Documentos de Académico
Documentos de Profesional
Documentos de Cultura
800 Glosario de Terminos ENS 2011 03 31 PDF
800 Glosario de Terminos ENS 2011 03 31 PDF
GUÍA DE SEGURIDAD
(CCN-STIC-800)
ESQUEMA NACIONAL DE SEGURIDAD
GLOSARIO DE TÉRMINOS
Y ABREVIATURAS
(borrador)
31 MARZO 2011
SIN CLASIFICAR
SIN CLASIFICAR
CCN-STIC-800 ENS – Glosario de Términos y Abreviaturas
Edita:
LIMITACIÓN DE RESPONSABILIDAD
El presente documento se proporciona de acuerdo con los términos en él recogidos, rechazando expresamente
cualquier tipo de garantía implícita que se pueda encontrar relacionada. En ningún caso, el Centro Criptológico
Nacional puede ser considerado responsable del daño directo, indirecto, fortuito o extraordinario derivado de la
utilización de la información y software que se indican incluso cuando se advierta de tal posibilidad.
AVISO LEGAL
Quedan rigurosamente prohibidas, sin la autorización escrita del Centro Criptológico Nacional, bajo las sanciones
establecidas en las leyes, la reproducción parcial o total de este documento por cualquier medio o procedimiento,
comprendidos la reprografía y el tratamiento informático, y la distribución de ejemplares del mismo mediante alquiler
o préstamo públicos.
PRÓLOGO
El uso masivo de las tecnologías de la información y las telecomunicaciones (TIC), en todos los ámbitos de
la sociedad, ha creado un nuevo espacio, el ciberespacio, donde se producirán conflictos y agresiones, y
donde existen ciberamenazas que atentarán contra la seguridad nacional, el estado de derecho, la
prosperidad económica, el estado de bienestar y el normal funcionamiento de la sociedad y de las
administraciones públicas.
La Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, encomienda al Centro
Nacional de Inteligencia el ejercicio de las funciones relativas a la seguridad de las tecnologías de la
información en su artículo 4.e), y de protección de la información clasificada en su artículo 4.f), a la vez
que confiere a su Secretario de Estado Director la responsabilidad de dirigir el Centro Criptológico
Nacional en su artículo 9.2.f).
Partiendo del conocimiento y la experiencia del CNI sobre amenazas y vulnerabilidades en materia de
riesgos emergentes, el Centro realiza, a través de su Centro Criptológico Nacional, regulado por el Real
Decreto 421/2004, de 12 de marzo, diversas actividades directamente relacionadas con la seguridad de las
TIC, orientadas a la formación de personal experto, a la aplicación de políticas y procedimientos de
seguridad, y al empleo de tecnologías de seguridad adecuadas.
Una de las funciones más destacables del Centro Criptológico Nacional es la de elaborar y difundir normas,
instrucciones, guías y recomendaciones para garantizar la seguridad de los sistemas de las tecnologías de la
información y las comunicaciones de la Administración, materializada en la existencia de la serie de
documentos CCN-STIC.
Disponer de un marco de referencia que establezca las condiciones necesarias de confianza en el uso de los
medios electrónicos es, además, uno de los principios que establece la ley 11/2007, de 22 de junio, de
acceso electrónico de los ciudadanos a los servicios públicos, en su artículo 42.2 sobre el Esquema
Nacional de Seguridad (ENS).
Precisamente el Real Decreto 3/2010 de 8 de Enero de desarrollo del Esquema Nacional de Seguridad fija
los principios básicos y requisitos mínimos así como las medidas de protección a implantar en los sistemas
de la Administración, y promueve la elaboración y difusión de guías de seguridad de las tecnologías de la
información y las comunicaciones por parte de CCN para facilitar un mejor cumplimiento de dichos
requisitos mínimos.
En definitiva, la serie de documentos CCN-STIC se elabora para dar cumplimiento a los cometidos del
Centro Criptológico Nacional y a lo reflejado en el Esquema Nacional de Seguridad, conscientes de la
importancia que tiene el establecimiento de un marco de referencia en esta materia que sirva de apoyo para
que el personal de la Administración lleve a cabo su difícil, y en ocasiones, ingrata tarea de proporcionar
seguridad a los sistemas de las TIC bajo su responsabilidad.
Marzo de 2011
ÍNDICE
1. TÉRMINOS ...........................................................................................................................................................4
1.1. ACTIVO .............................................................................................................................................................................. 4
1.2. ADMINISTRADOR DE SEGURIDAD DEL SISTEMA (ASS) ............................................................................................ 4
1.3. ANÁLISIS DE RIESGOS ..................................................................................................................................................... 4
1.4. AUDITORÍA DE LA SEGURIDAD ...................................................................................................................................... 4
1.5. AUTENTICIDAD ................................................................................................................................................................ 4
1.6. CATEGORÍA DE UN SISTEMA .......................................................................................................................................... 4
1.7. COMITÉ DE SEGURIDAD DE LA INFORMACIÓN............................................................................................................ 5
1.8. CONFIDENCIALIDAD........................................................................................................................................................ 5
1.9. DATOS DE CARÁCTER PERSONAL .................................................................................................................................. 5
1.10. DECLARACIÓN DE CONFORMIDAD.............................................................................................................................. 5
1.11. DISPONIBILIDAD ........................................................................................................................................................... 5
1.12. DUEÑO DEL RIESGO ...................................................................................................................................................... 5
1.13. INFORMACIÓN ............................................................................................................................................................... 5
1.14. FIRMA ELECTRÓNICA ................................................................................................................................................... 5
1.15. GESTIÓN DE INCIDENTES............................................................................................................................................. 5
1.16. GESTIÓN DE RIESGOS ................................................................................................................................................... 6
1.17. INCIDENTE DE SEGURIDAD .......................................................................................................................................... 6
1.18. INTEGRIDAD .................................................................................................................................................................. 6
1.19. MEDIDAS DE SEGURIDAD............................................................................................................................................. 6
1.20. POLÍTICA DE FIRMA ELECTRÓNICA ............................................................................................................................ 6
1.21. POLÍTICA DE SEGURIDAD............................................................................................................................................. 6
1.22. PRINCIPIOS BÁSICOS DE SEGURIDAD ......................................................................................................................... 6
1.23. PROCEDIMIENTOS OPERATIVOS DE SEGURIDAD (POS) ........................................................................................ 6
1.24. PROCESO ........................................................................................................................................................................ 6
1.25. PROCESO DE SEGURIDAD ............................................................................................................................................. 7
1.26. PRODUCTO DE SEGURIDAD TIC.................................................................................................................................. 7
1.27. PROPIETARIO DEL RIESGO........................................................................................................................................... 7
1.28. PROPIETARIO DEL SISTEMA ........................................................................................................................................ 7
1.29. REQUISITOS MÍNIMOS DE SEGURIDAD ....................................................................................................................... 7
1.30. RESPONSABLE DE LA INFORMACIÓN ......................................................................................................................... 7
1.31. RESPONSABLE DE LA SEGURIDAD .............................................................................................................................. 7
1.32. RESPONSABLE DEL SERVICIO ...................................................................................................................................... 7
1.33. RESPONSABLE DEL SISTEMA ....................................................................................................................................... 7
1.34. RIESGO ........................................................................................................................................................................... 8
1.35. SEGURIDAD DE LA INFORMACIÓN .............................................................................................................................. 8
1.36. SEGURIDAD DE LAS REDES Y DE LA INFORMACIÓN, ................................................................................................ 8
1.37. SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN .................................................................................................... 8
1.38. SERVICIO ........................................................................................................................................................................ 8
1.39. SERVICIOS ACREDITADOS ............................................................................................................................................ 8
1.40. SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI)............................................................... 8
1.41. SISTEMA DE INFORMACIÓN ......................................................................................................................................... 9
1.42. SISTEMA TIC ................................................................................................................................................................. 9
1.43. TIPO DE INFORMACIÓN ................................................................................................................................................ 9
1.44. TRAZABILIDAD .............................................................................................................................................................. 9
1.45. VULNERABILIDAD......................................................................................................................................................... 9
2. ABREVIATURAS .................................................................................................................................................9
3. REFERENCIAS .................................................................................................................................................. 10
1. TÉRMINOS
1. A fin de conocer la seguridad que ofrece un sistema, necesitamos modelarlo, identificando
y valorando los elementos que lo componen y las amenazas a las que están expuestos. Con
estos datos podemos estimar los riesgos a los que el sistema está expuesto.
1.1. ACTIVO
2. Componente o funcionalidad de un sistema de información susceptible de ser atacado
deliberada o accidentalmente con consecuencias para la organización. Incluye:
información, datos, servicios, aplicaciones (software), equipos (hardware),
comunicaciones, recursos administrativos, recursos físicos y recursos humanos. ENS.
1.5. AUTENTICIDAD
7. Propiedad o característica consistente en que una entidad es quien dice ser o bien que
garantiza la fuente de la que proceden los datos. ENS.
1.8. CONFIDENCIALIDAD
10. Propiedad o característica consistente en que la información ni se pone a disposición, ni
se revela a individuos, entidades o procesos no autorizados. ENS.
1.11. DISPONIBILIDAD
13. Propiedad o característica de los activos consistente en que las entidades o procesos
autorizados tienen acceso a los mismos cuando lo requieren. ENS.
1.13. INFORMACIÓN
16. Caso concreto de un cierto tipo de información.
17. Information. An instance of an information type. FIPS 199.
1.18. INTEGRIDAD
22. Propiedad o característica consistente en que el activo de información no ha sido alterado
de manera no autorizada. ENS.
1.24. PROCESO
28. Conjunto organizado de actividades que se llevan a cabo para producir a un producto o
servicio; tiene un principio y fin delimitado, implica recursos y da lugar a un
resultado. ENS.
1.34. RIESGO
42. Estimación del grado de exposición a que una amenaza se materialice sobre uno o más
activos causando daños o perjuicios a la organización. ENS.
1.38. SERVICIO
47. Función o prestación desempeñada por alguna entidad oficial destinada a cuidar intereses
o satisfacer necesidades de los ciudadanos.
1.44. TRAZABILIDAD
55. Propiedad o característica consistente en que las actuaciones de una entidad pueden ser
imputadas exclusivamente a dicha entidad. ENS.
1.45. VULNERABILIDAD
56. Una debilidad que puede ser aprovechada por una amenaza.
2. ABREVIATURAS
3. REFERENCIAS
2001/264/CE
Decisión del Consejo de 19 de marzo de 2001 por la que se adoptan las normas de
seguridad del Consejo.
CCN-STIC-201
Organización y Gestión para la Seguridad de las TIC
CCN-STIC-402
Organización y Gestión para la Seguridad de los Sistemas TIC. Diciembre 2006.
CCN-STIC-801
ENS - Responsables y Funciones. 2010.
CCN-STIC-802
ENS - Guía de Auditoría. Junio 2010.
CCN-STIC-803
ENS - Valoración de los Sistemas. 2010.
CCN-STIC-804
ENS - Guía de Implantación. 2010.
CCN-STIC-805
ENS - Política de Seguridad. 2010.
CCN-STIC-806
ENS - Plan de Adecuación. 2010.
CCN-STIC-807
ENS – Inspección de las Medidas de Seguridad.
CCN-STIC-808
ENS – Uso de Criptografía.
CCN-STIC-809
ENS - Declaración de Conformidad. 2010.
CNSS Inst. 4009
National Information Assurance (IA) Glossary. April 2010.
FIPS 200
Minimum Security Requirements for Federal Information and Information
Systems. March 2006.
ISO Guide 73
Risk management — Vocabulary. 2009.