DEFINICIONES Y NORMATIVA ENS (I).

DEFINICIONES

Activo.

Componente o funcionalidad de un sistema de información  susceptible  de  ser  atacado  deliberada  o  accidentalmente  con  consecuencias  para  la  organización.  Incluye: información, datos, servicios, aplicaciones (software), equipos (hardware),  comunicaciones,  recursos  administrativos,  recursos físicos y recursos humanos.

Análisis de riesgos.

Utilización sistemática de la información disponible para identificar peligros y estimar los riesgos.

Auditoría  de  la  seguridad.

Revisión  y  examen  independientes  de  los  registros  y  actividades  del  sistema  para  verificar  la  idoneidad  de  los  controles  del  sistema,  asegurar  que  se  cumplen la política de seguridad y los procedimientos operativos  establecidos,  detectar  las  infracciones  de  la  seguridad  y recomendar modificaciones apropiadas de los controles, de la política y de los procedimientos.

Autenticidad.

Propiedad  o  característica  consistente  en  que  una entidad es quien dice ser o bien que garantiza la fuente de la que proceden los datos.

Categoría  de  un  sistema.

Es  un  nivel,  dentro  de  la  escala  Básica-Media-Alta,  con  el  que  se  adjetiva  un  sistema  a  fin  de seleccionar las medidas de seguridad necesarias para el mismo.

La categoría del sistema recoge la visión holística del conjunto  de  activos  como  un  todo  armónico,  orientado  a  la  prestación de unos servicios.

Confidencialidad.

Propiedad  o  característica  consistente  en  que  la  información  ni  se  pone  a  disposición,  ni  se  revela  a  individuos, entidades o procesos no autorizados.

Disponibilidad.

Propiedad o característica de los activos consistente en que las entidades o procesos autorizados tienen acceso a los mismos cuando lo requieren.

Firma  electrónica.

Conjunto  de  datos  en  forma  electrónica,  consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante.

Gestión de incidentes.

Plan de acción para atender a las incidencias que se den.

Además de resolverlas debe incorporar medidas de desempeño que permitan conocer la calidad del sistema de protección y detectar tendencias antes de que se conviertan en grandes problemas.

Gestión  de  riesgos.

 Actividades  coordinadas  para  dirigir  y  controlar una organización con respecto a los riesgos.

Incidente de seguridad.

Suceso inesperado o no deseado con consecuencias en detrimento de la seguridad del sistema de información.

Integridad.

Propiedad o característica consistente en que el activo de información no ha sido alterado de manera no autorizada.

Medidas de seguridad.

Conjunto de disposiciones encaminadas a protegerse de los riesgos posibles sobre el sistema de información,  con  el  fin  de  asegurar  sus  objetivos  de  seguridad.

Puede tratarse de medidas de prevención, de disuasión, de protección, de detección y reacción, o de recuperación.

Política de firma electrónica.

 Conjunto de normas de seguridad, de organización, técnicas y legales para determinar cómo se  generan,  verifican  y  gestionan  firmas  electrónicas,  incluyendo las características exigibles a los certificados de firma.

Política de seguridad.

Conjunto de directrices plasmadas en documento escrito, que rigen la forma en que una organización gestiona y protege la información y los servicios que se consideran críticos.

Principios  básicos  de  seguridad.

Fundamentos  que  deben  regir  toda  acción  orientada  a  asegurar  la  información  y  los  servicios.

Proceso.

Conjunto organizado de actividades que se llevan a cabo para producir a un producto o servicio; tiene un principio y fin delimitado, implica recursos y da lugar a un resultado.

Proceso de seguridad.

Método que se sigue para alcanzar los objetivos de seguridad de la organización.

El proceso se diseña para identificar, medir, gestionar y mantener bajo control los riesgos a que se enfrenta el sistema en materia de seguridad.

Requisitos  mínimos  de  seguridad.

Exigencias  necesarias  para asegurar la información y los servicios.

Riesgo.

Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización.

Seguridad de las redes y de la información

Es la capacidad de las redes o de los sistemas de información de resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas  o  malintencionadas  que  comprometan  la  disponibilidad,  autenticidad,  integridad  y  confidencialidad  de  los  datos  almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles.

Servicios  acreditados.

Servicios  prestados  por  un  sistema  con  autorización  concedida  por  la  autoridad  responsable,  para tratar un tipo de información determinada, en unas condiciones precisas de las dimensiones de seguridad, con arreglo a su concepto de operación.

Sistema de gestión de la seguridad de la información (SGSI).

Sistema de gestión que, basado en el estudio de los riesgos, se  establece  para  crear,  implementar,  hacer  funcionar,  supervisar,  revisar,  mantener  y  mejorar  la  seguridad  de  la  información. 

El  sistema  de  gestión  incluye  la  estructura  organizativa,  las  políticas,  las  actividades  de  planificación,  las  responsabilidades, las prácticas, los procedimientos, los procesos y los recursos.

Sistema  de  información.

Conjunto  organizado  de  recursos  para  que  la  información  se  pueda  recoger,  almacenar,  procesar o tratar, mantener, usar, compartir, distribuir, poner a disposición, presentar o transmitir.

Trazabilidad.

Propiedad  o  característica  consistente  en  que  las actuaciones de una entidad pueden ser imputadas exclusivamente a dicha entidad.

Vulnerabilidad.

Una  debilidad  que  puede  ser  aprovechada  por una amenaza

NORMATIVA APLICABLE

La adecuación ordenada al Esquema Nacional de Seguridad requiere el tratamiento de las siguientes cuestiones:

• Preparar y aprobar la política de seguridad, incluyendo la definición de roles y la asignación de responsabilidades. (Véase CCN-STIC 805 Política de seguridad de la información)
• Categorizar los sistemas atendiendo a la valoración de la información manejada y de los servicios prestados.( Véase CCN-STIC 803 Valoración de sistemas en el Esquema Nacional de Seguridad )
• Realizar el análisis de riesgos, incluyendo la valoración de las medidas de seguridad existentes. (Véase Magerit versión 3 y programas de apoyo –Pilar -)
• Preparar y aprobar la Declaración de aplicabilidad de las medidas del Anexo II del ENS. ( Véase CCN-STIC 804 Medidas e implantación del Esquema Nacional de Seguridad )
• Elaborar un plan de adecuación para la mejora de la seguridad, sobre la base de las insuficiencias detectadas, incluyendo plazos estimados de ejecución. ( Véase CCN-STIC 806 Plan de adecuación del Esquema Nacional de Seguridad )
• Implantar operar y monitorizar las medidas de seguridad a través de la gestión continuada de la seguridad correspondiente. ( Véase serie CCN-STIC )
• Auditar la seguridad ( Véase CCN-STIC 802 Auditoría del Esquema Nacional de Seguridad y CCN-STIC 808 Verificación del cumplimiento de las medidas en el Esquema Nacional de Seguridad ).
• Informar sobre el estado de la seguridad (Véase CCN-STIC Métricas e Indicadores en el Esquema Nacional de Seguridad y CCN-STIC Informe del Estado de Seguridad )
• Informar sobre el estado de la seguridad (Véase CCN-STIC Métricas e Indicadores en el Esquema Nacional de Seguridad y CCN-STIC Informe del Estado de Seguridad )

Guías CCN-STIC .

• Magerit – v.3 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información .
• CCN-CERT, Capacidad de Respuesta a incidentes de Seguridad de la Información del Centro Criptológico Nacional (CCN).
• Infraestructuras y servicios comunes .
• Productos certificados
• Adecuación al ENS y Seguimiento del Progreso

Estado

• Real Decreto 3/2010
  DECRETO 3/2010, de 14 de enero, por el que se encomienda a las Oficinas de Distrito Hipotecario a cargo de Registradores de la Propiedad Funciones de Gestión de los Impuestos sobre Transmisiones Patrimoniales y Actos Jurídicos Documentados y sobre Sucesiones y Donaciones.

  Abrir en vLexAbrir en boe.es
  Vista previa del enlace añadida por la extensión vLex  , de 8 de enero (BOE de 29 de enero), por el que se regula el Esquema Nacional de Seguridad en el ámbito de la administración electrónica.
• Corrección de errores del Real Decreto 3/2010
  Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

  Abrir en vLexAbrir en boe.es
  Vista previa del enlace añadida por la extensión vLex  , de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (BOE de 11 de marzo).
• Texto refundido  Real Decreto 3/2010
  Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

  Abrir en vLexAbrir en go.vlex.com
  Vista previa del enlace añadida por la extensión vLex  , de 8 de enero. (Incluye corrección de errores publicada el día 11 de marzo).

El ENS

• Se ha elaborado a la luz del estado del arte y de los principales referentes en materia de seguridad de la información provenientes de la Unión Europea, OCDE, normalización nacional e internacional, actuaciones similares en otros países, etc.
• Es el resultado de un trabajo coordinado por el Ministerio de la Presidencia, asumido posteriormente por el Ministerio de Hacienda y Administraciones Públicas, con el apoyo del Centro Criptológico Nacional (CCN) y la participación de todas las AA.PP., a través de los órganos colegiados con competencias en materia de administración electrónica.
• También se ha tenido presente la opinión de las asociaciones de la Industria del sector TIC. Real Decreto 951/2015, de 23 de octubreVista previa del enlace añadida por la extensión vLex, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica