Guía INTECO verificación del cumplimiento medidas

8/3/2019 Gua INTECO verificacin del cumplimiento medidas

1/99

SIN CLASIFICAR

SIN CLASIFICAR

GUA DE SEGURIDAD(CCN-STIC-808)

VERIFICACIN DEL CUMPLIMIENTO DE

LAS MEDIDAS EN EL ENS

SEPTIEMBRE 2011


2/99

SIN CLASIFICARCCN-STIC-808 v1.1 Verificacin del cumplimiento de las medidas en el ENS

Centro Criptolgico Nacional i

SIN CLASIFICAR

Edita:

Editor y Centro Criptolgico Nacional, 2011NIPO: 075-11-053-3

Tirada: 1000 ejemplaresFecha de Edicin: septiembre de 2011Andrs Mndez Barco ha elaborado el presente documento y Javier Almendro Sagrist ha participado en surevisin.

LIMITACIN DE RESPONSABILIDADEl presente documento se proporciona de acuerdo con los trminos en l recogidos, rechazando expresamentecualquier tipo de garanta implcita que se pueda encontrar relacionada. En ningn caso, el Centro CriptolgicoNacional puede ser considerado responsable del dao directo, indirecto, fortuito o extraordinario derivado de lautilizacin de la informacin y software que se indican incluso cuando se advierta de tal posibilidad.

AVISO LEGAL

Quedan rigurosamente prohibidas, sin la autorizacin escrita del Centro Criptolgico Nacional, bajo lassanciones establecidas en las leyes, la reproduccin parcial o total de este documento por cualquier medio oprocedimiento, comprendidos la reprografa y el tratamiento informtico, y la distribucin de ejemplares delmismo mediante alquiler o prstamo pblicos.


3/99


Centro Criptolgico Nacional ii

SIN CLASIFICAR

PRLOGO

El uso masivo de las tecnologas de la informacin y las telecomunicaciones (TIC), en todos losmbitos de la sociedad, ha creado un nuevo espacio, el ciberespacio, donde se producirn conflictos yagresiones, y donde existen ciberamenazas que atentarn contra la seguridad nacional, el estado dederecho, la prosperidad econmica, el estado de bienestar y el normal funcionamiento de la sociedad yde las administraciones pblicas.

La Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, encomienda al CentroNacional de Inteligencia el ejercicio de las funciones relativas a la seguridad de las tecnologas de lainformacin en su artculo 4.e), y de proteccin de la informacin clasificada en su artculo 4.f), a lavez que confiere a su Secretario de Estado Director la responsabilidad de dirigir el Centro CriptolgicoNacional en su artculo 9.2.f).

Partiendo del conocimiento y la experiencia del CNI sobre amenazas y vulnerabilidades en materia deriesgos emergentes, el Centro realiza, a travs de su Centro Criptolgico Nacional, regulado por el

Real Decreto 421/2004, de 12 de marzo, diversas actividades directamente relacionadas con laseguridad de las TIC, orientadas a la formacin de personal experto, a la aplicacin de polticas yprocedimientos de seguridad, y al empleo de tecnologas de seguridad adecuadas.

Una de las funciones ms destacables del Centro Criptolgico Nacional es la de elaborar y difundirnormas, instrucciones, guas y recomendaciones para garantizar la seguridad de los sistemas de lastecnologas de la informacin y las comunicaciones de la Administracin, materializada en laexistencia de la serie de documentos CCN-STIC.

Disponer de un marco de referencia que establezca las condiciones necesarias de confianza en el usode los medios electrnicos es, adems, uno de los principios que establece la ley 11/2007, de 22 de

junio, de acceso electrnico de los ciudadanos a los servicios pblicos, en su artculo 42.2 sobre el

Esquema Nacional de Seguridad (ENS).

Precisamente el Real Decreto 3/2010 de 8 de Enero de desarrollo del Esquema Nacional de Seguridadfija los principios bsicos y requisitos mnimos as como las medidas de proteccin a implantar en lossistemas de la Administracin, y promueve la elaboracin y difusin de guas de seguridad de lastecnologas de la informacin y las comunicaciones por parte de CCN para facilitar un mejorcumplimiento de dichos requisitos mnimos.

En definitiva, la serie de documentos CCN-STIC se elabora para dar cumplimiento a los cometidos delCentro Criptolgico Nacional y a lo reflejado en el Esquema Nacional de Seguridad, conscientes de laimportancia que tiene el establecimiento de un marco de referencia en esta materia que sirva de apoyopara que el personal de la Administracin lleve a cabo su difcil, y en ocasiones, ingrata tarea de

proporcionar seguridad a los sistemas de las TIC bajo su responsabilidad.

Septiembre de 2011

Flix Sanz RoldnSecretario de Estado

Director del Centro Criptolgico Nacional


4/99


Centro Criptolgico Nacional iii

SIN CLASIFICAR

NDICE

1. INTRODUCCIN ........................................................................................................... 42. OBJETO ........................................................................................................................... 43. ALCANCE ....................................................................................................................... 44. CMO UTILIZAR ESTA GUA .................................................................................... 45. VERIFICACIN CUMPLIMIENTO ANEXO II. MEDIDAS DE SEGURIDAD ..... 5

5.1. MARCO ORGANIZATIVO ...................................................................................... 65.2. MARCO OPERACIONAL ...................................................................................... 135.3. MEDIDAS DE PROTECCIN ............................................................................... 52

6. ANEXO I. DEFINICIN DE TRMINOS ................................................................... 947. ANEXO II. PLANTILLA DE INFORME DE AUDITORA ....................................... 95


5/99


Centro Criptolgico Nacional 4

SIN CLASIFICAR

1. INTRODUCCIN

1. El Esquema Nacional de Seguridad (Real Decreto 3/2010 de 8 de enero), en su artculo34 (Auditora de la seguridad) y en su Anexo III (Auditora de la seguridad), establece laobligatoriedad de la realizacin de una auditora de seguridad para los sistemas decategora media y alta de forma ordinaria cada dos aos, o de forma extraordinaria cadavez que se produzcan modificaciones sustanciales en el sistema de informacin.

2. La presente gua viene a complementar a la gua CCN-STIC-802 Esquema Nacional deSeguridad Gua de auditora.

2. OBJETO

3. El objeto de esta gua es que sirva tanto de itinerario, como de registro, a aquella personadesignada como auditor de los requisitos del Esquema Nacional de Seguridad para unsistema.

3. ALCANCE

4. Esta gua es de aplicacin a cualquier entidad pblica espaola que deba cumplir con lospreceptos de la Ley de Acceso Electrnico de los Ciudadanos a los Servicios Pblicos(Ley 11/2007 de 22 de junio), de la que emana el Esquema Nacional de Seguridad (RealDecreto 3/2010 de 8 de enero), con independencia de su naturaleza o dimensin y cuyossistemas se hayan clasificado como de nivel medio o alto.

4. CMO UTILIZAR ESTA GUA5. El formato de esta gua pretende que sea una herramienta para el trabajo de campo. Dado

que algn espacio reservado para las anotaciones pudiera resultar insuficiente,recomendamos al auditor acompaarse de los medios que necesite para poder anotar orecopilar las evidencias que considere necesarias.

6. En el apartado Requisito se especifica el requisito o requisitos que existen para cadamedida de seguridad. Cada uno va precedido de una casilla (!) para marcar:

a. " si lo cumple.b.

#si no lo cumple.

7. Con objeto de conseguir una uniformidad a la hora de realizar la auditora por parte dediferentes auditores, se proporciona una evidencia modelo que el auditor podr requerir,aunque esta puede variar en funcin de las circunstancias.

8. Igualmente, con objeto de cumplir el apartado 5 del artculo 34 del RD 3/2010 en el quese indica que El informe de auditora deber dictaminar sobre el grado de cumplimientodel presente real decreto, se sugiere el uso del nmero de casillas marcadas como " a lahora de valorar el grado de cumplimiento, considerndose que una medida de seguridadtendr el siguiente grado de cumplimiento:

a. Completo (100%): Si todos los requisitos de la medida de seguridad estnsatisfechos.


6/99


Centro Criptolgico Nacional 5

SIN CLASIFICAR

b. Alto (50%-99%): Si slo la mitad de los requisitos de la medida de seguridadestn satisfechos.

c. Bajo (1%-49%): Si menos de la mitad de los requisitos de la medida de seguridadestn satisfechos.

d. Nulo (0%): Si ninguno de los requisitos de la medida de seguridad estnsatisfechos.9. En el apartado Aplicabilidad Auditado se divide en:

a. Aplica: Marque S en caso de que la medida de seguridad sea de aplicacin alsistema que est auditando. En caso contrario marque No. Algunas medidas nopermiten marcar No, ello se debe a que son medidas que siempre se debenaplicar.

b. Lo audito: Marque S en caso de que haya auditado la medida de seguridad,con independencia de que sea de aplicacin o no la medida de seguridad (si no es

de aplicacin la medida de seguridad, la auditora debe verificar en este caso queel motivo de que no aplique sigue siendo vigente). No es imprescindible auditartodas las medidas de seguridad cada vez que se lleva a cabo una auditora(consultar qu medidas debe auditar obligatoriamente en la gua CCN-STIC-802Esquema Nacional de Seguridad Gua de Auditora, apartado 3.4 Programa deauditora), por lo que deber marcar No si la ha omitido. Aquellas medidas quedeben auditarse siempre no permiten marcar No.

10. El apartado Comentarios se divide en:a. Documento: Puede ser la poltica, normativa o procedimiento (si es que se

encuentra documentada) que documenta cmo est o debe estar implantada la

medida de seguridad.b. Muestreo: Permite anotar qu activo o elemento de muestra ha analizado. Por

ejemplo, a la hora de verificar la identificacin de los usuarios, anotar qurepositorio de usuarios ha revisado.

c. Observaciones auditora: Permite que el auditor tome notas sobre la medida deseguridad, como la persona a la que ha entrevistado, un resumen de lo que le hacontestado, etc.

5. VERIFICACIN CUMPLIMIENTO ANEXO II. MEDIDAS DESEGURIDAD

11. Este apartado se divide en aquellos grupos que componen las medidas de seguridad, esdecir, marco organizativo, marco operacional y medidas de proteccin.

12. Por cada uno de los componentes de los anteriores grupos se indicar cmo verificar elcorrecto cumplimiento con las medidas indicadas en el ENS, haciendo referencia aaquellas guas que proporcionan informacin sobre las medidas a aplicar en cada caso.

13. Cabe destacar que las propuestas de verificacin son a modo de ejemplo, el auditordeber adaptar la pregunta al entorno en el que se encuentre y opere el sistema.


7/99

SIN CLASIFICARCCN-STIC-808 v1.0 Verificacin del

Centro Criptolgico Nacional

SIN CLASIFICAR

5.1. MARCO ORGANIZATIVO

Aptdo.Categora -

DimensionesRequisito Aplicabilidad -

Auditado

or g MARCO ORGANI ZATI VOorg.1 Poltica de seguridad

Bsica -D, A, I, C, T

$1.- Dispone de una poltica de seguridad escrita?Evidencia: La poltica de seguridad est impresa o guardada en formatoelectrnico.

Respecto a dicha poltica de seguridad:

$1.1.- Ha sido aprobada por el rgano superior competente (de acuerdo a loestablecido en el artculo 11 del RD 3/2010)?Evidencia: La poltica de seguridad fue redactada por un rgano superior o hasido aprobada (mediante algn registro escrito o electrnico) por el mismo. En

caso de que el rgano superior no disponga de poltica de seguridad, debertener una poltica de seguridad elaborada por el responsable STIC y aprobadapor el Comit STIC y el Comit de Seguridad Corporativa. Adems, existe unprocedimiento de revisin y firma regular (este ltimo si no existe una polticade seguridad redactada por un rgano superior).

$1.2.- Precisa los objetivos y misin de la organizacin?Evidencia: Dentro de la poltica se indica cules son los objetivos (p.ej: reducirel nmero de quejas en un 10% con respecto al ao anterior) y la misin (p.ej:prestar servicios de calidad en materia de gestin educativa a los ciudadanos)de la organizacin.

$1.3.- Precisa el marco legal y regulatorio en el que se desarrollarn lasactividades?Evidencia: Dentro de la poltica se indican las leyes que le son de aplicacin

(LO 15/1999, RD 1720/2007, L 11/2007, RD 3/2010, etc.) as como lasdistintas regulaciones que pudieran existir (mbito europeo, local, etc.).

$1.4.- Precisa los roles o funciones de seguridad, definiendo para cada uno,los deberes y responsabilidades del cargo, as como el procedimiento para sudesignacin y renovacin?Evidencia: Dentro de la poltica se indican los roles de seguridad (responsablede la informacin, responsable del servicio, responsable de la seguridad

Aplica:$ S

Lo audito:$ S


8/99


9/99


10/99


11/99


12/99


13/99



SIN CLASIFICAR

Aptdo.Categora -

DimensionesRequisito

Aplicabilidad -Auditado

responsable antes de su entrada en explotacin.

$1.7.- Cubre la utilizacin de equipos mviles?Evidencia: La normativa contempla el proceso de autorizacin de utilizacin deequipos mviles (p.ej: ordenadores porttiles, PDA u otros de naturalezaanloga), que cubre los requisitos antes indicados. Existe evidenciadocumental del formulario de solicitud y de que estos recursos han sidoautorizados por el responsable antes de su entrada en explotacin.

$1.8.- Ha sido difundido, as como cualquier actualizacin de los mismos,entre el personal afectado?Evidencia: La normativa contempla el proceso de difusin, entre el personalafectado, de las nuevas versiones de los procesos de autorizacin, as como lapersona responsable de ello. Existe evidencia documental del formulario desolicitud y de que estos recursos han sido autorizados por el responsable antesde su entrada en explotacin.

Consultar guas:CCN-STI C-0 02 Coordinacin criptolgicaCCN-STI C-3 02 Interconexin de sistemas de las tecnologas de la informaciny las comunicaciones que manejan informacin nacional clasificada en laadministracinCri t er ios de segur idadCaptulo 13


14/99



SIN CLASIFICAR

5.2. MARCO OPERACIONAL

Aptdo.Categora -


Auditado

op MARCO OPERACI ONALop.pl PLANIFICACINop.pl.1 Anlisis de riesgos

Bsica -D, A, I, C, T

$1.- Dispone de un anlisis de riesgos, al menos, informal?Evidencia: Dispone de un documento aprobado por la Direccin en el que seha realizado una exposicin textual en lenguaje natural del anlisis deriesgos. Dicho documento no tiene ms de un ao desde su aprobacin.Existe un procedimiento para la revisin y aprobacin regular, al menosanualmente, del anlisis de riesgos.

Respecto a dicho anlisis de riesgos:

$1.1.- Identifica los activos ms valiosos del sistema?Evidencia: En el documento se identifican los servicios que presta laorganizacin y la informacin que maneja en referencia al cumplimiento dela Ley 11/2007 (p.ej: servicio telemtico de tramitacin de expedientes,etc.), as como los elementos en los que se sustentan (p.ej: servidores,lnea de comunicaciones, aire acondicionado del CPD, oficinas, etc.).

$1.2.- Identifica las amenazas ms probables?Evidencia: En el documento se identifican las amenazas ms probables(p.ej: incendio, robo, virus informtico, ataque informtico, etc.).

$1.3.- Identifica las salvaguardas que protegen de dichas amenazas?Evidencia: En el documento se identifican las salvaguardas de que sedisponen para mitigar las amenazas identificadas (p.ej: extintor, puerta concerradura, antivirus, cortafuegos, etc.).

$1.4.- Identifica los principales riesgos residuales?Evidencia: En el documento se identifican las amenazas para las que noexisten salvaguardas, o aquellas para las que el grado de proteccin actualno es el suficiente (p.ej: fuga de informacin en un soporte USB, etc.).

Consultar guas:Cri t er ios de segur idadCaptulo 5

Aplica:$ S

Lo audito:$ S


15/99



SIN CLASIFICAR

Aptdo.Categora -



Media -D, A, I, C, T

$2.- Dispone de un anlisis de riesgos, al menos, semi-formal?Evidencia: Dispone de un documento aprobado por la Direccin en el que seha realizado una exposicin textual en lenguaje especfico y con una

semntica definida (es decir, con tablas) del anlisis de riesgos. Dichodocumento no tiene ms de un ao desde su aprobacin. Existe unprocedimiento para la revisin y aprobacin regular, al menos anualmente,del anlisis de riesgos.

Respecto a dicho anlisis de riesgos:

$2.1.- Identifica y valora cualitativamente los activos ms valiosos delsistema?Evidencia: En el documento se identifican los servicios que presta laorganizacin y la informacin que maneja en referencia al cumplimiento dela Ley 11/2007 (p.ej: servicio telemtico de tramitacin de expedientes,etc.), as como los elementos en los que se sustentan (p.ej: servidores,lnea de comunicaciones, aire acondicionado del CPD, oficinas, etc.). Dichosactivos (servicios e informacin) adems son valorados cualitativamente(siguiendo los criterios de bajo, medio o alto).

$2.2.- Identifica y cuantifica las amenazas ms probables?Evidencia: En el documento se identifican las amenazas ms probables yestas son cuantificadas (p.ej: incendio con baja probabilidad, robo con bajaprobabilidad, virus con alta probabilidad, etc.).

$ 2.3.- Identifica y valora las salvaguardas que protegen de dichasamenazas?Evidencia: En el documento se identifican las salvaguardas de que sedisponen para mitigar las amenazas identificadas y su nivel de eficacia(p.ej: extintor en todos los pasillos, puerta con cerradura slo en el CPD,antivirus en los servidores pero no en los PCs, etc.).

$2.4.- Identifica y valora el riesgo residual?Evidencia: En el documento se identifica el nivel de riesgo al que estnexpuestos los servicios (bajo, medio o alto), conforme a una tabla deequivalencias que tiene en cuenta el valor de los activos, la probabilidad delas amenazas y la eficacia de las salvaguardas.

Consultar guas:Cri t er ios de segur idadCaptulo 5CCN-STI C-8 03 ENS Valoracin de los sistemasMAGERI T v2

Aplica:$ S $ No

Lo audito:$ S $ No


16/99


17/99



SIN CLASIFICAR

Aptdo.Categora -



Evidencia: En el documento se identifica el nivel de riesgo al que estnexpuestos los servicios y la informacin (bajo, medio o alto).

Consultar guas:Cri t er ios de segur idadCaptulo 5CCN-STI C-8 03 ENS Valoracin de los sistemasMAGERI T v2CCN-STI C-4 10 Anlisis de riesgos en sistemas de la AdministracinCCN-STI C-47 0x Manual de usuario de PILAR

op.pl.2 Arquitectura de seguridadBsica -D, A, I, C, T

$1.- Dispone de documentacin de las instalaciones?Evidencia: Dispone de un documento que detalla las instalaciones (p.ej:nmero de instalaciones, su ubicacin, etc.).

Respecto a dicha documentacin de las instalaciones:

$1.1.- Precisa las reas?Evidencia: El documento detalla las reas existentes (p.ej: CPD, zona deacceso pblico, zona de carga y descarga, zona de operadores, etc.).

$1.2.- Precisa los puntos de acceso?Evidencia: El documento detalla los puntos de acceso (p.ej: puerta principal,salida de emergencia, etc.).

$2.- Dispone de documentacin del sistema?Evidencia: Dispone de un inventario de los sistemas de informacin.

Respecto a dicha documentacin del sistema:

$2.1.- Precisa los equipos?Evidencia: Dicho inventario describe los activos del sistema (p.ej: servidorde correo, robot de backup, etc.).

$2.2.- Precisa las redes internas y conexiones al exterior?

Evidencia: Dicho inventario describe las redes existentes (p.ej: red local condireccionamiento 192.168.0.0/24, DMZ con direccionamiento172.16.0.0/24, etc.) y los elementos de conexin al exterior (p.ej: la redlocal est separada de Internet mediante un firewall, etc.).

$2.3.- Precisa los puntos de acceso al sistema?Evidencia: Dicho inventario describe los puntos de acceso al sistema (p.ej:puestos de trabajo, consolas de administracin, web de la intranet, etc.).

Aplica:$ S $ No

Lo audito:$ S $ No


18/99



SIN CLASIFICAR

Aptdo.Categora -



$3.- Dispone de documentacin de lneas de defensa?Evidencia: Dicho inventario describe los sistemas de seguridad de quedispone (p.ej: firewalls, antivirus, antispam, antiphishing, etc.).

Respecto a dicha documentacin de las lneas de defensa:

$ 3.1.- Precisa los puntos de interconexin a otros sistemas o a otrasredes, en especial si se trata de Internet?Evidencia: Dicho inventario describe los elementos de interconexin a otrasredes (p.ej: la conexin con Internet se realiza a travs de un router, laconexin con otras oficinas se realiza mediante un tnel VPN IPSec, laconexin desde porttiles remotos se realiza mediante VPN SSL, etc.).

$3.2.- Precisa los cortafuegos, DMZ, etc.?Evidencia: Dicho inventario describe los elementos de defensa en lasconexiones a otras redes (p.ej: la conexin con Internet se realiza a travsde un firewall, etc.).

$ 3.3.- Precisa la utilizacin de tecnologas diferentes para prevenirvulnerabilidades que pudieran perforar simultneamente varias lneas dedefensa?Evidencia: Se utilizan tecnologas de seguridad diferentes (p.ej: el antivirusdel firewall es diferente del antivirus del servidor de correo, el sistemaoperativo del router es diferente del sistema operativo del firewall, etc.).

$ 4.- Dispone de documentacin del sistema de identificacin yautenticacin de usuarios?Evidencia: Dispone de un documento que detalla los sistemas deidentificacin y autenticacin de usuarios para cada sistema o servicio.

Respecto a dicha documentacin de identificacin y autenticacin deusuarios:

$

4.1.- Precisa el uso de claves concertadas, contraseas, tarjetas de

identificacin, biometra, u otras de naturaleza anloga?Evidencia: Dicho documento detalla el mecanismo de autenticacin a cadasistema o servicio (p.ej: el acceso al servicio de tramitacin de expedienteses mediante DNIe, el acceso a la consola de administrador del servidor esmediante usuario y contrasea, etc.).

$ 4.2.- Precisa de ficheros o directorios para autenticar al usuario ydeterminar sus derechos de acceso (p.ej: /etc/passwd en Linux, Active


19/99



SIN CLASIFICAR

Aptdo.Categora -



Directory en Windows, etc.)?Evidencia: Dicho documento detalla dnde se almacenan las contraseas(p.ej: las claves se almacenan cifradas en el fichero /etc/shadow en Linux,

Active Directory en Windows, etc.).

$5.- Dispone y tiene documentacin de los controles tcnicos internos?Evidencia: Dispone de un documento que detalla cmo se controlan losdatos una vez en los sistemas (p.ej: el intercambio de informacin con otrossistemas va acompaado de hashes para evitar su alteracin, etc.).

Respecto a dicha documentacin de los controles tcnicos internos:

$ 5.1.- Precisa la validacin de datos de entrada, salida y datosintermedios?Evidencia: En dicho documento se detalla cmo se controlan los datos unavez en los sistemas (p.ej: validacin de rangos en los datos, bloqueo decaracteres no autorizados, etc.).

$6.- Dispone de documentacin del sistema de gestin con actualizaciny aprobacin peridica?Evidencia: Dispone de un documento que detalla cmo se gestionan loselementos antes enumerados (p.ej: cmo se da de alta un nuevo usuario,cmo se autoriza la conexin con un sistema externo, cmo se autoriza elacceso a un rea restringida, etc.), con qu frecuencia se revisan (bienexplcitamente o implcitamente en los documentos de gestin de cambios),quin es el encargado de la tarea y quin es el responsable de suaprobacin.

Consultar guas:Cri t er ios de segur idadCaptulos 8, 9, 13 y 14CCN-STI C-40 6Seguridad en redes inalmbricas basadas en 802.11CCN-STI C-4 08 Seguridad perimetral cortafuegosCCN-STI C-4 12 Requisitos de seguridad de entornos y aplicaciones web


$7.- Est esta documentacin aprobada por la Direccin?Evidencia: Los documentos han sido aprobados por la Direccin.

Aplica:

$ S $ No

Lo audito:$ S $ No


20/99



SIN CLASIFICAR

Aptdo.Categora -



op.pl.3 Adquisicin de nuevos componentesBsica -D, A, I, C, T

$ 1.- Existe un proceso formal para planificar la adquisicin de nuevoscomponentes del sistema?Evidencia: Dispone de un procedimiento documentado que detalla loselementos que se deben tener en cuenta antes de la adquisicin de nuevoscomponentes del sistema (p.ej: adquisicin de un servidor, firewall,antivirus, cinta de backup, etc.), que incluye la persona responsable derevisar y mantener este procedimiento, as como el mecanismo paracomunicar sugerencias de cambio. Dispone de un documento que indica lasmedidas de seguridad requeridas para los nuevos componentes adquiridos ysu cumplimiento (p.ej: dispone de un checklist con los requisitos que debetener el firewall cifrado IPSec, stateful packet inspection, etc.- y sucorrespondiente indicacin sobre si lo cubre o no -en cuyo caso seargumenta el motivo- junto con el nombre de la persona que ha realizado laverificacin y la fecha de la misma).

Respecto a dicho proceso de adquisicin:

$1.1.- Atiende las conclusiones del anlisis de riesgos [op.pl.1]?Evidencia: Dicho procedimiento especifica que en la adquisicin de nuevoscomponentes tiene prioridad la adquisicin de los mecanismos de seguridadpara el sistema que haya identificado el anlisis de riesgos y su plan deaccin (p.ej: el checklist indica si el motivo de algn requisito impuesto alfirewall proviene del anlisis y gestin de riesgos).

$1.2.- Es acorde con la arquitectura de seguridad [op.pl.2]?Evidencia: Dicho procedimiento indica que las adquisiciones deben estaralineadas con la arquitectura de seguridad definida (p.ej: si se ha definidoque la seguridad fsica est compuesta por una puerta con cerradura para elCPD, la adquisicin de una nueva puerta debe obligar a que sta vuelva atener cerradura por lo que no valdra una nueva puerta sin un sistema igualo mejor de cierre).

$ 1.3.- Contempla las necesidades tcnicas, de formacin y definanciacin de forma conjunta?Evidencia: Dicho procedimiento contempla que el nuevo componente cumple

Aplica:$ S $ No

Lo audito:$ S $ No


21/99



SIN CLASIFICAR

Aptdo.Categora -



con las medidas tcnicas definidas (p.ej: si las conexiones deben ser HTTPS,el nuevo componente debe soportar HTTPS), que el personal al cargo delcomponente dispone de la formacin necesaria para su uso o se le

proporcionar, y que ha recibido el consentimiento del departamentoeconmico para su adquisicin (p.ej: el checklist contempla que cumpla o no-en cuyo caso se argumenta el motivo- las necesidades tcnicasenumeradas, las necesidades de formacin si no estn cubiertasactualmente indicar la forma de cubrirlas mediante cursos, manuales, etc.aprobados econmicamente- y la aprobacin del departamento econmico -respaldado por algn documento fsico o electrnico-).

Consultar guas:Cri t er ios de segur idadCaptulo 4CCN-STI C-2 05 Actividades de seguridad en el ciclo de vida de los sistemasTICCCN-STI C-4 00 Manual de seguridad de las TICCCN-STI C-4 04 Control de soportes informticos

Media -

D, A, I, C, T

$2.- Existe documentacin semi-formal del plan de seguridad?

Evidencia: Est documentado el anlisis de riesgos en lenguaje semi-formal.

Aplica:

$ S $ No

Lo audito:$ S $ No

Alta -D, A, I, C, T

$3.- El plan de seguridad est aprobado por la Direccin?Evidencia: El anlisis de riesgos tiene la firma o el reconocimiento formal dela Direccin.

Aplica:$ S $ No

Lo audito:$ S $ No

op.pl.4 Dimensionamiento / gestin de capacidadesMedia -D

$1.- Antes de la puesta en explotacin, se han estudiado las necesidadesde dimensionamiento?Evidencia: Dispone de un procedimiento documentado para el anlisis, antesde cada adquisicin o puesta en explotacin, de las necesidades de losmedios adicionales o capacidades de los medios existentes, de modo que

Aplica:$ S $ No

Lo audito:$ S $ No


22/99



SIN CLASIFICAR

Aptdo.Categora -



estos satisfagan los requisitos establecidos. En caso de que no quedensatisfechos, se argumenta. Existen evidencias documentales de cadaestudio, en el que se refleja quin lo realiz, la fecha y el resultado.

Respecto a dicho estudio del dimensionamiento:

$1.1.- Cubre las necesidades de procesamiento?Evidencia: Dicho estudio estima las necesidades de procesamiento (p.ej: laCPU y memoria del dispositivo soportarn el nmero concurrente desesiones estimadas).

$ 1.2.- Cubre las necesidades de almacenamiento de informacin:durante su procesamiento y durante el periodo que deba retenerse?Evidencia: Dicho estudio estima las necesidades de almacenamiento tantopara su funcionamiento como para el tiempo durante el que la informacindebe mantenerse (p.ej: se ha calculado el volumen de datos generado cadada, el nmero de das que se utilizar el servicio y el tiempo que lainformacin deber estar accesible tanto on-line como en un backup-, y eldispositivo lo soporta).

$1.3.- Cubre las necesidades de comunicacin?Evidencia: Dicho estudio estima las necesidades de comunicacin (p.ej: elancho de banda disponible soporta el volumen de datos a transmitir en cadamomento, o que el dispositivo soporta el acceso desde otra ubicacin).

$ 1.4.- Cubre las necesidades de personal: cantidad y cualificacinprofesional?Evidencia: Dicho estudio estima las necesidades de personal necesario parala gestin del mismo (p.ej: existe personal con dedicacin disponible para lagestin del elemento) de forma adecuada (p.ej: la gestin del elemento serealizar por personal que domina su interfaz de uso y gestin).

$1.5.- Cubre las necesidades de instalaciones y medios auxiliares?Evidencia: Dicho estudio estima las necesidades de las instalaciones (p.ej: eldispositivo cabe por tamao en el armario de servidores y adems quedanbahas libres donde ubicarlo) y los medios auxiliares (p.ej: las frigorasexistentes de aire acondicionado sern suficientes para seguir enfriando elCPD).



23/99



SIN CLASIFICAR

Aptdo.Categora -



Alta -D

$1.6.- El estudio est aprobado por la Direccin?Evidencia: El estudio est tiene la firma o el reconocimiento formal de laDireccin.

Aplica:$ S $ No

Lo audito:$ S $ No

op.pl.5 Componentes certificadosAlta -D, A, I, C, T

$ 1.- Se utilizan preferentemente sistemas, productos o equipos cuyasfuncionalidades de seguridad y su nivel hayan sido evaluados conforme anormas europeas o internacionales?Evidencia: Dispone de un procedimiento documentado para la adquisicin decomponentes cuya evaluacin se haya realizado conforme a normaseuropeas o internacionales (p.ej: cumple la ISO/IEC 15408 -CommonCriteria-) o una certificacin funcional que contemple:

- Diseo, desarrollo, pruebas y revisin del componente con mtodo.- Anlisis de vulnerabilidades para ataques de nivel de competencia

tcnica tan alto como permita la tecnologa existente en el campo, o tanalto como permita la normativa de referencia utilizada.

- Mximo nivel de confianza que proporcione la normativa utilizadarespecto a la prueba de robustez de la seguridad del componente,cuando es utilizado de forma distinta a la especificada por sudocumentacin de uso.

- Mximo nivel de confianza que proporcione la normativa utilizadarespecto a la resistencia de las funciones de seguridad del producto,que se basen en mecanismos probabilsticos o permutacionales:resistencia a ataques directos que se ejecuten con informacinincorrecta pero sin manipular el normal funcionamiento del productosegn su diseo.

- Garantizar, al menos documentalmente, que el fabricante del productodispone de procedimientos definidos para el tratamiento de futuras

vulnerabilidades que se detecten en el producto.Existen evidencias de que los componentes han pasado dicha evaluacin ocertificacin.

$ 2.- Y estn certificados por entidades independientes de reconocidasolvencia?Evidencia: Las certificaciones de los componentes han sido emitidas porentidades independientes de reconocida solvencia (p.ej: la entidad

Aplica:$ S $ No

Lo audito:$ S $ No


24/99



SIN CLASIFICAR

Aptdo.Categora -



certificadora cumple la ISO/IEC 17025). Respecto a los componentes decifra y generacin de firma electrnica han sido certificadoscriptolgicamente, en trminos de su fortaleza algortmica, y existe

evidencia de ello.

Consultar guas:Cri t er ios de segur idadCaptulos 9, 10, 11, 12, 13, 14 y 15CCN-STI C-1 03 Catlogo de productos certificadosCom mon Cr i t e r i a

op.acc CONTROL DE ACCESOop.acc.1 Identificacin

Baja -A, T

$ 1.- Cada entidad (usuario o proceso) que accede al sistema tieneasignado un identificador singular?Evidencia: Dispone de un procedimiento documentado para la creacin denuevos usuarios del sistema que especifica que no se puede crear unidentificador para varios usuarios. Dispone de una normativa documentadaque especifica que los usuarios no pueden compartir su identificador con

nadie. La lista de usuarios del sistema no muestra usuarios generales (p.ej:administracion, direccion, sistemas, becario, etc.).

Respecto a dicho identificador:

$1.1.- Se puede saber a quin corresponde?Evidencia: Dicho procedimiento contempla el mantener un registro de lasentidades responsables de cada identificador. Existe una relacin de losidentificadores con sus usuarios (p.ej: el identificador webmaster es deJorge Prez, pertenece al grupo web y tiene por lo tanto permisos delectura y escritura en la carpeta \web y de lectura en la carpeta \ftp).

$1.2.- Se puede saber qu derechos tiene?Evidencia: Dicho procedimiento contempla el mantener un registro de losderechos de cada entidad. Existe una relacin de los identificadores con suspermisos (p.ej: el identificador webmaster pertenece al grupo web y

tiene por lo tanto permisos de lectura y escritura en la carpeta \web y delectura en la carpeta \ftp).

$ 1.3.- Se inhabilita el identificador cuando el usuario deja laorganizacin, cesa en la funcin para la cual se requera la cuenta deusuario o cuando la persona que la autoriz da orden en sentido contrario?Evidencia: Dispone de un procedimiento documentado ligado a la gestin derecursos humanos para avisar a los responsables de la gestin de usuarios

Aplica:$ S $ No

Lo audito:$ S $ No


25/99



SIN CLASIFICAR

Aptdo.Categora -



en el sistema de los cambios en las responsabilidades de los usuarios.Consultar con recursos humanos cul ha sido el ltimo cambio y consultar sise ha reflejado el mismo en los usuarios del sistema.

$ 1.4.- El identificador se mantiene durante el periodo necesario paraatender a las necesidades de trazabilidad de los registros de actividadasociados a las mismas?Evidencia: Dispone de un procedimiento documentado que identifica elperiodo necesario para atender a las necesidades de trazabilidad de losregistros de actividad, procedimiento que indica que debe llevarse a cabo enlos sistemas previos a su puesta en explotacin o ya en produccin, lo quese debe hacer una vez pasado dicho periodo y quin debe hacer cada tareadel procedimiento (p.ej: cuando un empleado deja la organizacin, suusuario se bloquea durante el tiempo establecido en la poltica de retencin,y no es hasta pasado ese plazo cuando dicho usuario puede eliminarse delsistema). Existe evidencia documental del periodo necesario para atender alas necesidades de trazabilidad de los registros. Tomando un sistema (elmuestreo puede ser mayor segn se estime conveniente), se analizar cul

es el periodo de retencin establecido y se buscarn identificadores que hansido inhabilitados dentro y fuera del periodo de retencin, para constatarque se ha procedido conforme al procedimiento.

Consultar guas:Cri t er ios de segur idadCaptulos 9 y 13CCN-STI C-50 1A Configuracin segura Windows XP Professional SP2(miembro de dominio)CCN-STI C-50 3A Configuracin segura Windows Server 2003 (controladorde dominio)CCN-STI C-5 09 Seguridad en servidores de ficheros Windows Server 2003(servidor independiente/miembro de dominio)CCN-STI C-51 7A Configuracin segura Windows Vista Enterprise (miembrode dominio)CCN-STI C-52 1A Configuracin segura Windows Server 2008 R2

CCN-STI C-6 02 Configuracin segura HP-UX 11iCCN-STI C-6 10 Configuracin segura RedHat Linux 7CCN-STI C-6 11 Configuracin segura SUSE Linux Enterprise Server 9CCN-STI C-6 25 Gua de securizacin de Solaris 10 con Oracle 10g

op.acc.2 Requisitos de acceso


26/99


27/99



SIN CLASIFICAR

Aptdo.Categora -



CCN-STI C-6 02 Configuracin segura HP-UX 11iCCN-STI C-6 10 Configuracin segura RedHat Linux 7CCN-STI C-6 11 Configuracin segura SUSE Linux Enterprise Server 9

CCN-STI C-6 25 Gua de securizacin de Solaris 10 con Oracle 10g

op.acc.3 Segregacin de funciones y tareasMedia -A, I, C, T

$1.- Existe segregacin de funciones y tareas?Evidencia: Dispone de un documento en el que se detallan cules son lastareas crticas (como mnimo sern las de desarrollo, operacin,configuracin del sistema de operacin, mantenimiento del sistema deoperacin y auditora o supervisin). Dispone de un esquema de funciones ytareas en el que se contemplan las tareas crticas que son incompatibles enuna misma persona. Dispone de un procedimiento documentado ligado a lagestin de recursos humanos que contempla que no se le puedan asignartareas incompatibles a una misma persona. Consultar funcionesincompatibles y solicitar el nombre de las personas que tienen asignadasdichas funciones para constatar que no son las mismas personas.

Respecto a dicha segregacin de funciones y tareas:

$1.1.- Contempla la incompatibilidad de tareas de desarrollo con las deoperacin?Evidencia: En el esquema de funciones aparecen desarrollo y operacin,y estn marcadas como incompatibles entre s.

$ 1.2.- Contempla la incompatibilidad de tareas de configuracin ymantenimiento del sistema con las de de operacin?Evidencia: En el esquema de funciones aparecen configuracin ymantenimiento del sistema y operacin, y estn marcadas comoincompatibles entre s.

$1.3.- Contempla la incompatibilidad de tareas de auditora o supervisincon las de cualquier otra funcin relacionada con el sistema?Evidencia: En el esquema de funciones aparece auditora o supervisin delsistema y est marcada como incompatibles con todas las dems.

Consultar guas:Cri t er ios de segur idadCaptulo 20CCN-STI C-80 1 ENS Responsables y funciones

Aplica:$ S $ No

Lo audito:$ S $ No

op.acc.4 Proceso de gestin de derechos de acceso


28/99


29/99


30/99


31/99


32/99



SIN CLASIFICAR

Aptdo.Categora -



propia instalacin de la organizacin, al servidor, al dominio de red, etc.) norevelan informacin sobre el sistema al que se est accediendo (p.ej: unmensaje inadecuado previo al inicio de sesin sera Bienvenido a los

sistemas del Ayuntamiento del Tomillar, va a acceder a un sistema de nivelcrtico en el que se almacena informacin sobre todos los ciudadanos de lacomarca., mientras que uno adecuado sera El acceso a este sistema estrestringido a personal autorizado, se le informa que su uso deber ceirse alautorizado en la poltica de seguridad y su acceso quedar registrado.Mensajes inadecuados de error en el acceso seran Usuario inexistente o

Contrasea incorrecta, mientras que uno adecuado sera Datosincorrectos).

$2.- Se limita el nmero de intentos fallidos de acceso?Evidencia: Dispone de una poltica o normativa documentada que especificael nmero mximo de intentos fallidos de acceso, especificando qu accintomar llegado el caso. El sistema aplica dicha poltica (p.ej: tras 5 intentosde acceso fallidos bloquea la cuenta del usuario).

$3.- Se registran los accesos con xito y los fallidos?Evidencia: Dispone de una poltica o normativa documentada que especificaque se deben registrar tanto los accesos con xito como fallidos. Comprobarque el sistema de registro almacena tanto los accesos con xito como losfallidos.

$4.- Informa el sistema al usuario de sus obligaciones inmediatamentedespus de obtener el acceso?Evidencia: Dispone de una poltica o normativa documentada que especificaque se debe informar al usuario de sus obligaciones inmediatamentedespus de obtener el acceso. Una vez habiendo accedido con xito alsistema, ste muestra un aviso con las obligaciones del usuario.


CCN-STI C-50 1A Configuracin segura Windows XP Professional SP2(miembro de dominio)CCN-STI C-50 3A Configuracin segura Windows Server 2003 (controladorde dominio)CCN-STI C-5 09 Seguridad en servidores de ficheros Windows Server 2003(servidor independiente/miembro de dominio)CCN-STI C-51 7A Configuracin segura Windows Vista Enterprise (miembrode dominio)


33/99


34/99



SIN CLASIFICAR

Aptdo.Categora -



las medidas [op.acc.6], [mp.com.2] y [mp.com.3].

Consultar guas:

Cri t er ios de segur idadCaptulo 13

Media -A, I, C, T

$2.- Est documentado lo que puede hacerse remotamente?Evidencia: Dispone de una poltica o normativa documentada que regula lasactividades que pueden realizarse remotamente.

$3.- Se han autorizado previamente los accesos remotos?Evidencia: Dispone de una poltica o normativa documentada que especificaque los accesos remotos deben ser autorizados previamente, indicando lapersona que puede autorizar el acceso. Existe evidencia documental de losaccesos autorizados, por quin y durante qu periodo.

Aplica:$ S $ No

Lo audito:$ S $ No

op.exp EXPLOTACINop.exp.1 Inventario de activos

Baja -D, A, I, C, T

$1.- Dispone de un inventario del sistema?Evidencia: Dispone de un inventario de los elementos que componen elsistema, en el que se detalla su identificador, fabricante y modelo (p.ej:

JUPITER - Cisco 2128, ORION - Dell PowerEdge R420, etc.).

Respecto a dicho inventario:

$1.1.- Identifica la naturaleza de los elementos?Evidencia: Cada elemento del inventario tiene especificado de qu tipo es(p.ej: el elemento JUPITER indica que es un router, el elemento ORIONindica que es un servidor, etc.).

$1.2.- Identifica a los responsables de los elementos?Evidencia: Cada elemento del inventario tiene especificado quin es suresponsable (p.ej: el responsable del router es el responsable decomunicaciones).

$1.3.- Se mantiene actualizado?Evidencia: Dispone de un procedimiento documentado que especifica elresponsable y la frecuencia de su revisin y/o actualizacin. El inventariorefleja que la fecha de ltima revisin y/o actualizacin concuerda con laespecificada en el procedimiento.

Consultar guas:

Aplica:$ S $ No

Lo audito:$ S $ No


35/99



SIN CLASIFICAR

Aptdo.Categora -



Cri t er ios de segur idadCaptulo 6


$1.3.- Se retiene en el inventario los componentes desmantelados?Evidencia: Estn identificados en el inventario los elementos que seencuentran desmantelados, as como su fecha de desmantelacin.

Aplica:$ S $ No

Lo audito:$ S $ No

op.exp.2 Configuracin de seguridadBaja -D, A, I, C, T

$ 1.- Dispone de un procedimiento de fortificacin o bastionado de lossistemas previo a su entrada en operacin?

Evidencia: Dispone de un procedimiento documentado que indica lasactividades a realizar en los sistemas (perfil de seguridad) para suconfiguracin segura previa a su entrada en operacin. Dicho procedimientoest avalado por una autoridad reconocida (p.ej: recomendaciones desecurizacin del CCN). Dispone de un procedimiento documentado queindica la frecuencia con la que se revisan dichos perfiles, tanto peridicocomo a raz de la publicacin de vulnerabilidades en los sistemas, y elresponsable de su revisin. Existe evidencia documental (p.ej: checklist) dela fortificacin realizada a los sistemas, indicando la persona que lo realiz yla fecha y la versin del procedimiento que utiliz.

Respecto a dicho procedimiento de bastionado:

$1.1.- Indica que se retiren las cuentas y contraseas estndar?Evidencia: El procedimiento indica que se retiren las cuentas y contraseasestndar (p.ej: los servidores Linux no deben tener la cuenta root, los

servidores Windows no deben tener la cuenta administrador ni invitado,etc.). Solicitar el listado de usuarios para comprobar que no existen cuentasque se han debido retirar segn el procedimiento.

$1.2.- Indica que el sistema proporcione la funcionalidad requerida paraque la organizacin alcance sus objetivos y ninguna otra funcionalidad?Evidencia: El procedimiento indica que se desactiven las funcionalidades norequeridas, ni necesarias, ni de inters o inadecuadas, ya sean gratuitas, de

Aplica:$ S $ No

Lo audito:$ S $ No


36/99


37/99


38/99


39/99



SIN CLASIFICAR

Aptdo.Categora -



$1.2.- Antes de poner en produccin una nueva versin o una versinparcheada se comprueba en un equipo que no est en produccin(equivalente al de produccin en los aspectos que se comprueban) que lanueva instalacin funciona correctamente y no disminuye la eficacia de lasfunciones necesarias para el trabajo diario?Evidencia: Dicho procedimiento contempla la realizacin de pruebas previasa la puesta en produccin del cambio. Consultar el ltimo cambio realizado,el resultado de las pruebas y el sistema en el que se realizaron dichaspruebas.

$ 1.3.- Se planifican los cambios para reducir el impacto sobre laprestacin de los servicios afectados?Evidencia: Dicho procedimiento contempla la ventana de tiempo en que elcambio afecta en menor medida a los servicios relacionados, realizndose elcambio en dicha ventana si as se estima oportuno. Consultar el ltimocambio realizado y ver si se realiz en la ventana de tiempo estipulada.

$ 1.4.- Se determina mediante anlisis de riesgos si los cambios sonrelevantes para la seguridad del sistema? En caso de que el cambio impliqueuna situacin de riesgo de nivel alto es aprobado el cambio explcitamentede forma previa a su implantacin?Evidencia: Dicho procedimiento contempla la actualizacin previa al cambiodel anlisis de riesgos (que contempla la situacin tras el cambio), lapersona responsable de dicha actualizacin y, en caso de que el riesgoresultante sea alto, requerir la aprobacin explcita del cambio por partedel propietario. Consultar las actualizaciones en el anlisis de riesgos previosa los cambios.

Consultar guas:Cri t er ios de segur idadCaptulos 12, 16 y 17

op.exp.6 Proteccin frente a cdigo daino

Baja -D,A, I, C, T$

1.- Dispone de mecanismos de prevencin y reaccin frente a cdigodaino (virus, gusanos, troyanos, programas espa y malware engeneral)?Evidencia: Dispone de un procedimiento documentado que indica, entre lasactividades a realizar en los sistemas (perfil de seguridad) para su

Aplica:$ S $ No

Lo audito:$ S $ No


40/99


41/99


42/99



SIN CLASIFICAR

Aptdo.Categora -



de tratar el incidente?Evidencia: Dispone de un procedimiento documentado para la gestin deincidencias orientado al usuario final, de forma que este sepa identificar y

resolver los incidentes ms comunes. Consultar a un usuario final paraconstatar que conoce este procedimiento.

$ 1.7.- Incluye el actualizar, extender, mejorar u optimizar losprocedimientos de resolucin de incidencias?Evidencia: El procedimiento de gestin de incidencias contempla su revisinperidica o a raz de la identificacin de posibles mejoras en el mismo.

$ 1.8.- En caso de afectar el incidente a ficheros con datos de carcterpersonal contempla su gestin adems lo dispuesto en la LO 15/1999?Evidencia: Dicho procedimiento establece el identificar si la incidencia afectaa ficheros con datos de carcter personal y, en caso de que as sea, estalineado o integrado con el de gestin de incidencias de LOPD (relacionadocon [mp.info.1]).

Consultar guas:Cri t er ios de segur idadCaptulos 17 y 18CCN-STI C-4 03 Gestin de incidentes de seguridad

op.exp.8 Registro de la actividad de los usuariosMedia -T

$1.- Dispone de mecanismos que garanticen la correccin de la hora a laque se realiza el registro?Evidencia: Dispone de un procedimiento documentado relacionado con

[op.exp.2] Configuracin de seguridad en el que se detalla losmecanismos a utilizar para mantener el reloj del sistema en hora.

Aplica:$ S $ No

Lo audito:$ S $ No

Alta -

T

$2.- Se registran todas las actividades de los usuarios en el sistema?Evidencia: Dispone de una poltica o normativa documentada que indica quese deben registrar todas las actividades de los usuarios en el sistema.Existen mecanismos para aplicar dicha poltica o normativa, y herramientaspara analizar los registros en busca de actividades fuera de lo normal.

Respecto a dichos registros:

$2.1.- Indican quin realiza la actividad, cundo la realiza y sobre quinformacin, sea cual sea el usuario?Evidencia: Dicha poltica o normativa establece que se debe registrar quin

Aplica:$ S $ No

Lo audito:$ S $ No


43/99



SIN CLASIFICAR

Aptdo.Categora -



realiza la actividad, cundo la realiza y sobre qu informacin. Dispone deun procedimiento documentado relacionado con [op.exp.2] Configuracinde seguridad en el que se detalla los mecanismos a utilizar para mantener

el reloj del sistema en hora. Consultar si los mecanismos de registroalmacenan esta informacin (p.ej: la lectura por un humano de ese registropodra ser que el usuario user34 el 16-10-2010 a las 14:59:37 modific latupla 328 de la base de datos tramites).

$ 2.2.- Incluye la actividad de los operadores y administradores delsistema?Evidencia: Dicha poltica o normativa establece que se debe registrar laactividad de los operadores y administradores del sistema. Consultar si losmecanismos de registro almacenan los accesos a la configuracin delsistema de forma que los propios operadores y administradores no puedanmodificarlos.

$2.3.- Incluye tanto las actividades realizadas con xito como los intentosfracasados?

Evidencia: Dicha poltica o normativa establece que se debe registrar tantolas actividades realizadas con xito como los intentos fracasados. Consultarsi los mecanismos de registro almacenan ambos.

$ 2.4.- La determinacin de las actividades a registrar y su nivel dedetalle se determina en base al anlisis de riesgos del sistema?Evidencia: La poltica o normativa los establece en base al resultado delanlisis de riesgos ([op.pl.1]).

Consultar guas:Cri t er ios de segur idadCaptulo 20CCN-STI C-4 34 Herramientas para el anlisis de ficheros de log

op.exp.9 Registro de la gestin de incidenciasMedia -

D, A, I, C, T

$1.- Se registran todas las actuaciones relacionadas con la gestin de

incidencias ([op.exp.7])?Evidencia: Dispone de un procedimiento documentado para la gestin deincidencias que incluye mantener un registro de todas las actuacionesrelacionadas con la gestin de las mismas. Existe evidencia documental delos registros generados durante la gestin de incidencias.

Respecto a dicho registro de las incidencias:

$1.1.- Se registran el reporte inicial, las actuaciones de emergencia y las

Aplica:$ S $ No

Lo audito:$ S $ No


44/99


45/99



SIN CLASIFICAR

Aptdo.Categora -



Dispone de un procedimiento documentado para la eliminacin de losregistros tras el periodo estipulado de retencin, incluyendo las copias deseguridad (si existen). Consultar si la antigedad de los registros

concuerdan con el periodo de retencin establecido.

$1.2.- La fecha y hora de los mismos est asegurada?Evidencia: Dispone de mecanismos para garantizar la fecha y hora de sugeneracin conforme a [mp.info.5]. Constatar que la fecha y hora dediversos sistemas, sobre todo de aquellos que generan o almacenanregistros de actividad, es la correcta.

$1.3.- Se encuentran protegidos frente a su modificacin o eliminacinpor personal no autorizado?Evidencia: Dispone de mecanismos que impiden el acceso, modificacin oeliminacin de registros o configuracin de la generacin de los mismos porpersonal no autorizado. Consultar la lista de accesos autorizados y constatarque no hay ninguna incompatibilidad conforme a lo establecido en

[op.acc.3] Segregacin de funciones y tareas.

$ 1.4.- Las copias de seguridad, si existen, se ajustan a los mismosrequisitos?Evidencia: Dispone de una poltica o normativa de seguridad que determinalos niveles de seguridad a aplicar a las copias de seguridad, si existen, delos registros alineada con los requisitos establecidos a los registros en vivo.Constatar que las medidas de seguridad aplicadas a las copias de seguridadcumplen lo indicado en dicha poltica o normativa.


op.exp.11 Proteccin de claves criptogrficasBaja -D, A, I, C, T

$1.- Se protegen las claves criptogrficas durante todo su ciclo de vida?Evidencia: Dispone de un procedimiento documentado para su proteccin

durante su generacin, transporte al punto de explotacin (p.ej: entrega enmano, uso de contenedores fsicos seguros o criptogrficos, doble canal clave y datos de activacin por separado-), custodia durante la explotacin,

Aplica:$ S $ No

Lo audito:$ S $ No


46/99


47/99



SIN CLASIFICAR

Aptdo.Categora -



sobre cada clave en el sistema a lo largo de su ciclo de vida. $ S $ No

op.ext SERVICIOS EXTERNOSop.ext.1 Contratacin y acuerdos de nivel de servicio

Media -A, I, C, T

$ 1.- Se han analizado los riesgos de la contratacin de serviciosexternos?Evidencia: El anlisis de riesgos identifica los riesgos asociados al proveedorexterno.

Previamente a la utilizacin de recursos externos se ha establecido:

$2.1.- Las caractersticas del servicio prestado?Evidencia: Dispone de un procedimiento documentado de pasos previos a lacontratacin de servicios externos que requiere el detalle por parte delproveedor de las caractersticas del servicio a prestar, y estos satisfacen losrequisitos de servicio y seguridad requeridos y aprobados previamente.

Existe evidencia documental reconocida por el proveedor (p.ej: contratofirmado por personal con capacidad de representacin legal del proveedor)de las caractersticas del servicio.

$ 2.2.- Lo que se considera calidad mnima y las consecuencias de suincumplimiento?Evidencia: Dicho procedimiento requiere tambin el detalle de lo que seconsidera calidad mnima y las consecuencias para el proveedor de suincumplimiento. Existe evidencia documental reconocida por el proveedor(p.ej: contrato firmado por personal con capacidad de representacin legaldel proveedor) de la calidad mnima exigida y las consecuencias de suincumplimiento.

$2.3.- Las responsabilidades de las partes?Evidencia: Dicho procedimiento requiere tambin el establecimiento de las

funciones o roles, obligaciones y responsabilidades de cada parte. Existeevidencia documental reconocida por el proveedor (p.ej: contrato firmadopor personal con capacidad de representacin legal del proveedor) de lasresponsabilidades de las partes.

Consultar guas:Cri t er ios de segur idadCaptulos 7 y 13

Aplica:$ S $ No

Lo audito:$ S $ No


48/99


49/99



SIN CLASIFICAR

Aptdo.Categora -



caso de que el plan cuente con disponer de medios alternativos, consultar sise dispone de los medios alternativos (p.ej: servidor de sustitucin, switchde sustitucin, CPD alternativo, etc.).

$2.- El servicio alternativo ofrece las mismas garantas de seguridad queel servicio habitual?Evidencia: Las caractersticas del servicio alternativo incluyen las mismasgarantas de seguridad que el servicio habitual.

$3.- El plan de reemplazamiento de servicios se vertebra dentro del plande continuidad de la organizacin?Evidencia: El [op.cont.2] Plan de continuidad contempla el uso de mediosalternativos.

op.cont CONTINUIDAD DEL SERVICIOop.cont.1 Anlisis del impacto

Media -D

$1.- Se ha realizado un anlisis de impacto?Evidencia: Dispone de un procedimiento documentado para el anlisis de

impacto de una contingencia en la continuidad del servicio, este contemplael responsable del mismo, su revisin peridica o actualizacin tras cambiosen los sistemas (ligado a [op.exp.3], [op.exp.4] y [op.exp.5]) y suaprobacin por la Direccin. Consultar el ltimo anlisis de impacto as comoel hecho que haya motivado su posible revisin o actualizacin.

Respecto a dicho anlisis de impacto:

$1.1.- Identifica los requisitos de disponibilidad de cada servicio?Evidencia: Dicho anlisis de impacto identifica los requisitos dedisponibilidad de cada servicio (medido como el impacto de una interrupcindurante un cierto periodo de tiempo). Entre esos requisitos se encuentra laidentificacin del tiempo mximo de datos que se pueden perder, lo que setiene contemplado en la frecuencia de las copias de seguridad y su gestin.

$1.2.- Identifica los elementos que son crticos para la prestacin de cada

servicio?Evidencia: Dicho anlisis de impacto identifica los elementos que son crticospara la prestacin de cada servicio, bien sean propios o proporcionados porexternos.

Consultar guas:Cri t er ios de segur idadCaptulo 19CCN-STI C-4 70 CManual de usuario de PILAR

Aplica:$ S $ No

Lo audito:$ S $ No


50/99


51/99


52/99



SIN CLASIFICAR

Aptdo.Categora -



a las alarmas, y la frecuencia y responsabilidad en la revisin y anlisis delos registros.

Consultar guas:Cri t er ios de segur idadCaptulo 14CCN-STI C-4 34 Herramientas de anlisis de logsCCN-STI C-9 53 Recomendaciones empleo herramienta Snort

op.mon.2 Sistema de mtricasAlta -A, I, C, T

$1.- Dispone de un conjunto de indicadores que midan el desempeo realdel sistema en materia de seguridad?Evidencia: Dispone de un procedimiento documentado para la asignacin dela responsabilidad en la definicin de indicadores y la frecuencia en laadicin o eliminacin de dichos indicadores. Para cada indicador secontempla el objetivo que se pretende medir, el responsable del indicador,el origen de la informacin, el procedimiento de recogida y tratamiento delos datos, la frecuencia de recogida de datos y de presentacin deresultados y los criterios de valoracin del indicador a efectos de reaccionary tomar decisiones. Existe evidencia documental de dichos indicadores.

Respecto a dichos indicadores:

$1.1.- Miden el grado de implantacin de las medidas de seguridad?Evidencia: Existe un conjunto de indicadores aprobados por la Direccinpara medir el grado de implantacin de las medidas de seguridad. Consultarlos valores, su frecuencia de actualizacin y las medidas tomadas a cabo araz de su anlisis.

$1.2.- Miden la eficacia y eficiencia de las medidas de seguridad?Evidencia: Existe un conjunto de indicadores aprobados por la Direccinpara medir el la eficacia y eficiencia de las medidas de seguridad. Consultarlos valores, su frecuencia de actualizacin y las medidas tomadas a cabo araz de su anlisis.

$1.3.- Miden el impacto de los incidentes de seguridad?Evidencia: Existe un conjunto de indicadores aprobados por la Direccinpara medir el impacto de los incidentes de seguridad. Consultar los valores,su frecuencia de actualizacin y las medidas tomadas a cabo a raz de suanlisis.

Aplica:$ S $ No

Lo audito:$ S $ No


53/99



SIN CLASIFICAR

5.3. MEDIDAS DE PROTECCIN

Aptdo.Categora -


Auditado

m p MEDI DAS DE PROTECCI Nmp.if PROTECCIN DE LAS INSTALACIONES E INFRAESTRUCTURASmp.if.1 reas separadas y con control de acceso

Baja -D, A, I, C, T

$ 1.- El equipamiento ha sido instalado en reas separadas especficaspara su funcin?Evidencia: Dispone de una poltica o normativa documentada que especificaque los sistemas se encuentran en reas separadas especficas para sufuncin (p.ej: los servidores se encuentran en una sala independiente).Dispone de un inventario donde se indican las salas separadas existentes.Examinar dichas salas y constatar que cumplen la poltica o normativa.

Respecto a dichas reas separadas:$1.2.- Se controlan los accesos?Evidencia: Dispone de una poltica o normativa documentada que especificaque el acceso a las reas separadas se encuentra controlado (p.ej: paraacceder a la sala de servidores es necesario tener la llave de la puerta deacceso, que es la nica va de acceso) y vigilado (p.ej: dispone de unacmara de vigilancia que controla el acceso a la sala, o la cerradura eselectrnica y registra el cdigo de acceso independiente de cada personaque accede, o el procedimiento de acceso especifica que la persona queaccede pone su nombre y firma en un listado de entradas, etc.). Examinar elacceso a dichas salas y constatar que cumplen la poltica o normativa.


Aplica:$ S $ No

Lo audito:$ S $ No

mp.if.2 Identificacin de las personas

Baja -D,A, I, C, T

$1.- El control de acceso a los locales donde hay equipamiento que formeparte del sistema de informacin se encuentra gestionado?Evidencia: Dispone de una poltica o normativa documentada que estableceuna segregacin de las funciones de la gestin del control de acceso a lassalas separadas: autorizacin, ejecucin y registro. Dichas funciones deben

Aplica:$ S $ No

Lo audito:$ S $ No


54/99


55/99


56/99



SIN CLASIFICAR

Aptdo.Categora -



Alta -D, A, I, C, T

$ 3.- Existe equipamiento redundante en caso de fallo de los equiposprincipales de acondicionamiento?Evidencia: Dispone de equipamiento redundante en caso de fallo de losequipos principales de acondicionamiento.

$4.- Se encuentra actualizado el etiquetado de los cables?Evidencia: Dispone de un procedimiento documentado para la revisin yactualizacin del etiquetado de los cables. Consultar las etiquetas y la fechade la ltima revisin.

Aplica:$ S $ No

Lo audito:$ S $ No

mp.if.4 Energa elctricaBaja -D

$1.- Se garantiza el suministro de potencia elctrica?Evidencia: Dispone de una poltica o normativa documentada que especifica

que el local debe contar con la potencia elctrica necesaria. Dispone de unanlisis de la potencia elctrica necesaria, que se actualiza antes de laadquisicin de nuevos componentes. Consultar si el contrato de suministrocubre la potencia elctrica necesaria.

$2.- Se dispone de las tomas elctricas necesarias?Evidencia: Dicha poltica o normativa documentada especifica que el localdebe contar con las tomas elctricas necesarias. Consultar que se cumple lapoltica o normativa (p.ej: enchufes con toma de tierra, cantidad deenchufes suficiente para no tener que recurrir a multiplicadores en cascadaque superen los W mximos recomendados, etc.).

$3.- Se garantiza el correcto funcionamiento de las luces de emergencia?Evidencia: Dispone de una poltica o normativa documentada que especificaque el local debe contar con luces de emergencia. Dispone de un

procedimiento documentado para la revisin del correcto funcionamiento delas luces de emergencia. Constatar que existen luces de emergencia. Existeevidencia documental de la revisin de las luces de emergencia.


Aplica:$ S $ No

Lo audito:$ S $ No

Media -D

$3.- Se garantiza el suministro de potencia elctrica en caso de fallo delsuministro general, garantizando el tiempo suficiente para una terminacin

Aplica:$ S $ No


57/99


58/99



SIN CLASIFICAR

Aptdo.Categora -



en el que se encuentra (p.ej: si se encuentra en una ubicacin con casos deinundacin se puede recomendar el cambio de ubicacin o disponer debombas de achique, etc.).


mp.if.7 Registro de entrada y salida de equipamientoBaja -A, I, C, T

$ 1.- Se lleva un registro pormenorizado de toda entrada y salida deequipamiento, incluyendo la identificacin de la persona que autoriza elmovimiento?Evidencia: Dispone de una poltica o normativa documentada que estableceuna segregacin de las funciones de la gestin del control de entrada ysalida de equipamiento a las salas separadas: autorizacin, ejecucin yregistro. Dichas funciones deben recaer en, al menos, dos personasdiferentes. Dispone de un procedimiento documentado que especifica el tipode equipamiento (incluyendo al menos servidores, porttiles, equipos decomunicaciones y soportes de informacin) que a su entrada o salida debeser registrado. El registro debe reflejar: fecha y hora, identificacininequvoca del equipamiento, persona que realiza la entrada o salida,persona que autoriza la entrada o salida y persona que realiza el registro.Consultar que el registro de entrada y salida de equipamiento cumple loespecificado.


Aplica:$ S $ No

Lo audito:$ S $ No

Media -A, I, C, T

$2.- Cul es el periodo de retencin de los registros de movimiento deequipamiento?Evidencia: Dicho procedimiento contempla la retencin de los datosregistrados durante el periodo aprobado por la Direccin. Consultar losregistros del comienzo del periodo de retencin.

Aplica:$ S $ No

Lo audito:$ S $ No

Alta -A, I, C, T

$3.- Se encuentran segregadas totalmente las funciones de la gestin demovimiento de equipamiento?Evidencia: Dichas funciones recaen en tres personas diferentes.

Aplica:$ S $ No

Lo audito:$ S $ No


59/99


60/99



SIN CLASIFICAR

Aptdo.Categora -



referencias. Consultar la caracterizacin de un puesto de trabajo, la personaque lo ostenta y sus referencias.


mp.per.2 Deberes y obligacionesBaja -D, A, I, C, T

$1.- Se informa a cada persona que trabaja en el sistema de los deberesy responsabilidades de su puesto de trabajo en materia de seguridad?Evidencia: Dispone de un procedimiento documentado que especifica laforma de informar a cada persona que trabaja en el sistema de los deberesy responsabilidades de su puesto de trabajo en materia de seguridad, ascomo la forma de recabar su aceptacin explcita y firmada. Dispone de undocumento para cada perfil con sus deberes y responsabilidades. Consultardichos documentos (informacin y aceptacin de deberes yresponsabilidades) firmados.

Respecto a dicha informacin de deberes y responsabilidades:

$1.1.- Se especifican las medidas disciplinarias a que haya lugar?Evidencia: Dicho documento informa de las medidas disciplinarias a quehaya lugar.

$ 1.2.- Se especifica que cubre tanto el periodo durante el cual sedesempea el puesto como las obligaciones en caso de trmino de laasignacin o traslado a otro puesto de trabajo?Evidencia: Dicho documento informa de que las obligaciones se mantienentanto en el periodo durante el cual se desempea el puesto comoposteriormente, en caso de trmino de la asignacin o traslado a otropuesto de trabajo.

$ 1.3.- Se especifica que el deber de confidencialidad respecto de losdatos a los que tenga acceso cubre el periodo durante el cual se desempeael puesto como en caso de trmino de la asignacin o traslado a otro puestode trabajo?Evidencia: Dicho documento informa de que las obligaciones deconfidencialidad se mantienen tanto en el periodo durante el cual sedesempea el puesto como posteriormente, en caso de trmino de laasignacin o traslado a otro puesto de trabajo.

$2.- Se han establecido, en el caso de personal contratado a travs de untercero, los deberes y obligaciones del personal?

Aplica:$ S $ No

Lo audito:$ S $ No


61/99



SIN CLASIFICAR

Aptdo.Categora -



Evidencia: Dispone de una normativa documentada que especifica losdeberes y obligaciones del personal contratado a travs de un tercero.Existe evidencia documental de la exigencia de esta normativa (p.ej:

aparece reflejada la normativa en el contrato con el tercero).

Respecto del personal contratado a travs de un tercero:

$2.1.- Se han establecido los deberes y obligaciones de cada parte?Evidencia: Dispone de una normativa documentada que enumera losdeberes y obligaciones de cada parte. Existe evidencia documental de laexigencia de esta normativa (p.ej: aparece reflejada la normativa en elcontrato con el tercero).

$ 2.2.- Se ha establecido el procedimiento de resolucin de incidentesrelacionados con el incumplimiento de las obligaciones?Evidencia: Dispone de un procedimiento documentado que define laresolucin de incidentes relacionados con el incumplimiento de lasobligaciones por parte del personal del tercero. Tiene identificada a lapersona de contacto en el tercero para la resolucin de este tipo de

incidentes.


Media -C

$3.- Dispone del acuerdo de confidencialidad escrito y firmado?Evidencia: Dispone, por cada persona, de su acuerdo de confidencialidadfirmado.

Aplica:$ S $ No

Lo audito:$ S $ No

mp.per.3 Concienciacin

Baja -D, A, I, C, T

$ 1.- Se realizan acciones para concienciar regularmente al personalacerca de su papel y responsabilidad para que la seguridad del sistemaalcance los niveles exigidos?Evidencia: Dispone de un procedimiento documentado que indica elresponsable de la elaboracin del plan de concienciacin, as como su

Aplica:$ S $ No

Lo audito:$ S $ No


62/99



SIN CLASIFICAR

Aptdo.Categora -



periodicidad y contenido. Consultar dicho plan y los registros de suejecucin.

Respecto a dicha concienciacin:$1.1.- Forma parte del contenido la normativa de seguridad relativa albuen uso de los sistemas?Evidencia: El contenido del plan de concienciacin incluye la normativa deseguridad relativa al buen uso de los sistemas.

$ 1.2.- Forma parte del contenido la identificacin de incidentes,actividades o comportamientos sospechosos que deban ser reportados parasu tratamiento por personal especializado?Evidencia: El contenido del plan de concienciacin incluye la identificacin deincidentes, actividades o comportamientos sospechosos que deban serreportados para su tratamiento por personal especializado.

$ 1.3.- Forma parte del contenido el procedimiento de reporte deincidencias de seguridad, sean reales o falsas alarmas?

Evidencia: El contenido del plan de concienciacin incluye el procedimientode reporte de incidencias de seguridad, sean reales o falsas alarmas.



$1.4.- Se encuentra ese plan financiado?Evidencia: Dicho procedimiento incluye el clculo de los recursos necesariospara su ejecucin. El responsable de la definicin del plan de concienciacincuenta con la financiacin necesaria para que esta actividad se lleve a caboregularmente.

Aplica:$ S $ No

Lo audito:$ S $ No

Alta -

D, A, I, C, T

$1.5.- Existe constancia de que cada persona ha recibido y seguido el

plan de concienciacin?Evidencia: Dispone de un registro que deje constancia de que cada personaha recibido y seguido el plan de concienciacin.

Aplica:

$ S $ No

Lo audito:$ S $ No

mp.per.4 Formacin


63/99



SIN CLASIFICAR

Aptdo.Categora -



Baja -A, I, C, T

$ 1.- Se forma regularmente al personal en aquellas materias querequieran para el desempeo de sus funciones?Evidencia: Dispone de un plan de formacin en el que se identifica el

responsable de su elaboracin, las necesidades formativas de cada puestode trabajo, as como la planificacin en la imparticin de la formacinnecesaria y la frecuencia con la que debe actualizar su formacin.

Respecto a dicha formacin:

$1.1.- Cubre la configuracin de sistemas?Evidencia: Dicho plan tiene contenidos formativos relativos a laconfiguracin de sistemas.

$1.2.- Cubre la deteccin y reaccin a incidentes?Evidencia: Dicho plan tiene contenidos formativos relativos a la deteccin yreaccin a incidentes.

$1.3.- Cubre la gestin de la informacin en cualquier soporte en el quese encuentre?

Evidencia: Dicho plan tiene contenidos formativos relativos a la gestin de lainformacin en cualquier soporte en el que se encuentre, al menos en lo quese refiere a almacenamiento, transferencia, copia, distribucin ydestruccin.


Aplica:$ S $ No

Lo audito:$ S $ No

Media -A, I, C, T

$1.4.- Existe constancia de la ejecucin del plan formativo?Evidencia: Dispone de registros de la recepcin de la formacin por partedel personal que estaba planificado y la valoracin de la misma.

Aplica:$ S $ No

Lo audito:$ S $ No

mp.per.9 Personal alternativo


64/99



SIN CLASIFICAR

Aptdo.Categora -



Alta -D

$1.- Est garantizada la existencia y disponibilidad de otras personas quese puedan hacer cargo de las funciones en caso de indisponibilidad delpersonal habitual?

Evidencia: Dispone de un procedimiento documentado que identifica laspersonas que se pueden hacer cargo de las funciones en caso deindisponibilidad del personal habitual, en relacin con el [op.cont.2] Plan decontinuidad. Estas personas estn localizables y conocen losprocedimientos necesarios.

Respecto a dicho personal alternativo:

$ 1.1.- Est sometido a las mismas garantas de seguridad que elpersonal habitual?Evidencia: El personal alternativo est sometido a las mismas garantas deseguridad que el personal habitual.


Aplica:$ S $ No

Lo audito:$ S $ No

mp.eq PROTECCIN DE LOS EQUIPOSmp.eq.1 Puesto de trabajo despejado

Baja -D, A, I, C, T

$1.- Se exige que los puestos de trabajo permanezcan despejados, sinms material encima de la mesa que el requerido para la actividad que seest realizando en cada momento?Evidencia: Dispone de una poltica o normativa documentada que indica quelos puestos de trabajo deben permanecer despejados, sin ms materialencima de la mesa que el requerido para la actividad que se est realizandoen cada momento. Dispone de un procedimiento disciplinario documentadoasociado a su incumplimiento. Observar si se cumple.


Aplica:$ S $ No

Lo audito:$ S $ No

Media -

D, A, I, C, T

$2.- Se guarda este material de nivel medio en lugar cerrado cuando no

se est utilizando?Evidencia: Dicha poltica o normativa indica que el material de nivel mediose guardar en lugar cerrado cuando no se est utilizando. Observar si losusuarios disponen de lugares donde guardar bajo llave este material.

Aplica:$

S$

No

Lo audito:$ S $ No

mp.eq.2 Bloqueo de puesto de trabajo


65/99


66/99



SIN CLASIFICAR

Aptdo.Categora -



mismo. Consultar dicho inventario.

$ 1.2.- Se lleva un control regular de que est positivamente bajo sucontrol?Evidencia: Dicho procedimiento recoge la responsabilidad de revisar con lafrecuencia definida la posesin de cada equipo porttil por la personaidentificada en el inventario. Existe evidencia documental de estos controlesregulares.

$ 1.3.- Se ha establecido un canal de comunicacin para informar, alservicio de gestin de incidencias, de prdidas o sustracciones?Evidencia: Dispone de un procedimiento documentado para la comunicacin,al servicio de gestin de incidencias, de prdidas o sustracciones, y elpersonal responsable de los equipos porttiles lo conoce.

$ 1.4.- Se ha establecido un sistema de proteccin perimetral queminimice la visibilidad exterior y minimice las opciones de acceso al interior?Evidencia: Dispone de un procedimiento documentado para proteccin delas conexiones de red (p.ej: un firewall personal). Constatar que se cumpleel procedimiento.

$1.5.- Se evita, en la medida de lo posible, que el equipo contenga clavesde acceso remoto a la organizacin?Evidencia: Dispone de poltica o normativa documentada que prohbe quelos equipos porttiles contengan claves de acceso remoto a la organizacin.Se han identificado los casos en los que esta poltica o normativa no sepuede aplicar y estn aprobados por la Direccin.


Alta -D, A, I, C, T

$1.6.- Se le ha dotado de detectores de violacin que permitan saber siel equipo ha sido manipulado y activen los procedimientos previstos degestin del incidente?Evidencia: Dicha poltica o normativa establece el uso de detectores deviolacin. Dispone de detectores de violacin que permitan saber si elequipo ha sido manipulado (p.ej: pegatinas que se alteran al manipularlas),en cuyo caso se activan los procedimientos previstos de gestin delincidente.

$1.7.- Se protege la informacin de nivel alto almacenada en el discomediante cifrado?

Aplica:$ S $ No

Lo audito:$ S $ No


67/99



SIN CLASIFICAR

Aptdo.Categora -



Evidencia: Dicha poltica o normativa establece el uso de medioscriptogrficos. Dispone de medios criptogrficos (relacionados con[mp.si.2]) para la proteccin de la informacin almacenada.

mp.eq.9 Medios alternativosMedia -D

$1.- Est garantizada la existencia y disponibilidad de medios alternativosde tratamiento de la informacin en caso de indisponibilidad de los medioshabituales?Evidencia: Dispone de un procedimiento documentado que identifica losmedios alternativos existentes y su disponibilidad en caso deindisponibilidad de los habituales, en relacin con el [op.cont.2] Plan decontinuidad. Estos medios existen y estn disponibles.

Respecto a dichos medios alternativos:

$ 1.1.- Estn sometidos a las mismas garantas de seguridad que loshabituales?Evidencia: Dicho procedimiento contempla que los medios alternativos estnsometidos a las mismas garantas de seguridad que los habituales.

$ 1.2.- Se ha establecido un tiempo mximo para que los equiposalternativos entren en funcionamiento?Evidencia: Dicho procedimiento identifica el tiempo mximo para que losequipos alternativos entren en funcionamiento en relacin con [op.cont.2] yse encuentra aprobado por su responsable. Consultar la ltima prueba quegarantice la entrada en funcionamiento en el tiempo establecido.


Aplica:$ S $ No

Lo audito:$ S $ No

mp.com PROTECCIN DE LAS COMUNICACIONESmp.com.1 Permetro seguro

Baja -D, A, I, C, T

$1.- Dispone de cortafuegos que separe la red interna del exterior?Evidencia: Dispone de una poltica o normativa documentada que especificaque la red interna est separada del exterior mediante un cortafuegos.

Dispone de un permetro concreto, delimitado y acotado, reflejado en laarquitectura del sistema ([op.pl.2]). Todo el trfico con el exterior pasa a

Aplica:$ S $ No

Lo audito:$ S $ No


68/99



SIN CLASIFICAR

Aptdo.Categora -



travs del cortafuegos. Slo se permite el trfico que ha sido previamenteautorizado. Ver el firewall y el esquema de red.

Consultar guas:Cri t er ios de segur idadCaptulo 14CCN-STI C-4 08 Se

Guía INTECO verificación del cumplimiento medidas

Documents

Transcript of Guía INTECO verificación del cumplimiento medidas