites:

La Subsecretaría de la Calidad del Ministerio de Industrias y Productividad aprobó este proyecto de norma.

Oficializada como: Por Resolución No. Registro Oficial No.

(8)

Servicio Ecuatoriano de Normalización, INEN - Baquerizo Moreno E8-29 y Av. 6 de Diciembre Casilla 17-01-3999  Telfs: (593 2)3 825960 al 3 825999

Dirección Ejecutiva: [email protected]

Dirección de Normalización: [email protected] Centro de Información: [email protected]

URL:www.normalizacion.gob.ec