Government">
803 ENS-valoracion
803 ENS-valoracion
803 ENS-valoracion
Noviembre 2017
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-803 ENS Valoración de los sistemas
Edita:
CENTRO CRIPTOLOGICO NACIONAL
2.5.4.13=Qualified Certificate: AAPP-SEP-M-SW-KPSC,
ou=sello electrónico, serialNumber=S2800155J,
o=CENTRO CRIPTOLOGICO NACIONAL, cn=CENTRO
CRIPTOLOGICO NACIONAL, c=ES
2017.11.27 12:43:30 +01'00'
LIMITACIÓN DE RESPONSABILIDAD
El presente documento se proporciona de acuerdo con los términos en él recogidos, rechazando
expresamente cualquier tipo de garantía implícita que se pueda encontrar relacionada. En ningún caso,
el Centro Criptológico Nacional puede ser considerado responsable del daño directo, indirecto, fortuito
o extraordinario derivado de la utilización de la información y software que se indican incluso cuando se
advierta de tal posibilidad.
AVISO LEGAL
Quedan rigurosamente prohibidas, sin la autorización escrita del Centro Criptológico Nacional, bajo las
sanciones establecidas en las leyes, la reproducción parcial o total de este documento por cualquier
medio o procedimiento, comprendidos la reprografía y el tratamiento informático, y la distribución de
ejemplares del mismo mediante alquiler o préstamo públicos.
PRÓLOGO
El uso masivo de las tecnologías de la información y la comunicación (TIC), en todos los
ámbitos de la sociedad, ha creado un nuevo espacio, el ciberespacio, donde se producirán
conflictos y agresiones, y donde existen ciberamenazas que atentarán contra la seguridad
nacional, el estado de derecho, la prosperidad económica, el estado de bienestar y el normal
funcionamiento de la sociedad y de las administraciones públicas.
El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad
en el ámbito de la Administración Electrónica (ENS, en adelante), al que se refiere el apartado
segundo del artículo 156 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector
Público, establece la política de seguridad en la utilización de medios electrónicos que permita
una protección adecuada de la información.
Precisamente el Real Decreto 3/2010 de 8 de enero, modificado por el Real Decreto 951/2015,
de 23 de octubre, fija los principios básicos y requisitos mínimos, así como las medidas de
protección a implantar en los sistemas de la Administración, y promueve la elaboración y
difusión de guías de seguridad de las tecnologías de la información y la comunicación (STIC)
por parte de CCN para facilitar un mejor cumplimiento de dichos requisitos mínimos.
Noviembre de 2017
ÍNDICE
1. INTRODUCCIÓN .................................................................................................... 1
1.1. NECESIDAD DE VALORAR ..........................................................................................2
1.2. PROCEDIMIENTO DE VALORACIÓN ..........................................................................2
1.3. NOTIFICACIONES Y PUBLICACIONES ELECTRÓNICAS................................................3
2. CRITERIOS DE VALORACIÓN .................................................................................. 4
2.1. CRITERIOS COMUNES APLICABLES A TODAS LAS DIMENSIONES .............................4
2.2. CRITERIOS PARA TIPOS DE INFORMACIÓN CON DATOS DE CARÁCTER PERSONAL .7
2.3. CRITERIOS PARA LA DISPONIBILIDAD DE LOS SERVICIOS .......................................12
2.3.1. PERIODOS CRÍTICOS ...........................................................................................12
2.3.2. RTO (TIEMPO DE RECUPERACIÓN OBJETIVO) ...................................................12
2.4. CRITERIOS ESPECÍFICOS ..........................................................................................13
2.5. CRITERIOS ESPECÍFICOS PARA OPERADORES CRÍTICOS DEL SECTOR PÚBLICO ......13
3. TIPOS DE INFORMACIÓN ..................................................................................... 14
3.1. IDENTIFICACIÓN ......................................................................................................14
3.2. VALORACIÓN...........................................................................................................15
3.2.1. CONFIDENCIALIDAD ...........................................................................................15
3.2.2. INTEGRIDAD .......................................................................................................16
3.2.3. AUTENTICIDAD ...................................................................................................16
3.2.4. TRAZABILIDAD....................................................................................................16
4. SERVICIOS........................................................................................................... 17
4.1. IDENTIFICACIÓN ......................................................................................................17
4.2. VALORACIÓN...........................................................................................................17
4.2.1. DISPONIBILIDAD.................................................................................................18
5. DETERMINACIÓN DE LOS NIVELES Y CATEGORÍA DEL SISTEMA ............................ 19
5.1. VALORACIÓN DE LAS DIMENSIONES DE LOS ACTIVOS ESENCIALES .......................19
5.2. DETERMINACIÓN DE SUBSISTEMAS .......................................................................19
5.3. FORMULACIÓN DE LA CATEGORÍA DE UN SISTEMA...............................................20
5.4. TERCERAS PARTES...................................................................................................21
5.5. DOCUMENTACIÓN ..................................................................................................22
6. ANEXO A. GLOSARIO DE TÉRMINOS .................................................................... 23
7. ANEXO B. ABREVIATURAS ................................................................................... 26
8. ANEXO C. REFERENCIAS ...................................................................................... 27
1. INTRODUCCIÓN
1. Esta guía establece unas pautas de carácter general que son aplicables a
entidades de distinta naturaleza, dimensión y sensibilidad, sin entrar en
casuísticas particulares. Se espera que cada organización las particularice para
adaptarlas a su entorno singular.
2. El Esquema Nacional de Seguridad establece una serie de medidas de seguridad
en su Anexo II que están condicionadas a la valoración del nivel de seguridad en
cada dimensión, y a la categoría (artículo 43) del sistema de información de que
se trate. A su vez, la categoría del sistema se calcula en función del nivel de
seguridad más alto de las dimensiones valoradas.
3. El proceso de determinación de niveles y categorías se establece en el Anexo I,
que aporta una serie de criterios generales para determinar si los requisitos de
seguridad son de nivel ALTO, MEDIO o BAJO en cada una de las dimensiones de
seguridad: confidencialidad [C], integridad [I], disponibilidad [D], autenticidad
[A], y trazabilidad [T].
4. El Esquema Nacional de Seguridad establece tres categorías para los sistemas:
BÁSICA, MEDIA y ALTA.
Un sistema de información será de categoría ALTA si alguna de sus
dimensiones de seguridad alcanza el nivel ALTO.
Un sistema de información será de categoría MEDIA si alguna de sus
dimensiones de seguridad alcanza el nivel MEDIO y ninguna alcanza un
nivel superior.
Un sistema de información será de categoría BÁSICA si alguna de sus
dimensiones de seguridad alcanza el nivel BAJO y ninguna alcanza un
nivel superior.
5. La Agencia Española de Protección de Datos señala en su nota “El impacto del
reglamento general de protección de datos sobre la actividad de las
administraciones públicas” que “en el caso de las AAPP, la aplicación de las
medidas de seguridad estará marcada por los criterios establecidos en el
Esquema Nacional de Seguridad”.
6. Asimismo el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo,
de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que
respecta al tratamiento de datos personales y a la libre circulación de estos
datos y por el que se deroga la Directiva 95/46/CE (en adelante, RGPD) obliga a
que cuando se traten datos de carácter personal se realice un análisis de
riesgos para los derechos y libertades de los ciudadanos y hace depender la
aplicación de todas las medidas de cumplimiento que prevé (entre ellas las de
seguridad) del nivel y tipo de riesgo que cada tratamiento implique para los
derechos y libertades de los afectados.
7. Esta guía pretende definir los criterios para determinar el nivel de seguridad
requerido en cada dimensión y ofrecer recomendaciones considerando
también los marcos normativos mencionados, que podrán ser desarrollados
1
Centro Criptológico Nacional SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-803 ENS Valoración de los sistemas
1
Comité TIC: de Tecnologías de la Información y la Comunicación.
2
Comité STIC: de Seguridad en las Tecnologías de Información y la Comunicación.
2
Centro Criptológico Nacional SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-803 ENS Valoración de los sistemas
3
Centro Criptológico Nacional SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-803 ENS Valoración de los sistemas
2. CRITERIOS DE VALORACIÓN
25. Habitualmente se procede a la valoración individualizada de los distintos tipos
de información y servicios en el ámbito de aplicación, considerando las
dimensiones relevantes para cada uno de ellos.
26. Sin embargo, la valoración individual de cada información manejada y cada
servicio prestado puede no ser la forma más efectiva de trabajar y puede dar
lugar a escenarios más heterogéneos de lo necesario, tanto dentro de una
misma entidad, como en sistemas de intercambio de información o prestación
de servicios. Por ello se recomienda en primer lugar proceder a la valoración de
los activos esenciales que sin duda van a exigir las valoraciones más restrictivas
en las dimensiones de seguridad y que determinarán con ello la categoría del
sistema.
27. Esta guía incluye criterios que pueden resultar de aplicación a una o varias
dimensiones, tanto de tipos de información como de servicios.
28. Cada criterio de valoración es codificado para facilitar su referencia cuando se
justifiquen las decisiones de valoración.
4
Centro Criptológico Nacional SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-803 ENS Valoración de los sistemas
3
En las tablas siguientes la expresión “N/A” indica que la dimensión no está adscrita a ningún nivel.
5
Centro Criptológico Nacional SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-803 ENS Valoración de los sistemas
6
Centro Criptológico Nacional SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-803 ENS Valoración de los sistemas
7
Centro Criptológico Nacional SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-803 ENS Valoración de los sistemas
33. De acuerdo con dicha regulación, el responsable del tratamiento debe adoptar
políticas internas y aplicar medidas que cumplan en particular los principios de
protección de datos desde el diseño y por defecto.
34. La Agencia Española de Protección de Datos señala en su nota “El impacto del
reglamento general de protección de datos sobre la actividad de las
administraciones públicas” lo siguiente:
La “necesidad de hacer un análisis de riesgo para los derechos y
libertades de los ciudadanos de todos los tratamientos de datos que se
desarrollen. El RGPD hace depender la aplicación de todas las medidas
de cumplimiento que prevé para responsables y encargados del nivel y
tipo de riesgo que cada tratamiento implique para los derechos y
libertades de los afectados. Por ello, todo tratamiento, tanto los ya
existentes como los que se pretenda iniciar, deben ser objeto de un
análisis de riesgos. Los responsables y los encargados del tratamiento
deberán realizar un análisis de riesgo para los derechos y libertades de
los ciudadanos”.
“La determinación de las medidas de cumplimiento (entre ellas las de
seguridad) dependerán del nivel y tipo de riesgo que cada tratamiento
implique para los derechos y libertades de los afectados “.
“En el caso de las AAPP, la aplicación de las medidas de seguridad estará
marcada por los criterios establecidos en el Esquema Nacional de
Seguridad”.
35. Es función del Responsable de la Seguridad determinar el conjunto de medidas
requerido, uniendo los que se requieren por una y otra norma, e imponiendo la
exigencia superior.
36. Si bien será la Agencia Española de Protección de Datos la que establezca
reglamentariamente los criterios a emplear, en este apartado se incluyen
algunos a título orientativo para facilitar la labor de los Responsables de la
Información y de los Servicios (o incluso del de la Seguridad si va a presentar
una propuesta a los anteriores), de forma que permitan determinar la
seguridad de los sistemas que intervienen en las actividades de tratamiento de
datos de carácter personal, en función de dos criterios:
El tipo de datos personales incluidos en los tipos de información
identificados.
Determinadas características de las operaciones de tratamiento, como
son:
Cantidad considerable de datos personales.
Importante riesgo para los derechos y libertades de los
interesados.
Evaluación sistemática y exhaustiva de aspectos personales.
Control de zonas de acceso público a gran escala.
8
Centro Criptológico Nacional SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-803 ENS Valoración de los sistemas
37. Los niveles obtenidos aplicando estos criterios son orientativos. Deberá tenerse
en cuenta el resultado del análisis de riesgos para los derechos y libertades de
los afectados, pudiendo en todo caso adoptarse medidas de seguridad
adicionales, así como complementarlas con otros controles de naturaleza
jurídica relacionados con el cumplimiento normativo.
38. El nivel determinado por el criterio de la siguiente tabla será de aplicación a las
cuatro dimensiones de seguridad relacionadas con el tipo de información
(confidencialidad, integridad, autenticidad, trazabilidad).
39. Para su valoración se analizarán los tipos de información resultantes de la
operación de tratamiento de la que se esté realizando la evaluación de impacto
en la privacidad o el análisis de riesgo.
9
Centro Criptológico Nacional SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-803 ENS Valoración de los sistemas
CRITERIOS PARA TIPOS DE INFORMACIÓN CON DATOS PERSONALES EN FUNCIÓN DEL TIPO
BAJO MEDIO ALTO
PRI.TIP.B PRI.TIP.M
Tabla 2. Criterios para Tipos de Información con Datos Personales en función del tipo.
10
Centro Criptológico Nacional SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-803 ENS Valoración de los sistemas
Evaluación PRI.ASP.M
sistemática y Operación de tratamiento para adoptar decisiones
exhaustiva de relativas a personas físicas concretas a raíz de una
evaluación sistemática y exhaustiva de aspectos
aspectos personales
personales propios de personas físicas, basada en la
elaboración de perfiles de dichos datos o a raíz del
tratamiento de categorías especiales de datos
personales, datos biométricos o datos sobre condenas
e infracciones penales o medidas de seguridad
conexas (RGPD, 91)
Control de zonas de PRI.ACC.M
acceso público a Operaciones de control de onas de acceso público a
gran escala gran escala, en par cular cuando se u licen
disposi vos optoelectrónicos (RGPD, 91)
Tabla 3. Criterios para tipos de información con datos personales en función del
tratamiento.
11
Centro Criptológico Nacional SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-803 ENS Valoración de los sistemas
43. Uno de los criterios que son útiles para determinar los requisitos de
disponibilidad de un servicio es el establecimiento de un tiempo de
recuperación objetivo o tiempo de interrupción de referencia, que a menudo se
conoce como RTO, y mide el tiempo máximo que el servicio puede permanecer
interrumpido.
44. Antes de que se alcance el tiempo máximo establecido por el RTO 5 la
organización deberá haber alcanzado los niveles mínimos de servicio (MBCO 6)
que deberá haber sido establecido por el Responsable del Servicio.
45. La valoración de la disponibilidad mide las consecuencias en caso de que ese
tiempo se supere; es decir, que se quede por debajo del nivel mínimo de
servicio por un periodo superior al RTO establecido.
4
Service Level Agreement (en español, ANS)
5
Recovery Time Objective (en español, TRO).
6
Nivel mínimo de los servicios y/o productos que es aceptable para la organización para conseguir sus
objetivos durante una disrupción
12
Centro Criptológico Nacional SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-803 ENS Valoración de los sistemas
46. Los requisitos de seguridad son sensibles al RTO, pues un RTO muy corto
(minutos u horas) supone una gran presión sobre la organización para
garantizar su cumplimiento, mientras que un RTO largo (días) deja cierto
margen a la improvisación.
47. La siguiente tabla puede usarse como referencia.
13
Centro Criptológico Nacional SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-803 ENS Valoración de los sistemas
3. TIPOS DE INFORMACIÓN
3.1. IDENTIFICACIÓN
57. Aunque información es cualquier conjunto de datos que tienen significado, el
Esquema Nacional de Seguridad se limita a valorar los servicios de aquellas
entidades que estén sometidos a la Ley 39/2015, de 1 de octubre,
Procedimiento Administrativo Común de las Administraciones Públicas y Ley
40/2015, de 1 de octubre, Régimen Jurídico del Sector Público.
Consecuentemente, los tipos de información a valorar serán los utilizados por
los servicios dentro del ámbito de aplicación. Por ejemplo, datos médicos,
fiscales, administrativos, contrataciones, resoluciones, notificaciones, etc. En
general, cabe esperar que estos tipos de información estén identificados en
algún tipo de ordenamiento general o particular de la entidad, lo que les
7
Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras
críticas
8
Ley 9/1998, de 5 de abril, sobre secretos oficiales
14
Centro Criptológico Nacional SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-803 ENS Valoración de los sistemas
confiere entidad propia e implica unos deberes del sector público respecto del
tratamiento de dicho tipo de información.
58. No se valorarán directamente datos auxiliares que no son objeto directo del
proceso administrativo y sólo aparecen como instrumentales para la prestación
de los servicios. Por ejemplo, servicios de directorio, claves de acceso, etc.
59. Para cada tipo de información, se debe determinar:
Su nombre, que la identifica unívocamente.
Su responsable, que establece sus requisitos de seguridad.
Otras características que se consideren relevantes a efectos
operacionales, de asociación de vulnerabilidades, de estimación de
riesgos o de auditoría.
60. La determinación de los tipos de información y la figura del responsable
vendrán determinadas en la Política de Seguridad o, en su defecto, la Política
de Seguridad establecerá el marco para su identificación y el procedimiento de
designación de la persona responsable.
3.2. VALORACIÓN
61. La valoración de la información la determina el responsable de la misma
teniendo en cuenta su naturaleza y la normativa que pudiera serle de
aplicación. Esta valoración requiere un conocimiento legal de la materia de que
se trate.
62. La información suele imponer requisitos relevantes en las dimensiones de
confidencialidad, integridad, autenticidad y trazabilidad. No suele haber
requisitos relevantes en la dimensión de disponibilidad, considerándose en los
servicios que gestionan esa información.
63. Cuando una dimensión no condiciona las medidas de seguridad, en el apartado
de valoración se indicará como “NO ADSCRITA” o “N/A”.
64. A continuación, se describen criterios para establecer un valor en cada
dimensión. Estos criterios son de carácter general, sirviendo de guía, pudiendo
la política de seguridad concretar casos particulares de la entidad y que el
responsable de la información fundamente la adscripción que determine como
apropiada.
3.2.1. CONFIDENCIALIDAD
65. Son de aplicación los Criterios Generales del apartado 2.1, considerando las
consecuencias que tendría su revelación a personas no autorizadas o que no
necesitan conocer la información.
66. Son de aplicación los Criterios para Datos de Carácter Personal, detallados en el
apartado 2.2.
15
Centro Criptológico Nacional SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-803 ENS Valoración de los sistemas
3.2.2. INTEGRIDAD
69. Son de aplicación los Criterios Generales del apartado 2.1, considerando las
consecuencias que tendría su modificación por alguien que no está autorizado
a modificar la información.
70. Son de aplicación los Criterios para Datos de Carácter Personal, detallados en el
apartado 2.
71. Serán de aplicación los Criterios específicos determinados para ámbitos
concretos que pudieran publicarse como anexos de esta guía o por la política
de seguridad de la organización, conforme al apartado 49.
72. No estará adscrita (N/A) la valoración a la dimensión:
cuando los errores en su contenido carecen de consecuencias.
cuando los errores en su contenido son fácil y rápidamente reparables.
3.2.3. AUTENTICIDAD
73. Son de aplicación los Criterios Generales del apartado 2.1, considerando las
consecuencias que tendría el hecho de que la información no fuera auténtica.
74. Son de aplicación los Criterios para Datos de Carácter Personal, detallados en el
apartado 2.
75. Serán de aplicación los Criterios específicos determinados para ámbitos
concretos que pudieran publicarse como anexos de esta guía o por la política
de seguridad de la organización, conforme al apartado 49.
76. No estará adscrita (N/A) la valoración a la dimensión:
cuando el origen es irrelevante o ampliamente conocido por otros medios.
cuando el destinatario es irrelevante, por ejemplo, por tratarse de
información de difusión anónima.
3.2.4. TRAZABILIDAD
77. Son de aplicación los Criterios Generales del apartado 2.1, considerando las
consecuencias que tendría el no poder comprobar a posteriori quién ha
accedido a, o modificado, una cierta información.
78. Son de aplicación los Criterios para Datos de Carácter Personal, detallados en el
apartado 2.2.
16
Centro Criptológico Nacional SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-803 ENS Valoración de los sistemas
4. SERVICIOS
4.1. IDENTIFICACIÓN
81. A los efectos de esta guía, se entiende por servicio aquéllos prestados por los
sistemas de información de la entidad que estén sometidos a la Ley 39/2015,
de 1 de octubre, Procedimiento Administrativo Común de las Administraciones
Públicas y Ley 40/2015, de 1 de octubre, Régimen Jurídico del Sector Público.
82. Algunos de estos servicios pueden estar identificados en algún tipo de
ordenamiento general, mientras que otros serán particulares de la entidad. En
cualquier caso, los servicios aquí contemplados tienen identidad propia con
independencia de los medios que se empleen para su prestación, asumiendo la
entidad que los presta unas obligaciones con respecto a los mismos.
83. No se valoran servicios internos o auxiliares tales como correo electrónico,
ficheros en red, servicios de directorio, de impresión, de copias de respaldo,
etc.
84. Para cada servicio se debe determinar:
Su nombre, que lo identifica unívocamente.
Su responsable, que establece sus requisitos de seguridad.
Otras características que se consideren relevantes a efectos operacionales,
de asociación de vulnerabilidades, de estimación de riesgos o de auditoría.
85. La determinación de los servicios que se prestan y la figura del responsable
vendrán determinadas en la Política de Seguridad o, en su defecto, la Política
de Seguridad establecerá el marco para su identificación y el procedimiento de
designación de la persona responsable.
4.2. VALORACIÓN
17
Centro Criptológico Nacional SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-803 ENS Valoración de los sistemas
4.2.1. DISPONIBILIDAD
92. Son de aplicación los Criterios Generales del apartado 2.1, considerando las
consecuencias que tendría que una persona o sistema interconectado
autorizado no pudiera usar el servicio cuando lo necesita dentro del periodo
de servicio establecido y anunciado por la organización.
93. Son de aplicación los Criterios para Disponibilidad, detallados en el apartado
2.3.
94. Serán de aplicación los criterios específicos determinados para ámbitos
concretos que pudieran publicarse como anexos de esta guía o por la política
de seguridad de la organización, conforme al apartado 2.4.
95. No estará adscrita (N/A) la valoración a la dimensión cuando apenas tenga
consecuencias adversas la restauración de los niveles mínimos de servicio en un
plazo superior a 5 días (RTO).
18
Centro Criptológico Nacional SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-803 ENS Valoración de los sistemas
8
Tipo: Información o Servicio.
9
C (Confidencialidad), I (integridad), D (Disponibilidad), A (Autenticidad) y T (Trazabilidad). Por cada
dimensión de seguridad se elegirá entre los niveles Bajo, Medio, Alto o N/A (No adscrito a ningún nivel).
19
Centro Criptológico Nacional SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-803 ENS Valoración de los sistemas
Subsistemas Categoría10
Subsistema 1 …
Subsistema 2 …
10
Puede ser BÁSICA, MEDIA o ALTA.
20
Centro Criptológico Nacional SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-803 ENS Valoración de los sistemas
Ejemplos:
CATEGORÍA BÁSICA: [C(N/A), I(B), D(B), A(B), T(B)]
CATEGORÍA MEDIA: [C(N/A), I(B), D(B), A(M), T(B)]
CATEGORÍA ALTA: [C(M), I(B), D(A), A(M), T(B)]
21
Centro Criptológico Nacional SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-803 ENS Valoración de los sistemas
5.5. DOCUMENTACIÓN
113. Es esencial que queden perfectamente documentadas todas las actividades
relativas a la valoración de los sistemas:
criterios seguidos y razonamientos aplicados, para lo que puede utilizarse la
codificación de los criterios de valoración proporcionada en esta guía.
opiniones o consideraciones de terceros que se han considerado relevantes.
normas, leyes, reglamentos o prácticas sectoriales que sean de aplicación.
circunstancias particulares que puedan tener un impacto en la valoración,
de forma permanente o coyuntural, incluyendo:
periodos críticos de prestación del servicio,
agregación de información o de servicios,
circunstancias especiales de prestación como situaciones de
emergencia
revisiones por terceras partes, incluyendo auditoría.
114. Todas las decisiones deben estar debida y formalmente aprobadas y la
documentación disponible a efectos de auditoría.
El Responsable de cada Información aprueba la valoración de dicha
información.
El Responsable de cada Servicio aprueba la valoración de dicho servicio.
El Responsable de la Seguridad determina y aprueba las medidas de
seguridad que son de aplicación (Declaración de Aplicabilidad) en el
sistema o en cada subsistema y las acciones organizativas y técnicas que se
adoptan para sustanciar dichas medidas de seguridad.
Si se toman decisiones de suspensión parcial o total de un sistema, éstas
vendrán aprobadas por el Responsable del Sistema y los responsables de los
Servicios afectados por la suspensión.
Los Responsables de la Información y del Servicio deben aprobar asimismo
el riesgo residual que conlleve la adopción de las medidas de seguridad
correspondientes.
Por ultimo dichos sistemas serán objeto de una auditoría de acuerdo al
Anexo III del ENS.
22
Centro Criptológico Nacional SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-803 ENS Valoración de los sistemas
23
Centro Criptológico Nacional SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-803 ENS Valoración de los sistemas
24
Centro Criptológico Nacional SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-803 ENS Valoración de los sistemas
25
Centro Criptológico Nacional SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-803 ENS Valoración de los sistemas
7. ANEXO B. ABREVIATURAS
Siglas Definición
26
Centro Criptológico Nacional SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-803 ENS Valoración de los sistemas
8. ANEXO C. REFERENCIAS
• 2001/264/CE Decisión del Consejo de 19 de marzo de 2001 por la que se
adoptan las normas de seguridad del Consejo.
• Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de
abril de 2016, relativo a la protección de las personas físicas en lo que respecta al
tratamiento de datos personales y a la libre circulación de estos datos
• Ley 9/1998, de 5 de abril, sobre secretos oficiales
• Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter
personal
• Real Decreto 3/2010 del 8 de enero, por el que se regula el Esquema Nacional
de Seguridad en el ámbito de la Administración Electrónica
• Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional
de Interoperabilidad en el ámbito de la Administración Electrónica
• Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto
3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el
ámbito de la Administración Electrónica
• Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el
reglamento de protección de datos de carácter personal
• Real Decreto 421/2004, de 12 de marzo, por el que se regula el Centro
Criptológico Nacional
• Instrucción técnica de seguridad de Conformidad con el Esquema Nacional de
Seguridad por Resolución de 13 de octubre de 2016, del Secretario de Estado de
Administraciones Públicas
• Instrucción Técnica de Seguridad de Informe del Estado de la Seguridad por
Resolución de 7 de octubre de 2016, de la Secretaría de Estado de Administraciones
Públicas
• Guía de seguridad de las TIC - (CCN-STIC-801)- Esquema Nacional de Seguridad:
Roles y Funciones. Febrero 2011.
• Guía de seguridad de las TIC - (CCN-STIC-830) - Ámbito de aplicación del
Esquema Nacional de Seguridad
• MAGERIT – versión 3. Metodología de Análisis y Gestión de Riesgos de los
Sistemas de Información. Consejo Superior de Administración Electrónica, 2012.
• FIPS 199 Standards for Security Categorization of Federal Information and
Information Systems. Feb. 2004.
• SP 800-60 Rev.1 Guide for Mapping Types of Information and Information
Systems to Security Categories. Volume 1: Guide. Volume 2: Appendices. Aug 2008.
27
Centro Criptológico Nacional SIN CLASIFICAR