Última actualización: 27/04/2017


Curso Académico: 2019/2020

Análisis de Riesgos y Certificación de Sistemas
(12396)
Titulación: Máster Universitario en Ciberseguridad (288)
Escuela de Ingeniería y Ciencias Básicas


Coordinador/a: RUBIO MANSO, JOSE MARIA

Departamento asignado a la asignatura: Departamento de Ingeniería Telemática

Tipo: Optativa
Créditos: 3.0 ECTS

Curso:
Cuatrimestre:




Competencias que adquiere el estudiante y resultados del aprendizaje.
COMPETENCIAS BÁSICAS - Que los estudiantes sean capaces de integrar conocimientos y enfrentarse a la complejidad de formular juicios a partir de una información que, siendo incompleta o limitada, incluya reflexiones sobre las responsabilidades sociales y éticas vinculadas a la aplicación de sus conocimientos y juicios (CB8). - Que los estudiantes sepan comunicar sus conclusiones y los conocimientos y razones últimas que las sustentan a públicos especializados y no especializados de un modo claro y sin ambigüedades (CB9). - Que los estudiantes posean las habilidades de aprendizaje que les permitan continuar estudiando (CB10). COMPETENCIAS GENERALES - Conocer la normativa técnica y las disposiciones legales de aplicación en la materia de ciberseguridad, sus implicaciones en el diseño de sistemas y en la aplicación de herramientas de seguridad (CG4). - Desarrollar, implantar y mantener un Sistema de Gestión de la Seguridad de la Información (SGSI) (CG5). COMPETENCIAS ESPECÍFICAS - Conocer de manera somera los requisitos y el procedimiento de certificación de sistemas seguros (CE9). RESULTADOS DEL APRENDIZAJE * Desarrollar un análisis de riesgos para una organización y a partir de él, y conociendo el umbral de riesgo y el riesgo asumible, gestionar los riesgos resultantes. * Conocer los principales criterios (singularmente los Commons Criteria) y las correspondientes metodologías de evaluación y certificación de la seguridad y sus implicaciones en el desarrollo de arquitecturas seguras. * Conocer el Esquema Nacional de Evaluación y Certificación de las Tecnologías de la Información, los requisitos y las funciones de los laboratorios de evaluación y del Organismo de Certificación, así como el alcance del acuerdo de reconocimiento mutuo de certificados.
Descripción de contenidos: Programa
Análisis de Riesgos y Certificación de Sistemas: 1. Análisis y Gestión de Riesgos 1.1. Conceptos 1.2. Estándares. UNE/ISO 31000 y 27005. ENS. PCI-DSS 1.3. Metodologías y Herramientas. MAGERIT/PILAR 1.4. Mitigación de Riesgos y Selección de Controles 2. Evaluación y Certificación de Productos y Sistemas 2.1. Introducción y Conceptos 2.2. ISO/IEC 15408. Common Criteria. Otros Criterios 2.3. Perfiles de protección 2.4. Metodologías de Evaluación. ISO/IEC 18045 2.5. Reconocimiento Mutuo de Certificados 3. Orden PRE 2740/2007. 3.1. Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información 3.2. Laboratorios de Evaluación. Acreditación 3.3. Organismo español de Certificación
Actividades formativas, metodología a utilizar y régimen de tutorías
ACTIVIDADES FORMATIVAS - Clase teórica - Clases teórico prácticas - Tutorías - Trabajo en grupo - Trabajo individual del estudiante METODOLOGÍAS DOCENTES - Exposiciones en clase del profesor con soporte de medios informáticos y audiovisuales, en las que se desarrollan los conceptos principales de la materia y se proporciona la bibliografía para complementar el aprendizaje de los alumnos. - Lectura crítica de textos recomendados por el profesor de la asignatura: Artículos de prensa, informes, manuales y/o artículos académicos, bien para su posterior discusión en clase, bien para ampliar y consolidar los conocimientos de la asignatura. - Exposición y discusión en clase, bajo la moderación del profesor de temas relacionados con el contenido de la materia, así como de casos prácticos - Elaboración de trabajos e informes de manera individual o en grupo
Sistema de evaluación
  • Peso porcentual del Examen Final 40
  • Peso porcentual del resto de la evaluación 60
Bibliografía básica
  • . NORMA ISO/IEC 15408-1. ISO. 2009
  • . NORMA ISO/IEC 15408-2. ISO. 2008
  • . NORMA ISO/IEC 15408-3. ISO. 2005
  • . NORMA ISO/IEC 18405. ISO. 2005
  • . NORMA ISO/IEC 27005. AENOR. 2008
  • . NORMA UNE-ISO 31000. AENOR. 2010
  • . NORMA UNE-ISO/IEC 27000. AENOR. 2014
  • . NORMA UNE-ISO/IEC 27001. AENOR. 2014
  • . NORMA UNE-ISO/IEC 27002. 2015. AENOR
Recursos electrónicosRecursos Electrónicos *
Bibliografía complementaria
  • Debra S. Herrmann. Using the Common Criteria for IT Security Evaluation. CRC Press. 2002
  • Marquina Llivisaca, Edgar Geovanny. Análisis y Gestión de Riesgos Implementando la Metodología MAGERIT. EAE. 2012
Recursos electrónicosRecursos Electrónicos *
(*) El acceso a algunos recursos electrónicos puede estar restringido a los miembros de la comunidad universitaria mediante su validación en campus global. Si esta fuera de la Universidad, establezca una VPN


El programa de la asignatura y la planificación semanal podrían sufrir alguna variación por causa de fuerza mayor debidamente justificada o por eventos académicos comunicados con antelación.