Beruflich Dokumente
Kultur Dokumente
GUA DE SEGURIDAD
(CCN-STIC-824)
Octubre de 2016
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-824 ENS. Informe Nacional del Estado de Seguridad
Edita:
J.A. Maas ha participado en el desarrollo del presente documento, que ha sido financiado por el Ministerio de
Hacienda y Administraciones Pblicas.
LIMITACIN DE RESPONSABILIDAD
El presente documento se proporciona de acuerdo con los trminos en l recogidos, rechazando expresamente
cualquier tipo de garanta implcita que se pueda encontrar relacionada. En ningn caso, el Centro Criptolgico
Nacional puede ser considerado responsable del dao directo, indirecto, fortuito o extraordinario derivado de la
utilizacin de la informacin y software que se indican incluso cuando se advierta de tal posibilidad.
AVISO LEGAL
Quedan rigurosamente prohibidas, sin la autorizacin escrita del Centro Criptolgico Nacional, bajo las sanciones
establecidas en las leyes, la reproduccin parcial o total de este documento por cualquier medio o procedimiento,
comprendidos la reprografa y el tratamiento informtico, y la distribucin de ejemplares del mismo mediante alquiler
o prstamo pblicos.
PRLOGO
El uso masivo de las tecnologas de la informacin y las telecomunicaciones (TIC), en todos los mbitos
de la sociedad, ha creado un nuevo espacio, el ciberespacio, donde se producirn conflictos y agresiones, y
donde existen ciberamenazas que atentarn contra la seguridad nacional, el estado de derecho, la
prosperidad econmica, el estado de bienestar y el normal funcionamiento de la sociedad y de las
administraciones pblicas.
La Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, encomienda al Centro
Nacional de Inteligencia el ejercicio de las funciones relativas a la seguridad de las tecnologas de la
informacin en su artculo 4.e), y de proteccin de la informacin clasificada en su artculo 4.f), a la vez
que confiere a su Secretario de Estado Director la responsabilidad de dirigir el Centro Criptolgico Nacional
en su artculo 9.2.f).
Partiendo del conocimiento y la experiencia del CNI sobre amenazas y vulnerabilidades en materia de
riesgos emergentes, el Centro realiza, a travs de su Centro Criptolgico Nacional, regulado por el Real
Decreto 421/2004, de 12 de marzo, diversas actividades directamente relacionadas con la seguridad de las
TIC, orientadas a la formacin de personal experto, a la aplicacin de polticas y procedimientos de
seguridad, y al empleo de tecnologas de seguridad adecuadas.
Una de las funciones ms destacables del Centro Criptolgico Nacional es la de elaborar y difundir normas,
instrucciones, guas y recomendaciones para garantizar la seguridad de los sistemas de las tecnologas de
la informacin y las comunicaciones de la Administracin, materializada en la existencia de la serie de
documentos CCN-STIC.
Disponer de un marco de referencia que establezca las condiciones necesarias de confianza en el uso de los
medios electrnicos es, adems, uno de los principios que establece la ley 11/2007, de 22 de junio, de
acceso electrnico de los ciudadanos a los servicios pblicos, en su artculo 42.2 sobre el Esquema Nacional
de Seguridad (ENS).
Precisamente el Real Decreto 3/2010 de 8 de enero de desarrollo del Esquema Nacional de Seguridad,
modificado por el Real Decreto 951/2015, de 23 de octubre, fija los principios bsicos y requisitos mnimos
as como las medidas de seguridad a implantar en los sistemas de la Administracin, y promueve la
elaboracin y difusin de guas de seguridad de las tecnologas de la informacin y las comunicaciones por
parte de CCN para facilitar un mejor cumplimiento de dichos requisitos mnimos.
En definitiva, la serie de documentos CCN-STIC se elabora para dar cumplimiento a los cometidos del
Centro Criptolgico Nacional y a lo reflejado en el Esquema Nacional de Seguridad, conscientes de la
importancia que tiene el establecimiento de un marco de referencia en esta materia que sirva de apoyo para
que el personal de la Administracin lleve a cabo su difcil, y en ocasiones, ingrata tarea de proporcionar
seguridad a los sistemas de las TIC bajo su responsabilidad.
Octubre de 2016
NDICE
1 INTRODUCCIN ................................................................................................................................... 6
2 MTRICAS BSICAS ........................................................................................................................... 7
2.1 NIVELES DE MADUREZ .............................................................................................................................. 7
2.2 NIVEL DE UN INCIDENTE ........................................................................................................................... 8
3 CARACTERIZACIN DEL SISTEMA DE INFORMACIN ........................................................... 10
3.1 IDENTIFICACIN ..................................................................................................................................... 10
3.2 ACTIVOS ESENCIALES ............................................................................................................................. 11
3.3 CUMPLIMIENTO DEL ANEXO II DEL ENS ................................................................................................ 11
4 INDICADORES BSICOS ................................................................................................................... 15
4.1 ORGANIZACIN DE LA SEGURIDAD ......................................................................................................... 15
4.1.1 Actividades .......................................................................................................................................... 15
4.1.2 Normativa y procedimientos de seguridad .......................................................................................... 16
4.2 IDENTIFICACIN Y AUTENTICACIN ....................................................................................................... 18
4.2.1 Interna ................................................................................................................................................. 18
4.2.2 Externa ................................................................................................................................................ 19
4.3 SERVICIOS SUBCONTRATADOS ................................................................................................................ 20
4.4 ELEMENTOS DEL ENS ............................................................................................................................ 21
4.4.1 Procesos crticos ................................................................................................................................. 21
4.4.2 Proceso de autorizacin [org.4] ......................................................................................................... 21
4.4.3 Anlisis de riesgos [op.pl.1] ............................................................................................................... 22
4.4.4 Proceso de gestin de derechos de acceso [op.acc.4] ........................................................................ 23
4.4.5 Configuracin de seguridad ................................................................................................................ 23
4.4.6 Gestin de cambios ............................................................................................................................. 24
4.4.7 Continuidad de operaciones................................................................................................................ 26
4.4.8 Formacin ........................................................................................................................................... 27
4.5 GESTIN DE INCIDENTES ........................................................................................................................ 28
4.5.1 Tiempo de respuesta (das) a los incidentes de seguridad de la informacin (confidencialidad) ....... 29
4.5.2 Tiempo de respuesta (horas) a los incidentes de interrupcin del servicio (disponibilidad) .............. 30
4.6 RECURSOS .............................................................................................................................................. 32
4.7 DESGLOSE DEL PRESUPUESTO ................................................................................................................ 34
4.8 AUDITORAS ........................................................................................................................................... 35
4.8.1 Auditoras de alto nivel ....................................................................................................................... 37
4.8.2 Auditoras tcnicas .............................................................................................................................. 38
4.8.3 Certificaciones de conformidad actualizadas ..................................................................................... 38
4.9 KRI KEY RISK INDICATORS (INDICADORES CLAVE DE RIESGO) .......................................................... 38
4.9.1 Derechos de los usuarios .................................................................................................................... 38
4.9.2 Dispositivos propios del usuario (BYOD) ........................................................................................... 39
4.9.3 Rotacin de personal........................................................................................................................... 39
5 INDICADORES AGREGADOS ........................................................................................................... 39
5.1 ORGANIZACIN DE LA SEGURIDAD ......................................................................................................... 39
5.2 ENS ANEXO II ..................................................................................................................................... 40
5.3 GESTIN DE INCIDENTES ........................................................................................................................ 41
5.4 AUDITORAS ........................................................................................................................................... 42
6 IM - NDICE DE MADUREZ ............................................................................................................... 43
6.1 EJEMPLOS DE CLCULO DEL NDICE DE MADUREZ ................................................................................. 44
7 IC - NDICE DE CUMPLIMIENTO .................................................................................................... 47
7.1 EJEMPLOS DE CLCULO DEL NDICE DE CUMPLIMIENTO ........................................................................ 48
1 INTRODUCCIN
1. El Esquema Nacional de Seguridad (ENS) exige evaluar regularmente el estado de seguridad
de los sistemas de informacin:
Artculo 35. Informe del estado de la seguridad.
dimensiones todas
categora bsica media alta
aplica + ++
Categora BSICA
Se recopilarn los datos necesarios atendiendo a la categora del sistema para
conocer el grado de implantacin de las medidas de seguridad que apliquen de las
detalladas en el Anexo II y, en su caso, para proveer el informe anual requerido por
el artculo 35.
Categora MEDIA
Adems, se recopilarn datos para valorar el sistema de gestin de incidentes,
permitiendo conocer
Nmero de incidentes de seguridad tratados.
Tiempo empleado para cerrar el 50% de los incidentes.
Tiempo empleado para cerrar el 90% de los incidentes.
Categora ALTA
Se recopilarn datos para conocer la eficiencia del sistema de seguridad TIC:
Recursos consumidos: horas y presupuesto.
2 MTRICAS BSICAS
8. Esta seccin describe algunas mtricas que se van a usar en diferentes indicadores.
1
CMM CapabilityMaturity Model Modelo de madurez de capacidad o proceso.
Centro Criptolgico Nacional 7
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-824 ENS. Informe Nacional del Estado de Seguridad
10. L0 - Inexistente
11. En el nivel L0 de madurez no hay nada.
12. L1 Inicial / ad hoc
13. En el nivel L1 de madurez, el proceso existe, pero no se gestiona. El xito depende de buena
suerte. En este caso, las organizaciones exceden con frecuencia presupuestos y tiempos de
respuesta.
14. El xito del nivel L1 depende de tener personal de alta calidad.
15. L2 - Reproducible pero intuitivo
16. En el nivel L2 de madurez, la eficacia del proceso depende de la buena suerte y de la buena
voluntad de las personas. Los xitos son repetibles, pero no hay plan para los incidentes ms
all de la reaccin heroica.
17. Todava hay un riesgo significativo de exceder las estimaciones de coste y tiempo.
18. L3 - Proceso definido
19. Se despliegan y se gestionan los procesos. Hay normativa establecida y procedimientos para
garantizar la reaccin profesional ante los incidentes. Se ejerce un mantenimiento regular. Las
oportunidades de sobrevivir son altas, aunque siempre queda el factor de lo desconocido (o
no planificado).
20. El xito es algo ms que buena suerte: se merece.
21. L4 Gestionado y medible
22. Usando medidas, la direccin puede controlar empricamente la eficacia y la efectividad de
los procesos. En particular, la direccin puede fijar metas cuantitativas de la calidad. En el
nivel L4 de madurez, el funcionamiento de los procesos est bajo control con tcnicas
estadsticas y cuantitativas. La confianza es cuantitativa, mientras que en el nivel L3, la
confianza era solamente cualitativa.
23. L5 - Optimizado
24. El nivel L5 de madurez se centra en la mejora continua de los procesos con mejoras
tecnolgicas incrementales e innovadoras. Se establecen objetivos cuantitativos de mejora. Y
se revisan continuamente para reflejar los cambios en los objetivos de negocio, utilizndose
como indicadores en la gestin de la mejora de los procesos.
Nivel Descripcin
I0 IRRELEVANTE No hay impacto apreciable sobre el sistema
No hay daos reputacionales apreciables
I1 BAJO La categora ms alta de los sistemas de informacin afectados
es BSICA
El ciberincidente precisa para resolverse menos de 1 JP2
Daos reputacionales puntuales, sin eco meditico
I2 MEDIO La categora ms alta de los sistemas de informacin afectados
es MEDIA
Afecta a ms de 10 equipos con informacin cuya mxima
categora es BSICA
El ciberincidente precisa para resolverse entre 1 y 10 JP
Daos reputacionales apreciables, con eco meditico (amplia
cobertura en los medios de comunicacin)
I3 ALTO La categora ms alta de los sistemas de informacin afectados
es ALTA
Afecta a ms de 50 equipos con informacin cuya mxima
categora es BSICA
Afecta a ms de 10 equipos con informacin cuya mxima
categora es MEDIA
El ciberincidente precisa para resolverse entre 10 y 20 JP
Daos reputacionales de difcil reparacin, con eco meditico
(amplia cobertura en los medios de comunicacin) y afectando
a la reputacin de terceros
I4 MUY ALTO Afecta a sistemas clasificados RESERVADO
Afecta a ms de 100 equipos con informacin cuya mxima
categora es BSICA
Afecta a ms de 50 equipos con informacin cuya mxima
categora es MEDIA
Afecta a ms de 10 equipos con informacin cuya mxima
categora es ALTA
El ciberincidente precisa para resolverse entre 20 y 50 JP
Daos reputacionales a la imagen del pas (marca Espaa)
Afecta apreciablemente a actividades oficiales o misiones en el
extranjero
Afecta apreciablemente a una infraestructura crtica
2
JP Jornada-persona; estimacin del esfuerzo necesario para realizar una tarea cuya unidad equivale a una jornada
de trabajo ininterrumpido de un trabajador medio.
Centro Criptolgico Nacional 9
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-824 ENS. Informe Nacional del Estado de Seguridad
3.1 IDENTIFICACIN
27. Datos generales.
Identificacin
Organismo denominacin del organismo
Responsable de la seguridad nombre y apellidos
Responsable del sistema nombre y apellidos
etiqueta org
descripcin denominacin del organismo
tipo texto
valores texto libre
etiqueta rseg
descripcin responsable de la seguridad
tipo texto
valores texto libre
etiqueta rsis
descripcin responsable del sistema
tipo texto
valores texto libre
etiqueta users.total
descripcin nmero de personas con acceso al sistema de informacin
tipo nmero
valores >0
etiqueta stic_p
descripcin nmero de personas con responsabilidad de administracin de seguridad TIC
tipo nmero
valores >0
medida El nmero de administradores de seguridad se mide como el nmero usuarios
que tienen permisos de administrador sobre la seguridad del sistema o de algn
componente del sistema.
Se incluyen tanto servidores como equipos de usuario final.
3
D (Disponibilidad), I (Integridad), C (Confidencialidad), A (Autenticidad) y T (Trazabilidad).
4
n.a. Acrnimo que se lee como no aplica o no es aplicable. Se emplea cuando una cierta medida de seguridad
no es relevante en el sistema. Por ejemplo, no hay nada que decir del correo electrnico si el sistema no emplea este
servicio.
Centro Criptolgico Nacional 11
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-824 ENS. Informe Nacional del Estado de Seguridad
4 INDICADORES BSICOS
31. Se describen los datos que se recopilarn para ser informados anualmente.
4.1.1 ACTIVIDADES
32. Se analizan varias actividades organizativas, establecindose una escala cualitativa de
valoracin en 5 niveles. A saber:
1 no se ha iniciado la actividad
2 la actividad est solamente iniciada
3 la actividad est en curso
4 est prcticamente completada
5 actividad completada
etiqueta b_policy
descripcin se dispone de una poltica de seguridad aprobada
tipo entero
valores rango 1-5
objetivo 5
etiqueta rseg-rsis
descripcin el responsable de la seguridad es independiente del responsable del sistema
tipo entero
valores rango 1-5
objetivo 5
etiqueta b_risk
descripcin el anlisis de riesgos est actualizado al ltimo ao
tipo entero
valores rango 1-5
objetivo 5
etiqueta b_soa
descripcin se dispone de una declaracin de aplicabilidad actualizada
tipo entero
valores rango 1-5
objetivo 5
etiqueta b_plan
descripcin se mantiene actualizado el plan de seguridad para estar adaptado al ENS
tipo entero
valores rango 1-5
objetivo 5
etiqueta b_cert
descripcin se dispone de una declaracin o certificacin de conformidad actualizada
tipo entero
valores rango 1-5
objetivo 5
etiqueta policies.p
descripcin porcentaje de normas de seguridad implantadas
tipo porcentaje
valores 0% .. 100%
objetivo 100%
medida es imposible ser objetivo; el responsable de la seguridad realizar una
estimacin aproximada, plasmada en un nmero redondo, evidentemente sin
decimales.
Pueden facilitarse algunas pautas:
100% no hay ninguna norma pendiente de implantar
90% slo falta implantar algunos elementos de detalle
80% prcticamente todas las normas estn implantadas
50% la implantacin progresa adecuadamente
10% hemos empezado a implantar algunas normas
0% no hay ninguna norma implantada
etiqueta pos.p
descripcin porcentaje de procedimientos operativos de seguridad implantados
tipo porcentaje
valores 0% .. 100%
objetivo 100%
medida es imposible ser objetivo; el responsable de la seguridad realizar una
estimacin aproximada, plasmada en un nmero redondo, evidentemente sin
decimales.
Pueden facilitarse algunas pautas:
100% no hay ningn procedimiento pendiente de implantar
90% slo falta implantar algunos elementos de detalle
80% prcticamente todos los procedimientos estn implantados
50% la implantacin progresa adecuadamente
10% hemos empezado a implantar algunos procedimientos
0% no hay ningn procedimiento implantado
IDENTIFICACIN Y AUTENTICACIN
Personal interno
puntos de acceso que emplean contraseas %
puntos de acceso que emplean tokens %
puntos de acceso que emplean biometra %
Usuarios externos
puntos de acceso que emplean contraseas %
puntos de acceso que emplean claves concertadas %
puntos de acceso que emplean tokens %
(ej. DNI electrnico)
puntos de acceso que emplean doble canal %
(ej. contraseas de un solo uso sobre SMS)
4.2.1 INTERNA
36. Mecanismo de autenticacin para personal interno (trabajadores del organismo, propios o
subcontratados)
etiqueta ia.int.password
descripcin puntos de acceso que emplean contraseas
tipo porcentaje
valores 0% .. 100%
medida nmero de cuentas de usuario que se pueden autenticar con contrasea
etiqueta ia.int.token
descripcin puntos de acceso que emplean tokens
tipo porcentaje
valores 0% .. 100%
medida nmero de cuentas de usuario que se pueden autenticar con token
etiqueta ia.int.bio
descripcin puntos de acceso que emplean biometra
tipo porcentaje
valores 0% .. 100%
medida nmero de cuentas de usuario que se pueden autenticar biomtricamente
4.2.2 EXTERNA
37. Mecanismo de autenticacin para usuarios externos: usuarios que no son personal del
organismo
etiqueta ia.ext.password
descripcin puntos de acceso que emplean contraseas
tipo porcentaje
valores 0% .. 100%
medida nmero de cuentas de usuario que se pueden autenticar con contrasea
etiqueta ia.ext.cc
descripcin puntos de acceso que emplean claves concertadas
tipo porcentaje
valores 0% .. 100%
medida nmero de cuentas de usuario que se pueden autenticar con claves concertadas
etiqueta ia.ext.token
descripcin puntos de acceso que emplean tokens
(ej. DNI electrnico)
tipo porcentaje
valores 0% .. 100%
medida nmero de cuentas de usuario que se pueden autenticar con token
etiqueta ia.ext.2
descripcin puntos de acceso que emplean doble canal
(ej. contraseas de un solo uso sobre SMS)
tipo porcentaje
valores 0% .. 100%
medida nmero de cuentas de usuario que se pueden autenticar con doble canal
5
ISP Internet Service Provider Proveedor de acceso a Internet
6
hosting Hospedaje donde el proveedor proporciona la infraestructura fsica y lgica.
7
housing Hospedaje donde los equipos son del cliente y el proveedor simplemente los acoge en sus instalaciones.
8
www Servidor de pginas de navegacin web.
9
SaaS Software as a Service El proveedor proporciona la aplicacin software.
10
PaaS Platform as a Service El proveedor proporciona la plataforma y el cliente instala sus aplicaciones.
11
IaaS- Infrastructure as a Service El proveedor proporciona el equipo y el cliente instala desde el sistema operativo
en adelante.
Centro Criptolgico Nacional 20
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-824 ENS. Informe Nacional del Estado de Seguridad
Proceso madurez
Proceso de autorizacin [org.4]
Anlisis de riesgos [op.pl.1]
Gestin de derechos de acceso [op.acc.4]
Gestin de incidentes [op.exp.7]
Concienciacin y formacin [mp.per.3 + mp.per.4]
Configuracin de seguridad [op.exp.2] +
Gestin de la configuracin [op.exp.3]
Mantenimiento [op.exp.4] +
Gestin de cambios [op.exp.5]
Continuidad de operaciones
[op.cont.1 op.cont.2 op.cont.3
mp.if.9 mp.per.9 mp.eq.9 mp.com.9 mp.info.9 mp.s.9
op.ext.9]
41. Se mide por medio de niveles de madurez que se describen la seccin 2.1.
etiqueta process.org-4.n_high
descripcin nmero de incidentes de nivel I4 ms los de nivel I5 (seccin 2.2)
debidos a fallos del proceso de autorizacin
tipo entero
valores 0
objetivo 0
12
Los niveles de madurez se describen en la seccin 2.1.
Centro Criptolgico Nacional 21
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-824 ENS. Informe Nacional del Estado de Seguridad
etiqueta process.org-4.n_medium
descripcin nmero de incidentes de nivel I3 (seccin 2.2)
debidos a fallos del proceso de autorizacin
tipo entero
valores 0
objetivo 0
etiqueta process.org-4.p_high
descripcin nmero de incidentes de nivel I4 ms los de nivel I5 (seccin 2.2) por usuario
debidos a fallos del proceso de autorizacin
tipo porcentaje
frmula process.org-4.n_high / users.total
valores 0% .. 100%
objetivo 0%
etiqueta process.org-4.p_medium
descripcin nmero de incidentes de nivel I3 (seccin 2.2) por usuario
debidos a fallos del proceso de autorizacin
tipo porcentaje
process.org-4.n_medium / users.total
valores 0% .. 100%
objetivo 0%
etiqueta assets.essential.total
descripcin nmero de activos esenciales
tipo entero
valores >0
etiqueta process.op-pl-1.n
descripcin nmero de elementos esenciales con un anlisis de riesgos actualizado
en el ltimo ao
tipo entero
valores 0 .. assets.essential.total
objetivo assets.essential.total
etiqueta process.op-pl-1.p
descripcin proporcin de elementos esenciales con un anlisis de riesgos actualizado
en el ltimo ao
tipo porcentaje
frmula process.op-pl-1.n / assets.essential.total
valores 0% .. 100%
objetivo 100%
etiqueta process.op-acc-4.n_high
descripcin nmero de incidentes de nivel I4 ms los de nivel I5 (seccin 2.2)
debidos a fallos del proceso de gestin de derechos de acceso
tipo entero
valores 0
objetivo 0
etiqueta process.op-acc-4.n_medium
descripcin nmero de incidentes de nivel I3 (seccin 2.2)
debidos a fallos del proceso de gestin de derechos de acceso
tipo entero
valores 0
objetivo 0
etiqueta process.op-acc-4.p_high
descripcin nmero de incidentes de nivel I4 ms los de nivel I5 (seccin 2.2) por usuario
debidos a fallos del proceso de gestin de derechos de acceso
tipo porcentaje
frmula process.op-acc-4.n_high / users.total
valores 0% .. 100%
objetivo 0%
etiqueta process.op-acc-4.p_medium
descripcin nmero de incidentes de nivel I3 (seccin 2.2) por usuario
debidos a fallos del proceso de gestin de derechos de acceso
tipo porcentaje
frmula process.op-acc-4.n_medium / users.total
valores 0% .. 100%
objetivo 0%
etiqueta process.op-exp-2.n_high
descripcin nmero de incidentes de nivel I4 ms los de nivel I5 (seccin 2.2)
debidos a fallos del proceso de establecimiento y mantenimiento de la
configuracin de seguridad
tipo entero
valores 0
objetivo 0
etiqueta process.op-exp-2.n_medium
descripcin nmero de incidentes de nivel I3 (seccin 2.2)
debidos a fallos del proceso de establecimiento y mantenimiento de la
configuracin de seguridad
tipo entero
valores 0
objetivo 0
etiqueta process.op-exp-2.p_high
descripcin nmero de incidentes de nivel I4 ms los de nivel I5 (seccin 2.2) por usuario
debidos a fallos del proceso de establecimiento y mantenimiento de la
configuracin de seguridad
tipo porcentaje
frmula process.op-exp-2.n_high / users.total
valores 0% .. 100%
objetivo 0%
etiqueta process.op-exp-2.p_medium
descripcin nmero de incidentes de nivel I3 (seccin 2.2) por usuario
debidos a fallos del proceso de establecimiento y mantenimiento de la
configuracin de seguridad
tipo porcentaje
frmula process.op-exp-2.n_medium / users.total
valores 0% .. 100%
objetivo 0%
etiqueta process.op-exp-4.t50_high
descripcin tiempo que se tarda en actualizar el 50% del software desde que se anuncia una
actualizacin hasta que se ha aplicado; activos de nivel ALTO
tipo real
valores das
objetivo 0
etiqueta process.op-exp-4.t90_high
descripcin tiempo que se tarda en actualizar el 90% del software desde que se anuncia una
actualizacin hasta que se ha aplicado; activos de nivel ALTO
tipo real
valores das
objetivo process.op-exp-4.t50_high
etiqueta process.op-exp-4.s30_high
descripcin activos de nivel ALTO que llevan ms de 30 das pendientes de que se aplique
una actualizacin
tipo entero
valores 0
objetivo 0
etiqueta process.op-exp-4.t50_medium
descripcin tiempo que se tarda en actualizar el 50% del software desde que se anuncia una
actualizacin hasta que se ha aplicado; activos de nivel MEDIO
tipo real
valores das
objetivo 0
etiqueta process.op-exp-4.t90_medium
descripcin tiempo que se tarda en actualizar el 90% del software desde que se anuncia una
actualizacin hasta que se ha aplicado; activos de nivel MEDIO
tipo real
valores das
objetivo process.op-exp-4.t50_medium
etiqueta process.op-exp-4.s30_medium
descripcin activos de nivel MEDIO que llevan ms de 30 das pendientes de que se aplique
una actualizacin
tipo entero
valores 0
objetivo 0
etiqueta process.op-exp-4.n_high
descripcin nmero de incidentes de nivel I4 ms los de nivel I5 (seccin 2.2)
debidos a fallos del proceso de mantenimiento y gestin de cambios
tipo entero
valores 0
objetivo 0
etiqueta process.op-exp-4.n_medium
descripcin nmero de incidentes de nivel I3 (seccin 2.2)
debidos a fallos del proceso de mantenimiento y gestin de cambios
tipo entero
valores 0
objetivo 0
etiqueta process.op-exp-4.p_high
descripcin nmero de incidentes de nivel I4 ms los de nivel I5 (seccin 2.2) por usuario
debidos a fallos del proceso de mantenimiento y gestin de cambios
tipo porcentaje
frmula process.op-exp-4.n_high / users.total
valores 0% .. 100%
objetivo 0%
etiqueta process.op-exp-4.p_medium
descripcin nmero de incidentes de nivel I3 (seccin 2.2) por usuario
debidos a fallos del proceso de mantenimiento y gestin de cambios
tipo porcentaje
frmula process.op-exp-4.n_medium / users.total
valores 0% .. 100%
objetivo 0%
etiqueta process.op-cont.bia_high
descripcin porcentaje de servicios esenciales de nivel ALTO con un anlisis de impacto
actualizado al ltimo ao
tipo porcentaje
valores 0% .. 100%
objetivo 100%
etiqueta process.op-cont.drp_high
descripcin porcentaje de servicios esenciales de nivel ALTO con un plan de continuidad
actualizado al ltimo ao
tipo porcentaje
valores 0% .. 100%
objetivo 100%
etiqueta process.op-cont.test_high
descripcin porcentaje de servicios esenciales de nivel ALTO
que han sido verificados en el ltimo ao
tipo porcentaje
valores 0% .. 100%
objetivo 100%
4.4.8 FORMACIN
Formacin
stic_p nmero de personas con responsabilidad de administracin de seguridad TIC
nmero total de horas dedicadas en el ltimo ao a tareas de formacin en materia
de seguridad
calculado nmero de horas dedicadas a formacin del personal en materia de seguridad,
dividido por el nmero de personas dedicadas a la seguridad
etiqueta train.nhp
descripcin nmero de horas dedicadas a formacin del personal en materia de seguridad,
dividido por el nmero de personas dedicadas a la seguridad
tipo real
frmula train.nh / stic_p (ver seccin 3.1)
valores 0
58. Tasas bajas de formacin pueden llevar a un esfuerzo propio en la materia, o a la utilizacin
de recursos centrales de formacin.
60. Interrupcin del servicio. Incidentes que afectan a la disponibilidad del servicio prestado.
T(50) tiempo que se tarda en resolver el 50% de los incidentes
T(90) tiempo que se tarda en resolver el 90% de los incidentes
sup(30) nmero de incidentes que llevan ms de 30 horas abiertos
etiqueta incidents.i.n_high
descripcin Nmero de incidentes de seguridad de la informacin de nivel I4 ms los de
nivel I5 (seccin 2.2) en el ltimo ao.
tipo entero
valores 0
etiqueta incidents.i.t50_high
descripcin Nmero de das en que se han resuelto el 50% de los incidentes de seguridad
de la informacin de nivel I4 ms los de nivel I5 (seccin 2.2) en el ltimo
ao.
tipo entero
valores das
etiqueta incidents.i.t90_high
descripcin Nmero de das en que se han resuelto el 90% de los incidentes de seguridad
de la informacin de nivel I4 ms los de nivel I5 (seccin 2.2) en el ltimo
ao.
tipo entero
valores das
etiqueta incidents.i.s30_high
descripcin Nmero de incidentes de seguridad de la informacin de nivel I4 ms los de
nivel I5 (seccin 2.2) que llevan ms de 30 das abiertos
tipo entero
valores 0
etiqueta incidents.i.n_medium
descripcin Nmero de incidentes de seguridad de la informacin de nivel I3 (seccin 2.2)
en el ltimo ao.
tipo entero
valores 0
etiqueta incidents.i.t50_medium
descripcin Nmero de das en que se han resuelto el 50% de los incidentes de seguridad
de la informacin de nivel I3 (seccin 2.2) en el ltimo ao.
tipo entero
valores das
etiqueta incidents.i.t90_medium
descripcin Nmero de das en que se han resuelto el 90% de los incidentes de seguridad
de la informacin de nivel I3 (seccin 2.2) en el ltimo ao.
tipo entero
valores das
etiqueta incidents.i.s30_medium
descripcin Nmero de incidentes de seguridad de la informacin de nivel I3 (seccin 2.2)
que llevan ms de 30 das abiertos
tipo entero
valores 0
61. Umbrales: das que se tarda en cubrir el porcentaje de incidentes cerrados, relativos a
seguridad de la informacin (confidencialidad)
T(50) T(90)
nivel amarillo rojo amarillo rojo
(seccin 2.2) superior superior superior superior
I5 CRTICO > 2d > 5d > 5d > 30d
I4 - MUY ALTO
I3 - ALTO > 7d > 30d > 30d > 90d
etiqueta incidents.d.n_high
descripcin Nmero de incidentes de disponibilidad de nivel I4 ms los de nivel I5
(seccin 2.2) en el ltimo ao.
tipo entero
valores 0
etiqueta incidents.d.t50_high
descripcin Nmero de horas en que se han resuelto el 50% de los incidentes de
disponibilidad de nivel I4 ms los de nivel I5 (seccin 2.2) en el ltimo ao.
tipo entero
valores horas
etiqueta incidents.d.t90_high
descripcin Nmero de horas en que se han resuelto el 90% de los incidentes de
disponibilidad de nivel I4 ms los de nivel I5 (seccin 2.2) en el ltimo ao.
tipo entero
valores horas
etiqueta incidents.d.s30_high
descripcin Nmero de incidentes de seguridad de disponibilidad de nivel I4 ms los de
nivel I5 (seccin 2.2) que llevan ms de 24 horas abiertos
tipo entero
valores 0
etiqueta incidents.d.n_medium
descripcin Nmero de incidentes de disponibilidad de nivel I3 (seccin 2.2) en el ltimo
ao.
tipo entero
valores 0
etiqueta incidents.d.t50_medium
descripcin Nmero de horas en que se han resuelto el 50% de los incidentes de
disponibilidad de nivel I3 (seccin 2.2) en el ltimo ao.
tipo entero
valores horas
etiqueta incidents.d.t90_medium
descripcin Nmero de horas en que se han resuelto el 90% de los incidentes de
disponibilidad de nivel I3 (seccin 2.2) en el ltimo ao.
tipo entero
valores horas
etiqueta incidents.d.s30_medium
descripcin Nmero de incidentes de disponibilidad de nivel I3 (seccin 2.2) que llevan
ms de 24 horas abiertos
tipo entero
valores 0
62. Umbrales: horas que se tarda en cubrir el porcentaje de incidentes cerrados, relativos a
interrupcin del servicio (disponibilidad)
T(50) T(90)
nivel amarillo rojo amarillo rojo
(seccin 2.2) superior superior superior superior
I5 CRTICO > 2h > 5h > 5h > 30h
I4 - MUY ALTO
I3 - ALTO > 7h > 30h > 30h > 180h
63. Los niveles de madurez nos indican la calidad de las actividades desarrolladas para gestionar
la seguridad, son indicadores predictivos, pues una baja madurez de los mismos denota una
debilidad de cara a enfrentarnos a incidentes.
64. En cambio, los incidentes nos muestran la eficacia conseguida. El nmero de incidentes es un
poco relativo, pues no depende tanto de nosotros como de la parte atacante y, adems puede
haber diferentes criterios para clasificar un incidente de forma individualizada o fragmentada
en componentes. En cambio, los tiempos de respuesta son indicativos de la ventana de
oportunidad que le cedemos al atacante.
65. Lo idneo es cerrar todos los incidentes con presteza, aunque se mide el T(90) para no
engaarnos con incidentes insidiosos aislados.
66. Si T(90) es alto, es indicacin clara de que hay que mejorar el proceso de gestin de incidentes,
quizs necesitemos ms medios.
67. Si T(50) es claramente inferior a T(90) puede que nos encontremos con un sistema poco
profesionalizado pues si el sistema de gestin est bien dotado y bien procedimentado, T(50)
debe ser cercano a T(90). En estos casos debemos poner nfasis en elaborar procedimientos
que hagan el proceso sistemtico.
4.6 RECURSOS
68. Estimacin de la fraccin de recursos dedicados a seguridad de las tecnologas de
comunicacin e informacin sobre el total de recursos dedicados a tecnologas de
comunicacin e informacin.
Recursos dedicados a seguridad TIC sobre el total de recursos dedicados a TIC
fraccin de horas (en el ltimo periodo anual)
69. El organismo marcar su ubicacin en la siguiente escala de rangos, donde se indican tambin
los umbrales rojo y amarillo, inferior y superior, para cada categora de sistema.
etiqueta p_stic_h
descripcin Porcentaje de horas dedicadas a seguridad TIC
sobre el total de horas dedicadas a TIC.
tipo porcentaje
frmula estimacin
valores 0% .. 100%
70. Son datos anuales, bien porque son estables a lo largo del ao, bien sumando los datos de cada
periodo. No cabe esperar una precisin superior al 10%.
71. Dedicacin TIC incluye todas las tareas relacionadas con Tecnologas de la Informacin y
Comunicaciones:
tareas tcnicas
tareas administrativas, incluyendo contratacin de personas, bienes y servicios.
tareas docentes (formacin)
72. Dedicacin STIC incluye todas las tareas relacionadas con la Seguridad de las TIC. Pueden
usarse las tareas a las que hace mencin el ENS como inventario:
tareas tcnicas: preventivas y de resolucin de incidentes
tareas administrativas, incluyendo contratacin de personas, bienes y servicios
tareas de concienciacin y formacin
tareas de comunicacin con las autoridades
73. No se har distinciones en funcin de la categora de la persona. Suma lo mismo personal fijo
o temporal, propio, desplazado o subcontratado. Cuando se subcontraten servicios, se
imputar la carga de trabajo indicada en el contrato de prestacin de servicios.
74. Este indicador es predictivo. Una deficiencia de recursos es una invitacin a tener problemas
y dificultades para solucionar los incidentes. No obstante hay an poca informacin de dnde
deben estar las lneas amarillas y rojas. Probablemente los umbrales haya que revisarlos segn
vayamos teniendo ms datos.
75. En todo caso deben usarse para que los organismos busquen recursos (o reubiquen los recursos
disponibles) en caso de debilidad.
76. Medidas e indicadores. Este apartado desglosa los datos econmicos recogidos en el apartado
anterior.
etiqueta budget.stic_p
descripcin fraccin del presupuesto TIC dedicado a seguridad TIC
tipo porcentaje
valores 0% .. 100%
etiqueta budget.stic_aw_p
descripcin fraccin del presupuesto STIC dedicado a concienciacin y formacin
tipo porcentaje
valores 0% .. 100%
etiqueta budget.stic_ext_per_p
descripcin fraccin del presupuesto STIC dedicado a personal externo
tipo porcentaje
valores 0% .. 100%
etiqueta budget.stic_ext_s_p
descripcin fraccin del presupuesto STIC dedicado a servicios externos
tipo porcentaje
valores 0% .. 100%
etiqueta budget.stic_ext_eq_p
descripcin fraccin del presupuesto STIC dedicado a adquisicin y mantenimiento de
productos
tipo porcentaje
valores 0% .. 100%
77. Son datos anuales, bien porque son estables a lo largo del ao, bien promediando los datos de
cada periodo. No cabe esperar una precisin superior al 10%.
78. Presupuesto TIC incluye todo el gasto relacionado con Tecnologas de la Informacin y
Comunicaciones:
personal propio (en la proporcin que se dedica a TIC)
contratacin de personas, bienes y servicios.
tareas docentes (formacin)
79. Presupuesto STIC incluye la parte del gasto TIC relacionado con la Seguridad de las TIC.
Pueden usarse los elementos a los que hace mencin el ENS como inventario:
tcnicos: tareas preventivas y de resolucin de incidentes
contratacin de personas, bienes y servicios
gasto en concienciacin y formacin
80. No se har distinciones en funcin de la categora de la persona. Suma lo mismo personal fijo
o temporal, propio, desplazado o subcontratado. Cuando se subcontraten servicios, se
imputar la carga de trabajo indicada en el contrato de prestacin de servicios.
4.8 AUDITORAS
81. Una auditora debe cubrir tanto aspectos de gobierno de la seguridad (lo que llamaremos
auditoras de alto nivel), como aspectos de implantacin de las medidas de seguridad (lo que
llamaremos una auditora tcnica). La siguiente tabla establece una relacin del tipo de
auditora requerida en el ENS en cada uno de los aspectos, sin perjuicio de que una auditora
completa debe cubrir todos y cada uno de los aspectos.
82. Adems, una auditora puede terminar en una declaracin o certificacin de conformidad con
el ENS. Para esta conformidad se requiere atender tanto los aspectos de alto nivel como los
tcnicos, aadiendo un sello de conformidad si procede.
83. Como resultado de la auditora se pueden identificar una serie de no conformidades. Estas se
clasificarn de acuerdo a los siguientes criterios.
84. No conformidad
Incumplimiento de un requisito [ISO/IEC 17021-1:2015]; en nuestro caso incumplimiento
de lo establecido en el ENS.
85. No conformidad MAYOR
Cuando afecta a la capacidad del sistema de informacin para atender sus funciones (ENS
Artculo 1. Objeto). Un sistema no puede certificarse si adolece de una no conformidad
mayor.
Las no conformidades son clasificadas como mayores cuando existe una duda significativa
de que se haya implementado un control eficaz de proceso, o de que las medidas de
seguridad cumplan los requisitos especificados.
La existencia de un nmero significativo de no conformidades menores asociadas al
mismo requisito o cuestin podra demostrar una desviacin sistemtica y por tanto,
constituir una no conformidad mayor.
86. No conformidad menor
Las no conformidades son clasificadas como menores cuando no afectan a la capacidad
del sistema de proteccin para lograr los resultados previstos; pero o bien los requisitos se
cumplen de forma manifiestamente mejorable o se aprecian incoherencias entre requisitos
que deberan estar alineados.
Un sistema que adolezca de no conformidades menores deber presentar un plan de
acciones correctivas a corto plazo para optar a una certificacin temporal.
87. Las observaciones son comentarios significativos que, sin constituir una no conformidad
menor o mayor, deben tenerse en cuenta en futuras auditoras.
88. Una opcin de mejora es un comentario informativo aportado por el equipo de auditora y
que puede ser tenido en cuenta por el organismo, o no.
89. Se registrarn los siguientes aspectos:
AUDITORAS
Auditoras de alto nivel
Se dispone de una auditora actualizada de alto nivel
Nmero de no conformidades MAYORES
encontradas en la ltima auditora de alto nivel
Nmero de no conformidades MENORES
encontradas en la ltima auditora de alto nivel
Auditoras tcnicas
Se dispone de una auditora tcnica actualizada
Nmero de no conformidades MAYORES
encontradas en la ltima auditora tcnica
Nmero de no conformidades MENORES
encontradas en la ltima auditora tcnica
Certificaciones de conformidad con el ENS
El sistema disfruta de una certificacin actualizada de conformidad con el
ENS
etiqueta audit.biz.high
descripcin Nmero de no conformidades MAYORES encontradas en la ltima auditora de
alto nivel
tipo entero
valores 0
etiqueta audit.biz.medium
descripcin Nmero de no conformidades MENORES encontradas en la ltima auditora de
alto nivel
tipo entero
valores 0
etiqueta audit.tech.high
descripcin Nmero de no conformidades MAYORES encontradas en la ltima auditora
tcnica
tipo entero
valores 0
etiqueta audit.tech.medium
descripcin Nmero de no conformidades MENORES encontradas en la ltima auditora
tcnica
tipo entero
valores 0
etiqueta s_certs
descripcin Otras certificaciones de seguridad actualizadas
tipo texto
valores formato libre
etiqueta byod_p
descripcin Porcentaje de equipos de los usuarios internos (BYOD)
sobre el total de equipos del sistema
tipo porcentaje
valores 0% .. 100%
etiqueta byod.conf_p
descripcin Porcentaje de equipos de los usuarios internos (BYOD) sobre el total de equipos
del sistema en los que la configuracin y su gestin estn bajo control exclusivo
de los tcnicos del organismo.
Es decir, que el usuario NO tiene privilegios de administrador.
tipo porcentaje
valores 0% .. 100%
objetivo 100%
valores 0% .. 100%
objetivo < 10%
5 INDICADORES AGREGADOS
93. Se presentan una serie de indicadores que agregan varios de los indicadores detallados
definidos en la seccin anterior. El objetivo es un cuadro de mando con unos pocos
indicadores que sinteticen el estado de seguridad del sistema de informacin.
94. Obviamente, cuando un indicador es malo, hay que recurrir a su desglose para entender por
qu.
13
BYOD Bring Your Own Device Uso de dispositivos del usuario como medio de trabajo.
Centro Criptolgico Nacional 39
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-824 ENS. Informe Nacional del Estado de Seguridad
IC - ndice de cumplimiento
derivado de la madurez de las medidas del Anexo II que son aplicables, teniendo
en cuenta la categora del sistema
(ver seccin 7)
etiqueta index.maturity.ens
descripcin ndice de madurez del ENS (Anexo II)
tipo entero
frmula ver seccin 6
valores 0 .. 100
objetivo por categora
etiqueta index.compliance.ens
descripcin ndice de cumplimiento del ENS (Anexo II)
tipo entero
frmula ver seccin 7
valores 0 .. 100
objetivo 100
101. El objetivo es 0. Cuanto ms bajo sea el indicador agregado, mejor nota para el sistema.
5.4 AUDITORAS
102. El objetivo es tener al menos una auditora actualizada de cada tipo (o una combinada, que se
marca como una de cada) y que no haya no conformidades significativas. Se combinarn los
siguientes indicadores de detalle:
103. El objetivo es 100: una auditora de alto nivel y una auditora tcnica, sin no conformidades
significativas.
6 IM - NDICE DE MADUREZ
104. Se toman en consideracin las medidas de seguridad que el responsable de la seguridad marca
como aplicables en su sistema. Solamente se consideran las medidas detalladas, sin tener en
cuenta los agrupamientos; es decir, las siguientes:
org.*
op.pl.*, op.acc.*, op.exp.*, op.ext.*, op.cont.*, op.mon.*
mp.if.*, mp.per.*, mp.eq.*, mp.com.*, mp.si.*, mp.sw.*, mp.info.*, mp.s.*
105. Si una medida es aplicable, tendr una valoracin M de madurez dentro de la tabla estndar
(ver seccin 2.1): L0, L1, L2, L3, L4 y L5.
106. y se la asigna una puntuacin (que a veces se conoce informalmente como porcentaje de
madurez por el hecho de trabajar en una escala entre 0 y 100).
madurez puntos
L0 0
L1 10
L2 50
L3 80
L4 90
L5 100
107. Si la medida est valorada en un rango, como puede ser L2-L3, se usa el valor medio de los
puntos; por ejemplo
puntos(L2-L3) = (puntos(L2) + puntos(L3)) / 2 = (50 + 80) / 2 = 65
108. En la inspeccin del sistema de informacin, se puede llegar a una estimacin ms elaborada
del nivel numrico de puntos, siempre dentro de los rangos arriba indicados. Se admite el uso
Centro Criptolgico Nacional 43
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-824 ENS. Informe Nacional del Estado de Seguridad
14
El sistema es, evidentemente, ficticio. Su valoracin se ha realizado con PILAR, en 3 fases, forzando las medidas
que no aplican para permitir un clculo manual de los ndices.
Centro Criptolgico Nacional 44
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-824 ENS. Informe Nacional del Estado de Seguridad
116. En el caso de que de la inspeccin del sistema se pueda realizar una estimacin ms ajustada,
podramos tener un escenario como en el siguiente ejemplo:
cdigo madurez puntos
org.1 L2-L4 65
op.pl.1 L3-L4 82
op.ext.1 L4 95
op.ext.2 L4 90
op.ext.9 L3 75
mp.if.1 L4 92
mp.if.2 L4 86
media: 83.571
IM: 84%
7 IC - NDICE DE CUMPLIMIENTO
117. Se tienen en cuenta las medidas de seguridad del Anexo II que cumplen las siguientes
condiciones:
1. se cumplen los requisitos de obligatoriedad descritos en el Anexo II para esa medida y
2. el responsable de la seguridad marca la medida como aplicable en su sistema
118. Cada medida tendr una valoracin M de madurez dentro de la tabla estndar
L0, L1, L2, L3, L4, L5
119. Y el sistema tiene una categora BSICA, MEDIA o ALTA siguiendo los criterios de
valoracin del Anexo I.
120. A cada medida de proteccin se la asigna una puntuacin que depende de la categora del
sistema:
categora: BSICA MEDIA ALTA
madurez puntos
L0 0 0 0
L1 20 12 11
L2 100 62 56
L3 100 100 89
L4 100 100 100
L5 100 100 100
121. Si la medida est valorada en un rango, como puede ser L2-L3, se usa el valor medio de los
puntos.
122. Si la inspeccin del sistema ha llegado a una estimacin ms ajustada de la madurez en forma
de puntos o porcentaje, el clculo de los puntos equivalentes puede desarrollarse de acuerdo
a este algoritmo
123. Por ltimo, para todas las medidas que son obligatorias y aplicables se calcula el valor medio.
124. El resultado es un valor entre 0 y 100, que se presenta como un entero entre 0 y 100 o como
un porcentaje entre 0% y 100%.
7.1 EJEMPLOS DE CLCULO DEL NDICE DE CUMPLIMIENTO
125. Sea el mismo sistema de la seccin anterior, pero ahora tenemos en cuenta que el sistema es
de categora MEDIA. Dicha categora reduce las medidas obligatorias y aplicables a las
siguientes, donde se excluye op.ext.9 que solamente es obligatoria para categora alta:
cdigo nombre 2015 2016 2017
org.1 Poltica de Seguridad L2 L2 L2-L4
op.pl.1 Anlisis de riesgos L2 L3 L3-L4
op.ext.1 Contratacin y acuerdos de nivel de servicio L0 L2 L4
op.ext.2 Gestin diaria L2 L3 L4
op.ext.9 Medios alternativos L1 L3 L3
mp.if.1 reas separadas y con control de acceso L2 L4 L4
mp.if.2 Identificacin de las personas L2 L3 L4
129. En el caso de que de la inspeccin del sistema se pueda realizar una estimacin ms ajustada,
podramos tener un escenario como en este ejemplo
cdigo madurez puntos madurez puntos cumplimiento
org.1 L2-L4 65 81.25
op.pl.1 L3-L4 82 100.00
op.ext.1 L4 95 100.00
op.ext.2 L4 90 100.00
mp.if.1 L4 92 100.00
mp.if.2 L4 86 100.00
media: 96.875
IC: 97%
activo_esencial ::=
<asset code type >
<name> texto </name>
{ valoracin }*
</asset>
valoracin ::=
<value dimension level />
15
XML eXtensible Markup Language
Centro Criptolgico Nacional 49
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-824 ENS. Informe Nacional del Estado de Seguridad
reporte_anual ::=
<report version=3 phase >
{ medida_de_proteccin }*
otros
</report>
medida_de_proteccin ::=
<perfil item percent >
madurez
</perfil>
132. La versin del REPORT es la 3 para referirse a esta versin de la gua 824.
133. Actualmente se trabaja con los perfiles
ENS Esquema Nacional de Seguridad, Anexo II
IP CCN-STIC-811 Interconexin de Sistemas
madurez descripcin
n.a. no es de aplicacin
valor valor de madurez
min-max siendo min y max valores de madurez
o booleanos: true o false (verdadero o falso, aunque en el xml se utilizarn los trminos
en ingls)
137. Ejemplos
<index.compliance.ens>79</index.compliance.ens>
<index.maturity.ens>77</index.maturity.ens>
<audit.biz.high>0</audit.biz.high>
<incidents.i.t50_high>5.2</incidents.i.t50_high>
<budget.stic_p>5</budget.stic_p>
<audit.biz.b>false</audit.biz.b>
140. Si la respuesta a esta primera pregunta es distinta de S, las secciones 9.1 y 9.2 no aplican
(n.a.).
16
BPS Boundary Protection System Sistema de Proteccin Perimetral.
17
DPP Dispositivo de Proteccin de Permetro.
18
SPP Sistema de Proteccin de Permetro.
Centro Criptolgico Nacional 52
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-824 ENS. Informe Nacional del Estado de Seguridad
dpp-2 spp-1
spp-2 spp-2*
142. Para la arquitectura que se haya seleccionado, indique la madurez de los procesos de
implantacin y operacin asociados a la misma.
19
IDS Intrusion Detection System Sistema de deteccin de intrusin.
20
IPS Intrusion Prevention System Sistema de prevencin de intrusin.
21
DLP Data Loss Prevention Prevencin de fuga de datos.
Centro Criptolgico Nacional 53
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-824 ENS. Informe Nacional del Estado de Seguridad
10 REFERENCIAS
CCN-STIC-815
Indicadores y Mtricas en el ENS. 23.4.2012
RD 4/2010
Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de
Interoperabilidad en el mbito de la Administracin Electrnica. BOE n 25 de 29 de enero
de 2010.
RD 951/2015
Real Decreto 951/2015, de 23 de octubre, de modificacin del Real Decreto 3/2010, de 8
de enero, por el que se regula el Esquema Nacional de Seguridad en el mbito de la
Administracin Electrnica. BOE n 264 de 4 de noviembre.
22
VPN Virtual Private Network Red Privada Virtual.
Centro Criptolgico Nacional 54
SIN CLASIFICAR