Guia 844-INES - anexoFAQ
Guia 844-INES - anexoFAQ
Guia 844-INES - anexoFAQ
CCN-STIC 844
Octubre 2018
CCN-STIC-844 ANEXO I: PREGUNTAS FRECUENTES (FAQ)
Edita:
CENTRO CRIPTOLOGICO NACIONAL
2.5.4.13=Qualified Certificate: AAPP-SEP-M-SW-KPSC,
ou=sello electrónico, serialNumber=S2800155J,
o=CENTRO CRIPTOLOGICO NACIONAL, cn=CENTRO
CRIPTOLOGICO NACIONAL, c=ES
2018.10.30 09:39:42 +01'00'
AVISO LEGAL
Quedan rigurosamente prohibidas, sin la autorización escrita del Centro Criptológico Nacional, bajo las
sanciones establecidas en las leyes, la reproducción parcial o total de este documento por cualquier
medio o procedimiento, comprendidos la reprografía y el tratamiento informático, y la distribución de
ejemplares del mismo mediante alquiler o préstamo públicos.
Centro
CentroCriptológico
CriptológicoNacional
Nacional SIN CLASIFICAR ii
iii
CCN-STIC-844 ANEXO I: PREGUNTAS FRECUENTES (FAQ)
PRÓLOGO
El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad
en el ámbito de la Administración Electrónica (ENS, en adelante), al que se refiere el apartado
segundo del artículo 156 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector
Público, establece la política de seguridad en la utilización de medios electrónicos que permita
una protección adecuada de la información.
Precisamente el Real Decreto 3/2010 de 8 de Enero, modificado por el Real Decreto 951/2015,
de 23 de octubre, fija los principios básicos y requisitos mínimos así como las medidas de
protección a implantar en los sistemas de la Administración, y promueve la elaboración y
difusión de guías de seguridad de las tecnologías de la información y la comunicación (STIC)
por parte de CCN para facilitar un mejor cumplimiento de dichos requisitos mínimos.
Centro
CentroCriptológico
CriptológicoNacional
Nacional SIN CLASIFICAR iii
iii
CCN-STIC-844 ANEXO I: PREGUNTAS FRECUENTES (FAQ)
Índice
1. PREGUNTAS GENERALES DE USO DE LA HERRAMIENTA INES ............................. 1
2. IDENTIFICACIÓN DEL ORGANISMO ..................................................................... 1
3. CATEGORIZACIÓN DE LOS SISTEMAS .................................................................. 3
4. ANÁLISIS Y GESTIÓN DE RIESGOS ....................................................................... 3
5. ACTIVIDADES ORGANIZATIVAS .......................................................................... 3
6. RECURSOS .......................................................................................................... 4
7. INTERCONEXIÓN CON OTROS SISTEMAS ............................................................ 7
8. APLICACIÓN DE LA SEGURIDAD ........................................................................ 11
9. GESTIÓN DE INCIDENTES .................................................................................. 13
10. INDICADORES CLAVE DE RIESGO .................................................................... 14
Centro
CentroCriptológico
CriptológicoNacional
Nacional SIN CLASIFICAR iv
iii
CCN-STIC-844 ANEXO I: PREGUNTAS FRECUENTES (FAQ)
CentroCentro Criptológico
Criptológico Nacional
Nacional SIN CLASIFICAR 1
iii
CCN-STIC-844 ANEXO I: PREGUNTAS FRECUENTES (FAQ)
CentroCentro Criptológico
Criptológico Nacional
Nacional SIN CLASIFICAR 2
iii
CCN-STIC-844 ANEXO I: PREGUNTAS FRECUENTES (FAQ)
5. ACTIVIDADES ORGANIZATIVAS
17. Pregunta. ¿Cómo debo interpretar el concepto de independencia del
responsable de seguridad respecto del responsable del sistema?
Respuesta. Se debe interpretar considerando que el rol de responsable de
seguridad recae sobre una persona distinta a la que ostenta el rol de
responsable de sistema. Además, el responsable de seguridad no debe
depender del responsable del sistema, porque en este caso su función quedaría
claramente mediatizada por su superior, impidiendo la adecuada toma de
decisiones.
CentroCentro Criptológico
Criptológico Nacional
Nacional SIN CLASIFICAR 3
iii
CCN-STIC-844 ANEXO I: PREGUNTAS FRECUENTES (FAQ)
Porcentaje de
Descripción del nivel
avance (%)
0 No se ha iniciado la actividad.
6. RECURSOS
21. Pregunta. ¿Cómo debo interpretar el dato de número de administradores de
seguridad?
Respuesta. Se debe interpretar como el sumatorio del número de personas con
permisos de administrador sobre la seguridad del sistema (ASS) o de algún
componente del sistema (se incluyen tanto servidores como equipos de usuario
final y los que administran productos de seguridad) y del número de personas
con permisos de administrador de sistemas, si tienen control de administración
CentroCentro Criptológico
Criptológico Nacional
Nacional SIN CLASIFICAR 4
iii
CCN-STIC-844 ANEXO I: PREGUNTAS FRECUENTES (FAQ)
sobre las funciones de seguridad del sistema. Suma lo mismo personal fijo o
temporal, propio, desplazado o subcontratado. Cuando se subcontraten
servicios de seguridad, se imputarán también los recursos humanos indicados
en el contrato de prestación de servicios.
No se consideran administradores de seguridad y por tanto se excluyen
aquellas personas que dentro de una aplicación específica su rol es el de
administrador solo y parcialmente de dicha aplicación (por ejemplo,
controlando exclusivamente los cambios de claves de las cuentas de usuarios
de su departamento, sin posibilidad de cambiar privilegios de acceso).
No se hará distinciones en función de la categoría de la persona.
A continuación, se detallan las actividades que desarrolla la persona que
ostente alguno de los dos (2) roles relacionados con la administración:
- El administrador de la seguridad del sistema o administrador de
Seguridad (ASS) es aquella persona que:
Implementa, gestiona y supervisa las medidas de seguridad
aplicables al Sistema de Información.
Gestiona, configura y actualiza el hardware y software en el que
se basan los mecanismos y servicios de seguridad del Sistema de
Información.
Gestiona las autorizaciones concedidas a los usuarios y
monitoriza que la actividad realizada se ajusta a lo autorizado.
Monitoriza el estado de seguridad del sistema proporcionado por
las herramientas de gestión de eventos de seguridad y
mecanismos de auditoría técnica implementados en el sistema
Aplica los Procedimientos Operativos de Seguridad y aprobar los
cambios en la configuración vigente del Sistema de Seguridad
- El administrador del sistema (AS) es la persona que tiene como misión,
la implantación, configuración y mantenimiento de los servicios TIC.
Se destaca que es habitual que ambos roles recaigan sobre la misma persona o
grupo de personas.
22. Pregunta. ¿Cómo debo interpretar el dato de número de personas con
responsabilidad en la STIC?
Respuesta. Se debe interpretar como el número de personas con
responsabilidad en la seguridad TIC que incluye el número de administradores
de seguridad, y otras personas con otras actividades de seguridad TIC, como
responsables, directivos, sin ser administradores de seguridad propiamente
dicho. Es decir, será el sumatorio de los Administradores de Seguridad del
Sistema (ASS), de los Responsables del Servicio (RSERV), del Responsable de la
Información (RINFO), de los Responsables del Sistema (RSIS) y del Responsable
de la Seguridad (RSEG). Su valor siempre será igual o superior al número de
administradores de seguridad.
Ejemplos:
Una empresa tiene un Responsable de la Información, un Responsable del
Servicio, un Responsable del sistema, tres Responsables del Sistema
CentroCentro Criptológico
Criptológico Nacional
Nacional SIN CLASIFICAR 5
iii
CCN-STIC-844 ANEXO I: PREGUNTAS FRECUENTES (FAQ)
CentroCentro Criptológico
Criptológico Nacional
Nacional SIN CLASIFICAR 6
iii
CCN-STIC-844 ANEXO I: PREGUNTAS FRECUENTES (FAQ)
CentroCentro Criptológico
Criptológico Nacional
Nacional SIN CLASIFICAR 7
iii
CCN-STIC-844 ANEXO I: PREGUNTAS FRECUENTES (FAQ)
CentroCentro Criptológico
Criptológico Nacional
Nacional SIN CLASIFICAR 8
iii
CCN-STIC-844 ANEXO I: PREGUNTAS FRECUENTES (FAQ)
CentroCentro Criptológico
Criptológico Nacional
Nacional SIN CLASIFICAR 9
iii
CCN-STIC-844 ANEXO I: PREGUNTAS FRECUENTES (FAQ)
CentroCentro Criptológico
Criptológico Nacional
Nacional SIN CLASIFICAR 10
iii
CCN-STIC-844 ANEXO I: PREGUNTAS FRECUENTES (FAQ)
8. APLICACIÓN DE LA SEGURIDAD
34. Pregunta. ¿Cómo debo interpretar el concepto de sistemas que emplean
contraseñas?
Respuesta. Se debe interpretar considerando el total de sistemas de
información para las que sus usuarios se autentican mediante una contraseña
que el propio usuario puede modificar a su voluntad.
35. Pregunta. ¿Cómo debo interpretar el concepto de sistemas que emplean
claves concertadas?
Respuesta. Se debe interpretar considerando el total de sistemas de
información para las que cada usuario se autentica mediante una clave fija
acordada y predefinida, que el usuario no puede modificar.
36. Pregunta. ¿Cómo debo interpretar el concepto de sistemas que emplean
tokens?
Respuesta. Se debe interpretar considerando el total de sistemas de
información para las que cada usuario se autentica haciendo uso de algo (físico
o lógico) que sólo el usuario posee: tarjetas electrónicas, de coordenadas,
certificados electrónicos, token de autenticación o generador de claves
dinámicas como los llaveros OTP (One Time Password – contraseña de un solo
uso).
37. Pregunta. ¿Cómo debo interpretar el concepto de usuarios externos?
Respuesta. Se debe interpretar como los destinatarios o receptores de los
servicios electrónicos, que acceden a los mismos desde el exterior del
organismo (ciudadanos, personas jurídicas, alumnos, etc.), excluye al personal
interno de dicho organismo.
38. Pregunta. ¿Cómo debo interpretar el concepto de sistemas que emplean
doble canal?
Respuesta. Se debe interpretar considerando el total de sistemas de
información para las que a cada usuario se le envía una clave de autenticación
de un solo uso a través de un canal de comunicación diferente al utilizado para
acceder al servicio (generalmente web + Mensajes cortos (SMS) o mensajería
instantánea (tipo WhatsApp).
39. Pregunta. ¿Cómo debo interpretar el concepto de servicios externalizados o
subcontratados?
Respuesta. Se debe interpretar como aquellos servicios TIC recibidos por el
organismo que son provistos por entidades con una personalidad jurídica
diferente a la del organismo, que puede ser privada o pública, y por lo tanto
subcontratados bajo diversas formas jurídicas como convenios, contratos,
encomiendas, etc. Además, sólo se deben considerar los servicios TIC sobre los
que funcionen los servicios del organismo, sin considerar los que se estén
probando o experimentando.
40. Pregunta. ¿Cómo debo interpretar el concepto de servicios de
comunicaciones?
CentroCentro Criptológico
Criptológico Nacional
Nacional SIN CLASIFICAR 11
iii
CCN-STIC-844 ANEXO I: PREGUNTAS FRECUENTES (FAQ)
CentroCentro Criptológico
Criptológico Nacional
Nacional SIN CLASIFICAR 12
iii
CCN-STIC-844 ANEXO I: PREGUNTAS FRECUENTES (FAQ)
9. GESTIÓN DE INCIDENTES
50. Pregunta. ¿Cuáles son los niveles en los que se clasifican los incidentes de
seguridad?
CentroCentro Criptológico
Criptológico Nacional
Nacional SIN CLASIFICAR 13
iii
CCN-STIC-844 ANEXO I: PREGUNTAS FRECUENTES (FAQ)
CentroCentro Criptológico
Criptológico Nacional
Nacional SIN CLASIFICAR 14
iii