Documentos de Académico
Documentos de Profesional
Documentos de Cultura
GUA DE SEGURIDAD
(CCN-STIC-800)
ESQUEMA NACIONAL DE SEGURIDAD
GLOSARIO DE TRMINOS
Y ABREVIATURAS
MARZO 2011
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-800
Edita:
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-800
PRLOGO
El uso masivo de las tecnologas de la informacin y las telecomunicaciones (TIC), en todos los mbitos de
la sociedad, ha creado un nuevo espacio, el ciberespacio, donde se producirn conflictos y agresiones, y
donde existen ciberamenazas que atentarn contra la seguridad nacional, el estado de derecho, la
prosperidad econmica, el estado de bienestar y el normal funcionamiento de la sociedad y de las
administraciones pblicas.
La Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, encomienda al Centro
Nacional de Inteligencia el ejercicio de las funciones relativas a la seguridad de las tecnologas de la
informacin en su artculo 4.e), y de proteccin de la informacin clasificada en su artculo 4.f), a la vez
que confiere a su Secretario de Estado Director la responsabilidad de dirigir el Centro Criptolgico
Nacional en su artculo 9.2.f).
Partiendo del conocimiento y la experiencia del CNI sobre amenazas y vulnerabilidades en materia de
riesgos emergentes, el Centro realiza, a travs de su Centro Criptolgico Nacional, regulado por el Real
Decreto 421/2004, de 12 de marzo, diversas actividades directamente relacionadas con la seguridad de las
TIC, orientadas a la formacin de personal experto, a la aplicacin de polticas y procedimientos de
seguridad, y al empleo de tecnologas de seguridad adecuadas.
Una de las funciones ms destacables del Centro Criptolgico Nacional es la de elaborar y difundir normas,
instrucciones, guas y recomendaciones para garantizar la seguridad de los sistemas de las tecnologas de la
informacin y las comunicaciones de la Administracin, materializada en la existencia de la serie de
documentos CCN-STIC.
Disponer de un marco de referencia que establezca las condiciones necesarias de confianza en el uso de los
medios electrnicos es, adems, uno de los principios que establece la ley 11/2007, de 22 de junio, de
acceso electrnico de los ciudadanos a los servicios pblicos, en su artculo 42.2 sobre el Esquema
Nacional de Seguridad (ENS).
Precisamente el Real Decreto 3/2010 de 8 de Enero de desarrollo del Esquema Nacional de Seguridad fija
los principios bsicos y requisitos mnimos as como las medidas de proteccin a implantar en los sistemas
de la Administracin, y promueve la elaboracin y difusin de guas de seguridad de las tecnologas de la
informacin y las comunicaciones por parte de CCN para facilitar un mejor cumplimiento de dichos
requisitos mnimos.
En definitiva, la serie de documentos CCN-STIC se elabora para dar cumplimiento a los cometidos del
Centro Criptolgico Nacional y a lo reflejado en el Esquema Nacional de Seguridad, conscientes de la
importancia que tiene el establecimiento de un marco de referencia en esta materia que sirva de apoyo para
que el personal de la Administracin lleve a cabo su difcil, y en ocasiones, ingrata tarea de proporcionar
seguridad a los sistemas de las TIC bajo su responsabilidad.
Marzo de 2011
ii
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-800
NDICE
1.
TRMINOS........................................................................................................................................................4
1.1. ACTIVO ............................................................................................................................................................................. 4
1.2. ADMINISTRADOR DE SEGURIDAD DEL SISTEMA (ASS) ........................................................................................... 4
1.3. ANLISIS DE RIESGOS ..................................................................................................................................................... 4
1.4. AUDITORA DE LA SEGURIDAD ...................................................................................................................................... 4
1.5. AUTENTICIDAD ............................................................................................................................................................... 4
1.6. CATEGORA DE UN SISTEMA .......................................................................................................................................... 4
1.7. COMIT DE SEGURIDAD DE LA INFORMACIN ........................................................................................................... 5
1.8. CONFIDENCIALIDAD ....................................................................................................................................................... 5
1.9. DATOS DE CARCTER PERSONAL ................................................................................................................................. 5
1.10.
DECLARACIN DE CONFORMIDAD ........................................................................................................................... 5
1.11.
DISPONIBILIDAD......................................................................................................................................................... 5
1.12.
DUEO DEL RIESGO.................................................................................................................................................... 5
1.13.
INFORMACIN ............................................................................................................................................................. 5
1.14.
FIRMA ELECTRNICA ................................................................................................................................................. 5
1.15.
GESTIN DE INCIDENTES .......................................................................................................................................... 5
1.16.
GESTIN DE RIESGOS ................................................................................................................................................. 6
1.17.
INCIDENTE DE SEGURIDAD ....................................................................................................................................... 6
1.18.
INTEGRIDAD ................................................................................................................................................................ 6
1.19.
MEDIDAS DE SEGURIDAD .......................................................................................................................................... 6
1.20.
POLTICA DE FIRMA ELECTRNICA .......................................................................................................................... 6
1.21.
POLTICA DE SEGURIDAD .......................................................................................................................................... 6
1.22.
PRINCIPIOS BSICOS DE SEGURIDAD ....................................................................................................................... 6
1.23.
PROCEDIMIENTOS OPERATIVOS DE SEGURIDAD (POS)...................................................................................... 6
1.24.
PROCESO ...................................................................................................................................................................... 6
1.25.
PROCESO DE SEGURIDAD........................................................................................................................................... 7
1.26.
PRODUCTO DE SEGURIDAD TIC ............................................................................................................................... 7
1.27.
PROPIETARIO DEL RIESGO ........................................................................................................................................ 7
1.28.
PROPIETARIO DEL SISTEMA ...................................................................................................................................... 7
1.29.
REQUISITOS MNIMOS DE SEGURIDAD .................................................................................................................... 7
1.30.
RESPONSABLE DE LA INFORMACIN ....................................................................................................................... 7
1.31.
RESPONSABLE DE LA SEGURIDAD ............................................................................................................................ 7
1.32.
RESPONSABLE DEL SERVICIO ................................................................................................................................... 7
1.33.
RESPONSABLE DEL SISTEMA .................................................................................................................................... 7
1.34.
RIESGO ......................................................................................................................................................................... 8
1.35.
SEGURIDAD DE LA INFORMACIN ............................................................................................................................ 8
1.36.
SEGURIDAD DE LAS REDES Y DE LA INFORMACIN, .............................................................................................. 8
1.37.
SEGURIDAD DE LOS SISTEMAS DE INFORMACIN .................................................................................................. 8
1.38.
SERVICIO ...................................................................................................................................................................... 8
1.39.
SERVICIOS ACREDITADOS.......................................................................................................................................... 8
1.40.
SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN (SGSI) ............................................................ 8
1.41.
SISTEMA DE INFORMACIN ...................................................................................................................................... 9
1.42.
SISTEMA TIC............................................................................................................................................................... 9
1.43.
TIPO DE INFORMACIN ............................................................................................................................................. 9
1.44.
TRAZABILIDAD ........................................................................................................................................................... 9
1.45.
VULNERABILIDAD ...................................................................................................................................................... 9
2.
ABREVIATURAS .............................................................................................................................................9
3.
REFERENCIAS .............................................................................................................................................. 10
iii
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-800
1. TRMINOS
1.
1.1. ACTIVO
2.
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-800
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-800
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-800
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-800
41. Information System Owner (or Program Manager). Official responsible for the
overall procurement, development, integration, modification, or operation and
maintenance of an information system. CNSS Inst. 4009, Adapted
1.34. RIESGO
42. Estimacin del grado de exposicin a que una amenaza se materialice sobre uno o ms
activos causando daos o perjuicios a la organizacin. ENS.
1.35. SEGURIDAD DE LA INFORMACIN
43. Es la proteccin de la informacin y de los sistemas de informacin frente al acceso, uso,
divulgacin, alteracin, modificacin o destruccin no autorizadas, con el fin de
proporcionar confidencialidad, integridad y disponibilidad.
44. Information Security. The protection of information and information systems from
unauthorized access, use, disclosure, disruption, modification, or destruction in order to
provide confidentiality, integrity, and availability. [44 U.S.C., Sec. 3542]
1.36. SEGURIDAD DE LAS REDES Y DE LA INFORMACIN
45. Es la capacidad de las redes o de los sistemas de informacin de resistir, con un
determinado nivel de confianza, los accidentes o acciones ilcitas o malintencionadas que
comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos
almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o
hacen accesibles.
1.37. SEGURIDAD DE LOS SISTEMAS DE INFORMACIN
46. Protection of information systems against unauthorized access to or modification of
information, whether in storage, processing or transit, and against the denial of service to
authorized users, including those measures necessary to detect, document, and counter
such threats. CNSS Int. 4009.
1.38. SERVICIO
47. Funcin o prestacin desempeada por alguna entidad oficial destinada a cuidar intereses
o satisfacer necesidades de los ciudadanos.
1.39. SERVICIOS ACREDITADOS
48. Servicios prestados por un sistema con autorizacin concedida por la autoridad
responsable, para tratar un tipo de informacin determinada, en unas condiciones precisas
de las dimensiones de seguridad, con arreglo a su concepto de operacin.
1.40. SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN (SGSI)
49. Sistema de gestin que, basado en el estudio de los riesgos, se establece para crear,
implementar, hacer funcionar, supervisar, revisar, mantener y mejorar la seguridad de la
informacin. El sistema de gestin incluye la estructura organizativa, las polticas, las
actividades de planificacin, las responsabilidades, las prcticas, los procedimientos, los
procesos y los recursos.
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-800
2. ABREVIATURAS
ASS
CCN
CERT
ENS
STIC
Seguridad TIC
TIC
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-800
3. REFERENCIAS
2001/264/CE
Decisin del Consejo de 19 de marzo de 2001 por la que se adoptan las normas de
seguridad del Consejo.
CCN-STIC-201
Organizacin y Gestin para la Seguridad de las TIC
CCN-STIC-402
Organizacin y Gestin para la Seguridad de los Sistemas TIC. Diciembre 2006.
CCN-STIC-801
ENS - Responsables y Funciones. 2010.
CCN-STIC-802
ENS - Gua de Auditora. Junio 2010.
CCN-STIC-803
ENS - Valoracin de los Sistemas. 2010.
CCN-STIC-804
ENS - Gua de Implantacin. 2010.
CCN-STIC-805
ENS - Poltica de Seguridad. 2010.
CCN-STIC-806
ENS - Plan de Adecuacin. 2010.
CCN-STIC-807
ENS Inspeccin de las Medidas de Seguridad.
CCN-STIC-808
ENS Uso de Criptografa.
CCN-STIC-809
ENS - Declaracin de Conformidad. 2010.
CNSS Inst. 4009
National Information Assurance (IA) Glossary. April 2010.
FIPS 200
Minimum Security Requirements for Federal Information and Information
Systems. March 2006.
ISO Guide 73
Risk management Vocabulary. 2009.
10
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-800
ISO/IEC 13335-1:2004
Information technology - Security techniques - Management of information and
communications technology security - Part 1: Concepts and models for
information and communications technology security management.
ISO/IEC 27000
Information technology Security techniques Information security
management system Overview and vocabulary. 2009.
ISO/IEC 27001
Information technology Security techniques Information security
management system Requirements. 2005.
ISO/IEC 27002
Information technology Security techniques Code of practice for
information security management. 2005.
ISO/IEC 27003
Information technology Security techniques Information security
management system implementation guidance. 2010.
ISO/IEC 27004
Information technology Security techniques Information security
management Measurement. 2009.
ISO/IEC 27005
Information technology Security techniques Information security risk
management. 2008.
ISO/IEC 27006
Information technology Security techniques Requirements for bodies
providing audit and certification of information security management systems.
2007.
Ley 11/2007
Ley 11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a los
Servicios Pblicos.
Publicado en: BOE nmero 150 de 23/6/2007, pginas 27150 a 27166 (17 pgs.)
Ley 15/1999
Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter
Personal.
Publicado en: BOE nmero 298 de 14/12/1999, pginas 43088 a 43099 (12 pgs.)
Magerit
Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin.
Ministerio para las Administraciones Pblicas. Versin 2. 2005.
http://www.csae.map.es/csi/pg5m20.htm
11
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-800
OM 76/2002
Orden Ministerial nmero 76/2002, de 18 de abril, por la que se establece la
poltica de seguridad para la proteccin de la informacin del Ministerio de
Defensa almacenada, procesada o transmitida por sistemas de informacin y
telecomunicaciones. BOE de 29 de abril de 2002.
RD 1720/2007
Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento
de desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre, de proteccin de
datos de carcter personal. BOE de 19 de enero de 2008.
RD 3/2010
Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de
Seguridad en el mbito de la Administracin Electrnica. BOE de 29 de enero de
2010.
RD 4/2010
Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de
Interoperabilidad en el mbito de la Administracin Electrnica. BOE de 29 de
enero de 2010.
SP 800-12
An Introduction to Computer Security: The NIST Handbook. Special Publication
800-12. October 1995.
SP 800-30
Risk Management Guide for Information Technology Systems. NIST Special
Publication 800-30. July 2002.
SP 800-53
Recommended Security Controls for Federal Information Systems and
Organizations. NIST Special Publication 800-53 Revision 3. August 2009.
SP 800-100
Information Security Handbook: A Guide for Managers. NIST Special Publication
800-100. October 2006.
12
SIN CLASIFICAR