Documentos de Académico
Documentos de Profesional
Documentos de Cultura
GUA DE SEGURIDAD
(CCN-STIC-844)
INES Informe Nacional del Estado de Seguridad
MANUAL DE USUARIO
SEPTIEMBRE 2016
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-844
Edita:
CENTRO CRIPTOLOGICO NACIONAL
2.5.4.13=Qualified Certificate: AAPP-SEP-M-SW-KPSC,
ou=sello electrnico, serialNumber=S2800155J,
o=CENTRO CRIPTOLOGICO NACIONAL, cn=CENTRO
CRIPTOLOGICO NACIONAL, c=ES
2016.10.03 13:54:02 +02'00'
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-844
PRLOGO
El uso masivo de las tecnologas de la informacin y las telecomunicaciones (TIC), en todos los mbitos de
la sociedad, ha creado un nuevo espacio, el ciberespacio, donde se producirn conflictos y agresiones, y
donde existen ciberamenazas que atentarn contra la seguridad nacional, el estado de derecho, la
prosperidad econmica, el estado de bienestar y el normal funcionamiento de la sociedad y de las
administraciones pblicas.
La Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, encomienda al Centro
Nacional de Inteligencia el ejercicio de las funciones relativas a la seguridad de las tecnologas de la
informacin en su artculo 4.e), y de proteccin de la informacin clasificada en su artculo 4.f), a la vez
que confiere a su Secretario de Estado Director la responsabilidad de dirigir el Centro Criptolgico
Nacional en su artculo 9.2.f).
Partiendo del conocimiento y la experiencia del CNI sobre amenazas y vulnerabilidades en materia de
riesgos emergentes, el Centro realiza, a travs de su Centro Criptolgico Nacional, regulado por el Real
Decreto 421/2004, de 12 de marzo, diversas actividades directamente relacionadas con la seguridad de las
TIC, orientadas a la formacin de personal experto, a la aplicacin de polticas y procedimientos de
seguridad, y al empleo de tecnologas de seguridad adecuadas.
Una de las funciones ms destacables del Centro Criptolgico Nacional es la de elaborar y difundir normas,
instrucciones, guas y recomendaciones para garantizar la seguridad de los sistemas de las tecnologas de la
informacin y las comunicaciones de la Administracin, materializada en la existencia de la serie de
documentos CCN-STIC.
Disponer de un marco de referencia que establezca las condiciones necesarias de confianza en el uso de los
medios electrnicos es, adems, uno de los principios que establece la ley 11/2007, de 22 de junio, de
acceso electrnico de los ciudadanos a los servicios pblicos, en su artculo 42.2 sobre el Esquema
Nacional de Seguridad (ENS).
Precisamente el Real Decreto 3/2010, de 8 de Enero, modificado por el Real Decreto 951/2015, de 23 de
octubre, de desarrollo del Esquema Nacional de Seguridad fija los principios bsicos y requisitos mnimos
as como las medidas de proteccin a implantar en los sistemas de la Administracin, y promueve la
elaboracin y difusin de guas de seguridad de las tecnologas de la informacin y las comunicaciones por
parte de CCN para facilitar un mejor cumplimiento de dichos requisitos mnimos.
En definitiva, la serie de documentos CCN-STIC se elabora para dar cumplimiento a los cometidos del
Centro Criptolgico Nacional y a lo reflejado en el Esquema Nacional de Seguridad, conscientes de la
importancia que tiene el establecimiento de un marco de referencia en esta materia que sirva de apoyo para
que el personal de la Administracin lleve a cabo su difcil, y en ocasiones, ingrata tarea de proporcionar
seguridad a los sistemas de las TIC bajo su responsabilidad.
Septiembre de 2016
ii
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-844
NDICE
1.
2.
3.
4.
5.
4.1.
4.2.
4.3.
4.4.
4.5.
4.6.
4.7.
6.
7.
8.
9.
10.
REFERENCIAS............................................................................................................................................... 27
iii
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-844
2.
Para poder utilizar INES el usuario debe estar previamente registrado y autorizado a
acceder al portal CCN-CERT (www.ccn-cert.cni.es), dado que la aplicacin INES se
encuentra situada dentro de dicho portal y es accesible solo para los usuarios registrados.
3.
Este manual se centra en el manejo de INES para el usuario que introduce los datos
relativos a un organismo pblico, quedando fuera del alcance de este documento las
funciones y elementos propios de los perfiles de Administrador del software.
4.
5.
El usuario tendr acceso a las fichas de informacin anuales del organismo pblico al que
representa. En general el usuario tendr acceso de lectura/escritura a los datos de su
organismo en el ao en curso, y acceso de slo lectura a los datos de su organismo
relativos a aos anteriores.
6.
7.
Para acceder a INES se requiere disponer de usuario vlido del portal del CCN-CERT, y
adems haber sido acreditado para utilizar la herramienta INES en nombre del organismo
pblico al que el usuario representa.
9.
Las credenciales de acceso sern suministradas por el CCN en funcin del organismo al
que pertenezca el usuario. Una persona puede solicitar su contrasea por e-mail,
escribiendo a la direccin: ines@ccn-cert.cni.es indicando su nombre, apellidos, DNI,
email corporativo (no son vlidas las cuentas de correo electrnico personales) y
organismo/departamento al que pertenece.
10. El acceso a la herramienta INES est integrado en el propio portal del CCN-CERT desde
agosto de 2016, por lo que el usuario podr autenticarse en INES a travs del portal:
https://ccn-cert.cni.es/
11. Una vez en la pgina del portal CCN-CERT, pulsar el enlace Abrir sesin situado en la
esquina superior derecha de la pantalla. Una vez iniciada la sesin dentro del portal, el
acceso a la herramienta INES se encuentra en la barra de men Herramientas, tal como
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-844
muestra la imagen, aunque pueden encontrarse accesos adicionales desde otras pantallas
del portal.
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-844
3. LA INTERFAZ DE USUARIO
16. La pantalla que se mostrar una vez se acceda a INES con usuario de rol Colaborador
ser similar a esta:
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-844
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-844
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-844
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-844
10
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-844
11
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-844
12
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-844
13
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-844
la derecha de cada campo. Es importante destacar que si no se pulsa este botn para cada
campo escrito, el valor no se guardar en INES.
14
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-844
46. En los casos en los que la opcin No aplica aparece como un recuadro check junto al
cajetn de respuesta, al ser marcado desaparecer el cajetn, apareciendo el texto No
aplica en su lugar.
15
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-844
50. En cualquiera de los casos, para que la respuesta seleccionada se grabe correctamente es
necesario pulsar el botn de "Guardar" asociado a dicha pregunta.
51. INES permite al usuario adjuntar observaciones adicionales que complementen una
respuesta. Esta capacidad es posible solamente en algunos campos de formulario, no en
todos. Los campos que admiten aadir observaciones son los que muestran un botn con
icono de escritura a la izquierda del botn de guardar de la correspondiente pregunta del
formulario.
16
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-844
17
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-844
61. Paso 3:
18
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-844
64. En INES: Dentro de la cabecera de la ficha en la que se quieren importar los datos (slo
fichas 2015 o posteriores) se encuentra un enlace Pinche aqu para importar los datos
desde un XML. Al pulsar, nos abre la interfaz desde la que podemos seleccionar desde
disco el fichero XML previamente generado en PILAR.
65. Paso 5:
19
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-844
68. Mediante los cajetines de check existentes junto a cada campo, el usuario podr
seleccionar slo aquellos campos que quiera importar a la ficha INES. Es decir, no es
necesario importar siempre todos los campos si por ejemplo ya existe informacin
actualizada cargada en la ficha.
69. La previsualizacin tambin advierte de campos que no sern cargados desde el XML, bien
porque el valor que contiene no se ajusta al formato requerido en INES, o bien porque
algunos campos exportados de PILAR no tienen necesariamente su equivalente en el
modelo de datos de INES.
70. Para ello, el primer paso es generar en PILAR el fichero XML de exportacin vlido para
INES, que posteriormente se importar.
Figura 25. Fichero de exportacin de PILAR para INES. Paso 6. Ejemplo de campos no
descargados.
20
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-844
71. Paso7: Una vez seleccionados los campos que se desea importar, y pulsando el botn
Importar datos seleccionados situado en la parte inferior de la pantalla, todos los campos
seleccionados sern actualizados en INES con el valor que tuvieran en el fichero XML de
PILAR.
Figura 26. Fichero de exportacin de PILAR para INES. Paso 7. Importar datos seleccionados.
72. Se puede realizar la importacin de datos desde PILAR para una determinada ficha en
tantas ocasiones como se considere necesario.
# perl /media/lucia-data/usr/bin/lucia_extraction.pm --constituency INCIDENTS -status created+resolved --year <ao> --out <fichero.xml>
donde:
<ao> se corresponde al ao de la extraccin
<fichero.xml> se corresponde al nombre del fichero XML que contendr los datos
Ejemplo: Si se desea exportar los datos desde LUCIA en cualquier momento del ao
2016 o a principios de 2017 para extraer incidentes de un ao natural completo o desde
primeros de enero y archivarlos en el fichero incidentesanuales2016.xml :
Centro Criptolgico Nacional
21
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-844
Si se desea exportar los datos desde LUCIA para extraer incidentes entre dos
fechas concretas:
# perl /media/lucia-data/usr/bin/lucia_extraction.pm --constituency INCIDENTS -status created+resolved --start YYYY-MM-DD --end YYYY-MM-DD --out
<incidentes.xml>
donde:
start YYYY-MM-DD se corresponde con la fecha de inicio de extraccin (en
formato AO-MES-DIA) considerada desde las 00:00:00h
end YYYY-MM-DD se corresponde con la fecha de fin de extraccin (en
formato AO-MES-DIA) considerada hasta las 23:59:59h
<fichero.xml> se corresponde al nombre del fichero XML que contendr los datos
Ejemplo: Si se desea exportar los datos desde LUCIA para extraer incidentes entre el 1
de enero de 2016 y el 30 de junio de 2016 y archivarlos en el fichero
indicentesprimersemestre2016:
# perl /media/lucia-data/usr/bin/lucia_extraction.pm --constituency INCIDENTS
--status created+resolved --start 2016-01-01 --end 2016-06-30 --out
incidentesprimersemestre2016.xml
NOTA: Para ms informacin sobre la extraccin en XML de los datos desde LUCIA,
consultar el Anexo C de la gua CCN-STIC 845D LUCIA. Manual de
Administracin.
77. El clculo realizado por INES funcionar con uno de los ficheros procedentes de SATSARA, SAT-INET y/o LUCIA., con dos, o con los tres, segn la informacin de incidentes
de que disponga el usuario a la hora de realizar la operacin
78. Para ello en INES hay que pulsar en el enlace "Pincha aqu para importar los datos
desde un XML." (la carga de la siguiente pantalla puede tardar unos segundos). A
continuacin seleccionar la opcin "XML de incidentes".
22
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-844
23
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-844
80. INES en ningn caso guarda informacin desagregada sobre incidentes de un organismo, ni
guarda copia de los ficheros XML, de tal manera que una vez calculados los indicadores, y
aceptados, se guardan en la ficha y los datos originales de incidentes individuales se
descartan.
81. Antes de proceder a guardar los resultados en la ficha del organismo, INES muestra los
cambios respecto a los valores previamente existentes en la ficha de tal manera que el
usuario pueda tomar la decisin de cargar los nuevos valores calculados o mantener los
valores anteriores.
82. Este proceso de importacin puede realizarse en cualquier momento del ao, segn
aumente la cantidad de informacin disponible en los ficheros, sustituyendo en cada
ocasin los valores existentes por los nuevos.
24
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-844
8. CUADRO DE MANDO
83. En la cabecera de la ficha, debajo de los iconos de caractersticas, existe un botn llamado
"Cuadro de mando". En este cuadro se muestran los indicadores a nivel de ficha,
comparando sus valores con el valor de la mediana 1 del mismo indicador respecto a las
otras AA.PP. de su mismo colectivo y ao.
84. Para poder visualizar el cuadro de mando es necesario que un organismo tenga introducido
ms del 50% de la informacin requirida, pues de lo contrario no habr suficientes datos
para calcular la mayor parte de los indicadores.
85. El cuadro de mando se abre en una ventana aparte del navegador web, y cada indicador se
presenta de forma numrica, y grfica simultneamente.
86. Cada indicador permite comparar el valor especfico para el organismo con la mediana
calculada para todos los organismos del mismo tipo (Administracin General del Estado
(AGE), Comunidades Autnomas (CC.AA.), Entidades Locales (EE.LL.) dentro del
mismo rango de poblacin o Universidades) pero manteniendo la confidencialidad, sin
visualizar los datos individuales propios de otros organismos diferentes del analizado.
87. Ejemplo (parcial) de los indicadores mostrados en el cuadro de mando de un organismo:
La mediana es el valor que ocupa el lugar central de todos los datos cuando estos estn ordenados de menor a
mayor .
25
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-844
26
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-844
10.
REFERENCIAS
91. Gua CCN-STIC 824. Informe Nacional del Estado de Seguridad El modelo de datos
de los formularios de la herramienta INES siguen esta gua y se adaptan anualmente a sus
sucesivos cambios, por lo que se recomienda su lectura para interpretar adecuadamente las
preguntas que los organismos deben responder.
92. Manual de PILAR La herramienta PILAR para anlisis de riesgos incorpora desde la
versin 5 la exportacin de datos para INES. Consulte el manual correspondiente a la
versin de PILAR que utilice para generar la exportacin de datos en XML vlida para
INES.
27
SIN CLASIFICAR